Der wachsende Bedarf an proaktiver Cybersicherheit
Die sich entfaltenden Krisen in der Ukraine haben neue Facetten nationalstaatlicher Konflikte offengelegt, deren Auswirkungen weit über die unmittelbare geografische Region hinausgehen. Als globales Unternehmen empfinden wir großes Mitgefühl für alle, die durch die anhaltenden Angriffe zu Schaden kommen, ihre Heimat verlieren oder anderweitig negativ betroffen sind, darunter auch viele Mitglieder unserer erweiterten F5-Familie. Ohne die sehr realen, sehr menschlichen Aspekte des Russland-Ukraine-Konflikts außer Acht zu lassen, wurden wir von Kunden auch gebeten, Hinweise zu den Arten von Cyberangriffen zu geben, mit denen sie angesichts der jüngsten Ereignisse in den kommenden Tagen häufiger konfrontiert sein könnten. Dementsprechend sollen im folgenden Artikel diese Fragen auf direkte, respektvolle und praktische Weise beantwortet werden.
Die Rolle von Cyberangriffen in Konflikten zwischen Nationalstaaten hat zu neuen Bedenken hinsichtlich der Cybersicherheit geführt, die ein ganz anderes Ausmaß haben als die, mit denen sich viele Organisationen traditionell auseinandersetzen müssen. Dies unterstreicht noch einmal, wie wichtig es ist, sich mithilfe einer proaktiven Cybersicherheitsstrategie gegen komplexe Angriffe zu verteidigen.
Mit der Entwicklung des Internets haben sich die globalen Geschäftsabläufe enorm verändert. Die digitale Transformation vollzieht sich in exponentiellem Ausmaß und treibt den technologischen Fortschritt und die Raffinesse von Cyberangriffen gleichermaßen voran. Parallel dazu haben es Organisationen heute noch mit traditionellen Angreifern zu tun, die finanziell motiviert sind, aber auch mit Nationalstaaten und Akteuren, die umfassendere Ziele verfolgen. Angesichts der zunehmenden Komplexität von Cyberangriffen müssen natürlich auch die entsprechenden Schutzmaßnahmen regelmäßig weiterentwickelt werden. In der heutigen Wirtschaft ist die Wahrscheinlichkeit, dass Sie auf staatliche Akteure treffen, die Exploits für bekannte (und unbekannte) Schwachstellen entwickeln, wesentlich größer.
Tatsächlich entwickeln staatliche Akteure kontinuierlich Exploits, die gezielt die Internet- und kritische Serviceinfrastruktur anderer Länder angreifen. Obwohl häufig unmittelbar an geopolitische Konflikte zwischen Staaten gedacht wird, müssen Sie viele dieser Prinzipien jetzt auch auf konventionelle Sicherheitspraktiken in Unternehmen anwenden – besonders, da Staaten oft gleichzeitig staatliche und private Internetressourcen angreifen, um Destabilisierung zu erreichen. Gezielte Cyberangriffe bedrohen damit nicht nur die Integrität ganzer Staaten, sondern auch Ihre geschäftlichen Aktivitäten in den betroffenen Regionen. Daher benötigen alle Organisationen heute eine proaktive und kontinuierliche Cybersicherheit in erhöhtem Maße.
Gezielte Cyberangriffe
Vereinfacht ausgedrückt starten staatliche Gegner gezielte Cyberangriffe, um die Infrastruktur von Nationalstaaten erheblich zu schädigen und die Funktionsfähigkeit ihrer Internetsysteme zu stören, was wiederum Auswirkungen auf die finanzielle und militärische Infrastruktur haben kann. Abbildung 1 zeigt ein Beispiel für einen gezielten Angriff (in diesem Fall Phishing) in Aktion.
Abbildung 1: Gezielter Phishing-Angriff in Aktion
Gezielte Cyberangriffe werden mithilfe von Schadcode ausgeführt, der für verdeckte Operationen konzipiert ist. Einige Beispiele für den Schadcode sind Exploits (Ausnutzen von Schwachstellen), Rootkits (Manipulieren des Kernels und des Benutzermodus für nicht autorisierte Vorgänge), Remote Administration Toolkits (Verwalten kompromittierender Systeme), Wiper (Zerstören der Master Boot Records des Systems), Ransomware (Verschlüsselung vertraulicher Daten und Erfordernis von Lösegeld) und viele andere. Obwohl diese Taktiken im Allgemeinen als Cyberangriffe bezeichnet werden, kann man sie im Einzelnen auch als „digitale Waffen“ bezeichnen.
