Cyberkrieg überschattet große Ransomware-Warnung der US-Regierung – Vectra warnt Unternehmen vor reinem Fokus auf Cyberbedrohungen im Ukraine-Russland-Kontext

München, den 07. Juni 2022 – Als die „Cyberversion“ des Ukraine-Konflikts ausbrach und die unkontrollierte und instabile Natur eines ausgewachsenen Cyberkriegs deutlich wurde, gab die US-Regierung parallel eine Ransomware-Warnung heraus. Diese fand vergleichsweise wenig Beachtung, doch auch sie verdient Aufmerksamkeit, wie Vectra AI, Anbieter KI basierter Cybersicherheit meint.

Andreas Riepen, Head Central Europe bei Vectra AI erläutert daher:

„Die Warnung der US-Regierung erinnerte daran, dass es zwei Arten von Cyberbedrohungen gibt: die unvorhersehbaren, „sich drehenden“ Bedrohungen, die außer Kontrolle geraten können und unschuldige Menschen nach dem Zufallsprinzip pulverisieren – und die ausgeklügelten, zielgerichteten Bedrohungen, die darauf abzielen, die Server und vielleicht das Bankkonto eines bestimmten Unternehmens zu plündern.

Der Krieg in der Ukraine könnte eine Menge Schaden der ersten Art anrichten. Möglicherweise ist dies sogar schon der Fall. Während der Krieg jedoch voranschreitet, macht die zweite Art der Bedrohung, die durch Ransomware verkörpert wird, auch keine Pause.
Ein formeller Alarm

Im Februar, wenige Tage vor dem Ausbruch der Feindseligkeiten zwischen Russland und der Ukraine, schlugen das Joint Cybersecurity Advisory des FBI, der CISA (Cybersecurity and Infrastructure Security Agency) und der NSA formell Alarm. Grund war „eine Zunahme ausgeklügelter Ransomware-Vorfälle mit großer Wirkung gegen Betreiber kritischer Infrastruktur weltweit“.

Dem Bericht zufolge sind die Angriffsziele nicht mehr nur die größten und reichsten Unternehmen. Ransomware-Gruppen haben gelernt, SaaS-Plattformen in Unternehmen zu infiltrieren und sie als Drehscheiben für das Abfeuern von Wellen bösartiger ausführbarer Dateien in großem Umfang zu nutzen, denen große und kleine Plattformkunden zum Opfer fallen. Dem Bericht zufolge hat das FBI im Jahr 2021 beobachtet, „dass einige Ransomware-Bedrohungsakteure ihre Ransomware-Bemühungen von den ‚großen Spielen‘ weg auf mittelgroße Opfer umleiten, um die Aufmerksamkeit zu verringern“. In Großbritannien und Australien stimmten das National Cyber Security Centre (NCSC-UK) und das Australian Cyber Security Centre (ACSC) darin überein, dass Unternehmen „aller Größen“ im Laufe des Jahres von Ransomware-Angriffen betroffen waren.

Einerseits ist in diesem Bereich der nationalen Sicherheit jede zusätzliche Anerkennung oder Investition an der Spitze der Regierung überfällig und kann nicht schaden. Andererseits bedeutet Anerkennung nicht, dass die Regierung die Reichweite oder die Mittel hat, Unternehmen zu schützen. Dies gilt für beide Arten von Cyberbedrohungen.

Wer hat das Sagen?

Eine frühe, düstere Lektion aus dem parallel stattfindenden Cyberkrieg in der Ukraine ist, dass keine Behörde vollständig geschützt ist ihre Bürger konsequent vor Angriffen schützen kann. Die Regierungen beaufsichtigen nicht einmal einige der aktiven Cyberkämpfer: Freelance-Hacktivisten wie Anonymous, die russische Rundfunkkanäle und die Kreml-Website stören, unterstehen ihrem eigenen Moralkodex und nicht einem zentralen Kommando in Kiew. Die ukrainische „I.T.-Army“ ist ein kaum gesteuertes, weltweites Korps digital versierter Mitstreiter, die sich über Telegram verbinden, um im Internet Schaden anzurichten.

