Jedes Jahr am „Quds Day“ sieht sich Israel mit beispiellosen Cyber-Angriffen konfrontiert. Zuletzt traf es kritische Infrastrukturen, darunter Wasserversorgungsunternehmen, Passkontrollen, Banken, staatliche Einrichtungen, landwirtschaftliche Systeme, intelligente Gebäude, digitale Portale, intelligente Fernsehgeräte und vieles andere mehr.
Diese Angriffe können als erfolgreiche Tests des Cyber-Waffen-Arsenals von Bedrohungsakteuren angesehen werden. Die Tatsache, dass eine der führenden Cyber Security-Nationen der Welt durch diese wohl staatlich geförderten Aktivitäten in einem solchen Ausmaß beeinträchtigt wird, sollte dem Rest der Welt das Bedrohungspotenzial vor Augen führen.
Bei der Cyber-Warfare handelt es sich um eine kostengünstige und äußerst effektive Form der asymmetrischen Kriegsführung und wie die jüngsten Ereignisse gezeigt haben, wird sie in Zukunft noch viel häufiger zum Einsatz kommen. Im Gegensatz zur traditionellen physischen Kriegsführung gibt es bei Cyber-Attacken keine wirklichen Grenzen oder Einsatzregeln. Je mehr Aggressoren diese Angriffe in internationalen Konflikten einsetzen, desto mehr wird sie sich auf Geschäftsabläufe, Außen- und Innenpolitik sowie sogar auf den täglichen Betrieb der kritischen Infrastruktur auswirken.
Falls die Beispiele aus jüngster Zeit nicht ausreichen, um ein Gefühl der Dringlichkeit zu vermitteln: Analysten wie die von Gartner sagen voraus, dass Cyber-Angreifer bis 2025 operative Technologieumgebungen (OT) als Waffe einsetzen werden, um Menschen im realen Leben zu schädigen oder gar zu töten. Auch wenn dies extrem erscheinen mag, unterstreicht es einen Trend, der sich bereits heute beobachten lässt. Bedrohungsakteure gehen von der Aufklärung und Spionage zur Anwendung von Instrumenten über, um Organisationen, Infrastrukturen oder sogar Menschen Schaden zuzufügen. Tatsächlich wurden bereits kinetische Cyber-Waffen entdeckt, obwohl noch keine mit tödlicher Wirkung eingesetzt wurde.
Viele Führungskräfte meinen, dass Cyber-Warfare etwas ist, das weit weg von zu Hause passiert, wie im Fall dieser jüngsten Angriffe auf Israel im Vergleich zu denen in den USA, aber es passiert bereits global und lokal. Im Februar 2021 versuchte ein Hacker, die Wasserversorgungsanlage der kleinen US-Stadt Oldsmar im US-Bundesstaat Florida über einen Fernzugriff zu manipulieren, was zu einer Vergiftung der Einwohner geführt hätte. Glücklicherweise wurde der Versuch rechtzeitig vereitelt und die Bewohner bleiben verschont.
Proaktiver Schutz liegt in der Verantwortung jeder Organisation, und die Forschungsergebnisse sind besorgniserregend. Eine jüngste Umfrage unter mehr als 6.000 globalen IT- und Sicherheitsexperten ergab, dass 54 Prozent der Befragten weltweit im vergangenen Jahr einen Anstieg der Bedrohungsaktivitäten verzeichneten. Ein Drittel der Befragten gab an, dass ihnen Cyber-Attacken im Zuge eines Cyber-Wars gleichgültig sind oder sie sich keine Sorgen machen, während ein Viertel der Befragten der Meinung ist, dass sie auf diese Art von Bedrohung nicht vorbereitet sind. Die Angaben sind in allen abgefragten Bereichen der IT-Sicherheit zu hoch und schaffen große Sicherheitslücken und Unsicherheit.
Die Bedrohungslandschaft entwickelt sich ständig weiter, deshalb müssen die Verantwortlichen die Angriffsfläche der eigenen Systeme und die potenziellen Cyber-Waffen verstehen. Nur so können sie ihre eigene Cybersicherheitslage verbessern und solche Angriffe erfolgreich abwehren.
