Cyberbedrohungen
Cybersicherheit während geopolitischer Konflikte, Teil 2
Vorbereitung, Anpassungsfähigkeit und strategische Allianzen bilden den Rahmen für die fortschrittlichen Sicherheitsmaßnahmen und robusten Reaktionspläne während und nach Konflikten. Wir zeigen im Einzelnen, was CISOs in jeder Phase beachten sollten.
Save to Folio
Kernpunkte
- CISOs müssen proaktive, nachhaltige und zukunftssichere Strategien entwickeln und umsetzen, um die Cybersicherheit ihrer Organisation zu gewährleisten – vor Beginn des Konflikts, bei Ausbruch, während der gesamten Dauer und zur Vorbereitung auf künftige Konflikte, die entstehen könnten.
- Die Motivation von Cyberkriminellen ändert sich während Konflikten, und CISOs müssen diese Verhaltensweisen antizipieren, um Cyberangriffe und ihre Auswirkungen besser abzufedern.
- CISOs müssen den Faktor Mensch in ihre Cybersicherheitsstrategien einbeziehen – er ist das größte Asset und die größte Schwachstelle eines Unternehmens.
Während geopolitischer Konflikte nehmen staatlich gesponserte Cyberangriffe zu, wobei die Gegner ausgefeilte Techniken einsetzen, um kritische Infrastrukturen zu infiltrieren, Betriebsabläufe zu unterbrechen und Daten zu stehlen. Die Gefahren und die Rolle des CISOs in solchen Zeiten waren das Thema des ersten Teils der Betrachtungen. Die Ziele der Täter reichen von Spionage und Sabotage bis hin zu wirtschaftlicher Beeinträchtigung und psychologischer Kriegsführung. Verursacher sind rivalisierende Nationalstaaten, Hacktivistengruppen sowie Cyberkriminelle, die das Chaos zu ihrem finanziellen Vorteil ausnutzen.
Die veränderten Cyberrisiken betreffen ein breiteres Spektrum an Sektoren. Verteidigungsorganisationen und Regierung sind zwar die primären Ziele, doch auch andere kritische Sektoren sind einem erhöhten Risiko ausgesetzt. Die Vernetzung der modernen Infrastruktur bedeutet, dass ein Angriff auf einen Sektor weitreichende Beeinträchtigungen verursachen kann. Darüber hinaus schaffen Fehlinformationen und Cyberpropaganda weitere Risiken, gegen die Organisationen ankämpfen und das Vertrauen der Stakeholder aufrechterhalten müssen. Diese komplexe Bedrohungslandschaft erfordert einen umfassenden Cybersicherheitsansatz, der Verfahren für das Risikomanagement von Angriffsflächen, bereichsübergreifende Zusammenarbeit, kontinuierliche Informationen über Bedrohungen und proaktive Verteidigungsstrategien zur Gewährleistung der Widerstandsfähigkeit umfasst.
Veränderung im Verhalten von Cyberakteuren
Cyberakteure passen ihre Strategien den Krisenzeiten an und nutzen geopolitische Konflikte, um ihre Aktivitäten zu intensivieren. Das frühzeitige Erkennen dieser Anzeichen ist entscheidend für präventive Verteidigungsmaßnahmen. Historische Präzedenzfälle, wie die Kampagnen gegen die Ukraine seit 2014 und die jüngsten Angriffe, die Volt Typhoon zugeschrieben werden, unterstreichen die Notwendigkeit für CISOs, diese Veränderungen im Verhalten der Bedrohungsakteure zu antizipieren. Proaktive Überwachung und robuste Cybersicherheitsmaßnahmen sind in diesen Zeiten unverzichtbar.
Fortgeschrittene persistente Bedrohungen
In Konfliktszenarien nimmt die Intensität von Advanced Persistent Threats (APTs) erheblich zu. Dies sind langwierige Cyberoperationen, die darauf abzielen, bestimmte Regierungsorganisationen und Privatunternehmen anzugreifen, um Informationen zu stehlen und den Betrieb zu stören. APT-Angriffe werden häufig von Nationalstaaten unterstützt und können Verbindungen zu Regierungsorganisationen haben. Sie sind oft ausgeklügelt und nutzen eine Vielzahl von Taktiken und Methoden, um in ihrem Ziel Fuß zu fassen. Zu diesen Taktiken gehören Social Engineering, Spear-Phishing, Watering-Hole-Angriffe, Design und Entwicklung von maßgeschneiderter Schadsoftware sowie die Entwicklung, Beschaffung und Nutzung von Zero Day-Exploits.
