Ukrainekonflikt: Zeitenwende bei Ransomware

Die Lage im Ukrainekonflikt ist schwer einzuschätzen und verändert sich ständig. Zum aller ersten Mal ist jedoch die Welt dazu gezwungen, einen modernen Krieg in einer hochgradig vernetzten Gesellschaft zu beobachten. Die Geschehnisse rund um den Konflikt lassen sich weltweit via TikTok, Facebook und Reddit verfolgen.

Auch die Kriegsführung hat sich verändert. Panzer und Bodentruppen sind zwar nach wie vor an vorderster Front aktiv, allerdings gewinnen Cyberangriffe im Rahmen einer ganzheitlichen Offensive zunehmend an Bedeutung. So gab es bereits Berichte über Phishing-E-Mails, mit denen sowohl das ukrainische Militär als auch die dort lebenden Bürger attackiert wurden. Auch DDoS-Angriffe (Distributed Denial of Service) auf Websites wurden gemeldet, mit denen die Moral und Reaktionsfähigkeit der Betroffenen beeinträchtigt werden sollte.

Russland erklärte via Twitter, dass es „niemals ‚bösartige‘ Operationen im Cyberspace durchgeführt hat und auch aktuell nicht durchführt“, jedoch sind die Anzeichen unübersehbar, dass man diese Aussage nicht für bare Münze nehmen darf. Lokale Hackergruppen wie Conti haben öffentlich bekundet, dass sie die russische Mission aktiv unterstützen und drohen gleichzeitig mit Konsequenzen, sollte eine Cyber-Intervention erfolgen. In ähnlicher Weise kündigte Mykhailo Fedorov, der stellvertretende Premierminister der Ukraine, die Bildung einer „IT-Armee“ an. Gleichzeitig präsentierte er eine Liste mit vorrangigen Zielen, darunter russische Websites von Regierungsstellen und Unternehmen.

Neben diesem im Cyberspace tobenden Konflikt wurden zudem bereits umfassende Finanzsanktionen in die Wege geleitet. Sie sind ein weiterer wichtiger Aspekt in dieser internationalen Auseinandersetzung und zielen auf Russland als Aggressor ab. Es ist durchaus im Rahmen des Erwartbaren, dass beide Konfrontationen – Cyberkonflikt und Sanktionen – weit länger andauern werden als die eigentliche militärische Auseinandersetzung. Dies hätte gleichsam Folgen für die Bedrohungslandschaft in Sachen IT-Sicherheit.

Russische Aggression als Wendepunkt in der Bedrohungslandschaft?

Bislang haben westliche Regierungen Cyberangriffe mehr oder weniger geduldet, weil sie vor den Folgen eines Gegenschlags, eines sogenannten „Hacking Back“, zurückgeschreckt sind. Sie waren anscheinend nicht dazu bereit, eine Großoffensive im Cyberspace in die Wege zu leiten. Nun allerdings, wo die Konfliktlinien klar zu Tage treten, besteht die Möglichkeit, dass Cyberoffensiven von Ländern offener geführt werden und Einzug in unseren Alltag halten.

Es bleibt zu hoffen, dass diese Angriffe rein politischer Natur sein werden und nicht das normale Leben beeinträchtigen. Die Verbreitung von Ransomware as a Service und die jüngsten Cyberattacken auf Krankenhäuser, Transportsysteme und Wasserwerke lassen jedoch vermuten, dass Angriffe auf kritische Infrastrukturen durchaus im Bereich des Möglichen liegen. Dies könnte in westlichen Ländern dazu führen, dass Stromausfälle, Verspätungen im Verkehr und Störungen in Finanzsystemen an der Tagesordnung sein könnten.

