Herr Berghoff, im letzten Quartal 2021 nahm die Anzahl der Cyber-Attacken um rund 25 Prozent laut G DATA Cyberdefense zu. Mit dem Start des Ukraine-Konflikts soll die Anzahl der Attacken nochmals enorm zugenommen haben. Woher haben Sie diese Zahlen?
Tim Berghoff,Security Evangelist bei der G DATA CyberDefense AG: Als IT-Sicherheitsunternehmen haben wir Zugriff auf eine Vielzahl von Quellen, um Angriffsstatistiken zu erstellen und Cyber-Risiken einzuschätzen. Insbesondere sehen wir natürlich bei den installierten Systemen, welche Angriffe registriert und abgewehrt werden. Zudem tauschen wir uns laufend mit Experten und anderen IT-Sicherheitsunternehmen über konkrete Angriffe und abstrakte Bedrohungsszenarien aus, um für alle Angriffe gewappnet zu sein. Damit kommen wir auf eine sehr realistische Lageeinschätzung.
Für die steigende Zahl der Attacken sind vor allem Sicherheitslücken in geschäftskritischen Anwendungen, wie Microsoft Exchange, verantwortlich. Durch die hohe Verbreitung dieser Systeme ist es wahrscheinlich, dass die Angreifer auch einen ungepatchten Exchange-Server finden, den sie für eine Attacke nutzen können. Weiterhin begünstigt werden Attacken dadurch, dass viele Mitarbeiter immer noch aus dem Homeoffice arbeiten. Schlecht verwaltete Endgeräte mit ungepatchten Betriebssystemen und Anwendungen stellen ein Einfallstor für Cyberkriminelle dar, aber auch geöffnete und mangelhaft gesicherte Firmeninfrastrukturen, die Anwendern von zu Hause aus Zugriff auf Firmendaten geben sollen. Nach zwei Jahren Pandemie ist es höchste Zeit, Workarounds und Provisorien durch professionelle und sichere Zugangslösungen für Homeoffice zu ersetzen.
Gibt es schon erste erfolgreiche Angriffe?
Tim Berghoff: Angriffe auf breiter Front gegen Endanwender oder Unternehmen in Deutschland, ausgelöst durch den Ukraine-Krieg, können wir bisher nicht bestätigen. Nach unseren Informationen versuchten Angreifer, mutmaßlich aus Russland und vermutlich mit Billigung offizieller russischer Stellen, ukrainische Behörden, Medien und Banken zu attackieren, um das Land damit während des Einmarschs zu destabilisieren und die Einwohner zu verunsichern. In Deutschland berichten einige Medienhäuser der Mediengruppen Funke und Ippen, dass ihre Berichterstattung zum Ukrainekrieg zu Angriffen von Bots führte, vermutlich, um die Kommentarspalten automatisiert zu kapern oder die Erreichbarkeit der Webseiten zu behindern.
Diese Vorfälle zeigen jedoch, wie schnell Unternehmen im Visier von Angreifern landen können. Deshalb gilt, nicht erst seit jetzt, aber jetzt umso mehr, dass sich Unternehmen gegen Angriffe und deren Folgen rechtzeitig wappnen sollten, wie es auch das Bundesamt für Sichehreit in der Informationstechnik (BSI) empfiehlt.
Vor allem kritische Infrastrukturen sind laut BSI gefährdet. Wie sieht es hier mit der Energiebranche aus?
Tim Berghoff: Insbesondere für Unternehmen der kritischen Infrastruktur gilt es jetzt, bei den Abwehrmaßnahmen nicht nachzulassen und Schutzmaßnahmen auszubauen, wo es nötig ist. Potenzielle Opfer haben den Nachteil, dass sie zu jeder Zeit schnell auf alle denkbaren Bedrohungen reagieren müssen, während es dem Angreifer reicht, einmal Glück zu haben. Das gilt es zu auszuschließen. Im Umfeld des Ukraine-Kriegs befinden wir uns in einer sehr speziellen Gemengelage: Es handelt sich um eine Vielzahl von Akteuren, die nicht eindeutig identifizierbar sind, was dazu führt, dass auch die Richtung und Quelle des Angriffs unvorhersehbar sind. Selbst ernannte Cyber-Krieger halten sich noch weniger an Regeln als „offizielle“ Kriegsparteien, deshalb ist das Lagebild asymmetrisch und hochdynamisch. Noch mehr als für Unternehmen gilt es für KRITIS-Betreiber, Sicherheitslücken zu schließen, Systeme aktuell zu halten und für den Fall der Fälle auch mit Notfallplänen vorbereitet zu sein.
