Kritische Infrastrukturen im Cyberkrieg
Internationale Konflikte werden längst nicht mehr nur auf dem Land, zu Wasser oder in der Luft ausgetragen. Mit dem Cyberspace ist eine neue Dimension der Kriegsführung hinzugekommen. Dies zeigt sich auch aktuell: So geraten ukrainische Netzwerke ins Visier russischer Hacker, während private Akteure wie Anonymous Russland mit Hackbacks drohen. Unser Beitrag beleuchtet, wie sich die Zukunft der staatlichen Cybersicherheit vor diesem Hintergrund verändert, insbesondere wenn diese – etwa in der NATO – international organisiert ist.
Am 24. Februar 2022 startete der russische Einmarsch in die Ukraine. Einige Stunden zuvor war der Konflikt jedoch schon in vollem Gange – im digitalen Raum. Russische Hacker führten gezielte Angriffe auf ukrainische Netzwerke durch, um die Kommunikation und Handlungsfähigkeit des ukrainischen Militärs zu schwächen. Für die Ukraine war dies keine Überraschung. Sie kämpfte seit Jahren gegen russische Angriffe im Cyberspace.
Als der Konflikt bereits in vollem Gange war, versuchten sich Hacktivists an Gegenschlägen. Belarussische Hacker wollten die belarussische Eisenbahn lahmlegen, um den russischen Vormarsch ins Stocken zu bringen. Das Hackerkollektiv Anonymous erklärte sogar, dass es sich in einer Kampagne gegen Putin befände und DDoS-Attacken vorbereiten würde. Staatliche Sicherheit wird also immer häufiger auch im Cyberspace bedroht. Dabei gibt es einige spannende Entwicklungen, die Staaten beachten müssen, wenn sie ihre Sicherheit weiter aufrechterhalten wollen.
Mehr Abwehrkraft dank Automatisierung und KI
Automatisierung und Künstliche Intelligenz sind inzwischen in den Alltag vieler Menschen eingekehrt. Für Entwickler, Administratoren und CISOs gehört sie schon länger fest zu Repertoire der eigenen IT-Infrastruktur. Viele Cybersecurity-Unternehmen, insbesondere Startups, machen sich die Fähigkeiten künstlicher Intelligenz zunutze. Dadurch, dass sie häufig schneller reagiert als ein Mensch und durchgehend im Einsatz ist, betrachten sie viele als möglichen Ausweg in Zeiten von Fachkräftemangel in der IT-Branche.
So wird klassische Endpoint Detection & Response (EDR) immer häufiger zu Extendend Detection & Response (XDR) umgebaut. Der Vorteil: Selbst kleinste Auffälligkeiten im Verhalten lassen sich durch KI erkennen. Dies ist insbesondere deshalb wichtig, da Angreifer sich immer öfter in Systeme einschleichen, dort aber nicht direkt zuschlagen, sondern zunächst abwarten und Informationen sammeln. Für klassische Antivirus Lösungen waren die Angreifer so keine Bedrohung.
Auch die Aufgaben von Red- und Blue-Teams vollziehen sich zunehmend automatisiert. Dies gilt insbesondere für staatliche Sicherheitssysteme. "State related Hacker" sind oft die Speerspitze neuer Angriffsmethoden. Gerade öffentliche Netzwerke müssen daher immer auf dem neuesten Stand gehalten werden. Umso kritischer ist daher die Tatsache, dass gerade in Deutschland viele öffentliche Systeme veraltet sind. Das zeigen die erfolgreichen Ransomware-Attacken auf öffentliche Netzwerke, wie jener auf die Verwaltung des Landkreises Anhalt-Bitterfeld im letzten Jahr. Nicht umsonst warnt das BKA eindringlich vor den Gefahren durch Cyberangriffe für Behörden. Insbesondere für Träger staatlicher Sicherheit sollten Automatisierungsstrategien also von zentraler Bedeutung bleiben.
Den Faktor Mensch nicht vergessen
Dabei sollte sich die Automatisierungseuphorie jedoch nicht ungebremst breit machen. Denn es gilt, den menschliche Faktor auch in einem zunehmend automatisierten Umfeld nicht zu vernachlässigen. Einerseits setzen Angreifer weiterhin auf menschliches Versagen als Kernstrategie. Dabei zeigen sich die Methoden ausgeklügelter und immer perfider. Social Engineering gehört inzwischen fest in den Werkzeugkasten vieler Hacker. Es unerlässlich, dass alle Organisationen ihre Mitarbeitenden gut schulen und immer auf dem neuesten Stand halten.
Zudem sollten Meldewege kurz sein und nicht negativ auf die Mitarbeiter zurückfallen. Denn Vorfälle, die nicht gemeldet werden, weil die betreffende Person Angst vor dem Urteil des Teams oder der Chefs hat, sind unbedingt zu vermeiden. Doch auch die Verteidigungsstrategien müssen den menschlichen Faktor im Auge behalten. Betrachten wir noch einmal das Beispiel der Red- und Blue-Teams. Selbst wenn diese voll automatisch funktionieren, braucht es menschliche Fachkräfte, die beispielsweise das Purple Teaming übernehmen , also die Performance der KI auswerten und entsprechende Handlungsempfehlungen kommunizieren.
