Globaler Cyberwar eskaliert langsam aber sicher

Die Herausforderung bei der Cyberkriminalität besteht darin, dass es kein einzelnes Großereignis gibt, das ausreichend Aufmerksamkeit schafft, um eine Verteidigung zu mobilisieren. Stattdessen scheint es so, als eskalierte ein ständiger Strom von diffuseren Angriffen kontinuierlich mit jedem Tag der verstreicht, während der Konflikt zwischen Russland und der Ukraine weiter andauert.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit dem Federal Bureau of Investigation (FBI), der National Security Agency (NSA), dem Australian Cyber Security Centre (ACSC), dem Canadian Centre for Cyber Security (CCCS), dem National Cyber Security Centre New Zealand (NZ NCSC) und dem United Kingdom's National Cyber Security Centre (NCSC-UK) und der National Crime Agency (NCA) unter Mitwirkung von Branchenmitgliedern der Joint Cyber Defense Collaborative, eine gemeinsame Warnung herausgegeben, um Organisationen an die Bedrohungen kritischer Infrastrukturen zu erinnern, die Russland darstellt.

Die Warnung beinhaltet technische Details zu bösartigen Cyber-Aktionen von Akteuren des russischen Föderalen Sicherheitsdienstes (FSB), des russischen Auslandsgeheimdienstes (SVR), des militärischen Nachrichtendienstes des russischen Generalstabs (GRU) und des russischen Verteidigungsministeriums, des Zentralen Wissenschaftlichen Instituts für Chemie und Mechanik (TsNIIKhM). Darüber hinaus werden Einzelheiten zu Angriffen genannt, an denen russisch ausgerichtete Cyber-Bedrohungsgruppen und Cyberkriminalität-Gruppen beteiligt sind.

Diese Bedrohungen für kritische Infrastrukturen gehen weit über Angriffe hinaus, die sich beispielsweise gegen ein Stromnetz richten. VMware hat eine eigene Umfrage unter 130 Security-Führungskräften im Finanzdienstleistungssektor veröffentlicht, aus der hervorgeht, dass immer mehr Cyberangriffe von Cyberkriminellen-Kartellen gestartet werden, die entwickelt wurden, um die Integrität öffentlicher Märkte zu untergraben. Diese Angriffe zielen auf Marktdaten ab, um den Wert von Finanzinstrumenten wie Unternehmensaktien zu manipulieren. Zwei Drittel der Umfrageteilnehmer (66 %) berichten, dass sie Angriffe beobachten, die speziell auf Marktstrategien abzielen. Ein Viertel dieser Angriffe (25 %) zielte in erster Linie Marktdaten ab, von denen 44 % derjenigen, die Chronos-Angriffe identifizierten, darauf abzielten, Zeitstempel zu manipulieren, um Marktpositionen zu beeinflussen. Fast zwei Drittel der Befragten (63 %) berichten auch von einer Zunahme an Broker-Account Takeover.

Viele dieser Angriffe werden von Cyber-Kartellen gestartet, die mit Nationalstaaten wie Russland verbunden sind. Viele von ihnen versuchen, Mittel zu beschaffen, um die Auswirkungen der Sanktionen zu mindern, die im Zuge der Invasion in der Ukraine verhängt wurden, vermutet der Berichts.

Die CISA empfiehlt, dass Organisationen unabhängig von ihrer Größe ihre IT-Umgebungen stärken, indem sie Leitlinien folgen, die sie zuvor über eine Shields Up-Initiative zur Verfügung gestellt hat. Zu den Empfehlungen gehören:

• Alle Fernzugriffe validieren


• Multi-Faktor-Authentifizierung implementieren


• Software-Updates priorisieren


• Alle Ports und Protokolle deaktivieren, die für geschäftliche Zwecke nicht unerlässlich sind


• Cloud-Security-Praktiken überprüfen

Weitere empfohlene Maßnahmen sind:

• Sicherstellen, dass sich Cybersecurity-/IT-Personal darauf konzentriert, jedes unerwartete oder ungewöhnliche Netzwerkverhalten zu erkennen und schnell zu bewerten


• Protokollierung ermöglichen, um Probleme oder Ereignisse besser untersuchen zu können


• Sicherstellen, dass das gesamte Netzwerk durch Antiviren-/Antimalware-Software geschützt ist und dass Signaturen in diesen Tools aktualisiert werden


• Ein Krisenreaktionsteam schaffen


• Die Verfügbarkeit von Schlüsselpersonen sicherstellen


• Eine Tabletop-Übung durchführen, um sicherzustellen, dass alle Beteiligten ihre Rollen verstehen


• Sicherstellen, dass industrielle Kontrollsysteme bei einem Verlust der Netzwerkkonnektivität betriebsbereit bleiben


• Backup- und Wiederherstellungs-Verfahren testen

Führungskräften und IT-Verantwortlichen wird außerdem geraten:

• CISOs in die Geschäftsstrategie einbeziehen


• Niedrigere Berichterstattung-Schwellenwerte


• Aktive Teilnahme an Tests zur Reaktion auf Vorfälle


• Sicherstellen, dass es eine umfassendere Business-Continuity-Strategie gibt


• Das Worst-Case-Szenario einplanen

Tatsächlich rät CISA den Organisationen, sich auf einen digitalen Krieg einzustellen. Sie geht sogar so weit, kostenlose Cyberhygiene-Services anzubieten einschließlich Schwachstellen-Scanning, um Organisationen dabei zu unterstützen, ihren Cybersecurity-Status zu verbessern.

Cyberangriffe werden auch gegen russische Assets gestartet. Die Cybersecurity-Aktivistengruppe Anonymous hat zum Beispiel die Verantwortung für mehrere Datenlecks und die Deaktivierung bekannter russischer Regierungs-, Nachrichten- und Unternehmens-Websites übernommen. Regierungsbehörden auf der ganzen Welt unterstützen ebenfalls den Service für Informationssicherheit und Cybersecurity in der Ukraine. Ganz offensichtlich ist ein globaler Cyberkrieg im Gange, unabhängig davon, ob sich jemand die Zeit nimmt, ihn offiziell zu erklären.