An welchen Schwachstellen setzen die Angreifer besonders an?
Tim Berghoff: Die größten Schwachstellen liegen da, wo Unternehmen nicht genau genug hinschauen – oder nicht genau genug hinschauen können. So kann auch die Zeiterfassung oder die Lohnbuchhaltung zum Ziel werden. Allerdings haben auch solche Systeme das Zeug dazu, bei einem Ausfall einen Betrieb, wenn nicht ganz lahm zu legen, so doch das Tagesgeschäft zu erschweren. Gefährlich wird es dann, wenn sich kriminelle Eindringlinge auf dem Umweg über die administrativen Anwendungen Zugriff auf die Anlagensteuerung verschaffen können. Deshalb ist es so wichtig, alle Programme aktuell zu halten und Patches vom Hersteller schnellstmöglich einzuspielen, um auch an dieser Stelle die Angriffsflächen zu minimieren. Auch muss die Frage gestellt werden, ob und warum ein System tatsächlich aus dem Internet erreichbar sein muss.
Leider ist der Mensch nicht unfehlbar, deshalb gilt es auch bei Mitarbeitern das Bewusstsein zu schaffen, dass sie bei ihrer Arbeit mit IT-Systemen angegriffen werden können. Viele der Cyber-Erpresser, die sich für das Entschlüsseln von verschlüsselten Firmendaten bezahlen lassen wollten, platzierten Schadcode über Anhänge in vermeintlich wichtigen persönlichen Mails an die sorglosen Empfänger. Da können Sicherheitssysteme nur bedingt helfen. Der User ist hier gefordert, aufmerksam zu sein und nicht nachzulassen. Unternehmen, insbesondere der KRITS, sind hier in der Pflicht, das Bewusstsein der Mitarbeiter zu schärfen und hoch zu halten.
Was können Unternehmen machen, um sich jetzt kurzfristig zu schützen?
Tim Berghoff: Eine Selbstverständlichkeit sollte es sein, nur die notwendigsten Systeme von außen zugänglich zu machen; regelmäßig sollte überprüft werden, welche Geräte Zugang zum Internet haben und ob das wirklich erforderlich ist. Eine cyber-physische Trennung zwischen kritischer Anlagensteuerung und administrativen Systemen, über die etwa auch Kundenkommunikation von außen läuft, ist zwingend erforderlich.
Dann gilt es natürlich, seine IT-Abteilung so aufzustellen, dass Patches so schnell wie möglich ausgerollt werden können. Zusätzlich sollte es für die wirklich kritischen Notfall-Patches ein beschleunigtes Verfahren geben. Es gilt, den Zeitraum zwischen dem Bekanntwerden einer Sicherheitslücke und der Aktualisierung der Systeme möglichst kurz zu halten, um den Angreifern keine Zeit zu lassen, Sicherheitslücken auszunützen.
Wenn Altanwendungen im Einsatz sind, die vom Hersteller nicht mehr mit Updates versorgt werden, sollte man diese Systeme ebenfalls nur noch isoliert betreiben.
Für den Fall des Falles muss die Datensicherung gewährleistet sein und auch regelmäßig geprüft und geprobt werden, ob Backups funktionieren und auch zurückgespielt werden können.
Außerdem sollte ein Unternehmen in der Lage sein, nach einem erfolgreichen Angriff auch für ein kurzes Zeitfenster mit eigenen Ressourcen zurecht zu kommen, bis professionelle externe Hilfe verfügbar ist. Notfallpläne sollten dafür in der Schublade liegen, regelmäßig aktualisiert und überprüft werden.
Grundsätzlich gilt aber bei IT-Sicherheitsvorfällen genauso wie in anderen Fällen: Ruhe bewahren und nicht in hektischen Aktionismus verfallen, das schadet langfristig mehr, als es nützt.
Die Fragen stellte Stephanie Gust
