Cybersicherheit gewährleisten
Ein Cyberkrieg ist natürlich kein Krieg im völkerrechtlichen Sinne. Er kann aber begleitend zu Kriegshandlungen forciert werden, um über das Internet kriegsrelevante Institutionen aus Wirtschaft und Wissenschaft auszuspionieren und sogar anzugreifen (1)
In der Ukraine ist der Angriff durch Hacker*innen bereits Realität. Durch das gezielte Überlasten von Servern waren zeitweise wichtige Webseiten der Regierung nicht erreichbar. Auch Malware kommt zum Einsatz und hat den Zugriff auf und die Löschung von Daten auf zahlreichen Computern veranlasst. Geplant und vorbereitet worden sind diese Attacken scheinbar bereits seit Monaten (2). Angeführt werden diese Angriffe augenscheinlich von einer staatsnahen russischen Hackergruppe namens Sandworm, die in den vergangenen Jahren bereits für massive Eingriffe via Malware in die kritische Infrastruktur der Ukraine gesorgt hatte. (3)
Aktuell sind in den Cyberkrieg rund 40 sowohl pro-russische, als auch pro-ukrainische Gruppen involviert. Die pro-ukrainische Seite wird von Beginn des physischen Kriegs auch vom bekannten Hackerkollektiv Anonymus unterstützt, das dem russischen Präsidenten zuletzt offiziell den Cyberkrieg erklärt hatte. Welche nennenswerten Erfolge dieser Krieg im Internet zurzeit erzielt, ist unklar. (4)
Auch aus den europäischen Nachbarländern werden Stimmen laut, die von ähnlichen Cyberangriffen berichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb zur erhöhten Vorsicht geraten und bittet Unternehmen der kritischen Infrastruktur, sich gegen mögliche Cyberattacken zu rüsten (2).
Das BSI erkennt derzeit eine erhöhte Bedrohungslage für Deutschland. Allerdings ist aktuell keine akute Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich. Diese Situation kann sich nach Einschätzung des BSI jederzeit ändern.
(Bundesamt für Sicherheit in der Informationstechnik (5))
Laut BSI sind aktuell viele Phishing-Mails mit Bezug auf den Ukraine-Krieg im Umlauf. Diese fordern die Empfänger*innen vie Link zu Spenden für die Kriegsgeflüchteten auf oder verbeiten reißerischen Kriegsmeldungen mit „Weiter lesen“-Buttons, um so den Zugriff auf das Konto zu erhalten. (5)
Außerdem warnt das BSI zurzeit vor der Nutzung der Antivirus-Software von Kaspersky. Die Produkte des russischen Unternehmens sollten unbedingt durch andere Sicherheitssoftware ersetzt werden, da eine solche Software in der Regel über umfassende Systemberechtigungen verfügt. Das Unternehmen muss nicht unbedingt selbst aktive Operationen durchführen, es kann auch Opfer von Spionage werden. Auch ein Eingriff durch Dritte, um das Unetrnehmen als Werkzeug für Cyberangriffe zu verwenden, ist denkbar. In jedem Fall ist ein Umstieg auf Produkte anderer Hersteller praventiv zu empfehlen. (6) // Update vom 16.03.2022
Auch Sven Scheil, Chief of Application Security and Code Quality beim bremen digitalmedia-Mitgliedsunternehmen hmmh, mahnt zur Vorsicht. Denn wer von einer Cyberattacke betroffen ist, hängt nicht von Unternehmensgröße oder Bekanntheit ab. „Viele Unternehmer denken immer noch ihr Unternehmen sei für Hacker kein lohnenswertes Ziel, da es doch viel bedeutendere Unternehmen gebe. Diese Einschätzung ist aus meiner Sicht grundverkehrt“, sagt Scheil. „Sie basiert auf der Annahme, dass Hacker*innen sich ganz gezielt Unternehmen als Target aussuchen. Das passiert natürlich auch, aber heutzutage erfolgt die Mehrzahl der Angriffe breit gestreut. Es gibt spezielle Suchmaschinen, die wie Google & Co das Netz durchsuchen – allerdings suchen sie nach den Schwachstellen der Server im Netz und nicht nach Content auf Webseiten. Hacker*innen nutzen diese Suchmaschinen, um ihre Angriffe voll zu automatisieren. Das bedeutet: theoretisch kann jede noch so kleine Schwachstelle gefunden und ausgenutzt werden. Entsprechend benötigt jedes Unternehmen, das über das Internet kommuniziert, Services im Netz anbietet etc. eine spezifische Verteidigungsstrategie.“
Eine aktuelle Umfrage der Bitcom zeigt ebenfalls, dass deutsche Unternehmen auf der Hut sind. Rund ein Drittel der Befragten gibt an, die Vorkehrungen im Bereich Cybersicherheit verstärkt zu haben. Ebenfalls knapp ein Drittel der Unternehmen hat einen Kriesenstarb zu diesem Thema eingerichtet. Mehr als die Hälfte der befragten Unternehmen geht außerdem davon aus, dass sich die Bedrohungslage weiter verschärfen wird. (7).