Trennlinien weichen auf
Eine weitere Entwicklung, die sich in den letzten Jahren andeutete und die Zukunft bestimmen wird, ist die zunehmende Kooperation zwischen staatlichen und privaten Akteuren – sowohl auf der Angreifer-, als auch auf der Verteidigerseite. Staatliche Hacker arbeiten immer häufiger mit Cyberkriminellen zusammen und gehen eine Symbiose ein. Staatliche Stellen zielen dabei auf die Schwächung der Infrastruktur ab, während die privaten Hacker monetär profitieren, indem sie beispielsweise ein Lösegeld erpressen.
In Zeiten internationaler Konflikte werden diese Grenzen immer nebulöser. Denn ob ein Angriff auf eine staatlich gesteuerte Aktion oder auf das Werk unabhängiger Einzelgänger zurückzuführen ist, bleibt oft lange unklar. Für Sicherheitsexperten wird es immer schwieriger, die Natur eines Angriffes richtig einzuschätzen und entsprechend zu handeln. Daher wächst auch die öffentlich-private Zusammenarbeit auf Verteidigerseite. In Deutschland ist hier beispielsweise das Netzwerk UP KRITIS, eine Kooperation zwischen staatlichen Stellen und den Bertreibern kritischer Infrastruktur, oder die Allianz für Cybersicherheit zu nennen.
Die Lieferkette: Das schwächste Glied
Die wirtschaftliche Bedeutung von Lieferketten dürfte mittlerweile allen bekannt sein. Lieferengpässe während der Corona-Pandemie zeigten, wie abhängig Unternehmen von einer funktionierenden Lieferkette sind. Doch die letzten Jahre zeigten: die Lieferkette kann das Einfallstor für Cyberangriffe sein. Auch wenn dies auf den ersten Blick zunächst vor allem private Organisationen betrifft, sind staatliche Akteure ebenso auf die Sicherheit der Lieferketten angewiesen. Ein prominentes Beispiel dafür war der SolarWinds-Attacke im letzten Jahr: Hier nutzten die Cyberkriminellen gezielt Schwachstellen in der Softwareplattform Orion aus und griffen so die Supply Chain an. US-Regierungsbehörden wie das Finanz- oder Handelsministerium gehörten damals zu den ersten bekannten Opfern.
NATO: Security 2.0
All diese Entwicklungen und Trends führen zu einer Konsequenz: Komplexität erhöht sich. Angriffsmuster wechseln immer häufiger beziehungsweise werden immer schneller entwickelt. Für Verteidiger gestaltet es zunehmend problematisch, den Überblick zu behalten und auf die neuen Strategien der Cyberkriminellen zu reagieren. Nichtsdestotrotz müssen auch staatliche Akteure auf diese Komplexität reagieren und sich dieser anpassen. Die NATO aktualisierte deshalb kürzlich Sicherheitsmaßnahmen ihres Netzwerks. Im Kern stand dabei ein Update der Detection&Response-Maßnahmen.
Ziel ist es, dass die Verteidiger die Angriffsmuster erkennen, bevor diese bekannt sind. Mithilfe von Full-Paket-Capture lassen sich alle Aktivitäten im Netzwerk kontinuierlich überprüfen, während das Network-Intrusion-Protection/Detection-System Verhaltensweisen scannt und bewertet. Diese aktualisierten Systeme dienen als Basis für sämtliche Incident-Response-Aktivitäten im NATO-Netzwerk. Dies ist nur ein Teil der verstärkte Sicherheitsmaßnahmen, mit der das Bündnis sein Netzwerk schützt. All das zeigt jedoch deutlich: Staaten müssen sich auf deutlich komplexere und neuartige Gefahren in der digitalen Welt vorbereiten.
Verstärkte internationale Kooperation als Lösungsansatz
Hacker operieren heute über Ländergrenzen hinweg. Doch auch die Verteidiger sind international organisiert. Staatliche Sicherheit wird vermehrt über Bündnisse und die internationale Gemeinschaft gewährleistet. Die Politik ist sich der Gefahren längst bewusst und versucht einheitliche Standards in den verschiedenen Ländern zu schaffen. Gerade für einen Staatenbund wie der EU ist dies unabdinglich.
Die Europäische Union versucht mit der Network Information Security Directive 2.0 (NIS2), die vor kurzem im Kraft getreten ist, diese einheitlichen Standards zu schaffen, Ein wichtiger Teil besteht beispielsweise in neuen verpflichteten Meldeverfahren bei Sicherheitsvorkommnissen. So hoffen die Mitgliedsstaaten, Bedrohungen schnell zu entdecken und rechtzeitig die nötigen Verteidigungsmaßnahmen zu ergreifen. Diese neuen Regularien gelten explizit für staatliche Institutionen und private Organisationen mit dem Ziel, die Kooperation dieser zu verbessern.
Fazit
Es ist von entscheidender Bedeutung zu verstehen, dass öffentliche und private Sicherheit keine getrennten Sphären mehr darstellen und auch nicht so behandelt werden dürfen. Private und öffentliche Sicherheit sind immer stärker miteinander verwoben. Der Angriff auf die Ukraine, bei dem auch private Unternehmen in ganz Europe ins Visier der Hacker gerieten, ist nur ein Beleg für diese Entwicklung, die bereits seit längerer Zeit im Gange ist. Nur wer sich auf diese Zukunft vorbereitet, kann in einer immer komplexer werdenden Cybersicherheitswelt bestehen.
Autor: Gergely Lesku, Head of Business Development bei SOCWISE