Staatliche Angreifer zielen auf die Infrastruktur ab: Digitale Waffen auf dem Vormarsch
Im Verlauf von Konflikten zwischen Nationalstaaten führen Gegner verschiedenste Angriffe durch, bei denen es neben herkömmlichen physischen Bedrohungen auch um digitale geht. Die heutigen Nationalstaaten sind mit der Durchführung vielfältiger Cyberangriffe bestens vertraut. Im Folgenden werden einige prominente Beispiele erläutert:
- Das Starten von Distributed-Denial-of-Service-Angriffen (DoS) von verschiedenen geografischen Standorten im Internet aus, um kritische Infrastrukturen und Kommunikationsportale lahmzulegen, ist eine gut durchdachte Operationsstrategie bei Konflikten zwischen Nationalstaaten. So könnten Angreifer beispielsweise gezielt darauf aus sein, militärisch ausgerichtete Websites für interne Angelegenheiten zu manipulieren und so die offizielle Kommunikation zu stören. Auch die Webportale von Finanzinstituten zielen im Allgemeinen darauf ab, Bank- und Finanzgeschäfte zu beeinflussen.
- Auslösen von Datenvernichtungsangriffen durch die Verbreitung von hochentwickeltem Schadcode über Drive-by-Download-Angriffe. Der Schadcode wird entweder auf den kompromittierten Webportalen gehostet oder an Phishing-E-Mails angehängt (gezielter Natur) und durch Social Engineering werden die Zielbenutzer gezwungen, mit dem Webportal oder der Phishing-E-Mail zu interagieren, um Schadcode auf den Zielsystemen zu installieren. Ist der Schadcode erst einmal installiert, kann er komplette Systeme zerstören, indem er Daten löscht und das System unbrauchbar macht.
- Auch der Diebstahl geistigen Eigentums (IP) während eines Konflikts ist eines der Hauptziele staatlicher Gegner. Die Begründung lautet in der Regel wie folgt: Wenn die Infrastruktur eines Nationalstaates bereits kompromittiert ist, besteht möglicherweise die Möglichkeit, geistiges Eigentum zu stehlen, das später für eine Vielzahl von Zwecken verwendet werden könnte.
Hier ist eine kurze Übersicht über wichtige Cyberangriffe, die wahrscheinlich als „digitale Waffen“ in Konflikten zwischen Nationalstaaten eingesetzt werden:
| Art des Cyberangriffs | Bösartiger Codename („Digitale Waffe“) |
Eigenschaften |
|---|---|---|
| Verteilter Denial-of-Service (DDoS) | Unbekanntes Botnetz | Denial-of-Service-Angriff: Beeinträchtigt die Verfügbarkeit kritischer Infrastrukturen wie Webportale von Finanzinstituten, des Militärs usw. |
| Malware-Verteilung | Flüstertor | Datenvernichtung und System-Bricking: Beschädigung des Master Boot Record (MBR) der infizierten Systeme und Verschlüsselung vertraulicher Dateien |
| Malware-Verteilung | Hermetischer Wischer | Datenvernichtung und System-Bricking: Beschädigung und Löschung vertraulicher Dateien auf den angegriffenen Systemen |
Tabelle 1: Schadcode könnte bei Cyberangriffen im Zuge nationaler Konflikte zum Einsatz kommen
Mithilfe der oben aufgeführten digitalen Waffen können staatliche Akteure eine Vielzahl von Angriffen starten und so die Infrastruktur von Regierungen und Organisationen massiv schädigen. Dies ist normalerweise Teil einer umfassenderen Strategie, die darauf abzielt, die Fähigkeit des Nationalstaates zur freien Kommunikation zu beeinträchtigen und die Finanz- und Militärsysteme spontan zu lahmzulegen, indem die Integrität, Verfügbarkeit und Vertraulichkeit der aktiven Systeme in der Infrastruktur umgangen wird.