Mit einer Eskalation der Auseinandersetzungen ändern sich oft auch die Spielregeln für APT-Gruppen. Sie arbeiten häufiger mit Cyberkriminellen zusammen, um kompromittierte Infrastrukturen auszunutzen oder sich zusätzlichen Zugang zu verschaffen. Sie können auch Organisationen und Einheiten ins Visier nehmen, die unter normalen Umständen aus Furcht vor politischen Reaktionen oder wegen des politischen Engagements normalerweise tabu sind. Die Ziele werden dann auch auf Organisationen des Gesundheitswesens oder kritische Infrastrukturen, wie das Stromnetz ausgeweitet. Einige cyberkriminelle Akteure nutzen möglicherweise die wachsende Verwirrung in konfliktreichen Zeiten aus und missbrauchen die Situation für finanzielle Gewinne.
Beispiele hierfür sind die mit Russland verbündete Killnet-Gruppe und mehrere Hacker, die im Konflikt zwischen Israel und der Hamas aktiv sind.
Die Rolle der Desinformation
Desinformationskampagnen nehmen bei politischen Konflikten oder militärischen Operation ebenfalls zu. Der Krieg Russlands gegen die Ukraine hat zum Beispiel gezeigt, dass Cyberoperationen in Ländern, die die Ukraine unterstützen, in größerem Umfang und schneller durchgeführt werden. So können beispielsweise Kampagnen zur Manipulation der öffentlichen Meinung die Handlungen, Entscheidungen und den Ruf eines Unternehmens beeinflussen.
CISOs müssen umfassende Cybersicherheitsmaßnahmen umsetzen, die über die traditionelle IT-Sicherheit (Informationstechnologie) hinausgehen. Dazu gehören die Förderung des Cybersecurity-Bewusstseins im gesamten Unternehmen, der Einsatz fortschrittlicher Analysen zur Erkennung von Bedrohungen und die Sicherstellung robuster Strategien zur Reaktion auf Vorfälle. Darüber hinaus kann die Integration von Cyberwissen in die betrieblichen Abläufe die Fähigkeit des Unternehmens, potenzielle Cyber-Angriffe vorherzusagen und ihnen zuvorzukommen, erheblich verbessern.
Bezüglich Desinformationskampagnen ist es wichtig, verlässliche Kommunikationsmittel mit der Öffentlichkeit einzurichten und aufrechtzuerhalten, um gegen die Falschmeldungen vorzugehen. Des Weiteren sollten CISOs die Risiko- und Angriffsflächenmodelle ihrer Organisationen verstärken. Diese Anpassung ist von entscheidender Bedeutung, da es darum geht, potenzielle Schwachstellen zu identifizieren und zu entschärfen, die in der Bedrohungslandschaft im Zusammenhang mit politischen Unruhen ausgenutzt werden könnten.
Verstehen der erweiterten Angriffsfläche
Zum ersten Schritt hin zur Anpassung des Risikomodells gehört ein umfassendes Verständnis der erweiterten Angriffsfläche. Diese umfasst nicht nur die traditionelle IT-Infrastruktur, sondern auch Technologien wie IoT-Geräte, Cloud-Dienste und Remote-Arbeitsumgebungen sowie die Möglichkeit, in Notfällen von nicht vertrauenswürdigen Geräten auf die Infrastruktur zuzugreifen. Jedes dieser Elemente bringt Schwachstellen mit sich und potenzielle Einfallspunkte für Cyberangriffe. Der Notfallzugriff von nicht vertrauenswürdigen Geräten und entfernten Arbeitsumgebungen aus beinhaltet beispielsweise weniger sichere, angreifbare Netzwerke. Befindet sich ein Teil des Unternehmens in einer Konfliktzone, müssen auch Situationen berücksichtigt werden, in denen der physische Zugang zu den Büros und Gebäuden für Tage oder sogar Wochen eingeschränkt ist. Stromausfälle können wesentlich länger dauern als üblich, und es ist wichtig, dass wichtige Geschäftsprozesse trotz dieser Einschränkungen funktionsfähig und sicher bleiben.
Strategische Führung und granulare Kontrolle
Im geopolitischen Kontext ist eine regelmäßige Neubewertung des Risiko- und Angriffsflächenmodells notwendig, um sich an neu auftretende Bedrohungen anzupassen. Dazu gehören nicht nur technologische Upgrades, sondern auch die kontinuierliche Überarbeitung von Policies und Verfahren, um sicherzustellen, dass sie auch unter veränderten Bedingungen wirksam bleiben. Ein gründliches Verständnis der laufenden Konflikte, der Geopolitik und der für den Sektor relevanten nachrichtendienstlichen Quellen ist von entscheidender Bedeutung für die Vorhersage der potenziellen Auswirkungen auf den Sektor, einschließlich des Zeitpunkts, des Ortes und der Art dieser Auswirkungen.
