Aktuelle Bedrohungslage

Seit Beginn des Kriegs in der Ukraine verzeichnen wir eine gestiegene Anzahl an Cyberangriffen auf die Systeme unsere Kunden. Angesichts der Lage ist zukünftig mit noch mehr und vor allem gezielteren Angriffe zu rechnen. Daher ist es sehr wichtig, die Resilienz der eigenen Infrastruktur zu stärken und den Schutz der IT-Infrastruktur weiter auszubauen.

Betrachtet man die Statistiken der von den Sicherheitssystemen abgewehrten Angriffe lässt sich ein Zusammenhang mit den Ereignissen in der Ukraine feststellen. Es wird vermehrt nach Schwachstellen gesucht und auch die Aktivitäten der Botnetze sind gestiegen. Die abgewehrten Angriffe und unterbundenen Verbindungen sind aber nicht das Problem, vielmehr muss man sich Sorgen um die Dinge machen, die die Sicherheitssysteme nicht entdeckt haben. Alle Staaten die Mitglied der NATO sind, sind potentielle Ziele im öffentlichen und privaten Bereich. Grade auch Deutschland, als Unterstützer der Ukraine und der klaren Position gegen Russland, steht im Fokus und somit auch im Besonderen die deutschen Unternehmen. Die Warnungen des BSI sind hier auf jeden Fall sehr ernst zu nehmen. Vor allem auch auf dem Hintergrund, dass man die Wirtschaft in Deutschland auch über die Lieferketten treffen kann. Gelingt der Angriff auf ein größeres Unternehmen vielleicht nicht direkt, kann es durchaus Sinn machen einen Zulieferer anzugreifen und so das andere Unternehmen indirekt zu treffen. Das oft vorgebrachte Argument, dass ein Unternehmen nicht interessant genug sei, um es anzugreifen war schon immer sehr fraglich, aber in diesem Zusammenhang ist es direkt widerlegt. Jedes Unternehmen ist bei der aktuellen Bedrohungslage ein potentielles Ziel, wenn es darum geht der Wirtschaft und somit Deutschland direkt oder indirekt zu schaden. Dessen muss man sich bewusst sein, es soll hier keinesfalls um Panikmache gehen, sondern darum den Fokus zu schärfen und um sich besser aufzustellen und die Resilienz der eigenen Systeme zu stärken.

Die aktuellen Cyber Angriffe haben immer öfter ein Vorgehen, dass diese von den herkömmlichen Schutzmaßnahmen nicht erkannt werden. Natürlich kennen die Angreifer die Maßnahmen die Unternehmen klassisch ergreifen, um sich vermeintlich zu schützen. Sie kennen auch die Arbeitszeiten der IT Teams und passen ihre Angriffe daran an, um auch hier lange ungestört sich ausbreiten und so den größten Schaden anrichten zu können. Auch hat sich in Teilen das Ziel der Angreifer geändert, weg von Lösegeld und hin zum Zerstören von Systemen, wie es in der Ukraine schon der Fall war. Man kann schon soweit gehen und dies als digitale Kriegsführung zu bezeichnen, in dem man versucht die IT-Infrastruktur des Gegners zu zerstören. Dass dies vielleicht in der Vergangenheit nicht so erfolgreich war, bedeutet ja nicht, dass dies immer so bleiben wird. Die Gefahr ist hier vielmehr die Angreifer zu unterschätzen, denn diese lernen ja auch hinzu und passen sich schneller an, als es einem lieb ist und der nächste Zero Day wird kommen oder ist vielleicht schon da und ist uns nur noch nicht bekannt.