Auch wenn dies zunächst für Nationalstaaten in Konflikten relevant zu sein scheint, besteht ein größeres Risiko, wenn die bei diesen Angriffen verwendeten Tools und Exploits ihren Weg in die größere Bedrohungslandschaft finden. (Ein historisches Beispiel hierfür ist der NotPetya- Bug aus dem Jahr 2017.)
Sicherung kritischer Infrastrukturen
Proaktive Cybersicherheit hat sich als unverzichtbarer Ansatz durchgesetzt. Regierungen tragen generell die Verantwortung, kritische Infrastrukturen – darunter militärische Webportale, Websites von Finanzinstituten und SCADA-Systeme – kontinuierlich zu überwachen und vor Cyberangriffen zu schützen. Doch die Grenzen zwischen öffentlicher und privater Sicherheit sind zunehmend komplexer geworden. Insgesamt ist es entscheidend, sowohl die Netzwerkinfrastruktur als auch eingesetzte Anwendungen abzusichern, um Netzwerkangriffe wie DDoS oder bösartige übertragene Schadcodes zu verhindern und die Integrität der Infrastrukturressourcen ohne Ausfallzeiten zu gewährleisten. Dabei ist der Schutz kritischer Anwendungen vor HTTP-Angriffen besonders wichtig. Darauf kommt es vor allem an: eine unterbrechungsfreie Kommunikation über das Internet sicherzustellen. Deshalb sollten Organisationen ihre Infrastruktur mit wirksamen Sicherheitsmechanismen ausstatten, um Cyberangriffe effektiv abzuwehren.
Die ersten Schritte zur proaktiven Cybersicherheit
Die zunehmende Geschwindigkeit der digitalen Transformation hat dazu geführt, dass Regierungen und Organisationen moderne Anwendungen einsetzen, um ihre Betriebseffizienz zu steigern. Allerdings erfordern diese Anwendungen Schutz vor komplexen Cyberangriffen, die gezielt oder breit angelegt sein können. In Zeiten zwischenstaatlicher Konflikte ist es noch wichtiger, die Verfügbarkeit kritischer Anwendungen aufrechtzuerhalten. Regierungen und alle Organisationen sollten wachsam bleiben und die folgenden wichtigen Punkte berücksichtigen:
- Webanwendungen und APIs sind in der heutigen digitalen Landschaft allgegenwärtig. Um eine positive Sicherheitslage aufrechtzuerhalten, ist der Schutz vor Missbrauch und Angriffen von größter Bedeutung. Dienste und Lösungen wie Web App and API Protection (WAAP) bieten nicht nur Schutz vor webbasierten Angriffen, sondern umfassen auch native Sicherheitsfunktionen.
- Ausbeutung und Missbrauch sind nicht die einzigen Angriffsarten. Denial-of-Service-Angriffe können den Zugang zu wichtigen Ressourcen blockieren. Eine vorausschauende Cybersicherheitsstrategie sollte deshalb auch ermöglichen, anwendungsbasierte DoS-Angriffe zu umgehen, damit essenzielle Anwendungen stets verfügbar bleiben.
- Proaktives Handeln erfordert auch die Fähigkeit, Anzeichen eines möglichen Angriffs zu erkennen. Den meisten Organisationen fehlt die Fähigkeit, Angriffe frühzeitig zu erkennen, da die Transparenz aller Anwendungen, Infrastrukturen und Umgebungen unzureichend ist. Der Zustand digitaler Assets wird durch digitale Signale bestimmt und ist eine grundlegende Komponente für proaktive Cybersicherheit. Eine Beobachtungsstrategie, die eine frühzeitige Erkennung potenzieller Angriffe ermöglicht, bietet die Möglichkeit, schnell zu reagieren und einen Angriff zu neutralisieren.
Zum Aufbau einer starken und robusten Cybersicherheitslage sollte auch die Verfügbarkeit gehören, d. h., kritische Anwendungen können auch dann noch verwendet werden, wenn sie angegriffen werden. Die Maßstäbe für proaktive Cybersicherheit sind Sicherheit durch Ausfallsicherheit und unterbrechungsfreie Verfügbarkeit, wobei zu berücksichtigen ist, dass sich Bedrohungen (und Abwehrmaßnahmen) ständig weiterentwickeln.