«Hackerangriffe können heute jeden treffen»

Cyber-Sicherheit gewinnt aufgrund der geopolitischen Krisen weiter an Bedeutung – auch für Liechtenstein. Michael Valersi, Leiter der Stabsstelle für Cyber-Sicherheit, Jörg Augustin, Geschäftsführer HSL Informatik, und Professor Pavel Laskov, Inhaber des Hilti-Lehrstuhls für Daten- und Anwendungssicherheit an der Universität Liechtenstein, beantworten die drängendsten Fragen.

Veröffentlicht am 30.03.2022 von digital-liechtenstein.li

Wie beurteilen Sie aktuell die Lage - sind die Cyber-Angriffe wirklich deutlich gestiegen?
Michael Valersi: Bei der Stabsstelle Cyber-Sicherheit gibt es keine Anhaltspunkte oder konkrete Hinweise dafür, dass es bisher zu einer erhöhten Aktivität im Zusammenhang mit gezielten Cyberangriffen auf Unternehmen im Land gekommen ist. Zu beachten ist jedoch, dass aktuell verschiedene Gruppierungen, die für Cyberangriffe in der Vergangenheit bekannt sind, im Internet mit den Konfliktparteien sympathisieren. Darüber hinaus ist – im Vergleich zu Ende 2021 – eine allgemein erhöhte Aktivität von Schwachstellenscans und vergleichbarer Aktivitäten im Internet zu beobachten. Es ist aktuell schwer vorherzusagen, wie sich die Lage weiter entwickeln wird. Die Entwicklungen werden jedoch ständig beobachtet.
Jörg Augustin: Wir stellen fest, dass die Angriffe teilweise stark zugenommen haben. Heute kann es jede und jeden treffen, es werden nicht mehr nur gezielte Angriffe gestartet. Einige melden den Vorfall, jedoch gibt es hier eine grosse Dunkelziffer von bereits befallenen Unternehmen.
Pavel Laskov: Aktuell gibt es in deutschsprachigen Ländern nur geringe Anzeichen für steigende Gefährdung durch Cyber-Angriffe, die einen Zusammenhang mit dem Ukraine-Konflikt haben. Selbst in der Ukraine wird aktuell von Experten eine deutlich geringere Intensität der kriegerischen Handlungen im Cyberspace festgestellt als vorhin erwartet wurde. Eine mögliche Ursache dafür ist, dass es für Cyberkriminelle tendenziell nachteilig ist, mit einer der Konfliktparteien in Verbindung gebracht zu werden. In diesem Fall wären zum Beispiel Leistungen von Cyberversicherungen nicht mehr fällig, was wiederum die Bereitschaft von Ransomware-Opfer für Lösegeldzahlungen – also den Erträgen der Cyberkriminellen – verringern würde. Allerdings gab es jüngst auch recht «kreative» Angriffsformen, die einen Bezug zum Ukraine-Konflikt haben. Vor etwa einer Woche wurde zum Beispiel eine Welle von Phishing-Angriffen beobachtet, bei denen Kunden von deutschen Sparkassen aufgefordert wurden ihre Zugriffsdaten abzugeben, um die Einhaltung von Russland-Sanktionen zu überprüfen.

Gibt es eine Einschätzung, woher diese Angriffe stammen? Und wie unterscheiden Sie sich von früheren Angriffen?
Michael Valersi: Die Attribution von Angriffen, sprich die Zuordnung eines Angriffs einem konkreten Urheber oder einer konkreten Quelle, gestaltet sich äusserst schwierig. Wie zuvor erwähnt, haben sich verschiedenste Gruppierungen, die für Cyberangriffe in der Vergangenheit bekannt sind, im Internet mit den Konfliktparteien sympathisiert und erklären sich für einzelne Angriffe verantwortlich. Die Angriffsvektoren unterscheiden sich dabei wenig von denen, wie sie bereits vor dem Konflikt beobachtet wurden. Vielmehr hat sich die Motivation der Angreifer dahingehend verschoben, dass aktuell politische Aspekte für die Wahl eines Ziels eine grössere Rolle spielen als ein möglicher finanzieller Gewinn. Wobei jene Gruppierungen und Angreifer, die die aktuelle Situation zu deren Vorteil und Profit nutzen wollen, nicht ausser Acht gelassen werden dürfen.
Jörg Augustin: Die Angriffe stammen von überall her und man kann praktisch nie genau sehen woher. Es sind sehr raffinierte Angriffe. Da stecken sehr oft grosse Organisationen dahinter, manchmal auch staatliche unterstützte Organisationen. Die Art der Angriffe unterscheidet sich kaum von früher. Denn seit eh und je ist das Mail die meistverwendete Art. Die Aufmachung der korrupten Mails ist in der Qualität markant verbessert worden. Die Mails sehen sehr vertrauenswürdig aus, die Hacker investieren viel und wie es aussieht auch mit Erfolg! Neu werden auch vermehrt SMS oder WhatsApp-Nachrichten mit korruptem Inhalt versendet, welche dann das Handy oder die App unbrauchbar machen. Oft werden Kreditkarten Informationen preisgegeben, welche danach missbraucht werden. Hier gilt grosse Aufmerksamkeit, um nicht in die Falle zu tappen.
Pavel Laskov: Die Angriffstechniken entwickeln sich permanent, allerdings über einen längeren Zeithorizont. Bisher wurden keine neue Angriffstechniken festgestellt, die auf aktuelle geopolitische Ereignisse zurückgeführt werden können. Das ist vielleicht auch deswegen kaum überraschend, weil im Krieg das «Rad nicht neu erfunden wird», sondern eher bewährte Techniken zum Einsatz kommen. Aktuelle Berichte über die mit dem Ukraine-Konflikt zusammenhängenden Cyber-Angriffe auf ukrainische sowie russische Ziele erwähnen überwiegend herkömmliche Angriffsvektoren wie DDoS oder so genannte «Wiper»-Angriffe, die Daten unwiderruflich zerstören oder verschlüsseln. Die letztere Art der Angriffe kann eventuell als Kollateralschaden auch in anderen Ländern zunehmen.

