Härtung der IT gegen Cyberangriffe

Heute an einen Mandanten geschrieben. Geht aber eigentlich alle etwas an.

Insbesondere vor dem Hintergrund einer geopolitisch vollständig neuen Lage müssen die Härtung der IT gegen Cyberangriffe, die Awareness der MitarbeiterInnen gegenüber Social Engineering, Phishing und anderen Cyberbedrohungen radikal gesteigert werden.

Die dafür notwendigen Aktivitäten dürfen nicht auf die lange Bank geschoben werden. Dies gilt umso mehr vor dem Hintergrund der praktizierten „Mobile Office“-Regelungen, bei denen die Infrastruktur der MitarbeiterInnen zu Hause zu den ultimativen Schwachpunkten einer IT-Sicherheitsarchitektur gehören.

Es gibt keinen Grund, in Panik zu verfallen, aber alle staatlichen Stellen arbeiten derzeit unter Hochdruck an der Absicherung der Infrastruktur und warnen vor möglichen russischen Cyberangriffen.

Demzufolge könnte es dann nicht mehr um die Erpressung von Lösegeld gehen mit der Chance, Daten wiederzubekommen. Die bereits aufgetauchten Schädlinge besitzen keine Option zur Entschlüsselung von Daten. Hier geht es um simple Zerstörung.

Auch wenn potentielle Cyberangriffe feindlicher Staaten voraussichtlich der kritischen Infrastruktur gelten, so sind „Querschläger“ und Kollateralschäden nicht auszuschließen.


Mich beschäftigt auch eine Facette des Angriffskriegs gegen die Ukraine, über die ich noch nicht viel gelesen habe, die aber für mich ebenso unerwartet ist, wie der Krieg selbst.

Haben wir die Macht von Cyberangriffen kollektiv überschätzt? Also alles nicht so schlimm? Oder was passiert da gerade?

Wieso komme ich auf diese Frage? Ich habe in der Vergangenheit ja immer behauptet, die Kriege der Zukunft würden im Cyberraum geführt. Wir sehen in der Ukraine stattdessen einen Angriffskrieg, der mit verheerend viel Material und unter erheblichen Verlusten an Menschenleben von russischer Seite geführt wird. Nach meiner Vorstellung hätte es ein solch brachiales Vorgehen gar nicht gebraucht, um die Ukraine als Gesellschaft handlungsunfähig zu machen. Mit konzertierten Angriffen auf die kritische Infrastruktur hätte man so viel Chaos erzeugen können (und zwar landesweit), dass der darauffolgende reale physische Angriff weit weniger martialisch hätte aussehen müssen. Soweit die Theorie.

In der Praxis sieht das aber alles vollkommen anders aus. Für die Militärstrategen auf russischer Seite scheint ein ausgedehnter Cyberkrieg offensichtlich nicht die erste Wahl gewesen zu sein. Stattdessen haben wir es mit einem konventionellen Kriegsakt Marke “letztes Jahrhundert” zu tun. Brachial. Brutal. Vernichtend.

Natürlich hat es Hackerangriffe auf ukrainische Ziele gegeben, genauso wie Angriffe auf russische Ziele. Aber offensichtlich spielen sie in der ganzen Kriegsdynamik eine stark untergeordnete Rolle, sind maximal Randnotizen wert.

Mir stellt sich die Frage, was dies über die Cyberfähigkeiten aussagt? Grundsätzlich gibt es da ja verschiedene mögliche Gründe.

1. es ist mit den russischen Cyberfähigkeiten gar nicht so weit her und man glaubte nicht, einen Staat wie die Ukraine so in die Knie zwingen zu können. Zumindest macht der im Einsatz befindliche Teil der russischen Armee nicht den Eindruck einer Hightech-Armee.

2. der niedrigere technische Stand der Ukraine macht diese ggf. nicht so empfindlich gegen eine Cyberattacke.

3. Das Risiko eines Hack-Backs ist nicht unerheblich und die defensiven Fähigkeiten des Angreifers müssten genauso wirksam sein. Aber wer kennt schon alle eigenen Schwachstellen? Zumal die meiste Technik irgendwo westlichen Ursprungs ist.

4. Die Militärstrategen sehen Cyberfähigkeiten nicht als beste Vorbereitung für einen Einmarsch an und greifen lieber zu konventionellen Mitteln.

5. Eine ausgedehnte Cyberattake im Sinne eines kriegerischen Aktes funktioniert aus Sicht des Angreifers nicht zwingend zuverlässig und wenn, dann nur genau einmal.

Natürlich wissen wir nicht, was noch kommt und was welche Kriegspartei in der Hinterhand behält. Ich bin erstaunt, welche geringe Rolle der Cyberraum bei diesem Konflikt bisher gespielt hat.

Trotzdem sollte sich jede und jeder um die Sicherheit im eigenen Unternehmen und auch privat kümmern. Wir sind auf Cyberattacken schlecht vorbereitet. Das sollte sich schnellstens ändern.