Wie kann ich mein Unternehmen vor Attacken schützen?
„Härtung von IT-System und Prozessen ist eine sehr individuelle Aufgabe, die spezifisch auf die vorhandenen Systeme und Prozesse zugeschnitten sein muss, um eine hohe Wirksamkeit zu erzielen“, sagt Scheil. „Daher sollte ein*e Spezialist*in für IT-Sicherheit zu Rate gezogen werden, der oder die den aktuellen Zustand analysiert und daraus eine Roadmap für die Systemhärtung ableitet.“
Da das Internet sich in atemberaubender Geschwindigkeit permanent weiterentwickelt und z.B. in den verwendeten Serverprogrammen beinahe täglich neue Schwachstellen entdeckt werden, ist es in der Regel nicht mit einer einmaligen Security-Aktion getan, sondern Ziel muss es sein, einen begleitenden IT-Security-Prozess im Unternehmen zu etablieren.
(Sven Scheil, Chief of Application Security and Code Quality bei der hmmh multimediahaus AG)
Sicherheitsmaßnahmen seien am Ende immer auf die individuellen Umstände im Unternehmen anzupassen.
Die hier aufgeführten Maßnahmen dienen ausschließlich als Handlungsempfehlungen
- Nehmen Sie umfassende Sicherheitsmaßnahmen vor: Lassen Sie die Sicherheit Ihrer Systeme und Server von Fachpersonal prüfen und rüsten Sie wo nötig nach.
- Führen Sie regelmäßig Updates dieser Maßnahmen durch und informieren Sie sich kontinuierlich über mögliche neue Sicherheitslücken in Ihren Systemen.
- Stellen Sie sicher, dass Sie genügend Fachpersonal für eine unerwartete und akute Angriffsabwehr zur Verfügung haben. In Situationen mit erhöhter Bedrohungsgefahr sollten diese, wenn möglich, durchgehend erreichbar sein.
- Erhöhen Sie die Wachsamkeit: Regelmäßige Sicherheitsmonitorings können dabei helfen, Schadsoftware frühestmöglich zu erkennen.
- Erstellen Sie regelmäßige Backups von allen wichtigen Daten, speichern Sie diese unbedingt auch als Offline-Kopien.
- Als Tipp gibt Sven Scheil den Unternehmen die Teilnahme in der Allianz für Cybersicherheit mit auf den Weg. „Die Allianz für Cybersicherheit ist eine wertvolle Anlaufstelle für Unternehmen, die die Sicherheit ihrer IT-Systeme stärken wollen und sich dafür mit speziell für Unternehmen relevante Informationen auf den neuesten Stand bringen möchten“. Für deutsche Unternehmen ist die Teilnahme kostenlos.
Update von Sven Scheil // 22.03.2022
Der Heise Verlag meldet aktuell einen Angriff [8,12], der sich über so genannte Software-Paketmanager weiterverbreitet. Eingeschleust wird der Schadcode über weiterverbreitete kostenlose freie Softwarebibliotheken, die von der Software-Experten-Community im Internet kostenlos zur freien Nutzung zur Verfügung gestellt werden. Laut Heise führt die Nutzung der betroffenen Software auf Rechnern, deren Standort auf Russland oder Belarus hindeutet (per Geo-IP-Auflösung [13] ermittelt), zum Löschen von Dateien und zur Erzeugung einer Textdatei mit dem Namen „WITH-LOVE-FROM-AMERICA.txt“. Man könnte dies Art des politisch motiviertem Hackens als Hacktivismus [11] bezeichnen. In den einschlägigen Sicherheitsforen wird dafür gerade der Begriff „Protestware“ geprägt.
Der Modus Operandi dieses Vorfalls macht überaus deutlich, wie verwundbar die moderne Software-Industrie ist. Welche Konsequenzen hat dies für Softwarehersteller und für Unternehmen, die diese Software nutzen – also defacto für alle Unternehmen?
