Wenn geopolitische Spannungen eskalieren, liegt das Hauptaugenmerk auf physischen Konflikten, wirtschaftlichen Störungen und politischen Auswirkungen. Was oft weniger sichtbar ist, sich aber bereits parallel dazu abspielt, ist ein Anstieg der Cyberaktivitäten.
In diesem Blog erklärt Richard Ford, CTO von Integrity360, wie globale Konflikte zu einem erhöhten Cyberrisiko führen, warum Hacktivismus an Boden gewinnt und was Unternehmen wissen müssen, um ihr Risiko zu verringern.
Hacktivismus ist zu einem entscheidenden Merkmal moderner Cyberkonflikte geworden, insbesondere in Zeiten geopolitischer Instabilität. Im Gegensatz zur traditionellen Cyberkriminalität sind diese Gruppen nicht in erster Linie finanziell motiviert. Ihre Ziele sind ideologischer Natur.
Richard Ford erklärt:
Der Begriff Hacktivismus bezieht sich auf Hackergruppen, die politisch oder sozial motiviert sind, die von einer Ideologie oder dem Wunsch nach sozialer Gerechtigkeit oder politischem Wandel angetrieben werden, anstatt finanziell motiviert zu sein.
Je nach Gruppe und/oder Motivation sind die Ziele in der Regel Regierungen oder große Unternehmen. In diesem speziellen Fall geht es um Hacktivistengruppen, die entweder Verbindungen zum Iran haben oder mit ihm sympathisieren und die durch die Ereignisse der letzten Wochen ausgelöst wurden. In diesem Fall werden iranische Hacktivisten darauf abzielen, Regierungsorganisationen, Dienste und die Bevölkerung der Zielländer zu stören, teilweise um Druck auf sie auszuüben, aber vor allem, um Vergeltung zu üben.
Dies markiert einen Wandel in der Art und Weise, wie Cyber-Aktivitäten während eines Konflikts eingesetzt werden. Anstelle von isolierten Vorfällen werden Angriffe zunehmend koordiniert und darauf ausgerichtet, breitere gesellschaftliche Auswirkungen zu erzielen.
Richard fährt fort:
Die Befürchtung ist derzeit, dass die wahrscheinlichen Ziele eines jeden Angriffs, um die Wirkung zu maximieren, kritische nationale Infrastrukturen (CNI) sein werden. Mit der Verabschiedung der NIS2-Richtlinie in der EU und dem bevorstehenden Gesetz über Cybersicherheit und Widerstandsfähigkeit im Vereinigten Königreich, das die Sicherheitsanforderungen für Anbieter und Betreiber von CNI festlegt, ist die Sicherung der CNI in den Mittelpunkt gerückt.
Dieser Schwerpunkt wird zum einen durch die enormen Auswirkungen, die Verstöße haben können, einschließlich des Verlusts von Menschenleben in extremen Fällen, angetrieben, zum anderen aber auch dadurch, dass diese Umgebungen traditionell sehr unsicher waren und mit einem Schwerpunkt auf Betrieb und Verfügbarkeit und nicht auf Sicherheit betrieben wurden.
In der gegenwärtigen Situation führen Gruppen, die mit geopolitischen Zielen sympathisieren, immer häufiger störende Cyberoperationen durch. Ihr Ziel ist nicht nur Sichtbarkeit. Es geht um Druck. Indem sie auf Organisationen abzielen, die die Grundlage des täglichen Lebens bilden, wollen sie die Regierungen indirekt beeinflussen, indem sie die Bevölkerung stören.
Richard Ford beschreibt, wie diese Angriffe typischerweise durchgeführt werden:
Die Angreifer verwenden im Allgemeinen eine Reihe von Methoden, um ihre Ziele anzugreifen. Eine im Hacktivismus weit verbreitete Angriffstechnik, die über Dark-Web-Dienste relativ einfach und kostengünstig durchgeführt werden kann, sind DDoS-Angriffe (Distributed Denial of Service).
Das Dark Web ist ein versteckter, anonymer und verschlüsselter Teil des Internets, der für seine illegalen Marktplätze berüchtigt ist, von denen einige Angreifer-Tools und -Dienste als Teil einer Angreifer-Lieferkette anbieten.
Diese Dienste haben die Einstiegshürde für Angreifer erheblich gesenkt.
DDoS-Dienste bieten Zugang zu bestehenden Botnetzen, d. h. kompromittierten Rechnern in großem Maßstab, und ermöglichen es Angreifern, Websites und Dienste mit extrem hohem Datenverkehr zu einem relativ niedrigen Preis anzugreifen und sie, wenn auch nur vorübergehend, offline zu schalten.
DDoS-Angriffe sind zwar sehr auffällig, richten aber selten den größten Schaden an.
DDoS-Angriffe sind zwar einfacher und leichter durchführbar, aber die wirklich wirkungsvollen Angriffe sind die, bei denen eine Organisation kompromittiert wird und ihre Systeme langfristig gestört werden sollen. Dabei handelt es sich eher um herkömmliche Angriffe, die oft mit einer einfachen Phishing-E-Mail oder der Ausnutzung einer Schwachstelle beginnen und sich dann zu kritischen Systemen vorarbeiten, um Ransomware-ähnliche Angriffe zu starten, die Systeme verschlüsseln, deaktivieren oder verändern.
