Seit Wochen tobt ein erbitterter Krieg in der Ukraine, doch längst nicht nur dort. Von Beginn an gehörten Cyberangriffe zur hybriden Kriegsführung des russischen Regimes und schon lange erstrecken sich die Angriffe nicht nur auf Ziele in der Ukraine. Die zunehmende Einflussnahme des Westens durch Sanktionen und jetzt auch Waffenlieferungen lenkt die Aggression der im Untergrund agierenden Cybergruppen des Kremls verstärkt auch auf Ziele im Westen.
Seit Dienstag rät nun sogar das BSI, auf Virenschutzsoftware der russischen Sicherheitsfirma Kaspersky zu verzichten, stattdessen Alternativen nicht-russischer Herkunft einzusetzen. Auch wir raten dazu, nur Software aus vertrauenswürdigen Quellen zu verwenden – soll ebenfalls heißen, auf russische Software zu verzichten, unabhängig davon wie gut, professionell oder grundsätzlich vertrauenswürdig der Hersteller ist. Wenn das Regime von Putin anweist, die Software als Einfallstor für die Nachrichtendienste zu öffnen, wird es für russische Hersteller keine Möglichkeit geben, sich dem zu verwehren.
Außerdem raten wir, bereits ergriffene IT-Sicherheitsmaßnahmen noch einmal gründlich zu überprüfen und ggf. zu ergänzen, um sie der aktuellen Bedrohungslage anzupassen.
Folgenden Punkten sollten Sie bei der Überprüfung besondere Beachtung schenken:
Angriffsvektoren minimieren: Überlegen Sie sorgfältig, welche Vorgänge und Systeme unbedingt für die Gewährleistung der Funktionalitäten Ihres Unternehmens erforderlich sind und nehmen Sie ggf. Einschränkungen vor. Verwenden Sie keine Software von russischen Unternehmen oder aus dem Einflussbereich des Kremls. Unabhängig davon, wie seriös und integer die Software-Hersteller – insbesondere deren Mitarbeiter – sein mögen, wenn der FSB die aktive Mitarbeit für Cyberangriffe gegen westliche Ziele einfordert, wird sich kein Unternehmen und kein Mitarbeiter aus Russland, Belarus etc. dem entziehen können.
Back-ups: Stellen Sie sicher, dass für den Notfall Back-ups zur Verfügung stehen. Erstellen Sie Back-ups in mindestens zweifacher Ausführung. Verwenden Sie unterschiedliche Medientypen, idealerweise sollte eine Sicherung auf Bandlaufwerken stattfinden. Immer häufiger greifen Cyberkriminelle gezielt Back-ups an, um so eine Wiederherstellung der Daten unmöglich zu machen. Aus diesem Grunde muss ein Datensatz immer „außer Haus“, also getrennt vom Netzwerk aufbewahrt werden. Nach dem Trennen sollte das Back-up zumindest teilweise auf Integrität der Daten überprüft werden. Wichtig dabei: Back-ups müssen regelmäßig durchgeführt und hinsichtlich ihrer Funktionstüchtigkeit überprüft werden. Sorgen Sie außerdem für eine umfassende Dokumentation aller Prozessschritte, damit Back-ups im Ernstfall schnell verfügbar sind. Notwendige Dokumentationen wie Notfallpläne, Wiederanlaufpläne, Geschäftsfortführungspläne etc. sollten zwingend in Papierform vorliegen.
Sicherheitslücken schließen: Sie müssen tagesaktuell ausnutzbare Sicherheitslücken auf Ihren IT-Systemen erkennen, bewerten und entsprechend der Kritikalität schließen (Vulnerability Management). Spielen Sie Patches zur Schließung bekannter Sicherheitslücken zeitnah ein und nehmen sie ggf. notwendige Konfigurationsschritte vor.
Bedrohungserkennung und -abwehr stärken: Sie müssen in der Lage sein, fortschrittliche Angriffe und Malware zu erkennen und zu blockieren. Daher sollte ein Monitoring auf all ihre IT-Systeme ausgeweitet werden und nicht nur für einen Teil erfolgen.
Berechtigungsmanagement: Entfernen Sie unbekannte oder nicht mehr verwendete Nutzer und reduzieren Sie die Berechtigungen für Nutzer und Administratoren auf ein Minimum. Insbesondere Administratoren benötigen zwingend mehrere Benutzerkonten und IT-Systeme für ihre Arbeit.
Multi-Faktor-Authentifizierung: Zum Schutz vor (Credential-)Phishing- und Brute-Force Angriffen etc. müssen Konten nach Möglichkeit mit einer Multi-Faktor-Authentifizierung geschützt werden. Unbedingt sollte dies für Zugriffsmöglichkeiten aus dem Internet IMMER erzwungen werden.
Misstrauen bei E-Mails: Verhalten Sie sich gegenüber allen E-Mails, die Sie zu dringenden Handlungen auffordern, kritisch. Geben Sie niemals Passwörter auf verlinkten Webseiten ein und klicken Sie niemals auf Links oder Anhänge verdächtiger E-Mails.
Bewusstsein schaffen: Informieren Sie Ihre Mitarbeiter umfassend über die aktuelle Bedrohungslage und schaffen Sie ein Gefahrenbewusstsein.
Meldeprozesse: Etablieren Sie Meldeprozesse für Auffälligkeiten und Sicherheitsvorfälle innerhalb Ihrer Organisation.
Firewall-Regeln müssen auf einem Whitelisting-Ansatz basieren. Das heißt, die Regeln dürfen nur erlauben, was von dem jeweiligen System/für den jeweiligen User zwingend notwendig ist.
Makros: Deaktivieren Sie so weit wie möglich das Ausführen von Makros in Office-Dokumenten.
