Cyberkrieg: Diese Lektionen sollten Unternehmen aus der Ukraine-Krise ziehen

„Keep calm and carry on“ – dieses Poster hängt über meinem Schreibtisch im Büro auf dem G Data Campus. Dieses mittlerweile zur weltweit wiedererkannten Ikone gewordene Plakat, das das britische Ministry of Information im zweiten Weltkrieg aushängen ließ, sollte die Briten in ihrer dunkelsten Stunde motivieren. Auch heute, 77 Jahre nach Ende des Krieges, hat die Kernbotschaft nichts von ihrer Aktualität eingebüßt. Erneut tobt ein Krieg in Europa, der Millionen Menschen in Angst und Schrecken versetzt. Darunter befinden sich auch Menschen, die zwar nicht direkt von Kampfhandlungen bedroht sind und die ihre Heimat nicht fluchtartig verlassen mussten. Die Wellen, die der Konflikt schlägt, sind aber weltweit spürbar, in der Wirtschaft und auch als Cyberkrieg.

Cyberkrieg: Welle von gezielten Angriffen auf Ukraine

In den ersten Kriegswochen herrschte allenthalben helle Aufregung aufgrund der Angriffe auf die Ukraine. Vielfach wurde die Frage gestellt, ob nun der offene Cyberkrieg drohe und was man angesichts dieser Bedrohung tun könne. Diese Sorgen sind nicht gänzlich unberechtigt, ist der Invasion doch eine Welle von gezielten Angriffen auf ukrainische Behörden, Banken und Medienhäuser vorausgegangen. Ziel dieser Attacken war es, für Verunsicherung in der Bevölkerung zu sorgen. Auch, dass beide Seiten versuchen, Cyber-Guerillas zu rekrutieren, hat zur Verunsicherung beigetragen.

Dass Angriffe auf kritische Infrastrukturen verheerende Auswirkungen haben können, bezweifelt niemand mehr. Und so wurden zahlreiche Journalist*innen auch nicht müde, immer neue Horrorszenarien herbeizuschreiben und die allgemeine Panik und Verunsicherung noch anzuheizen. Schließlich verkaufen sich Schreckensmeldungen immer gut. Der „globale offene Cyberkrieg“ findet jedoch bis auf wenige Ausnahmen hauptsächlich in den Artikeln und Kommentarspalten von Zeitungen und Präsentationen eifriger Vertriebsmitarbeiter statt. Doch genug der Medienkritik – schauen wir uns einmal die tatsächliche Situation an.

Späte Einsicht, wie gefährlich Cyberangriffe sind

Unternehmen sind aufgeschreckt und das Thema IT-Sicherheit ist plötzlich zum Thema Nummer Eins geworden. Nicht nur in IT-Abteilungen fragen sich Mitarbeitende, wie sich ein Unternehmen vor einem Angriff aus dem Internet schützen kann und wie es vermeiden kann, zu einem Kollateralschaden des Konfliktes zu werden. Auch die IT-Security-Branche hat aufgehorcht. Denn ähnlich wie die Corona-Krise schickt sich auch der Ukraine-Konflikt an, zu einem Katalysator für viele sicherheitsrelevante Projekte zu werden, die bis dato immer auf die lange Bank geschoben worden sind. Der Zyniker in mir fragt sich allerdings: „Warum erst jetzt? Was ist heute anders als vor einem halben Jahr?“

Klar, da ist der Krieg in der Ukraine. Die Angst vor Angriffen aus dem Internet und einem Cyberkrieg. Die Befürchtung, dass der eigene Betrieb Schaden nehmen könnte. Aber das war auch vor einem halben Jahr schon so. Warum also plötzlich die Eile? Haben Unternehmen vielleicht das Gefühl, etwas verschlafen zu haben? Nüchtern betrachtet, ist der initiale Aufruhr in erster Linie eines: Ein Haufen adrenalingetriebener, panischer kopfloser Hühner, die ziellos umher rennen, um irgendetwas zu tun. Vieles, was bis dahin als gegeben galt, ist von den Ereignissen über Nacht in Frage gestellt worden. Das macht Angst. Das ist verständlich und nachvollziehbar. Aber ändert das irgendetwas an der Ausgangssituation und an den Bedrohungsszenarien?

Verfügbarkeit und Integrität der Daten sicherstellen

Unternehmen sind seit jeher bemüht, Schaden von sich abzuwenden. Für IT-Verantwortliche hat die Verfügbarkeit, Integrität und Vertraulichkeit der Daten im Unternehmensnetzwerk oberste Priorität. Sie wollen Schäden so weit wie möglich minimieren und im Notfall handlungsfähig bleiben. Was hat sich daran seit Beginn des Krieges geändert? Richtig: Nichts.