(Sven Scheil)
Moderne Software besteht in der Regel zu weit mehr als 80 Prozent aus freier Software [9,10]. Nur ein geringer Anteil eines Softwareprodukts wird vom Hersteller noch selber entwickelt. Es ist keine Seltenheit, dass tausende externe Bibliotheken integriert werden, um die gewünschten Funktionen in einer Software zu realisieren. Moderne Software ist so komplex, dass es nur auf diesem Wege überhaupt möglich ist, mit vertretbarem Aufwand und in praktikablem Zeitrahmen, neue Software zu erstellen. Man spricht daher in Analogie zur industriellen Supply Chain hierbei von der Software Supply Chain. Nach dieser Logik fällt der aktuelle Vorfall in die Kategorie der Software Supply Chain Attacks. Expertinnen und Experten gehen davon aus, dass derartige Angriffe zukünftig immer häufiger auftreten werden. Bereits im Jahr 2018 wurde diese Angriffsart z.B. dafür ausgenutzt, um im großen Stil Kreditkartendaten von über 380.000 British Airways Kund*innen zu entwenden [14].
Software Supply Chain Attacks sind ein sehr weites Feld und erfordern individuelle Gegenmaßnahmen, die nur auf Basis einer konkreter Analyse, erarbeitet werden können. Nicht jeder Software-Dienstleister ist auch automatisch ein umfassender Experte für Sicherheitsfragen. Unternehmen sollten eine*n Softwaresicherheits-Expert*in zu Rate ziehen, die oder der sie und ihren Software-Dienstleister (projektbegleitend) berät. Nur so ist eine individuelle Verbesserung der Software Supply Chain Security möglich.
Mit folgenden allgemeinen Maßnahmen kann ein Unternehmen umgehend starten
- Den Softwarelieferanten/-Dienstleister fragen, welche Maßnahmen zur Absicherung des Software-Entwicklungsprozess eingesetzt werden. Es gibt z.B. Werkzeuge, die den Softwareentwickler alarmieren, wenn unter den verwendeten Open Source Bibliotheken Versionen mit bekannten Schwachstellen gefunden werden. Ein Werkzeug alleine reicht aber nicht aus. Jeder Softwarehersteller sollte einen mehrstufigen Prozess nutzen, um sichere Software zu produzieren.
- Alle grundlegenden Maßnahmen zur Absicherung der Firmen-IT (Virenscanner, Intrusion Detection Systeme, strikte Zugriffsbeschränkungen, Backups etc.) sollten stets auf dem aktuellsten Stand sein.
Update von Sven Scheil // 13.04.2022
Es gab kürzlich eine erneute Protestware Aktion von einem russischen Softwareentwickler: Benutzt ein Webentwickler das Open Source Paket des russischen Entwicklers, wird etwa 15 Sekunden nach dem Öffnen der Webseite eine Nachricht angezeigt, die die „sinnlose Invasion“ der Ukraine anprangert. Weiteren Schaden soll die Open Source Software nicht anrichten.
Allerdings erschüttert diese Form des Missbrauchs massiv das über Jahrzehnte gewachsene Vertrauen in die Open Source Community und in die Nutzung von Open Source Softwarebibliotheken für kommerzielle Softwareprodukte. Die Software-Industrie ist mindestens so abhängig von Open Source Software, wie die reale Industrie von Erdöl und Erdgas. Laut einer Studie aus dem Jahr 2018 wird hierzulande „der wirtschaftliche Beitrag von Open Source unter etwas anderen Parametern auf 15 Milliarden Euro pro Jahr geschätzt“ [15].
Die Vorfälle zeigen sehr deutlich die Schwächen der Art und Weise auf, wie kommerzielle Firmen Open Source Software nutzen. Meiner Meinung nach müssten Firmen, die stark von der Nutzung der kostenlosen Software profitieren, einen Anteil ihres dadurch erzielten Gewinns in sichere Infrastrukturen und Prozesse für die Verbreitung und Nutzung von Open Software reinvestieren.
(Sven Scheil)
Bevor aber derartige Strukturen geschaffen werden, kann und sollte sich jede Firma überlegen, welche Open Source Software für ihre Arbeit essentiell notwendig ist und diese Softwareprojekte mit einem angemessenen jährlich Obolus unterstützen.
Update von Sven Scheil // 17.05.2022
Das Bundeamt für Verfassungsschutz hat am 17.05.2022 einen neuen Sicherheitshinweis für die Wirtschaft herausgegeben. Konkret geht es dabei um die aktuellen Kampagnen des russichen Hackerkollektivs KILLNET und Hinweise für die Gefährdung von russichen Staatsangehörigen in Deutschland durch russische Nachichtendienste.
Hier finden Sie das PDF mit dem Sicherheitshinweis für die Wirtschaft vom Bundesamt für Verfassungsschutz.