Netzwerke: Segmentieren Sie Ihre Netzwerke und lassen Sie nur notwendige Zugriffe zu. Insbesondere für Administratoren und administrative Tätigkeiten sind zwingend eigenständige Netze und IT-Systeme notwendig.
Seit Dienstag rät nun sogar das BSI, auf Virenschutzsoftware der russischen Sicherheitsfirma Kaspersky zu verzichten, stattdessen Alternativen nicht-russischer Herkunft einzusetzen. Auch wir raten dazu, nur Software aus vertrauenswürdigen Quellen zu verwenden – soll ebenfalls heißen, auf russische Software zu verzichten, unabhängig davon wie gut, professionell oder grundsätzlich vertrauenswürdig der Hersteller ist. Wenn das Regime von Putin anweist, die Software als Einfallstor für die Nachrichtendienste zu öffnen, wird es für russische Hersteller keine Möglichkeit geben, sich dem zu verwehren.
Außerdem raten wir, bereits ergriffene IT-Sicherheitsmaßnahmen noch einmal gründlich zu überprüfen und ggf. zu ergänzen, um sie der aktuellen Bedrohungslage anzupassen.
Folgenden Punkten sollten Sie bei der Überprüfung besondere Beachtung schenken:
Angriffsvektoren minimieren: Überlegen Sie sorgfältig, welche Vorgänge und Systeme unbedingt für die Gewährleistung der Funktionalitäten Ihres Unternehmens erforderlich sind und nehmen Sie ggf. Einschränkungen vor. Verwenden Sie keine Software von russischen Unternehmen oder aus dem Einflussbereich des Kremls. Unabhängig davon, wie seriös und integer die Software-Hersteller – insbesondere deren Mitarbeiter – sein mögen, wenn der FSB die aktive Mitarbeit für Cyberangriffe gegen westliche Ziele einfordert, wird sich kein Unternehmen und kein Mitarbeiter aus Russland, Belarus etc. dem entziehen können.
Back-ups: Stellen Sie sicher, dass für den Notfall Back-ups zur Verfügung stehen. Erstellen Sie Back-ups in mindestens zweifacher Ausführung. Verwenden Sie unterschiedliche Medientypen, idealerweise sollte eine Sicherung auf Bandlaufwerken stattfinden. Immer häufiger greifen Cyberkriminelle gezielt Back-ups an, um so eine Wiederherstellung der Daten unmöglich zu machen. Aus diesem Grunde muss ein Datensatz immer „außer Haus“, also getrennt vom Netzwerk aufbewahrt werden. Nach dem Trennen sollte das Back-up zumindest teilweise auf Integrität der Daten überprüft werden. Wichtig dabei: Back-ups müssen regelmäßig durchgeführt und hinsichtlich ihrer Funktionstüchtigkeit überprüft werden. Sorgen Sie außerdem für eine umfassende Dokumentation aller Prozessschritte, damit Back-ups im Ernstfall schnell verfügbar sind. Notwendige Dokumentationen wie Notfallpläne, Wiederanlaufpläne, Geschäftsfortführungspläne etc. sollten zwingend in Papierform vorliegen.
Sicherheitslücken schließen: Sie müssen tagesaktuell ausnutzbare Sicherheitslücken auf Ihren IT-Systemen erkennen, bewerten und entsprechend der Kritikalität schließen (Vulnerability Management). Spielen Sie Patches zur Schließung bekannter Sicherheitslücken zeitnah ein und nehmen sie ggf. notwendige Konfigurationsschritte vor.
Bedrohungserkennung und -abwehr stärken: Sie müssen in der Lage sein, fortschrittliche Angriffe und Malware zu erkennen und zu blockieren. Daher sollte ein Monitoring auf all ihre IT-Systeme ausgeweitet werden und nicht nur für einen Teil erfolgen.
Berechtigungsmanagement: Entfernen Sie unbekannte oder nicht mehr verwendete Nutzer und reduzieren Sie die Berechtigungen für Nutzer und Administratoren auf ein Minimum. Insbesondere Administratoren benötigen zwingend mehrere Benutzerkonten und IT-Systeme für ihre Arbeit.
Multi-Faktor-Authentifizierung: Zum Schutz vor (Credential-)Phishing- und Brute-Force Angriffen etc. müssen Konten nach Möglichkeit mit einer Multi-Faktor-Authentifizierung geschützt werden. Unbedingt sollte dies für Zugriffsmöglichkeiten aus dem Internet IMMER erzwungen werden.
Misstrauen bei E-Mails: Verhalten Sie sich gegenüber allen E-Mails, die Sie zu dringenden Handlungen auffordern, kritisch. Geben Sie niemals Passwörter auf verlinkten Webseiten ein und klicken Sie niemals auf Links oder Anhänge verdächtiger E-Mails.
Bewusstsein schaffen: Informieren Sie Ihre Mitarbeiter umfassend über die aktuelle Bedrohungslage und schaffen Sie ein Gefahrenbewusstsein.
Meldeprozesse: Etablieren Sie Meldeprozesse für Auffälligkeiten und Sicherheitsvorfälle innerhalb Ihrer Organisation.
Firewall-Regeln müssen auf einem Whitelisting-Ansatz basieren. Das heißt, die Regeln dürfen nur erlauben, was von dem jeweiligen System/für den jeweiligen User zwingend notwendig ist.
Makros: Deaktivieren Sie so weit wie möglich das Ausführen von Makros in Office-Dokumenten.
Netzwerke: Segmentieren Sie Ihre Netzwerke und lassen Sie nur notwendige Zugriffe zu. Insbesondere für Administratoren und administrative Tätigkeiten sind zwingend eigenständige Netze und IT-Systeme notwendig.