Eine Warnung des BSI vor einigen Sicherheitsprodukten führte dazu, dass Unternehmen vollkommen überstürzt handelten: Die Sicherheitsprodukte wurden binnen Stunden deinstalliert, dann folgen hektische Anrufe bei anderen Anbietern. In einigen dieser Telefonate kamen auch Variationen dieses Satzes immer wieder vor: „Wir telefonieren ja jetzt schon seit zehn Minuten – wann kann ich denn mit ihrem Angebot rechnen?“

Was passiert hier? Unternehmen entfernen die Komponenten, die ihre wichtigsten Systeme schützen, ohne Ersatz dafür zu haben. Ist das sinnvoll? Absolut nicht. Auch das BSI hat sich dafür ausgesprochen, Sicherheitslösungen abzulösen statt abzuschalten. Doch diese Warnung wurde von zahlreichen Unternehmen in den Wind geschlagen.

Cyberkrieg: Unternehmen suchen nach Kontrolle

Wieder stellt sich die Frage nach dem „Warum“. Eine mögliche Erklärung ist: In einer Position der Machtlosigkeit verleiht einem die Möglichkeit, aktiv zu sein und etwas zu tun, zumindest das Gefühl von Kontrolle. Gerade in kleinen Betrieben und einigen mittelständischen Unternehmen treibt dieser Mechanismus Blüten, deren Auswirkungen sich möglicherweise noch gar nicht gezeigt haben. Denn bei aller berechtigten Sorge um die Situation in der Welt: Der Rest ebendieser Welt steht nicht still, und das gilt erst recht für Cyberkriminelle und den Cyberkrieg

Noch einmal: Es gibt Firmen, die teilweise tagelang ohne wirksamen Malwareschutz unterwegs waren, weil eine Ablösung einfach noch nicht vorhanden war. Auf diese Idee wäre vor einem halben Jahr niemand auch nur im Traum gekommen. Hätte jemand einen solchen Vorschlag ernsthaft unterbreitet, wäre die Reaktion vermutlich wenig diplomatisch ausgefallen.

Lektionen aus der Luft- und Raumfahrt

Adrenalin, Aufregung und selbst auferlegter Zeitdruck sind absolutes Gift für rationale Entscheidungen. Doch genau diese rationalen Entscheidungen sind in einer Notsituation das, was gebraucht wird. Was also tun? Hier können wir alle aus den Erfahrungen der Luft- und Raumfahrt lernen. Dort planen schlaue Köpfe für alle möglichen Szenarien vor. Und diese werden immer wieder geprobt. Kein Pilot oder Astronaut geht mit der Erwartung in eine Simulation, dass alles planmäßig läuft. Sie üben eben nicht für die 20.000 Stunden, in denen alles glattgeht, sondern für die zwei Minuten, in denen alles schiefläuft.

Das Ergebnis: In einer Situation, in denen jedem normalen Menschen die Haare zu Berge stehen würden und in denen lähmende Panik einsetzt, reagieren die Profis äußerlich vollkommen gelassen und für Außenstehende beinahe gelangweilt. Jedes Szenario und jeden nur erdenklichen Notfall haben sie zigfach trainiert und sie wissen, was passiert. Die Angst haben sie sich abtrainiert. Sie arbeiten ruhig und unaufgeregt, aber maximal konzentriert und mit der gebotenen Routine an der Lösung des Problems.

Alter Wein in neuen Schläuchen

Genau diese Ruhe lassen Geschäftsleitungen und IT-Verantwortliche aber vermissen. So tragisch und furchtbar die Ereignisse auch sind. Fakt ist: An der Ausgangslage und den Anforderungen an die IT-Sicherheit hat die Ukraine-Krise nichts geändert. Die Ratschläge, die vor dem Einmarsch in die Ukraine gültig waren, behalten ihre Gültigkeit auch weiterhin. Netzwerkseparierungen, etwa zwischen IT und OT, sind nach wie vor eine gute Idee. Auch eine vernünftige Logging-Strategie ist nicht erst seit Kriegsbeginn ein wertvolles Werkzeug.

Ein vernünftiges Rechtemanagement innerhalb des Netzwerkes war schon vor 20 Jahren ein wichtiges Thema. Und auch das Entwerfen eines Notfallplans sollte eigentlich in jedem Unternehmen, das IT einsetzt, zum guten Ton gehören, ebenso wie das Erproben und ständige Weiterentwickeln dieses Plans. Das Hinzuziehen externer Sicherheitsdienstleister, der Einsatz von SIEM-Systemen oder externen SOCs sind nicht plötzlich über Nacht zu wichtigen und wertvollen Komponenten einer Sicherheitsstrategie geworden. Die Bedrohungsszenarien haben sich nicht geändert. Sollten wir erhöhte Wachsamkeit an den Tag legen? Ja, definitiv. Aber panikgetriebene Hauruck-Aktionen bringen niemanden weiter. Wie das Poster sagt: „Keep calm and carry on“.

Über den Autor: Tim Berghoff ist Security Evangelist bei G Data CyberDefense AG. In seiner Position bei G Data bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G Data in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden. Er spricht häufig auf nationalen und internationalen Veranstaltungen. Tim Berghoff ist seit 2009 für G Data tätig, erst im Support für Unternehmenskunden, später im Consulting für internationale B2B-Distributoren, Partner und Endkunden. (sg)

Lesen Sie auch: Ukraine-Krieg: Auswirkungen auf die Cyberkriminalität noch unklar