Chief Information Security Officers (CISOs) und ihre Teams in Europa und weltweit spüren entweder bereits die Auswirkungen des Krieges in der Ukraine und der gegen russische und belarussische Akteure verhängten Sanktionen auf die Cybersicherheit – oder sie werden es bald tun. Sofern Sie noch keine Maßnahmen ergriffen haben, finden Sie hier die Schritte, die Sie in Bezug auf Cybersicherheit unmittelbar unternehmen sollten, sowie einige Stolpersteine, die es zu vermeiden gilt. (Hinweis: Die für das Risikomanagement erforderlichen Maßnahmen finden Sie in diesem begleitenden Blogbeitrag.) 

  • Es mag offensichtlich klingen, doch sollten Sie den aktuellen Rat Ihrer nationalen Cybersicherheitsbehörde befolgen. Die US-Behörde für Cyber- und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency – CISA) hat mit ihrer Initiative Shields Up bereits vor verstärkten Angriffen auf kritische Infrastrukturen und Rüstungsindustriestandorte gewarnt. Hier erhalten Sie aktuelle Informationen der CISA über den gegenwärtigen Stand des Konflikts. In Großbritannien hat das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre – NCSC) spezifische Maßnahmen identifiziert, die angesichts der aktuell erhöhten Bedrohungslage zu ergreifen sind. Andere Agenturen wie die Europäische Agentur für Netzwerk- und Informationssicherheit (European Network and Information Security Agency – ENISA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland und die Nationale Agentur für Sicherheit der Informationssysteme (Agence nationale de la sécurité des systèmes d’information – ANSSI) in Frankreich haben vor der Situation gewarnt. Es wurde außerdem eine EU-Cyber-Einheit zur Unterstützung in die Ukraine entsandt. Das Zentrum für Cybersicherheit in Australien (Australian Cyber Security Centre – ACSC) hat einhergehend mit Sanktionen gegen Russland am 23. Februar eine dringende Warnung herausgegeben. Wenn Sie keine spezifischen Informationen von Ihrer nationalen Cybersicherheitsbehörde erhalten, können Sie die hier verlinkten Leitlinien einsehen. 
  • Setzen Sie sich mit den zuständigen Behörden in Verbindung. Etablieren Sie in jedem Land, in dem Sie eine umfangreiche geschäftliche Präsenz haben, einen festen Ansprechpartner innerhalb der Regierung, an den Sie sich im Falle eines Zwischenfalls oder für Informationen über die aktuelle Lage wenden können. In den Vereinigten Staaten koordiniert InfraGard den Informationsaustausch mit Anbietern kritischer Infrastrukturen. In Großbritannien sollten Sie die Informationen des Critical National Infrastructure Hubs des britischen National Cyber Security Centres (NCSC) sowie ähnlicher Anlaufstellen in Europa prüfen. Organisationen mit Sitz in der EU sollten sich an ihre regionalen CSIRT- (Computer Security Incident Response Team) und CERT- (Computer Emergency Response Team) Kontakte wenden. (Eine vollständige Liste finden Sie hier.) 
  • Kontaktieren Sie Ihren Threat Intelligence Dienstleister mit einer Erkenntnisanfrage (Request for Intelligence). Im Idealfall ist dieser Service bereits Bestandteil Ihres Vertrags – dieser Schritt lohnt sich jedoch auch, wenn dafür eine zusätzliche Gebühr anfällt. Nennen Sie die Zielgruppe für den Bericht, damit Ihr Anbieter die Informationen auf dem richtigen Niveau erstellt (für Ihren Vorstand, für Ihr Sicherheitsteam usw.). Eine derartige Erkenntnisanfrage sollte über die von Ihrem Dienstleister regulär zur Verfügung gestellten Analysen hinausgehen und spezifische Angaben zu Ihrer vertikalen Branche und Ihren Betriebsstandorten enthalten. Darüber hinaus sollten Sie Informationen über die Bedrohungsakteure und die Taktiken, Techniken und Verfahren (Threat Actor Tactics, Techniques, Procedures – TTPs) erhalten, die diese Bedrohungsakteure einsetzen. 
