Am 21. März 2022 warnte Präsident Biden vor möglichen russischen Cyberangriffen auf westliche Ziele als Reaktion auf die Sanktionen im Zusammenhang mit dem Krieg in der Ukraine. Diese Warnung stützte sich offenbar auf „laufende Geheimdienstinformationen“ und bezog sich speziell auf amerikanische Unternehmen und kritische Infrastrukturen. Der Präsident forderte die Unternehmen auf, im Rahmen der CISA „Shields Up!“-Maßnahmen mit der Regierung zusammenzuarbeiten, um Informationen über Kompromittierungen zu sammeln, damit die Öffentlichkeit über relevante Details informiert werden könne. Anhand solcher Informationen können Unternehmen die aktiven Bedrohungen besser verstehen und Prioritäten bei den Abhilfemaßnahmen setzen oder nach Anzeichen für eine Gefährdung in ihrer eigenen Umgebung suchen. Dass der Präsident seinerzeit bereits solche Warnungen aussprach, gehörte nicht zur Tagesordnung. Dieser Umstand, kombiniert mit den steigenden Zahlen von Schadsoftware und Ransomware-Attacken in Europa in 2022, sollte Unternehmen und Institutionen verdeutlichen: Sie müssen wissen, was auf sie zukommen könnte und wie man sich am besten gegen virtuelle Angriffe verteidigen kann.

Angriffe aus Russland auf westliche Unternehmen dürften anders aussehen als die sonst üblichen Cyberangriffe. Die meisten Cyberangriffe verfolgen das Ziel, Informationen zu stehlen oder finanziellen Gewinn zu erzielen. Angriffe, wie wir sie in einem Cyberkrieg erleben könnten, würden dagegen eher auf Störung und Zerstörung ausgerichtet sein.
Es besteht ein Unterschied zwischen diesen beiden Doktrinen, die gemeinsam unter dem Begriff Computer Network Operations (CNO) zusammengefasst werden. Nationalstaaten beteiligen sich im Rahmen ihrer Außenpolitik und ihrer Aktivitäten zu Kriegszeiten regelmäßig an CNO, und hier kommt die Cybersicherheit ins Spiel. Das NIST definiert CNO folgendermaßen:
„Umfassen Angriffe auf Computernetzwerke, die Verteidigung von Computernetzwerken sowie Operationen, die die Ausnutzung von Computernetzwerken ermöglichen.“
Die Ausnutzung von Computernetzwerken (Computer Network Exploitation, CNE) wird im Allgemeinen mit Spionageaktivitäten in Verbindung gebracht und ist das, was vielen Unternehmen im Sicherheitsalltag Sorgen macht. Datensicherheitsverletzungen würden unter diese Kategorie fallen. Während eines militärischen Konflikts sind dagegen Operationen zum Angriff auf Computernetzwerke (Computer Network Attack, CNA) die noch größere Gefahr. Das NIST definiert CNA als:
„Maßnahmen, die unter Anwendung von Computernetzwerken durchgeführt werden, um Informationen auf Computern und in Computernetzwerken oder die Computer und Netzwerke selbst zu stören, nicht verfügbar zu machen, zu beeinträchtigen oder zu zerstören.“
Zu beachten ist dabei, dass sich CNA und CNE nicht gegenseitig ausschließen. Ein Nationalstaat verschafft sich oft zu beiden Zwecken Zugang zu einem Unternehmen, für den Fall, dass einer davon relevant wird. CNA-Angriffe in Form von Ransomware sind weit verbreitet und bereiten Unternehmen große Sorgen. Häufig sind Ransomware-Opfer jedoch nur Gelegenheitsziele. Ransomware-Angriffe werden auch von „unfokussierten“ Angreifern durchgeführt, deren Absichten sich von denen eines Nationalstaates unterscheiden. Es ist ein gefährlicher Irrtum anzunehmen, man sei auch gegen CNA-Operationen geschützt, wenn man Schutzmaßnahmen gegen Ransomware implementiert hat.

