- Die wichtigsten Daten und Systeme absichern
- Selbst auf kleinere Vorfälle schnell reagieren
- Aktiv nach Schwachstellen und Anomalien suchen
Garching, 16. November 2022 – Inzwischen dauert der Krieg in der Ukraine fast neun Monate an – und mit ihm die intensivierten Cyberangriffe aus Russland. Diese treffen nicht nur Unternehmen in der Ukraine, sondern weltweit. Das Security Team von Cisco Talos unterstützt seit Tag 1 aktiv die IT-Security und Forensik der Ukraine. Basierend auf diesen Erkenntnissen gibt Holger Unterbrink von Talos wertvolle Tipps, wie sich Unternehmen und Organisationen vor staatlich unterstützten IT-Attacken schützen.
Cisco unterstützt die Menschen in der Ukraine durch humanitäre Hilfe und die Sicherung von IT-Systemen. Gemeinsam mit ukrainischen Behörden stellt Cisco seit über sechs Jahren Informationen und Ressourcen zur Verfügung, um Cyberangriffe abzuwehren. Seit der Invasion hat Cisco Talos ein Security Operations Center (SOC) in der Ukraine eingerichtet, um mehr als 30 kritische Infrastrukturen und Organisationen in der Ukraine zu schützen.
Geeignete Strategie ist wirksam
Die Ukraine hat den Sturm der russischen Cyberangriffe bislang überstanden, weil sie sich gut vorbereitet und aus früheren Vorfällen gelernt hat. Das zeigt Unternehmen weltweit, dass eine geeignete Security-Strategie auch gegenüber staatlich organisierten IT-Attacken wirksam ist. Mit dem richtigen Fokus und den richtigen Maßnahmen lassen sich selbst raffinierte und hartnäckige Attacken vereiteln. Denn stellt ein Angreifer fest, dass seine Versuche fehlschlagen oder er schnell entdeckt wird, sucht er sich meist ein leichteres Ziel.
Auf Basis der gesammelten Erfahrungen bei der Verteidigung der Ukraine gibt Talos drei zentrale Tipps für Unternehmen weltweit:
-
Schutzmaßnahmen fokussieren und anpassen
Unternehmen sollten überflüssige Netzwerkverbindungen, Dienste, Anwendungen und Systeme entfernen. Es muss alles raus, was nicht mehr benötigt wird oder mehrfach vorhanden ist. Sie müssen den Zugang auf Anwendungen und Daten auf diejenigen User beschränken, die ihn wirklich brauchen. Zudem sollten sie die wertvollsten Daten und Systeme besonders gut schützen, kritische Daten regelmäßig sichern und diese im Schadensfall schnell und vollständig wiederherstellen.
-
Spuren gibt es immer – ständig wachsam bleiben
Selbst die raffiniertesten Angreifer wie die aus Russland hinterlassen Spuren. Vor allem der Zugriff auf die wertvollsten Daten und Systeme muss ständig überwacht und überprüft werden. Bei einem Vorfall sollten Unternehmen jederzeit den Incident-Response-Prozess starten können, um ihn schnell einzudämmen. Dazu müssen Teams regelmäßig die erforderlichen Schritte üben und optimieren. Anschließend sollten sie feststellen, für welche Systeme der Angreifer Zugang hatte und wie er die Sicherheitsmaßnahmen umgehen konnte. Die entsprechenden Schwachstellen müssen schnellstmöglich behoben werden.
-
Proaktiv Maßnahmen ergreifen
Um auf dem neuesten Stand zu bleiben, sollten IT-Security-Teams auf aktuelle Berichte zu Angriffen, insbesondere aus Russland, achten. Anschließend müssen sie prüfen, ob die eingesetzten Sicherheitssysteme solche oder ähnliche Attacken erkennen und abwehren. Zu den proaktiven Maßnahmen gehört auch die Suche nach anormalem Verhalten als Hinweis auf mögliche Angriffe. Zudem sollten die Betriebsteams in die Bedrohungssuche eingebunden werden. Denn diese wissen oft, wo potenzielle Schwachstellen sind und wie Benutzer Beschränkungen umgehen.
„Der Krieg gegen die Ukraine zeigt der Sicherheitsgemeinschaft, wie wirksam vorbeugende Sicherheitsmaßnahmen sein können“, erläutert Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Die Ukraine hat aus den vielen Angriffen der letzten Jahre die richtigen Konsequenzen gezogen und hatte darum in den letzten neun Monaten vergleichsweise wenig erfolgreiche Cyberangriffe zu beklagen. Das sollte Vorbild für viele Unternehmen sein, um die eigenen Sicherheitssysteme kontinuierlich zu härten und auch kleinste Vorfälle zu überprüfen.“