Proaktive Eindämmung von Bedrohungen
Es gibt eine übergreifende Lektion, die als Leitfaden dienen kann: Man kann nicht schützen, was man nicht kennt. Dies gilt sowohl für die physische Kriegsführung als auch für den Cyber-Warfare. Aus Sicht der kritischen Infrastrukturen und der OT-Umgebungen ist es viel schwieriger als bei der Unternehmens-IT, alle vernetzten Assets innerhalb einer Organisation zu sehen.
Daraus folgt, dass die Risiken eines Angriffs viel höher sind. Diese Sichtbarkeit sollte umfassend sein und IT, Cloud, IoT-Geräte, medizinische Geräte (IoMT), OT und industrielle Kontrollsysteme (ICS) einschließen. Die Sichtbarkeit von Netzwerkgeräten und die Verwaltung von Assets in Echtzeit sind in Zeiten zunehmender Bedrohungen so wichtig.
Neben der Verbesserung der Sichtbarkeit in Netzwerken auf grundlegender Ebene gibt es eine Reihe weiterer Schritte, die Organisationen unternehmen können, um ihre Abwehrkräfte proaktiv zu stärken, darunter:
- Erstellung eines Plans zur Reaktion auf Vorfälle: Unabhängig von den Tools und Techniken, die eine Organisation einsetzt, ist ein Incident Response-Plan auf Vorfälle ein wesentlicher Bestandteil. Darin wird der Prozess beschrieben, mit dem die IT-Mitarbeiter die Folgen eines Sicherheitsverstoßes bewältigen. Das Hauptziel besteht darin, den Schaden zu begrenzen und die Wiederherstellungszeit zu verkürzen. Oft ist es für eine Organisation sinnvoll, ein spezialisiertes Incident-Response-Team zu engagieren, um die Kosten zu senken und die Wiederherstellung zu beschleunigen. Automatisierte Lösungen für die Reaktion auf Vorfälle können den Prozess ebenfalls sehr effizient, schnell und präzise gestalten und so Schäden, Kosten und Ausfallzeiten reduzieren.
- Strategien zur Abschottung oder Isolierung anwenden, um die Auswirkungen zu minimieren: Sobald ein Angriff entdeckt wurde, ist es wichtig, den Vorfall zu begrenzen. Bei den meisten Organisationen ist die Isolierung die beliebteste Strategie, die es den Verantwortlichen ermöglicht, einzelne Rechner vom Rest des Netzwerks zu trennen.
- Backup-Strategien und -Prozesse überprüfen: Eine gute Backup-Strategie und -Prozesse ist die wichtigste Verteidigungslinie gegen staatliche Angriffe und Cyber-Kriminelle. Backup-Lösungen tragen dazu bei, dass die Organisation im Falle eines Angriffs schnell wiederhergestellt werden kann. Sie sollten eine kontinuierliche Überwachung und Integritätsprüfung beinhalten.
- Sicherheit fängt bei den Menschen an: Wie bereits erwähnt, müssen Sicherheitsverantwortliche dafür sorgen, dass jeder in der Organisation eine Security Awareness-Schulung erhält. Mitarbeiter sollten regelmäßig darin geschult werden, wie sie bösartigen E-Mail-Verkehr erkennen können und die IT-Abteilung sollte benutzerfreundliche Meldeverfahren bereitstellen. Die Verantwortlichen sollten die Sicherheit und das Risikomanagement in der gesamten Organisation erhöhen und nicht nur die wichtigsten Ressourcen schützen.
Widerstandsfähigkeit beginnt mit der Bereitschaft. Die Vorbereitung beginnt mit der Sensibilisierung, der Sichtbarkeit, die Planung, den Prozessen, usw. Jetzt ist es an der Zeit, die Bedrohungen durch Cyber-Warfare ernst zu nehmen und Schutzmaßnahmen proaktiv zu verbessern.
Nadir Izrael ist Mitbegründer und CTO von Armis.