CNA-Operationen können viele Formen annehmen – hier einige Beispiele:

Löschung oder Beschädigung von Festplatten (einschließlich Ransomware)
Netzwerkbasierte Denial-of-Service-Angriffe
Veränderung von Websites (Defacement), um den Nutzern Informationen vorzuenthalten
Konfigurationsänderungen (System oder Netzwerk)
Firmware-Angriffe zur Deaktivierung wichtiger Systeme
Angriffe auf SCADA/OT
Insider-Bedrohungen zur Deaktivierung von Systemen
Um Angriffe im Rahmen eines Cyberkriegs zu stoppen, müssen Sie anders vorgehen
Ein Großteil der Cybersicherheitsmaßnahmen richtet sich darauf, Verletzungen der Datensicherheit und ähnliche Angriffe zu verhindern, doch bei CNA-Operationen muss eine andere Taktik verfolgt werden. Der erste Schritt ist allerdings in beiden Fällen der gleiche: den Erstzugriff zu verhindern. Das ist leichter gesagt als getan, aber dennoch erwähnenswert. Bei einem entschlossenen Angreifer, wie es ein Nationalstaat wäre, könnte die Abwehr des Erstangriffs unmöglich sein, weil öffentlich nicht verfügbare Exploits oder Insider-Bedrohungen eingesetzt werden. Der Schlüssel zum Umgang mit einer CNA-Operation gegen Ihr Unternehmen ist demnach die Schadensminimierung. Es gibt mehrere Möglichkeiten, sich darauf vorzubereiten.

Tabletop-Übungen

Es ist wichtig, dass Sie sich klar machen, wie eine CNA-Operation in Ihrem Fall aussehen könnte. Wie die Angreifer vorgehen, wird von Unternehmen zu Unternehmen ganz unterschiedlich sein. Der beste Einstieg in den Umgang mit solchen Bedrohungen besteht darin zu besprechen, was passieren könnte. Zu diesem Zweck sind Tabletop-Übungen hervorragend geeignet. Falls Sie noch nie an einer solchen Übung teilgenommen haben: Bei einer Tabletop-Übung werden im Allgemeinen sämtliche Phasen eines Angriffs durchgespielt, was oft zu sehr wertvollen Diskussionen und Erkenntnissen führt. Es handelt sich also um eine diskussionsbasierte Übung, bei der keine tatsächlichen Angriffe ausgeführt werden. Viele Incident-Response- und andere Sicherheitsfirmen bieten solche Übungen als Dienstleistung an und schicken dazu einen Berater ins Unternehmen, der die Übung leitet. Als Ergebnis sollten Sie eine Liste mit Bereichen und Problemen erhalten, um die Sie sich kümmern müssen.
Bei der Vorbereitung einer Tabletop-Übung ist es sehr wichtig, sich für ein bestimmtes Szenario zu entscheiden. Sie können diese Entscheidung der Person überlassen, die die Übung leitet, oder selbst ein Szenario vorschlagen, das Ihren Befürchtungen entspricht. Ein CNA-Angriff, der für eine bestimmte Zeit Ihren Betrieb unterbrechen würde, wäre auf jeden Fall ein triftiges Szenario.

Sichtbarkeit

Der erste Hinweis auf einen Angriff sollte nicht der daraus resultierende Schaden oder ein Ausfall sein. Deshalb sind Tools ein Muss, die Ihnen Übersicht über Ihre kritische Infrastruktur vermitteln. Traditionell besteht diese Infrastruktur aus den Endpunkten und Servern oder OT (Operational Technology)-Segmenten. Cloud, Kubernetes und Container können für den Betrieb eines Unternehmens ebenfalls entscheidend sein. Diese Technologien dürfen nicht vergessen werden, und mittlerweile gibt es Tools, die diese Übersicht herstellen können.
Ein Tool für Cloud Security Posture Management (CSPM) und eine Cloud Workload Protection Platform (CWPP) sind gute Ausgangspunkte, wenn es darum geht, Übersicht über Ihre Cloud- und Container-Umgebungen zu gewinnen. CSPM-Tools liefern Ihnen einen Gesamtüberblick über Ihre Cloud-Umgebung und können auf Risiken hinweisen. Eine CWPP verschafft Ihnen einen detaillierten Einblick in die Workloads zur Laufzeit, ähnlich wie es EDR-Lösungen im Hinblick auf Endpunkte und Server tun.