Was könnte in dieser schwammigen, unendlich multilateralen Konfliktsphäre schon schiefgehen? Kein nationaler Rahmen für die Cyberverteidigung kann verhindern, dass unschuldige Parteien zu Kollateralschäden werden. Die Sache ist die, dass auch keine staatliche Ransomware-Politik einseitig ein sichereres Umfeld schaffen kann.

Regierungen können den Trend in der gesamten Privatwirtschaft hin zu hybriden Datenverarbeitungssystemen nicht umkehren. Bei einer durchdachten hybriden Strategie hostet ein Unternehmen seine sensibleren Workloads vor Ort (On-Premises) und stellt weniger kritische Ressourcen einem kostengünstigeren Public-Cloud-Anbieter zur Verfügung. Dieses Vorgehen ist kostensparend, birgt aber gleichzeitig die Gefahr, dass die Rollen und Verantwortlichkeiten, die früher fest in der Hand der Betreiber von Rechenzentren lagen, nicht mehr so klar abgegrenzt sind. Die Einbindung von Cloud-Anbietern macht die Risikobewertung und die Modellierung wirksamer Sicherheitskontrollen komplexer. Diese Aufgabe gilt es zu erledigen, aber das liegt letztlich in der Hand der einzelnen Unternehmen.

Die Regierung kann privaten Unternehmen empfehlen, überfällige Software-Updates durchzuführen oder Doppelfaktor-Authentifizierungsprotokolle zu implementieren. Diese bewährten Praktiken werden jedoch nie durch einen staatlichen Erlass vorgeschrieben werden, auch sie sind Sache der einzelnen Unternehmen.

Einflussreiche Vertreter von Sicherheitsbehörden können auf einer Konferenz nach der anderen Vorträge halten und dabei die wichtigste Herausforderung für CISOs überall betonen: die Sichtbarkeit von Bedrohungen in den Umgebungen, die sie sichern müssen. CISOs können sich nicht gegen Bedrohungen wehren, die sie nicht sehen können. Vollständige Echtzeit-Transparenz in der IT- und Cloud-Infrastruktur ist das Ideal; in der Realität fehlt sie jedoch fast allen Unternehmen. Sie wissen nicht, welche Geräte und Personen verbunden sind und welchen Zugriff sie auf sensible Systeme und Daten haben. Der Zugriff von Drittanbietern auf Unternehmenssysteme ist ebenso nach wie vor unzureichend sichtbar. Um Ransomware zu erkennen, bevor sie sich einschleicht und Schaden anrichtet, sollten CISOs Sicherheitslösungen einführen, die die gesamte Angriffsfläche visualisieren. Die Initiative für eine solche Sichtbarkeit muss jedoch von den CISOs selbst ausgehen.

Vertrauter Rat

Bei den Schlussfolgerungen des Joint Cybersecurity Advisory handelt es sich um Empfehlungen, nicht um Richtlinien. Allen, die den Anstieg von Ransomware bislang verfolgt haben, kommen sie bekannt vor: Systeme und Software auf dem neuesten Stand halten; Mitarbeiter darin schulen, Phishing-Links und fragwürdige Anhänge zu erkennen; Zwei-Faktor-Authentifizierung implementieren; Daten sichern. Diese Ratschläge sind altbekannt, die Empfehlung kommt lediglich von einer übergeordneten Quelle.

Das heißt nicht, dass diese Maßnahmen unwirksam sind – ganz im Gegenteil. Wirklich wichtig ist jedoch, wie Unternehmen überall reagieren. Der Ukraine-Krieg lässt die letzten Reste der Selbstzufriedenheit über die destabilisierende, unkontrollierbare Bedrohung durch Cyberwaffen verschwinden. Wir sollten alles in unserer Macht Stehende tun, um der Bedrohung durch versiert gesteuerte, rücksichtslos gezielte Cyberpiraterie entgegenzuwirken.“