Der wachsende Bedarf an proaktiver Cybersicherheit
Die sich entfaltenden Krisen in der Ukraine haben neue Facetten nationalstaatlicher Konflikte offengelegt, deren Auswirkungen weit über die unmittelbare geografische Region hinausgehen. Als globales Unternehmen empfinden wir großes Mitgefühl für alle, die durch die anhaltenden Angriffe zu Schaden kommen, ihre Heimat verlieren oder anderweitig negativ betroffen sind, darunter auch viele Mitglieder unserer erweiterten F5-Familie. Ohne die sehr realen, sehr menschlichen Aspekte des Russland-Ukraine-Konflikts außer Acht zu lassen, wurden wir von Kunden auch gebeten, Hinweise zu den Arten von Cyberangriffen zu geben, mit denen sie angesichts der jüngsten Ereignisse in den kommenden Tagen häufiger konfrontiert sein könnten. Dementsprechend sollen im folgenden Artikel diese Fragen auf direkte, respektvolle und praktische Weise beantwortet werden.
Die Rolle von Cyberangriffen in Konflikten zwischen Nationalstaaten hat zu neuen Bedenken hinsichtlich der Cybersicherheit geführt, die ein ganz anderes Ausmaß haben als die, mit denen sich viele Organisationen traditionell auseinandersetzen müssen. Dies unterstreicht noch einmal, wie wichtig es ist, sich mithilfe einer proaktiven Cybersicherheitsstrategie gegen komplexe Angriffe zu verteidigen.
Mit der Entwicklung des Internets haben sich die globalen Geschäftsabläufe enorm verändert. Die digitale Transformation vollzieht sich in exponentiellem Ausmaß und treibt den technologischen Fortschritt und die Raffinesse von Cyberangriffen gleichermaßen voran. Parallel dazu haben es Organisationen heute noch mit traditionellen Angreifern zu tun, die finanziell motiviert sind, aber auch mit Nationalstaaten und Akteuren, die umfassendere Ziele verfolgen. Angesichts der zunehmenden Komplexität von Cyberangriffen müssen natürlich auch die entsprechenden Schutzmaßnahmen regelmäßig weiterentwickelt werden. In der heutigen Wirtschaft ist die Wahrscheinlichkeit, dass Sie auf staatliche Akteure treffen, die Exploits für bekannte (und unbekannte) Schwachstellen entwickeln, wesentlich größer.
In der Praxis führt dies dazu, dass staatliche Akteure Exploits entwickeln, die kontinuierlich auf die Internet-Infrastruktur (und kritische Dienste) anderer Länder abzielen. Während die unmittelbarsten Szenarien, die einem in den Sinn kommen, geopolitische Konflikte zwischen Nationalstaaten sind, müssen viele der gleichen Prinzipien jetzt allgemein auf traditionelle Sicherheitspraktiken von Unternehmen angewendet werden, insbesondere da Nationalstaaten oft eine Kombination aus staatlichen und privaten Internetressourcen angreifen, um die Stabilität zu gefährden. Dementsprechend stellen gezielte Cyberangriffe eine erhebliche Bedrohung sowohl für die Integrität von Nationen als auch für diejenigen dar, die versuchen, geschäftliche Aktivitäten mit (oder innerhalb) eines Zielgebiets durchzuführen. Dies hat dazu geführt, dass proaktive und kontinuierliche Cybersicherheit für Organisationen aller Art zu einem erhöhten Bedarf geworden ist.
Gezielte Cyberangriffe
Vereinfacht ausgedrückt starten staatliche Gegner gezielte Cyberangriffe, um die Infrastruktur von Nationalstaaten erheblich zu schädigen und die Funktionsfähigkeit ihrer Internetsysteme zu stören, was wiederum Auswirkungen auf die finanzielle und militärische Infrastruktur haben kann. Abbildung 1 zeigt ein Beispiel für einen gezielten Angriff (in diesem Fall Phishing) in Aktion.