Purple Teams

Wenn Sie das Gefühl haben, dass die Grundlagen in Ihrem Unternehmen etabliert sind (zum Beispiel ein Programm zur Erkennung von Bedrohungen), kann die Einrichtung eines Purple Teams ein nützlicher nächster Schritt sein. Ein Purple Team besteht aus einem Red und einem Blue Team, die koordiniert zusammenarbeiten, um ein vom Unternehmen festgelegtes Ziel zu erreichen. Im Fall von CNA könnte es beispielsweise darum gehen, sich Zugang zu einem wichtigen System zu verschaffen, um den Betrieb des Unternehmens lahmzulegen. Das rote Team verkörpert dabei die Angreifer, während das blaue Team für die Verteidigung zuständig ist. Auf diese Weise soll herausgefunden werden, wo Lücken bestehen und welche Angriffsaspekte erkannt oder übersehen werden. Diese Methode bietet auch hervorragende Trainingsmöglichkeiten.
Welche Assets die wichtigsten sind, ist von Unternehmen zu Unternehmen unterschiedlich, doch ein gutes Beispiel wäre, dem roten Team das Ziel zu setzen, sich Zugang zu Ihrer Routing-Infrastruktur oder einem AWS-Administratorkonto zu verschaffen. Mit dieser Art von Zugriff könnte ein Angreifer, der Ihren Betrieb lahmlegen oder stören möchte, sein Ziel relativ leicht erreichen.

Incident-Response-Plan

Für den Fall, dass es doch zu einer Kompromittierung kommt, ist es wichtig, dass Sie schnell und effektiv reagieren können. Dies kann auf zweierlei Weise geschehen: durch ein internes IR-Team oder einen Drittanbieter. Wenn Ihr Unternehmen nicht über die nötigen Ressourcen für die Reaktion auf einen Vorfall verfügt, sollten Sie einen Drittanbieter damit beauftragen. Die meisten IR-Firmen bieten eine Art Versicherungssystem, das stark die Wahrscheinlichkeit erhöht, dass Sie bei Bedarf schnell Hilfe erhalten. Denjenigen Kunden, die einen entsprechenden Vertrag mit dem Anbieter abgeschlossen haben, wird zuerst geholfen – bei Vorfällen, von denen zahlreiche Unternehmen betroffen sind, kann es andernfalls schwierig sein, die nötige Hilfe zu finden. Erwähnenswert ist auch, dass viele Cyber-Versicherungspolicen entweder eine solche Versicherung einschließen oder dass Sie als Versicherungskunde einen Rabatt bei IR-Anbietern erhalten können.
Wichtig ist außerdem, dass Ihnen die richtigen Tools zur Verfügung stehen. Dies gilt insbesondere dann, wenn Sie ein internes Incident-Response-Team haben. EDR ist das Tool der Wahl für die Reaktion auf herkömmliche Sicherheitsvorfälle. Was aber, wenn Sie eine große Cloud-Präsenz mit Kubernetes und Containern unterhalten? CWPP-Tools können die detaillierte Sichtbarkeit und die forensischen Fähigkeiten bieten, die ein IR-Team für seine Arbeit braucht.

Disaster Recovery

Das ist wohl die am wenigsten angenehme Option, aber auch diejenige, für die Planung am wichtigsten ist. Was passiert, wenn eine CNA-Operation erfolgreich war und Ihr Unternehmen längere Zeit offline ist? Wenn Sie kritische Dienste erbringen, kann das inakzeptabel sein, insbesondere während eines militärischen Konflikts. Sie brauchen also einen soliden Disaster Recovery (DR)-Plan, und dieser muss regelmäßig getestet werden. Diese Tests sollten umfassend sein, sodass sämtliche Aspekte des Plans berücksichtigt und durchgespielt werden. Bedenken Sie auch, dass ein entschlossener Angreifer von Ihren DR-Plänen Kenntnis haben könnte, weswegen Ihre Sicherheitsmaßnahmen auch alle DR-Ressourcen abdecken müssen.

Für viele Unternehmen mag der Technologie-Aspekt in einer Situation, in der ein militärischer Konflikt herrscht, überhaupt keine Priorität haben. Wenn Ihr Unternehmen jedoch auch in einer solchen Situation funktionsfähig bleiben muss, müssen Sie CNA-Operationen genauso berücksichtigen und sich dagegen verteidigen, wie es bei herkömmlichen datenfokussierten Angriffen der Fall ist. Die Durchführung einer Tabletop-Übung mithilfe eines Anbieters von Sicherheitsdiensten oder eines internen Teams sollte der erste Schritt sein, um bestehende Lücken im Hinblick auf die Tools und Verfahrensweisen zu schließen.