  • Informieren Sie hochrangige Stakeholder im Vorfeld einer Berichterstattung in den Medien über die Bedrohungslage und das Risiko.Cybersecurity-Vorfälle, die in den Medien bekannt werden, beunruhigen in der Regel Führungskräfte und Vorstandsmitglieder, was zu einer Flut panischer Anfragen an Sie und Ihr Team führt. Seien Sie also vorbereitet, denn solche Anfragen rauben Ihnen wertvolle Zeit, die Sie möglicherweise zur Bewältigung eines möglichen Vorfalls benötigen. Bereiten Sie im Vorfeld eine sachliche Zusammenfassung der allgemeinen externen Bedrohung und Situation, der potenziellen Auswirkungen auf Ihr Unternehmen und des Gesamtrisikos für das Unternehmen vor. Erinnern Sie Ihre Führungskräfte daran, welche taktischen Maßnahmen Sie zur Bewältigung der unmittelbaren Probleme ergreifen und wie Ihre Strategie dazu beiträgt, auf derartige Ereignisse vorbereitet zu sein – sowohl jetzt als auch in Zukunft. 
  • Arbeiten Sie mit Ihren Sicherheitsanbietern zusammen. Die Sicherheitsanbieter Ihres Unternehmens müssen eine proaktive Rolle bei Ihren Vorbereitungen auf Cyberkonflikte und deren umfassende Abwehr übernehmen. Verlassen Sie sich auf Ihre persönlichen Ansprechpartner beim Anbieter. Es ist in ihrem Interesse, dass Sie die vertraglich vereinbarte oder für die jeweilige Technologie spezifische Betreuung erhalten. Bestätigen Sie bei Produktanbietern die Bereitstellungszeit und die Automatisierungsoptionen für Regelsatz- und Patch-Updates. Informieren Sie sich bei verwalteten Diensten oder Managed Services über deren Prozesse und Kommunikationskanäle. Sie sollten bereits Informationen bezüglich des Konflikts in der Ukraine von Ihren Anbietern erhalten haben. Sollte dies nicht der Fall sein, wenden Sie sich direkt an Ihren Anbieter, Ihren Vertreter, das Support-Team etc. Behalten Sie dabei besonders die Anbieter im Auge, die bei Log4Shell weniger schnell reagierten, denn zwei unterdurchschnittliche Leistungen während einer Krise deuten auf suboptimale Verfahren hin. 
  • Versuchen Sie nicht vorherzusagen, was einzelne Staaten tun werden.Die weltweiten Nachrichtendienste haben bemerkenswerte Arbeit geleistet, als sie sich im Bestreben, Falsch- und Desinformationen einzuschränken, zusammengetan und Informationen ausgetauscht haben. Sie verfügen über Informationen, über die Sie – und wir – nicht verfügen, und trotzdem kann ihnen etwas entgehen. Konzentrieren Sie sich auf die Vorbereitung und Verbesserung der Resilienz Ihres Unternehmens, anstatt zu versuchen, die nächsten Entwicklungen vorherzusagen. 
  • Es ist unmöglich, sich auf Cyberangriffe vorzubereiten, die bereits stattfinden, versuchen Sie es also gar nicht erst. Zahnärzte werden Ihnen sagen: „You can’t cram for a dental exam.“ Soll heißen, ein rigoroses Zähneputzen kurz vor dem Zahnarztbesuch wird nicht viel an der letztendlichen Diagnose ändern. So ähnlich ist es auch hier – für umfassende technologische Veränderungen ist es zu diesem Zeitpunkt zu spät. Nicht umsonst ist Cybersicherheit ein andauerndes Programm und Abwehrbereitschaft von äußerster Wichtigkeit. Sollte es Ihnen möglich sein, infolge einer Tabletop-Übung (TTX) Anpassungen an den Abläufen oder der Kommunikation vorzunehmen, tun Sie dies – und aktualisieren Sie Ihre Dokumentation entsprechend. 

