Wirtschaftsumfeld | Ukraine | IT-Sicherheit
Unterstützer der Ukraine sind mögliches Ziel für russische Hacker
Deutsche Firmen, die in der Ukraine in kritischen Branchen tätig sind, sollten ein Bewusstsein für mögliche Gefahren durch Hackerangriffe entwickeln. Und Vorkehrungen treffen.
30.08.2024
Von Hans-Jürgen Wittmann | Berlin
Deutschland ist seit Beginn des völkerrechtswidrigen Angriffskrieges auf die Ukraine noch stärker ins Visier staatlicher russischer Stellen geraten. Ziele mit Bezügen zum Ukrainekrieg stellen dabei einen Schwerpunkt der Hackerangriffe dar. Cyberspionage und -sabotage sowie die Veröffentlichung gestohlener Daten richten sich vor allem gegen Ministerien, Rüstungs-, IT-, Luft- und Raumfahrtunternehmen, sowie gegen Parteien, Stiftungen und Verbände, warnt das Bundesinnenministerium.
Risiko durch russische Hacker wächst
IT-Sicherheitsexperten bestätigen, dass russische Phishing-Mail-, Ransomware- und Lieferkettenangriffe sich nicht nur gegen die Ukraine richten, sondern auch gegen europäische Länder und Firmen, die das angegriffene Land unterstützen. Alleine im 1. Halbjahr 2024 listet das Center for Strategic and International Studies ein Dutzend Significant Cyber Incidents mit russischer Beteiligung auf. Darunter sind auch Hackerangriffe, die in Deutschland Schlagzeilen machten:
- Phishing-Mail-Angriff auf die CDU: die Partei wurde eine Woche vor den Europawahlen Ziel einer schwerwiegenden Attacke auf das IT-Netzwerk.
- Phishing-Mail-Angriff auf die SPD: Hacker nutzten über einen längeren Zeitraum eine damals nicht bekannte kritische Sicherheitslücke in Microsoft Outlook aus, um E-Mail-Konten zu kompromittieren.
- Lauschangriff auf die Bundeswehr: Hacker veröffentlichten ein abgehörtes Gespräch, in dem deutsche Militärangehörige Argumente für oder wider eine Lieferung von Taurus-Marschflugkörpern in die Ukraine diskutieren.
Für den Hackerangriff auf die SPD macht die Bundesregierung eindeutig die Gruppierung "Fancy Bear", die das Bundesamt für Verfassungsschutz (BfV) dem russischen Militärgeheimdienst GRU zuordnet, verantwortlich. Auch die Hackergruppe "Cozy Bear", die dem Inlandsgeheimdienst FSB unterstellt ist, führte bereits Angriffe gegen Ziele in Deutschland durch.
Firmen mit Ukraine-Geschäft im Fadenkreuz
"Angreifergruppen suchen sich ihre Opfer anhand ihres Auftrags aus. Dabei ist zweitranging, um was für eine Organisation es sich handelt", warnt Christoph Lobmeyer, Senior Expert Incident Response bei der HiSolutions AG. Der Dienstleister hilft Opfern von Hackerangriffen bei der Schadensbegrenzung.
Schäden an IT-Einrichtungen stellen mittlerweile die größte Bedrohung für Unternehmen dar, analysiert Allianz Commercial, ein Tochterunternehmen des Münchener Versicherers, in seinem aktuellen Risk Barometer. Nach über zwei Jahren Ukraine-Krieg schlussfolgern Sicherheitsexperten, dass die russischen Cyberattacken auch wegen der deutschen Unterstützung für die Ukraine zugenommen haben.
"Für Unternehmen, die Beziehungen in die Ukraine haben ist es wichtig, sich über die eigene Bedrohungslage klar zu werden",
ergänzt Christoph Lobmeyer.
Diese Bereiche sind besonders gefährdet
Besondere Vorsicht walten lassen sollten Akteure, die zur Aufrechterhaltung der staatlichen Ordnung beitragen oder helfen die Basisdienstleistungen für die Gesellschaft aufrechtzuerhalten. Dazu zählen beispielsweise Finanzdienstleister, Mitwirkende am Wiederaufbau des Gesundheitswesens, der Instandsetzung der schwer beschädigten Energieinfrastruktur oder der Instandhaltung der Wasserwirtschaft.
"Ein klares Verständnis der eigenen Lage hilft bei der Priorisierung von Sicherheitsmaßnahmen, bei der Planung von Investitionen in sichere IT-Umgebungen und bei der Vorbereitung auf IT-Sicherheitsvorfälle",
rät der Berliner IT-Sicherheitsexperte Lobmeyer.
Staatliche Hacker betreiben großen Aufwand
Wichtig ist ebenso zwischen der Eintrittswahrscheinlichkeit und der Schadensauswirkung abzuwägen, ergänzt Lobmeyer. Firmen müssen sich dazu mit ihrem Produkt- und Kundenportfolio auseinandersetzen. Sie sollten analysieren, wie die spezifische Bedrohungslage aussieht und welche Maßnahmen zur Stärkung der IT-Sicherheit notwendig sind.
Ist eine Organisation erstmal von einem Vorfall betroffen, so hängt die spezifische Reaktion stark von der Angriffsform ab. Anders als bei Ransomware-Gruppen, die ihre Opfer mittels einer Lösegeldforderung über den IT-Sicherheitsvorfall informieren, muss ein verdeckt ablaufender Angriff erstmal entdeckt werden. Anschließend ist das "Scoping", also die Eingrenzung der betroffenen Systeme notwendig. Mit dieser Information kann dann die Entfernung der Schadsoftware vorbereitet werden.
10 Schritte für den IT-Notfall
Wenn ein Unternehmen trotz aller IT-Sicherheitsvorkehrungen Opfer von Hackerangriffen wird, sollte die Geschäftsführung nach der Devise "Sicherheit vor Schnelligkeit" handeln und folgende Checkliste abarbeiten.
- Ruhe bewahren - keine Panik!
- Externe, von BSI zertifizierte Experten hinzuziehen.
- Umfassenden Überblick über die Lage verschaffen, um geeignete Gegenmaßnahmen ergreifen zu können.
- Angegriffene, verschlüsselte IT-Systeme vom Netzwerk trennen, aber nicht herunterfahren, um keine Spuren zu zerstören.
- Krisenstab einrichten um Geschäftsbetrieb beizubehalten, Forensik zu koordinieren und den Wiederaufbau voranzubringen.
- Wiederaufbau der IT-Systeme anhand kritischer Geschäftsprozesse steuern.
- Interne Stakeholder informieren - beispielsweise Belegschaft, Lieferanten und Kunden.
- Meldepflichten beachten - beispielsweise die Datenschutzmeldung beim Abfluss personenbezogener Daten.
- Erkannte Sicherheitsprobleme von (externen) Spezialisten bewertet und beheben lassen.
- Aktuelle IT-Bedrohungslage im Auge behalten - beispielsweise neuartige Angriffsweisen, spezielle Risiken für Ihre Branche.