wachsam und vorbereitet sein

Eine verschärfte Bedrohungslage durch Cyberangriffe

Haben uns schon jetzt täglich Medienberichte über Cyberangriffe auf Wirtschaft, Staat und Gesellschaft erreicht, ist die IT-Bedrohungslage aufgrund der aktuellen Situation in der Ukraine für die Unternehmen extrem gestiegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt deshalb folgende Empfehlungen heraus.

Erreichbarkeiten / Verfügbarkeit sicherstellen
Notfallpläne prüfen
Angriffsflächen minimieren
Systeme regelmäßig monitoren
Reaktionsmaßnahmen vordenken, vorbereiten und lageangepasst umsetzen
Durchhaltefähigkeit planen

Es ist davon auszugehen, dass sich die Auseinandersetzungen auch vermehrt in den virtuellen Raum verlagern. Erhöhte Wachsamkeit und eine verstärkte Reaktionsbereitschaft in den Unternehmen sind deshalb dringend geboten.

Erreichbarkeiten / Verfügbarkeit sicherstellen

Die Verfügbarkeit und Erreichbarkeit des notwendigen Personals für die Präventions- und Reaktionsmaßnahmen sollte konkret für die nächsten Wochen sichergestellt werden. Erreichbarkeiten sollten auch offline dokumentiert verfügbar sein. Dabei sollten Maßnahmen, wie Urlaubssperre, Freigabe von Überstunden-Aufbau und Mehrarbeit zu ungünstigen Zeiten, Verfügbarkeiten von eigenem und Personal von Dienstleistern berücksichtigt werden.

Notfallpläne prüfen

Bei großflächigen Auswirkungen von Cyberangriffen werden sicher eine Vielzahl von Unternehmen gleichzeitig externe Unterstützung durch Dienstleister benötigen. Aufgrund der begrenzten Kapazitäten werden nicht alle Unternehmen (zeitnah) eine konkrete Hilfe erhalten. Unternehmen sollten im Rahmen des eigenen Notfall- und Krisenmanagements auch eine Schadensbewältigung ohne Unterstützung externer Dienstleister als Rückfalloption berücksichtigen.

Angriffsflächen minimieren

a) Systeme auf aktuellen Patchstand bringen und Einspielen von Notfallpatches vorbereiten

Installieren Sie bei externen Systemen die verfügbaren Sicherheitspatches. Diese Maßnahmen haben ein sehr hohes Nutzen/Aufwand-Verhältnis und minimieren die eigene Angriffsfläche erheblich.

b) Härtung aller Systeme mit Zugriffsmöglichkeit von außen

Alle Logins mit Außenanbindung sollten über eine Multi-Faktor-Authentifizierung (MFA) geschützt werden. Falls eine MFA zeitnah nicht aktivierbar ist, sollten mindestens kurzfristig neue, komplexe, für jedes System unterschiedliche Passwörter verwendet werden.

c) Härtung von Admin-Systemen

Admin-Systeme dürfen nur für administrative Aufgaben und nicht für das "Tagesgeschäft“ verwendet werden. Bei unterschiedlichen Netzen sollten auch unterschiedliche Admin-Konten genutzt werden.

d) Lateral Movement erschweren

Es gilt Vertrauensbeziehungen zwischen diesen Systemen zu minimieren und verschiedene Accounts mit verschiedenen Passwörtern in den jeweiligen Netzen zu nutzen.

Systeme regelmäßig monitoren

Zugriffe auf externe Systeme sollten intensiviert mit geeigneten Lösungen und geschultem Personal überwacht werden.

Reaktionsmaßnahmen vordenken, vorbereiten und lageangepasst umsetzen

Aktuelle sichere Backups sollten von allen relevanten Systemen existieren. Eine Kopie der Backups sollte offline gelagert werden.

Die Wiederherstellung von Systemen sollte getestet werden. Erfahrungsgemäß kommt es bei einer erstmaligen Wiederherstellung oder einer ersten Wiederherstellung nach längerer Zeit oftmals zu unvorhergesehenen Problemen. Es sollten Pläne für eine Wiederherstellung nach totalem Datenverlust ("Schwarz-Start") existieren, bei dem alle Systeme aus den Backups wiederhergestellt werden.

Durchhaltefähigkeit planen

Sollte es zu einer Verschärfung der Bedrohungslage kommen, sollten Sie einplanen und sicherstellen, dass der IT-Betrieb selbst sowie die Sicherheit unterstützenden Bereiche in eine erhöhte Funktionsbereitschaft (24/7 Rufbereitschaft, Schichtdienst, etc.) wechseln.