Dieser Beitrag wurde von Michael Schäublin, Consultant, Security Adviosr für secnovum verfasst.
Seit über 10 Jahren beim Berner IT-Dienstleister SmartIT Services AG in verschiedenen technischen Funktionen tätig. Michael Schäublin seit jeher intensiv mit IT-Security auseinander. Er hat als Security Advisor die fachliche Führung des Fachteams Security, erarbeitet zusammen mit dem Team Richtlinien und technische Konzepte, welche zum sicheren Betrieb von IT-Umgebungen beitragen. Zudem berät und schult er Kunden zum Thema IT-Security.
Disclaimer:
- Die Lage kann sich schnell ändern. Daher können die Informationen aus diesem Beitrag schon kurz nach dem Veröffentlichen bereits veraltet sein.
- Diese Informationen sind für Schweizer KMU ohne direkte Verbindung zu einer der Kriegsparteien zusammengestellt; Unternehmen, die Verbindungen zur Ukraine oder Russland haben oder aufgrund ihrer Geschäftstätigkeiten exponiert sind, sollten eine eigene Sicherheitsanalyse durchführen.
Die Auswirkung des Krieges im Cyberspace
Direkte Auswirkungen des Krieges im Cyberspace für Schweizer Unternehmen wurden bis jetzt noch nicht publik. Einige allgemeine Nachweise für den Einsatz von IT-Mitteln wurden in der Presse genannt. Dass der Konflikt auch mit IT-Mitteln ausgetragen wird, zeigt sich durch:
- den Einsatz von Malware, welche Daten löscht https://www.heise.de/news/Cyberattacken-auf-Ukraine-6524405.html
- Kommunikationsmittel, welche sabotiert werden https://www.heise.de/news/Angriff-auf-Satellitennetzwerk-KA-Sat-Experten-suchen-nach-dem-Ursprung-6544706.html
- Angriffe auf exponierte Unternehmen
https://www.heise.de/news/Angeblich-20-Terabyte-abgezogen-Hackerangriff-auf-deutsche-Tochter-von-Rosneft-6548744.html - unzählige Angriffe zur Überlastung von Diensten und Webseiten (DoS & DDoS)
- unzählige Versuche, die Informationshoheit und Deutung zugunsten der eigenen Seite zu beeinflussen.
Aus den zahlreichen erfolgreichen Angriffen (hauptsächlich zum Erpressen von Geld mittels Verschlüsselungs-Trojanern) wissen wir auch, dass russische Gruppierungen die Fähigkeiten und das Potential haben in Unternehmen einzudringen und Schaden anzurichten.
Als Einstiegspunkte dienen bei politisch und finanziell motivierten Angriffen im Grossen und Ganzen dieselben Schwachstellen.
In Systeme wird mit Anmeldedaten eingedrungen, welche gestohlen wurden (mittels Phishing oder weil sie bei einem anderen Dienst verwendet wurden, welcher die Daten verloren hat) oder welche so schwach sind, dass sie mit wenig Aufwand erraten werden können.
Schadsoftware in E-Mail Anhängen oder Links ermöglichen den Angreifern einen Fuss ins Unternehmensnetzwerk zu setzen.
Sicherheitslücken in Server- und Clientsoftware werden zu lange nicht geschlossen und können dadurch als Angriffsweg genutzt werden.
Wie reagiert man auf diese Angriffe?
Wie wir mit diesen Bedrohungen umgehen müssen, ist uns bekannt:
- Software aktuell halten (Sicherheitsupdates einspielen)
- Zugänge mit starken Authentifizierungsverfahren absichern (Multi-Faktor-Authentication, sichere Passwörter, Passwort Manager, usw.)
- Technische Massnahmen gegen Malware und Phishing-Mail
- Schulung von Mitarbeitenden zum Thema IT-Sicherheit
- Angriffsfläche minimieren (unbenutzte Software deinstallieren / Abschalten und Segmentierung des Netzwerks)
- Backup-Strategie, welche Massnahmen gegen Manipulation des Backups beinhaltet (inkl. regelmässigen Wiederherstellungstests)
Mit diesen Massnahmen können bereits viele Angriffsversuche abgewehrt werden. Übrig bleiben Angriffe, auf die ein KMU selbst nur wenig bis keinen Einfluss hat wie z.B. die Ausnutzung von bisher unbekannten Sicherheitslücken (Zero Day Lücken) oder Angriffe auf Lieferanten (Supply Chain Attacken). Da gilt es, aufmerksam zu sein und Unregelmässigkeiten nachzugehen.
Der Ukraine-Krieg verändert zurzeit für Schweizer KMU die Bedrohungslage nicht grundlegend, aber viele Unternehmen oder deren IT-Partner wissen, wo sich bereits Löcher befinden, die geschlossen werden müssen. Umso wichtiger ist es jetzt zu handeln und auch unabhängig von der geopolitischen Situation die Sicherheitslage des Unternehmens permanent im Auge zu behalten.