Wie sich diese Angriffe in der Praxis auswirken, hängt sowohl von der verwendeten Methode als auch von der Art der angegriffenen Organisation ab. Während einige Angriffe eine vorübergehende Störung verursachen, können andere weitreichende Folgen haben.
Richard Ford erklärt:
Das Ziel und die Art des Angriffs bestimmen die Auswirkungen, die für Menschen und Organisationen spürbar sein können. Da DDoS-Angriffe relativ einfach auszuführen sind und eine typische Taktik von Hacktivisten darstellen, sind sie sehr wahrscheinlich und könnten öffentliche Webdienste lahm legen. Allerdings werden die meisten von ihnen in irgendeiner Form geschützt sein und die Auswirkungen werden nur vorübergehend sein.
Am schwereren Ende des Spektrums werden die Folgen deutlich ernster.
Der schlimmste Fall, der nicht ganz so trivial ist und erfolgreich inszeniert werden kann, wäre ein Zusammenbruch kritischer nationaler Infrastrukturen wie Strom-, Wasser-, Gesundheits- und Lebensmittelversorgung. Dies könnte eine Vielzahl von Auswirkungen haben und für die Bevölkerung am stärksten spürbar sein.
Die jüngsten Cybervorfälle im Handelssektor geben einen guten Hinweis darauf, wie Störungen eskalieren können.
Der Angriff auf Marks & Spencer im Vereinigten Königreich ist ein sehr gutes Beispiel für einen Cyberangriff, insbesondere in Bezug auf Schwere und Auswirkungen, bei dem die Regale leer waren und die Kunden keine Bestellungen aufgeben konnten. Obwohl es sich um einen finanziell motivierten Ransomware-Angriff handelt, könnte der Ansatz bei Angriffen auf CNI-Anbieter sehr ähnlich sein.
Darüber hinaus wurde der JLR-Angriff, der in den Monaten nach M&S folgte und mit denselben Angreifern in Verbindung gebracht wurde, als Beeinträchtigung des Wirtschaftswachstums in diesem Quartal genannt. Es müssen also nicht unbedingt CNI sein, um erhebliche Auswirkungen zu haben.
Hacktivistische Aktivitäten mögen zwar die Schlagzeilen beherrschen, sind aber nur ein Teil eines umfassenderen Trends. Globale Konflikte bieten Chancen in der gesamten Bedrohungslandschaft.
Während sich die Aufmerksamkeit auf bestimmte Akteure oder Regionen konzentriert, operieren andere Gruppen parallel dazu. National verbündete Akteure, Cyberkriminelle und opportunistische Angreifer machen sich die zunehmende Ablenkung und Komplexität zunutze. Dies führt zu sich überschneidenden Bedrohungen, einem größeren Angriffsvolumen und einer höheren Wahrscheinlichkeit einer erfolgreichen Kompromittierung.
Für Unternehmen bedeutet dies, dass sich die Bedrohungslage als Reaktion auf globale Ereignisse schnell und oft ohne Vorwarnung ändert.
In diesem Umfeld ist ein reaktiver Ansatz nicht mehr ausreichend. Unternehmen müssen davon ausgehen, dass die Cyber-Bedrohungen in Zeiten geopolitischer Instabilität zunehmen werden, und sich entsprechend vorbereiten.
Dies erfordert:
Am wichtigsten ist jedoch, dass Unternehmen über die reine Prävention hinausgehen und sich auf die Widerstandsfähigkeit konzentrieren. Die Fähigkeit zur schnellen Erkennung, Reaktion und Wiederherstellung entscheidet letztlich über die Auswirkungen eines Angriffs.
Die globalen Konflikte von heute beschränken sich nicht nur auf physische oder politische Bereiche. Sie weiten sich aus und beginnen oft im Cyberspace, wo mehrere Akteure gleichzeitig mit unterschiedlichen Motiven, aber oft mit sich überschneidenden Zielen operieren.
Cyber-Opportunismus gedeiht in der Ungewissheit, und Zeiten geopolitischer Spannungen schaffen die idealen Bedingungen für vermehrte Angriffe. Da die physische Sicherheit in solchen Zeiten erhöht wird, muss auch die Cybersicherheit verstärkt werden.
Organisationen, die dieses Muster erkennen und sich auf die komplexere, sich schnell verändernde Bedrohungslandschaft vorbereiten, werden weitaus besser in der Lage sein, die Auswirkungen zu überstehen. Diejenigen, die dies nicht tun, laufen Gefahr, von den sich parallel zu den globalen Ereignissen weiterentwickelnden Cyberkonflikten überrascht zu werden.
Wenn Sie sich über eine der in diesem Blog beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen zu schützen, denen Ihr Unternehmen ausgesetzt ist, nehmen Sie bitte Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.