Am naheliegendsten ist jedoch, dass sich die Politik hinsichtlich Ransomware verändern wird. Bislang haben westliche Regierungen zugelassen, dass erhebliche Summen als Lösegeld an russische Hackergruppen flossen. Unternehmen konnten durch die Zahlungen ihre Daten wiederherstellen und den Betrieb wieder aufnehmen. So zahlte beispielsweise JBS Foods 11 Millionen US-Dollar an REvil und Colonial Pipeline musste zur Behebung der Ransomware-Schäden 4,4 Millionen US-Dollar in Kryptowährungen an Darkside überweisen. Sofern diese Gelder jedoch mit hoher Wahrscheinlichkeit in ein eindeutig feindlich gesinntes Land fließen, das dadurch einen Anreiz hat, illegale Methoden anzuwenden, um Finanzsanktionen zu umgehen, müssen westliche Regierungen dem gesetzlich einen Riegel vorschieben.

Unternehmen, die sich in Sachen Cybersicherheit bislang schmallippig gegeben haben, bleibt nur noch sehr wenig Zeit, ihre Haltung zu ändern. Dieser Konflikt hat das reale Potenzial, die Häufigkeit und Raffinesse digitaler Angriffe zu erhöhen. Gleichzeitig könnte die Möglichkeit entfallen, sich mit Geld oder einer Versicherung aus einer misslichen Lage in Folge eines Ransomware-Angriffs freizukaufen. Die Widerstandsfähigkeit gegenüber Cyberangriffen wird für ein Unternehmen somit die gleiche Bedeutung erlangen wie seine Profitabilität. Denn beide Bereiche sind zunehmend miteinander verknüpft, und es kann davon ausgegangen werden, dass gesetzgeberische Maßnahmen diesen Wandel der Prioritäten in den Unternehmen noch verstärken dürften.

Was bedeutet das für die Cyberkriminellen? Wenn Unternehmen kein Lösegeld mehr zahlen und sowohl ihre Widerstandsfähigkeit als auch ihre Anfälligkeit für Schadensereignisse verbessern, wie werden sie dann auf Beutezug gehen? Möglicherweise, indem sie direkt auf das große Kryptokapital verschiedener Online-Kryptoplattformen abzielen oder indem sie statt Unternehmen eher den einzelnen Nutzer ins Visier nehmen und einen 10-Millionen-Dollar-Angriff durch zehntausend 1.000-Dollar-Angriffe ersetzen?

Es ist an der Zeit, den Schutz vor Cyberangriffen zu verstärken

Im Moment haben Sicherheitsverantwortliche (CISOs) alle Hände voll damit zu tun, sich Gedanken darüber zu machen, wie sie mit ihren Einrichtungen und Infrastrukturen in Russland umgehen sollen. Gleichzeitig treibt sie jedoch die Sorge um, dass militärische Cyberangriffe Unternehmen ins Visier nehmen könnten. Viele haben mehrstufige Notfallpläne erstellt oder bereiten diese unter enormem Zeitdruck vor, um weiterhin ihre wichtigsten Aufgaben erfüllen zu können. Dazu evaluieren sie verschiedene Optionen, um sich zunehmend von jeder globalen Bedrohung zu isolieren, während sie sich im selben Atemzug zwanghaft bemühen, weiterhin den Geschäftsbetrieb aufrechtzuerhalten.

Es ist eher unwahrscheinlich, dass ein Angriff, sofern er denn erfolgt, völlig neue Wege beschreitet. Nachhaltige Schutzmaßnahmen, die seit Jahren angewendet werden, sind nach wie vor von Bedeutung. Allerdings ist es nun von größter Wichtigkeit, dass diese Maßnahmen mit viel größerer Effizienz als je zuvor zur Anwendung kommen. Security-Patches, Backups, Awareness-Schulungen, Phishing-Prävention, das Aufspüren von Bedrohungen und Übungen zur Reaktion auf Vorfälle sind allesamt wichtige Pfeiler der Cybersicherheit, die mit Nachdruck umgesetzt werden sollten. Um hier einen Vergleich zu bemühen: Auch vor der Corona-Pandemie waren die allermeisten daran gewöhnt, sich die Hände zu waschen, erst als dies jedoch bewusst und mit erheblich größerer Regelmäßigkeit geschah, zeigte sich dessen Effektivität.