nachgehakt! – bei Steffen Ullrich, Genua

Vielschichtig absichern

30. März 2022, 15:00 Uhr | Andrea Gillhuber

Steffen Ullrich, IT-Sicherheitsforscher bei Genua

Im Zuge des Russland-Ukraine-Konflikts warnt das BSI vor russischen Hackerangriffen. Welche Gefahr für deutsche Unternehmen besteht und welche Schutzmaßnahmen ergriffen werden sollten, erläutert IT-Sicherheitsforscher Steffen Ullrich.

Politische Spannungen werden vermehrt im digitalen Raum ausgetragen. Betroffen sind auch Infrastruktur, Institutionen und Unternehmen. Wie hoch ist die Gefahr von staatlichen Hackerangriffen tatsächlich?

Steffen Ullrich: Generell werden immer mehr kritische Prozesse digitalisiert und vernetzt. Dadurch erhöht sich die Verwundbarkeit der Gesellschaft für Cyberattacken. Solche Angriffe lassen sich mit vergleichsweise geringem Aufwand durchführen. Eine unklare Rechtslage und die unzuverlässige Rückverfolgbarkeit von Angreifern ermöglichen es, sie auch außerhalb von ‚offiziellen‘ Kriegen durchzuführen.

Staatliche Hackerangriffe dienen im Wesentlichen zwei Zielen: der Spionage und Sabotage. Beides wird in Krisensituationen wichtiger. Eine Informationsgewinnung durch politische und militärische Spionage ermöglicht es, proaktiv auf potentiell unerwünschte Entscheidungen zu reagieren. Das heißt, man will frühzeitig Vorkehrungen treffen, um die Auswirkungen zu minimieren; oder auch durch gezielte Beeinflussung von Meinungsträgern Entscheidungen verzögern oder entschärfen. Die Infiltration von Infrastrukturen oder gar Sabotage hilft, wirtschaftliche und gesellschaftliche Instabilität auszulösen und kann auch als Druckmittel verwendet werden.

Russland hat seine ausgezeichneten Fähigkeiten bei Cyberangriffen in der Vergangenheit bereits des Öfteren gezeigt. 2020 infiltrierten Angreifer amerikanische Behörden über eine Backdoor in der Netzwerkmanagement-Plattform Solarwinds Orion. 2015 wurde ein erfolgreicher Spionageangriff auf den Deutschen Bundestag verübt. Und in den letzten Jahren gab es mehrfach russische Angriffe auf ukrainische Infrastrukturen, die unter anderem zu großflächigen mehrtägigen Stromausfällen führten. Mit dem aktuellen Konflikt verschärften sich diese Offensiven.

Welche Unterstützung bieten staatliche Institutionen in Deutschland und Europa?

Ullrich: Im Nationalen Cyber-Abwehrzentrum arbeiten mehrere staatliche Institutionen wie das BSI, das Bundesamt für Verfassungsschutz und das Bundeskriminalamt zusammen. Sie bieten Unternehmen Analysen und Handlungsempfehlungen zur Verbesserung der Sicherheit und unterstützen bei Vorfällen. Eine wichtige europaweite Zusammenarbeit findet innerhalb der Europäischen Agentur für Cybersicherheit (ENISA) statt. Aber auch Landeskriminalämter stehen bei Cyberangriffen als Ansprechpartner zur Verfügung.

Welche potenziellen Angriffspunkte bieten Unternehmen und wie können sie sich davor schützen?

Ullrich: Mit Blick auf potenzielle Angriffsvektoren ist zunächst der Schutz extern erreichbarer Ressourcen wichtig. Dazu zählen über Remote Desktop oder VPN exponierte interne Systeme, Firmendaten und Cloud-Dienste. Neben einer restriktiven Zugriffskontrolle mittels Multi-Faktor-Authentisierung ist eine Absicherung des Zugangsperimeters unabdingbar. Denn kritische Bugs in VPN-Produkten oder in Microsoft Exchange ermöglichten es in den letzten Jahren, Zugriffskontrollen zu umgehen.

Häufig wird der Angreifer aber indirekt ins Netz geholt, etwa durch kompromittierte Websites, Email-Anhänge oder Phishing. Schon wer nur externe Websites besucht, kann unerwartete Zugriffe auf interne Websites bewirken. Neben einer restriktiven Kontrolle der Inhalte ist es daher wichtig, interne Systeme solide abzusichern. Das heißt, man sollte sich nicht nur auf einen Perimeterschutz verlassen.

Letztlich muss man davon ausgehen, dass ein Angreifer es irgendwann in das interne Netz schafft. Dann hindern Zero-Trust-Konzepte wie Mikrosegmentierung den Angreifer proaktiv daran, sich weiter auszubreiten, während Monitoring und Anomalieerkennung zur frühen Entdeckung des Angriffs und so zur Schadensbegrenzung beitragen. Systeme zur Angriffserkennung gehören mit dem geänderten §8a (1a) explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen.

Wie genau können Zero-Trust-Konzepte helfen?

Ullrich: Zero-Trust-Konzepte legen den Fokus auf die granulare Absicherung einzelner Dienste, anstatt ein komplettes Netz abzusichern. Das reduziert die Komplexität und unterstützt eine Umsetzung von Sicherheitsmaßnahmen angepasst an den tatsächlichen Bedarf des jeweiligen Dienstes. Zero Trust ermöglicht es, einzelne Dienste mit höheren Sicherheitsanforderungen zu betreiben, ohne durch netzweite restriktive Sicherheitsmaßnahmen die Nutzbarkeit und Effizienz weniger sensitiver Dienste zu beeinträchtigen. Doch eine dienstbasierte Zugriffskontrolle ist nicht zwingend fehlerfrei, wie wir mit der kritischen Lücke ProxyLogon in MS-Exchange 2021 erlebten. Für eine hohe Resilienz sollte eine mehrschichtige Verteidigungsstrategie gewählt werden, z.B. eine netzbasierte Zugriffskontrolle über VPN kombiniert mit einer dienstbasierten Zugriffskontrolle. Und die Log4j-Lücke Ende 2021 zeigt erneut, dass nicht nur die Kommunikation zum Dienst hin beschränkt werden sollte, sondern auch die vom Dienst ausgehende Kommunikation.