Mit einer der größten Schwachstellen in einer IT-Infrastruktur sind Client- und Serversysteme ohne ausreichenden Schutz. Diese sind u.a. durch Attacken per Mail über Dokumente oder Links ein sehr bevorzugtes Ziel. Auch die mobilen Geräte der Mitarbeiter sind ein hohes potentielles Risiko, denn diese werden irgendwann mit dem lokalen Netz verbunden. Ein Frontalangriff auf ein Schutzsystem, wie zum Beispiel eine Firewall, wenn diese keine bekannten Verwundbarkeiten hat, ist eher unwahrscheinlich. Zumal es hier den Administratoren eher auffallen könnte und das wollen die Angreifer ja nicht, zumindest so lange, bis sie sich lateral im Netzwerk ausgebreitet haben. Daher sind Clients und Server besonders gefährdet und ihr Schutz muss verbessert werden. Zumal auch noch viele Clients sich bedingt durch die Pandemie nicht im lokalen Netz der Unternehmen befinden und hier der Schutz des Perimeters sich auf eine Fritz!Box beschränkt. Das Homeoffice ist nach wie vor hoch im Kurs und viele nutzen es, zumal die Infrastruktur in den letzten Jahren dafür ja ausgelegt wurde. Grundsätzlich ja, Homeoffice ist aus vielen Gründen sinnvoll und ist ein wichtiger Bestandteil der IT-Konzepte von Unternehmen. Was aber hier nicht mitgehalten hat, ist der Schutz der Systeme durch die geänderten Bedingungen beim Betrieb und auch hinsichtlich der geänderten Angriffsstrategie von Cyber Attacken. Sehr häufig kommt hier noch traditionelle Schutzsoftware zum Einsatz, die, so muss man es leider feststellen, modernen Angriffe nichts mehr entgegenzusetzen hat. Wer den Blog liest, wird dies schon öfters gelesen haben, aber der Hinweis darauf ist nach wie vor sehr wichtig. Moderne Schutz geht anders und verfolgt einen grundsätzlich anderen und zeitgemäßen Ansatz, der im Gegensatz zu den traditionellen Produkten funktioniert. Hier sprechen wir aus unserer Erfahrung und das nicht nur in einzelnen Fällen, dass eine echte EDR Lösung laufende Angriffe entdeckt und unterbunden hat, die weder am Client mit klassische Schutzsoftware noch am Perimeter erkennt worden sind, obwohl hier namhafte und aktuelle Lösungen zum Einsatz gekommen sind. Es ist aber wichtig den Schutz am Perimeter passend einzuordnen, denn es ist zunehmen schwierig alle Verbindungen eines Clients zu entdecken, zumal diese eigentlich immer verschlüsselt sind, dass diese zu einem Angriff gehören. Das übersteigt die Fähigkeiten moderner Systeme und ist auch eine völlig überzogene Erwartung an den Perimeter selbst, denn das kann dieser nicht leisten. Trotzdem oder gerade deshalb ist der Schutz der Perimeter wichtig, auch wenn er nicht perfekt ist, aber alles was man hier unterbinden kann, sollte man auch tun. Zudem hat der Schutz am Perimeter noch andere Aufgaben, wie zum Beispiel die öffentlich zu erreichenden Dienste in der DMZ zu schützen. Aber unabhängig davon, muss ein Client oder auch ein Server in der Lage sein sich selbst zu schützen bzw. in der Lage sein einen Angriff zu erkennen und dies auch, wenn im Zweifel ein SOC Team einen Blick darauf werfen muss. Die traditionellen Systeme hatten ihre Zeit und wie alles schreitet aber auch die Zeit und somit die Technik voran, genauso, wie sich die Rahmenbedingungen stetig ändern. Alles muss sich weiterentwickeln und dazu gehört im Besonderen die Cyber- bzw. IT-Sicherheit. Daher ist es an der Zeit die IT-Strategie in Punkto Schutzsoftware auf Client- und Serversystemen kritisch zu hinterfragen und auf den Prüfstand zu stellen. Ein zeitgemäßer Schutz von Clients- und Server sieht heute anders aus und basiert nicht mehr auf einem 90’er Jahre Konzept, was immer wieder aufgehübscht wurde um modern auszusehen. Ohne eine funktionierende IT steht ein Unternehmen still und die Gefahr Opfer eines Cyber Angriffs zu werden ist real und kein hypothetisches Ereignis. Es stellt sich auch nicht mehr die Frage, ob etwas passiert, sondern nur wann es passiert, bei der aktuellen Bedrohungslage rückt aber dieser Zeitpunkt immer näher. Das Wichtige bei diesem Katz- und Mausspiel zwischen Angreifer und Abwehr ist zu wissen wer die Katze ist und es ist besser einem Cyber Angriff zu erkennen und diesen dann auch abwehren oder zumindest so weit zu begrenzen, dass die Auswirkung auf den IT-Betrieb so gering wie möglich ist. Trotz der aktuellen Gefahr nichts zu unternehmen ist eher keine Option.