Abbildung 1: Gezielter Phishing-Angriff in Aktion
Gezielte Cyberangriffe werden mithilfe von Schadcode ausgeführt, der für verdeckte Operationen konzipiert ist. Einige Beispiele für den Schadcode sind Exploits (Ausnutzen von Schwachstellen), Rootkits (Manipulieren des Kernels und des Benutzermodus für nicht autorisierte Vorgänge), Remote Administration Toolkits (Verwalten kompromittierender Systeme), Wiper (Zerstören der Master Boot Records des Systems), Ransomware (Verschlüsselung vertraulicher Daten und Erfordernis von Lösegeld) und viele andere. Obwohl diese Taktiken im Allgemeinen als Cyberangriffe bezeichnet werden, kann man sie im Einzelnen auch als „digitale Waffen“ bezeichnen.
Staatliche Angreifer zielen auf die Infrastruktur ab: Digitale Waffen auf dem Vormarsch
Im Verlauf von Konflikten zwischen Nationalstaaten führen Gegner verschiedenste Angriffe durch, bei denen es neben herkömmlichen physischen Bedrohungen auch um digitale geht. Die heutigen Nationalstaaten sind mit der Durchführung vielfältiger Cyberangriffe bestens vertraut. Im Folgenden werden einige prominente Beispiele erläutert:
- Das Starten von Distributed-Denial-of-Service-Angriffen (DoS) von verschiedenen geografischen Standorten im Internet aus, um kritische Infrastrukturen und Kommunikationsportale lahmzulegen, ist eine gut durchdachte Operationsstrategie bei Konflikten zwischen Nationalstaaten. So könnten Angreifer beispielsweise gezielt darauf aus sein, militärisch ausgerichtete Websites für interne Angelegenheiten zu manipulieren und so die offizielle Kommunikation zu stören. Auch die Webportale von Finanzinstituten zielen im Allgemeinen darauf ab, Bank- und Finanzgeschäfte zu beeinflussen.
- Auslösen von Datenvernichtungsangriffen durch die Verbreitung von hochentwickeltem Schadcode über Drive-by-Download-Angriffe. Der Schadcode wird entweder auf den kompromittierten Webportalen gehostet oder an Phishing-E-Mails angehängt (gezielter Natur) und durch Social Engineering werden die Zielbenutzer gezwungen, mit dem Webportal oder der Phishing-E-Mail zu interagieren, um Schadcode auf den Zielsystemen zu installieren. Ist der Schadcode erst einmal installiert, kann er komplette Systeme zerstören, indem er Daten löscht und das System unbrauchbar macht.
- Auch der Diebstahl geistigen Eigentums (IP) während eines Konflikts ist eines der Hauptziele staatlicher Gegner. Die Begründung lautet in der Regel wie folgt: Wenn die Infrastruktur eines Nationalstaates bereits kompromittiert ist, besteht möglicherweise die Möglichkeit, geistiges Eigentum zu stehlen, das später für eine Vielzahl von Zwecken verwendet werden könnte.
Hier ist eine kurze Übersicht über wichtige Cyberangriffe, die wahrscheinlich als „digitale Waffen“ in Konflikten zwischen Nationalstaaten eingesetzt werden:
| Art des Cyberangriffs | Bösartiger Codename („Digitale Waffe“) |
Eigenschaften |
|---|---|---|
| Verteilter Denial-of-Service (DDoS) | Unbekanntes Botnetz | Denial-of-Service-Angriff: Beeinträchtigt die Verfügbarkeit kritischer Infrastrukturen wie Webportale von Finanzinstituten, des Militärs usw. |
| Malware-Verteilung | Flüstertor | Datenvernichtung und System-Bricking: Beschädigung des Master Boot Record (MBR) der infizierten Systeme und Verschlüsselung vertraulicher Dateien |
| Malware-Verteilung | Hermetischer Wischer | Datenvernichtung und System-Bricking: Beschädigung und Löschung vertraulicher Dateien auf den angegriffenen Systemen |
Tabelle 1: Schadcode könnte bei Cyberangriffen im Zuge nationaler Konflikte zum Einsatz kommen
Mithilfe der oben aufgeführten digitalen Waffen können staatliche Akteure eine Vielzahl von Angriffen starten und so die Infrastruktur von Regierungen und Organisationen massiv schädigen. Dies ist normalerweise Teil einer umfassenderen Strategie, die darauf abzielt, die Fähigkeit des Nationalstaates zur freien Kommunikation zu beeinträchtigen und die Finanz- und Militärsysteme spontan zu lahmzulegen, indem die Integrität, Verfügbarkeit und Vertraulichkeit der aktiven Systeme in der Infrastruktur umgangen wird.