Zusammenarbeit und Austausch von Informationen
Angesichts der Komplexität und des Ausmaßes der geopolitischen Cyberbedrohungen sind die Zusammenarbeit und der Austausch von Informationen mit anderen Organisationen, Branchengruppen und Regierungsbehörden wie nationalen Computer Emergency Response Teams (CERTs) von unschätzbarem Wert. Dieser kollektive Ansatz kann das Situationsbewusstsein und die Vorbereitung einer Organisation verbessern, denn er gewährt Zugang zu gemeinsamen Bedrohungsinformationen, bewährten Verfahren und koordinierten Reaktionsstrategien.
Szenarienplanung und Reaktion
Einsatz in Konfliktgebieten
Für Unternehmen, die hauptsächlich in Konfliktgebieten tätig sind, steht besonders viel auf dem Spiel. CISOs müssen umfassende Sicherheitsprotokolle implementieren, sich mit lokalen Akteuren austauschen und die Situation vor Ort kontinuierlich bewerten, um die Strategien entsprechend anzupassen. Unternehmen in Konfliktgebieten können zusätzlichen Einschränkungen unterliegen (z. B. eingeschränkter Zugang zu den Gebäuden, eingeschränkte Netzwerk- und Internetkonnektivität, Stromausfälle, physische Verletzungen, Zugriff Dritter auf IT-Ressourcen und ein höheres Risiko bezüglich Insider-Bedrohungen). Dies alles gilt es zu berücksichtigen. Um diese Bedrohungen abzuschwächen, sollten die Anlagen geografisch breiter verteilt werden, um die Gefahr gleichzeitiger Schäden sowie gleichzeitiger Strom- und Verbindungsausfälle zu minimieren. Spieleentwickler in der Ukraine, die mit Stromausfällen, Luftschutzsirenen und militärischen Einberufungen zu kämpfen hatten, sind ein Beispiel dafür, wie sich Unternehmen mit Niederlassungen in einem Konfliktgebiet an die neue Situation angepasst haben.
Interaktion mit Konfliktzonen
Unternehmen, die sich in Konfliktgebieten engagieren - sei es durch Interaktionen vor Ort, durch Lieferkettenoperationen oder durch Lieferung von Waren in diese Gebiete, ohne dort physisch ansässig zu sein, stehen vor unterschiedlichen komplexen Herausforderungen. Die Gewährleistung der Sicherheit der Lieferkette und der Sicherheit der lokalen Geschäftseinheiten erfordert einen differenzierten Ansatz, der sowohl lokale als auch internationale Auswirkungen berücksichtigt. Interaktionen mit Konfliktgebieten können gegen internationale Sanktionen und Beschränkungen verstoßen. Wenn Teile kritischer Lieferketten von Standorten in Konfliktgebieten abhängig sind, verändert dies die Risiken für kritische Geschäftsprozesse erheblich. Die Lieferung von Hardwarekomponenten oder Software kann sich erheblich verzögern, und die Zulieferer sind aufgrund des Konflikts möglicherweise nicht in der Lage, Service-Level-Agreements (SLA) und Qualitätskontrollen einzuhalten.
Außerhalb von Konfliktgebieten
Auch Unternehmen, die nicht direkt mit Konfliktgebieten verbunden sind, müssen wachsam sein. Informations- und Cyberkriegsführung sind so global, dass kein Unternehmen vollständig von den Auswirkungen abgeschirmt ist. Jede öffentliche Äußerung, jede Änderung von Vorschriften, die internationale Lieferketten oder Länder betreffen, die Software oder Hardware herstellen, kann staatlich geförderte, kriminelle und hacktivistische Angriffe auslösen
Handlungsweisen
Organisationen sollten ihre Vorbereitungen lange vor dem Auftreten eines Konflikts treffen. Diese Vorbereitungen umfassen:
- Prüfen, ob eine Organisation ein interessantes Ziel ist, Festlegen starker Cybersicherheitsmaßnahmen, Diversifizierung der Lieferketten und Aufbau von Beziehungen zu internationalen und lokalen Verbündeten.
