Am frühen Morgen des 24. Februar 2022 kam es zu einer Invasion russischer Streitkräfte in das Staatsgebiet der Ukraine. Diese militärische Operation soll durch Verfügbarkeitsangriffe auf Webseiten sowie Sabotage-Angriffe (Wiper) auf ausgewählte ukrainische Institutionen begleitet worden sein.

Die DDoS-Angriffe (Distributed Denial of Service) sollen auf Webseiten ukrainischer Banken und Ministerien sowie des Parlamentes beschränkt gewesen sein. Zeitgleich sollen auch Daten-Lösch-Programme, sogenannte Wiper, auf ukrainischen Rechnern entdeckt worden sein. Hiervon sollen auch Banken und Dienstleister der ukrainischen Regierung mit Standorten in Litauen und Lettland betroffen gewesen sein. Die Schadprogramme sollen in einigen Fällen über Windows Group Policies verteilt worden sein. Täter müssten daher bereits entsprechende Administrator-Berechtigungen und einen Zugang zu zentralen Servern, wie dem Active Directory als Verzeichnisdienst, gehabt haben.

Seit der Invasion würden NATO-Partner vermehrt aggressive Scan-Aktivitäten in ihren Netzen melden. Für die Bundesrepublik Deutschland wurden dem Nationalen IT-Krisenreaktionszentrum im Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Auffälligkeiten gemeldet bzw. durch diese festgestellt.

IT-Sicherheitsinformation des BSI

Das BSI bzw. das Nationale IT-Krisenreaktionszentrum hat zu den aktuellen Entwicklungen der Ukraine-Krise einen Sonderlagebericht mit der Einstufung „3 / Orange“ herausgegeben. Die IT-Bedrohungslage, besonders im Bereich der Kritischen Infrastruktur, wird hierdurch als geschäftskritisch eingestuft und eine massive Beeinträchtigung des Regelbetriebs kann nicht ausgeschlossen werden. Für deutsche Unternehmen wird aktuell allerdings von keiner geänderten Gefährdung ausgegangen.

Das Nationale IT-Krisenreaktionszentrum empfiehlt für Unternehmen weiterhin die Umsetzung von Präventionsmaßnahmen vor und die Planung von Reaktionsmaßnahmen nach Cyberattacken.

Was sollte unternommen werden?

Die IT-Sicherheitsinformation des BSI gibt eine übersichtliche Aufstellung von Maßnahmen, die in jedem Unternehmen geklärt und umgesetzt sein sollten:

  • Übergreifende und infrastrukturelle Maßnahmen
    • Erreichbarkeiten und Verfügbarkeiten von Personal und Dienstleister für Präventions- und Reaktionsmaßnahmen prüfen und sicherstellen. Die Erreichbarkeiten sollten auch offline dokumentiert sein.
    • BCM-Notfallpläne prüfen, dabei sollte auch die Schadensbewältigung ohne externe Dienstleister berücksichtigt werden.
  • Angriffsfläche minimieren
    • Systeme auf aktuellen Patchstand bringen und das unmittelbare Einspielen von Notfallpatches vorbereiten.
    • Härtung aller Systeme mit Zugriffsmöglichkeit von außen vornehmen.
    • Härtung von IT-Systemen der Administratoren vornehmen.
    • Erschwerung von Lateral Movement ins und innerhalb des internen Netzwerks durchsetzen.
  • Detektion verstärken, um Angriffe schnellstmöglich zu entdecken
    • IT-Sicherheits-Logging und -Monitoring etablieren.
  • Reaktionsmaßnahmen vordenken, vorbereiten und lageangepasst umsetzen
    • Backups erstellen und prüfen; insbesondere sollte eine Offline-Kopie gelagert werden.
    • Recovery von Systemen und Anwendungen vorbereiten und testen. Pläne zur Wiederherstellung nach einem totalen Datenverlust („Schwarz-Start“) sollten für Kernanwendungen vorhanden sein.
  • Aufwuchs- und Durchhaltefähigkeit planen
    • Erhöhung der Funktionsfähigkeit von IT-Betrieb, SOC (Security Operations Centre) und CERT (Computer Emergency Response Team) bei Lageverschärfung vornehmen.

Die aufgelisteten Maßnahmen sind nicht abschließend und müssen eigenständig im Rahmen der Vorbereitung individuell an die eigenen Rahmenbedingungen angepasst und erweitert werden.

Fazit

Die aktuellen Entwicklungen in der Ukraine sind tragisch und werden durch vermehrt auftretende Cyberattacken begleitet. Generell sollten Unternehmen und insbesondere Betreiber Kritischer Infrastrukturen auf Cyberattacken durch Präventionsmaßnahmen vorbereitet sein und bei einem tatsächlich auftretenden Vorfall geplant reagieren können.