Ukraine-Krise: Das können Sie jetzt für Ihre Cybersicherheit tun

Mit dem anhaltenden Konflikt in der Ukraine steigt bei vielen Unternehmen und Organisationen die Furcht vor schwerwiegenden Cybervorfällen mit kriminellem und/oder politischem Hintergrund. Zumindest aktuell scheinen die Befürchtungen noch wenig begründet zu sein: Das Nationale Zentrum für Cybersicherheit (NCSC) sieht derzeit keine Intensivierung von bedrohlichen Aktivitäten im Cyberraum, die einen direkten Einfluss auf die Schweiz haben, beobachtet die Lage jedoch aufmerksam, da einerseits Angriffe mit politischem und militärische Hintergrund möglich bleiben, und andererseits die Cyberkriminellen zum Erhalt ihrer eigenen Strukturen nach einer Phase des Abwartens wieder stärker auf die Erwirtschaftung von Gewinnen angewiesen sind.

Auseinandersetzung mit der Cybersicherheit

Das Cyber Peace Institut mit Sitz in Genf hat eine öffentlich zugängliche Plattform entwickelt, auf der es die Angriffe, die in Zusammenhang mit der Ukraine-Krise stehen, beobachtet und zusammenstellt. Insbesondere kritische Infrastrukturen waren in letzter Zeit von Angriffen betroffen, wie die Auswertungen des Instituts zeigen. Auch wenn aktuell keine weitere Welle von Cyberangriffen gegen Unternehmen zu verzeichnen ist, lohnt sich eine vertiefte Auseinandersetzung mit dem Thema für jedes Unternehmen und jede Organisation unabhängig davon, ob eine Exposition in der Ukraine besteht oder nicht.

Mittels Umsetzung geeigneter Cybersecurity-Grundschutzmassnahmen kann die eigene Risikoexposition deutlich reduziert und die Vorbereitung auf neue Angriffe präventiv angegangen werden. Nachfolgend gehen wir auf wichtige Massnahmen organisatorischer und technischer Natur ein, die zu einer verbesserten Widerstandsfähigkeit gegen Cyberangriffe – auch als Cyberresilienz bekannt - führen. Gerade vor dem Hintergrund der aktuellen Lage in der Ukraine und den entsprechenden Drohungen von Cyberkriminellen und Hacker-Vereinigungen haben diese eine besondere Dringlichkeit erhalten.

1. Multi-Faktor-Authentifizierung (MFA) und Umgang mit Passwörtern

Mit einer Multi-Faktor-Authentifizierung erhöhen Sie den Schwierigkeitsgrad für einen Angriff auf Ihr System, da nur mit einem gestohlenen Passwort allein kein Zugang möglich ist. Sollten Sie in Ihrem Betrieb bzw. in Ihrer Organisation eine MFA nicht zeitnah einführen können, achten Sie unbedingt auf einen sicheren Umgang mit Passwörtern. Konkret heisst das:

• Verwenden Sie lange Passwörter mit mehr als zwölf Zeichen, Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen, die in regelmässigen Abständen oder bei Verdacht auf Missbrauch geändert werden.

• Verwenden Sie für jeden Dienst ein eigenes Passwort. Insbesondere bei Admin-Konten empfiehlt sich eine Passwortlänge von 16 oder mehr Zeichen. Falls Sie für private und geschäftliche Dienste dieselben Passwörter verwenden und keine MFA anwenden, kann ein gehackter privater Account den Cyberkriminellen Zugang zum ganzen Firmennetzwerk ermöglichen. Der Einsatz eines sicheren Passwort-Manager empfiehlt sich besonders.

• Priorisieren Sie die Einführung von MFA bei exponierten Diensten und Anwendungen, also solchen, die öffentlich bzw. über das Internet erreichbar sind.

• Machen Sie die Mitarbeitenden aller Stufen, Kund:innen, Zulieferer und andere relevante Drittparteien regelmässig mit den bei ihnen geltenden Regeln vertraut und überprüfen Sie deren Einhaltung.

2. Geeignete Benutzeradministration

Achten Sie darauf, dass Sie über getrennte Konten für Admin-Aufgaben (Bearbeiten besonders schützenswerter Daten, Informationen und Systeme) und normale Aufgaben (Mails, Internetrecherchen) verfügen und verhindern Sie gegebenenfalls den direkten Zugang der Admin-Konten zum Internet. Sie vermeiden so, dass Cyberkriminelle auf die besonders schützenswerten Daten ihres Unternehmens zugreifen können, auch wenn der Zugriff auf einen Mitarbeitenden-Account erfolgreich war. Überwachen Sie wenn möglich Aktivitäten von Admin-Konten, insbesondere auf ungewöhnliche Passwortwechsel, ungewöhnliche Login-Zeiten etc.