- Durchführung regelmäßiger Schulungen und Simulationen
- Wissen aneignen, welche geschäftskritischen Anlagen und Dienstleistungen sich außerhalb des Landes befinden. Überwachen langfristiger Lieferkettenverträge und identifizieren der gefährdeten oder störanfälligen, um sie gegebenenfalls zu ersetzen.
- Aufsetzen von Krisenmanagementteams und Zuweisung von Rollen und Verantwortlichkeiten.
Wenn die Anzeichen für einen drohenden Konflikt deutlicher werden, sollten die Organisationen ihre Vorbereitungsmaßnahmen verstärken. Diese Bemühungen umfassen:
- Verstärken der Sicherheitsabwehr, um Cyberspionage und Desinformation entgegenzuwirken, sichern zusätzlicher Ressourcen und Lieferanten und gewährleisten, dass alle Notfallpläne auf dem neuesten Stand und umsetzbar sind.
- Simulieren oder Testen von Szenarien der Nichtverfügbarkeit von Hardware, Software und Diensten von Hauptlieferanten mit vorübergehendem Wechsel zu alternativen Lieferanten und Bereitschaft zum sofortigen Wechsel zu alternativen Lieferanten.
- Vorbereitung auf die Zunahme von Hacktivisten-Aktivitäten, d.h. Sicherstellen der Integrität von Infrastrukturen und Prozessen sowie Bemühungen verstärken, die Anwesenheit von Angreifern aufzuspüren.
- Aktualisierung des Status von Infrastruktur, Anlagen, Prozessen und Playbooks. Festlegen, welche Systeme vollständig isoliert werden sollten, und wo Änderungen oder Aktualisierungen vorübergehend deaktiviert werden sollten.
- Erstellen von Backups an alternativen, verteilten oder Offline-Speicherorten.
- Erhöhen der Strom- und Internetredundanz, eventuell autonome Stromquellen, die in der Lage sind, den Betrieb für eine den betrieblichen Anforderungen entsprechende Dauer aufrechtzuerhalten.
Wenn ein Konflikt unvermeidlich erscheint, müssen sofort die folgenden Schritte unternommen werden:
- Sichern kritischer Assets
- Aktivieren des Krisenmanagementteams.
- Bereitstellen von Kommunikationsprotokollen, um die rechtzeitige und korrekte Weitergabe von Informationen intern und extern zu gewährleisten.
In der ersten Woche eines Konflikts ist eine schnelle Reaktion entscheidend:
- Genaues Monitoring der Situation und Ausführung der Notfallpläne
- Gewährleistung der Gesundheit und Sicherheit aller Mitarbeiter, insbesondere in den betroffenen Bereichen.
- Ständige Kommunikation mit den wichtigsten Interessengruppen.
- Überprüfen, welche Ressourcen noch vertrauenswürdig und welche gefährdet oder nicht vertrauenswürdig sind, und welche deaktiviert oder gelöscht werden müssen, um die erheblichen Risiken der Nutzung durch Angreifer zu mindern.
Mittelfristig, nach der Anfangsphase des Konflikts, müssen CISOs die Wirksamkeit der ergriffenen Maßnahmen bewerten und die notwendigen Anpassungen vornehmen.
Bei der langfristigen Planung geht es darum, aus dem laufenden Konflikt und früheren Vorfällen zu lernen, um besser auf künftige Krisen vorbereitet zu sein. Dazu gehören Investitionen in eine stärkere, widerstandsfähigere Infrastruktur, die Förderung einer Kultur der kontinuierlichen Verbesserung von Sicherheitspraktiken und die Stärkung strategischer Allianzen auf lokaler und globaler Ebene.
Fazit
Die Anpassung des Risiko- und Angriffsflächenmodells als Reaktion auf geopolitische Konflikte ist ein vielschichtiges Unterfangen, das einen proaktiven, informierten und anpassungsfähigen Ansatz erfordert. CISOs müssen diese Herausforderungen mit Weitsicht und strategischer Planung meistern, um sicherzustellen, dass ihre Organisationen nicht nur dem Druck eines Konflikts standhalten, sondern auch widerstandsfähig und sicher sind.
Indem sie die erweiterte Angriffsfläche verstehen, branchenspezifische Risiken und solche in der Lieferkette angehen, sich auf APTs vorbereiten, die Mitarbeiterschulung verbessern und sich an der Zusammenarbeit und dem Austausch von Informationen beteiligen, können CISOs die erhöhten Gefahren im Zusammenhang mit politischen Unruhen effektiver eindämmen und die Widerstandsfähigkeit und Sicherheit ihrer Organisationen gewährleisten.
Eine Anleitung für das Vorgehen von CISOs können Sie herunterladen.