Auch wenn dies zunächst für Nationalstaaten in Konflikten relevant zu sein scheint, besteht ein größeres Risiko, wenn die bei diesen Angriffen verwendeten Tools und Exploits ihren Weg in die größere Bedrohungslandschaft finden. (Ein historisches Beispiel hierfür ist der NotPetya- Bug aus dem Jahr 2017.)
Sicherung kritischer Infrastrukturen
Proaktive Cybersicherheit ist zum vorherrschenden notwendigen Ansatz geworden. Während Regierungen im Allgemeinen dafür verantwortlich sind, dass kritische Infrastrukturen (einschließlich militärischer Webportale, Websites von Finanzinstituten einschließlich SCADA-Infrastrukturen) kontinuierlich überwacht und vor Cyberangriffen geschützt werden, sind die Grenzen zwischen der Sicherheit im öffentlichen und privaten Sektor viel fließender geworden. Insgesamt ist die Sicherung der Netzwerkinfrastruktur und der bereitgestellten Anwendungen von entscheidender Bedeutung, um Netzwerkangriffe wie DDoS und über das Kabel verbreiteten Schadcode zu umgehen und die Integrität der Infrastrukturressourcen zu wahren, ohne die Verfügbarkeit zu beeinträchtigen. Noch wichtiger ist, dass die kritischen Anwendungen auch vor HTTP-Angriffen geschützt werden müssen. Das Wichtigste dabei ist, eine unterbrechungsfreie Kommunikation über das Internet sicherzustellen. Dazu müssen Unternehmen sicherstellen, dass ihre Infrastruktur mit Sicherheitsmechanismen zur Abwehr von Cyberangriffen ausgestattet ist.
Die ersten Schritte zur proaktiven Cybersicherheit
Die zunehmende Geschwindigkeit der digitalen Transformation hat dazu geführt, dass Regierungen und Organisationen moderne Anwendungen einsetzen, um ihre Betriebseffizienz zu steigern. Allerdings erfordern diese Anwendungen Schutz vor komplexen Cyberangriffen, die gezielt oder breit angelegt sein können. In Zeiten zwischenstaatlicher Konflikte ist es noch wichtiger, die Verfügbarkeit kritischer Anwendungen aufrechtzuerhalten. Regierungen und alle Organisationen sollten wachsam bleiben und die folgenden wichtigen Punkte berücksichtigen:
- Webanwendungen und APIs sind in der heutigen digitalen Landschaft allgegenwärtig. Um eine positive Sicherheitslage aufrechtzuerhalten, ist der Schutz vor Missbrauch und Angriffen von größter Bedeutung. Dienste und Lösungen wie Web App and API Protection (WAAP) bieten nicht nur Schutz vor webbasierten Angriffen, sondern umfassen auch native Sicherheitsfunktionen.
- Ausbeutung und Missbrauch sind nicht die einzigen Angriffsmittel. Denial-of-Service-Angriffe können den Zugriff auf kritische Ressourcen verhindern. Eine proaktive Cybersicherheitsstrategie sollte auch die Möglichkeit umfassen , anwendungsbasierte DoS-Angriffe zu umgehen, um sicherzustellen, dass kritische Anwendungen verfügbar bleiben.
- Proaktives Handeln erfordert auch die Fähigkeit, Anzeichen eines möglichen Angriffs zu erkennen. Den meisten Organisationen fehlt die Fähigkeit, Angriffe frühzeitig zu erkennen, da die Transparenz aller Anwendungen, Infrastrukturen und Umgebungen unzureichend ist. Der Zustand digitaler Assets wird durch digitale Signale bestimmt und ist eine grundlegende Komponente für proaktive Cybersicherheit. Eine Beobachtungsstrategie, die eine frühzeitige Erkennung potenzieller Angriffe ermöglicht, bietet die Möglichkeit, schnell zu reagieren und einen Angriff zu neutralisieren.
Zum Aufbau einer starken und robusten Cybersicherheitslage sollte auch die Verfügbarkeit gehören, d. h., kritische Anwendungen können auch dann noch verwendet werden, wenn sie angegriffen werden. Die Maßstäbe für proaktive Cybersicherheit sind Sicherheit durch Ausfallsicherheit und unterbrechungsfreie Verfügbarkeit, wobei zu berücksichtigen ist, dass sich Bedrohungen (und Abwehrmaßnahmen) ständig weiterentwickeln.