3. Cybersecurity-Notfallplan

Erstellen Sie einen Notfallplan und bereiten Sie sich auch auf einen Ausfall der IT-Systeme vor – sowohl der eigenen als auch von externen Betreibern und Zulieferern. Überlegen Sie sich, welche Rückfallebenen für Ihre Arbeit zentral sind (z. B. Bereitstellung von Ersatz-PCs, Ausweichen auf geeignete Cloud-Services etc.), wie die erste Reaktion bei einem Ausfall aussieht und wie Sie ohne Zugriff auf die Systeme trotzdem im Notbetrieb arbeiten oder zumindest eine möglichst schnelle Wiederherstellung Ihrer Systeme erreichen können (z. B. Ausdruck wichtiger Kontaktdaten und Logistik-Information etc.). Definieren Sie die nötigen Zuständigkeiten, Kompetenzen und Rollen, damit Sie wissen, wen Sie im Notfall wann und auf welche Art auch ausserhalb der Bürozeiten informieren müssen. Seien Sie auch vorbereitet, dass Sie auf einen externen Dienstleister allenfalls nicht wie gewünscht zugreifen können. Bei einem grossflächigen Ausfall der IT-Systeme benötigen viele Unternehmen externe Unterstützung, so dass Ihnen diese nicht unmittelbar zur Verfügung steht. Erproben Sie zumindest im theoretischen Durchlauf die definierten Massnahmen der Führung und Geschäftsweiterführung für den Not- und Krisenfall – lassen Sie sich dabei ggf. extern durch entsprechende Spezialist:innen unterstützen.

4. Backup-Prozess

Die regelmässige Erstellung und Bewirtschaftung von Sicherungskopien Ihrer Daten und Konfigurationen ist essenziell. Bewahren Sie diese Backups an einem externen, geschützten Ort und vom Netzwerk getrennt auf, damit Cyberkriminelle Ihre Sicherungskopie im Falle eines Ransomware-Angriffes nicht mitverschlüsseln oder zerstören. Überprüfen und testen Sie, dass sich die Daten von den Sicherungsmedien zurückspielen lassen und dass bei Nicht-Verfügbarkeit Ihrer IT dafür geeignete Notfallgeräte und –laufwerke zur Verfügung stehen.

5. Regelmässige Software-Updates

Die Aktualisierung Ihrer Software ist essenziell, um vorhandene Sicherheitslücken zu schliessen. Dies gilt für alle mit dem Internet verbundenen Geräte, also auch für Drucker, Smartphones, Gebäudesteuerungen etc. Geräte, bei denen keine Updates mehr ausgeliefert werden oder bei denen aus regulatorischen Gründen Updates nicht oder nur in grossen Zeitabständen erlaubt sind, sollten Sie nicht direkt mit dem Internet verbinden und wenn möglich in isolierten Netzwerk-Zonen betreiben. Ebenso wenig gehören Privatgeräte und private Daten auf Ihre Netze und Systeme.

Eine aktuelle Anti-Malware-Software sowie entsprechende Lösungen von zwei unterschiedlichen Herstellern (für Clients und Server) ermöglichen es, ein breites Spektrum an Gefahren zu erkennen. Spielen Sie Patches für sogenannte 0-Day-Schwachstellen kurzfristig (24/7) ein, sofern entsprechende Tests bestätigen, dass das Einspielen von Patches keine neuen Risiken für das Unternehmen schafft.

6. Vorsicht beim Öffnen von unbekannten E-Mails und deren Anhängen

Sensibilisieren Sie Ihre Mitarbeitenden für den Umgang mit E-Mails:

• Angefügte Dokumente bei zweifelhaften E-Mails (z. B. untypische Absenderadresse, Schreibfehler, Tonalität und Logos) sollten Sie nicht öffnen und auf keine Links klicken.

• Vertrauliche Informationen (z. B. Login-Daten) sollten Sie niemals preisgeben.

• Auch Nachrichten, die von einer Ihnen bekannten Person oder einem leitenden Mitarbeitenden der Firma stammen, sollten sie kritisch prüfen. Cyberkriminelle, egal ob politisch oder wirtschaftlich motiviert, könnten Zugriff auf das Postfach dieser Person haben und in deren Namen E-Mails mit weiterem Schadenspotenzial verschicken. Sinngemäss gelten die gleichen Vorsichtsmassnahmen für andere elektronische Kommunikationskanäle wie Telefon, SMS oder Social-Media-Kanäle.

Die oben aufgeführten Massnahmen sind nicht vollständig und müssen je nach Unternehmen/Organisation, nach aktueller Sicherheitsarchitektur, Risiko- und Gefahrenbeurteilung individuell an die bestehenden Rahmenbedingungen angepasst bzw. erweitert und auf ihre Tauglichkeit überprüft werden. Sie erlauben aber im Grundsatz jedem Unternehmen und jeder Organisation, die Risikoexposition gegenüber Cyberangriffen deutlich zu reduzieren und somit der Sorgfaltspflicht des Unternehmens und seiner leitenden Organe nachzukommen.

Quellen

• Protecting Exposed Environments - Roger Halbheer

• Einschätzung NCSC

• Sonderlagebericht des Nationale IT-Krisenreaktionszentrums - BSI

• Cybersecurity Leitfaden für KMU - ADSS et. al.