Was als Nächstes zu tun ist 

Nachdem Sie die oben genannten Schritte durchgeführt haben, finden Sie hier die Checkliste für die nächsten Maßnahmen: 

  • Seien Sie auf weitere Falsch- und Desinformationen vorbereitet. Falsch- und Desinformationen haben im Vorfeld dieses Konflikts eine große Rolle gespielt. Ein Beispiel dafür sind Berichte über inszenierte Kabinettssitzungen lange nach einer Beschlussfassung. Am 3. Februar sagten die USA voraus, dass Russland gestellte Videos als Vorwand für eine Invasion verwenden würde. Open Source Intelligence-Forscher analysierten ein Video, das zwei Wochen später auftauchte und die Voraussage der USA bestätigte. Diese Videos dienen zwei Zwecken: Sie sollen die interne Zustimmung zur Invasion untermauern und die Wahrnehmung im Ausland verzerren. In Frankreich, Indien, Großbritannien und den USA vertrauten die Befragten unserer „Global Trust Imperative Survey“-Umfrage vom März 2021 ihren Arbeitgebern mehr als ihren nationalen und regionalen Regierungsvertretern. Das bedeutet, dass die Informationen, die Ihr Sicherheitsteam liefert, von erheblichem Gewicht sind. Halten Sie also Ihre Vorfallreaktionspläne und deren Kommunikationselemente griffbereit. 
  • Erwägen Sie sichere Kommunikationsmittel für Sicherheit, Datenschutz und Zuverlässigkeit.Unternehmen, die Bedenken hinsichtlich der Sicherheit und des Schutzes der Privatsphäre bei der Geschäftskommunikation über herkömmliche Kanäle haben – wie z. B. Lauschangriffe, Offenlegung von Kommunikationsmetadaten, Datenverlust oder Nichteinhaltung von Vorschriften – können Maßnahmen zum Schutz der Unternehmenskommunikation ergreifen. Die Mitarbeiter innerhalb und nahe der Ukraine müssen zudem möglicherweise mit Unterbrechungen der Kommunikationsinfrastruktur rechnen. Verschlüsselte Messaging- und Anruflösungen wie Element, KoolSpan und Wickr funktionieren auch bei geringer Bandbreite. Diese Tools sind keineswegs Einzelinvestitionen. Sie können sie zum Schutz Ihrer täglichen Kommunikation oder als bandexterne (Out-of-Band) Kommunikationskanäle bei Reaktionen auf Vorfälle nutzen und reisenden Führungskräften eine erhöhte Sicherheit bieten. 
  • Erstellen Sie eine Rettungskette von digitalen Ersthelfern und Vorfall-Experten. Sollten Sie für Ihre hochqualifizierten Security Operations Center (SOC)-Analysten oder Sicherheitsingenieure eine Aufstiegsmöglichkeit schaffen wollen, ist jetzt der richtige Zeitpunkt. Viele Anbieter von Incident-Response-Diensten bieten Schulungen für interne Teams zu Reaktionsmaßnahmen, forensischen Untersuchungen und Beweissicherung an. Ein gezielter Angriff führt in der Regel zu einer komplexen, längerfristigen Vorfallsreaktion. Entwickeln Sie gemeinsam mit Ihrem Dienstleister einen Schulungsplan, der Beförderungspfade für einen Stamm von fähigen Nachwuchskräften aufzeichnet, damit sich Ihre wichtigsten Vorfall-Experten schonen können und ein Burnout vermieden wird. 
  • Achten Sie auf Geräte- und Softwarehygiene. Dies mag selbstverständlich erscheinen, vor allem in Anbetracht der üblichen Comply-to-Connect-Richtlinien im Rahmen des US C2C-Programms. Doch ist dies ein wichtiger Zeitpunkt, um Ihre Geräte, Endpunkte und Anwendungen mit den aktuellsten Patches auszustatten und auf den neuesten Stand zu bringen. Priorisieren Sie kritische Schwachstellen sowie Schwachstellen mit einer bekannten Sicherheitslücke, sprich Exploit. Vernachlässigen Sie jedoch nicht die Schwachstellen auf hohem und mittlerem Niveau. Ein externer Angreifer, der eine ganze Reihe von Exploits gespeichert hat, könnte sich durchaus dazu entschließen, diese zu nutzen, während die Welt mit dem Krieg in der Ukraine beschäftigt ist. Ziehen Sie außerdem eine Tabletop-Übung (TTX) in Erwägung, um auf neue Sicherheitslücken (oder Zero-Day-Schwachstellen) zu reagieren und entsprechend zu patchen. 

Forrester hat aktuell einen Report zu diesem Thema publiziert: “Russia’s Invasion Has Permanently Altered The Cyberthreat Landscape”.

Hinweis: Senior Analyst Heath Mullins hat ebenfalls zu diesem Blogbeitrag beigetragen. 

 

Dieser Blog wurde aus dem Englischen übersetzt.