Der russische Angriff auf die Ukraine betrifft auch den Cyberraum. Bereits im Vorfeld des Angriffes wurden kritische Infrastrukturen und Unternehmen in der Ukraine von unzähligen digitalen Angriffen getroffen. Noch sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) „keine akute unmittelbare Gefährdung der Informationssicherheit für Unternehmen in Deutschland“. Dies könne sich nach Einschätzung des BSI allerdings jederzeit ändern. Zudem ist die Bedrohungslage für IT-Systeme bereits seit Monaten sehr hoch. Unternehmen sollten die IT-Sicherheit ihrer Systeme daher sehr ernst nehmen.
Die aktuelle Bedrohungslage
Zu beobachten ist vor allem eine zunehmende Anzahl von Cyberattacken mit Wiper-Malware. Diese hat das Ziel, Daten auf infizierten Geräten dauerhaft unbrauchbar zu machen. Konkret sind in der Ukraine bereits zwei Typen von Malware, WhisperGate und HermeticWiper, identifiziert worden. WhisperGate soll infizierte Geräte funktionsuntüchtig machen, während HermeticWiper den Master Boot Record (MBR) von Windows-Computern angreift und das Starten der Geräte verhindert. Das Bundesamt für Verfassungsschutz (BfV) geht davon aus, dass es weitere Fälle von Malware gibt, die bereits jetzt oder zukünftig eingesetzt werden.
Besonders gefährdet sind Unternehmen der kritischen Infrastruktur (KRITIS), vor allem die Sektoren Energie, Telekommunikation, Transport, Finanzen, Medien und Rüstung. Doch auch alle anderen Unternehmen und Organisationen sollten dringend ihre IT-Security-Maßnahmen prüfen und gegebenenfalls verschärfen.
So können Unternehmen sich schützen
Da Wiper-Software sehr schnell Schaden auf infizierten Geräten anrichten kann, hat die Prävention solcher Angriffe oberste Priorität. Unternehmen sollten jetzt extrem vorsichtig sein und sämtliche Warnzeichen erst nehmen.
Sebastian Brabetz, Experte für IT-Sicherheit bei mod IT Services, empfiehlt die folgenden Maßnahmen, mit denen Unternehmen jetzt die Sicherheit ihrer Netzwerke erhöhen können:
- Security Tool Alerts bereits installierter Sicherheitssoftware genau beobachten
- Security-Prozesse leben: Lieber einmal mehr Systeme im Verdachtsfall abschalten und prüfen als eine erfolgreiche Attacke zu riskieren
- Alle gängigen verfügbaren Quellen von Indicators of Compromise (IoCs) konsumieren, das heißt beispielsweise IPs überwachen, Hashes auf die Blacklists setzen, Yara-Regeln validieren, wenn möglich
- Angriffsvektoren minimieren: Prüfen, welche Systeme und Vorgänge wirklich notwendig sind für den Betrieb des Unternehmens
- Regelmäßig Backups erstellen und sicher verwahren
- Update-Patches zum Schließen bekannter Sicherheitslücken umgehend einspielen
- Schlagkräftige Intrusion Detection Management Systeme (IDMS), die Malware nicht nur erkennen, sondern auch umgehend wirksame Schutzmaßnahmen ergreifen können
- Konten wo immer möglich mit Multi-Faktor-Authentifizierung schützen
- Benutzermanagement: Entfernen unbekannter oder nicht mehr verwendeter Nutzer
- Berechtigungen der Mitarbeiter auf ein Minimum reduzieren
- Meldeprozesse aufbauen und bekannt machen, für Auffälligkeiten oder Sicherheitsvorfälle
Das BfV aktualisiert laufend seine Übersicht der ihm bekannten IoCs. Unternehmen sollten diese genau verfolgen und ihre Sicherheitsmaßnahmen entsprechend anpassen.
Mitarbeiter sensibilisieren
Auch den Mitarbeitern im Unternehmen muss die aktuelle Bedrohungslage vermittelt werden, um ein Gefährdungsbewusstsein herzustellen. So sind bereits Phishing-E-Mails aufgetaucht, die mit reißerischer Berichterstattung zum Klicken auf einen Weiterlesen-Button animieren oder in denen zum Spenden für die Ukraine aufgerufen wurde. Wer allerdings auf den hinterlegten Link klickt, installiert damit Schadsoftware auf dem eigenen Rechner.
So können die Mitarbeiter zur IT-Sicherheit ihres Unternehmens beitragen:
- Verstärktes Misstrauen gegenüber E-Mails, die zu konkreten dringenden Handlungen aufrufen
- Niemals auf Links oder Anhänge verdächtiger E-Mails klicken
- Niemals Passwörter angeben
- Auch E-Mails von Familie, Freunden, Arbeitgeber prüfen, da deren Konten ebenfalls gehackt worden sein könnten
- Verdächtige E-Mails oder Vorkommnisse sofort melden
IT-Sicherheit jetzt stärken
Wenn Sie wissen wollen, wie es um die IT-Sicherheit Ihres Unternehmens bestellt ist und was Sie tun können, um Ihre IT- und OT-Netzwerke vor den aktuellen Bedrohungen zu schützen, sprechen Sie uns an. Für unsere Kunden bieten wir einen kostenlosen Scan ihrer Systeme von außen an, mit dem wir schnell und effektiv feststellen können, ob mögliche Angriffspunkte vorhanden sind und wie diese zu beheben sind.
Unser Security Operation Center (SOC) ist rund um die Uhr für unsere Kunden im Einsatz, um sofort auf verdächtige Ereignisse reagieren zu können. So sorgen wir dafür, dass auch in Zeiten höherer Gefährdung wie jetzt die IT- und OT-Netzwerke unserer Kunden sicher betrieben werden können.