Was empfehlen Sie Unternehmen aktuell? Worauf muss man besonders achten?
Michael Valersi: Es ist zu beachten, dass Cyberangriffe erhebliche Risiken über den eigentlichen Konflikt hinaus bergen. So könnte sich etwa ein Cyberangriff in der Ukraine auch dahingehend auf Liechtenstein auswirken, dass bspw. zum Einsatz gebrachte Schadsoftware im Land seine Wirkung entfaltet. Unternehmen sollten vor allem deren Mitarbeiter entsprechend sensibilisieren. Ein Grossteil der erfolgreichen Angriffe beginnt nach wie vor mit einer E-Mail. Zudem sollte dem Business Continuity Management, sprich der Aufrechterhaltung der Betriebsfähigkeit bzw. deren rasche Wiedererlangung, besonderes Augenmerk geschenkt werden. Früher oder später wird ein Angriff erfolgreich sein. Jene Unternehmen, die darauf vorbereitet sind und Pläne für den Fall einer Störung oder gar den kompletten Ausfall ihrer IT-Infrastruktur haben, werden vergleichsweise zügig wieder in den «Normalbetrieb» übergehen können. Jene Unternehmen ohne entsprechende Vorbereitung werden im Ereignisfall den Wiederanlauf teuer erkaufen.
Jörg Augustin: Wir empfehlen besondere Vorsicht beim Öffnen aller Mails, denn hier lauert die grösste Gefahr. Alles was einem suspekt oder nicht vertrauenswürdig erscheint, sollte nicht geöffnet werden und ganz sicher nicht auf einen Link im Inhalt tippen. Awareness ist hier gefordert. Ebenfalls sollten die Systeme stetig aktualisiert werden und ein funktionierendes Backup vorhanden sein.​​​​​​​
Pavel Laskov: Es gilt nach wie vor anzunehmen, dass man angegriffen wird. Jedes Unternehmen sollte sich im Klaren sein, dass ein weit fortgeschrittener Angriff - unabhängig von Schäden an Geschäfts- oder Produktionsprozessen - einen Totalschaden für die IT-Infrastruktur mit sich bringen kann. Damit dies nicht der Fall wird, sollte selbst ein erfolgreicher Angriff möglichst schnell erkannt und lokalisiert werden. Bei allen präventiven Massnahmen, wie etwa Schulungen von Mitarbeitenden zum Umgang mit E-Mail oder dem Einsatz einer 2-Faktor-Authentifizierung, besteht das Risiko, dass ein Einfallstor woanders liegen kann. Um dieses Risiko zu verringern, empfiehlt sich eine modulare Netz-Architektur, in der alle Übergänge durch Firewalls oder ähnliche Instrumente überwacht werden. Das erschwert für die Angreifer den Zugriff auf kritische Ressourcen des Unternehmens und ermöglicht eine zeitnahe Erkennung des Vorfalls. Vorausgesetzt die Alarme werden im Falle eines Angriffs nicht auf die leichte Schulter genommen.​​​​​​​

Welche Massnahmen sind aus Ihrer Sicht auf staatlicher Ebene notwendig?
Michael Valersi: Die Stabsstelle Cyber-Sicherheit ist die zentrale staatliche Ansprechstelle für jegliche Fragen zu Cyberrisiken und unterstützt die Unternehmen bei sämtlichen Anliegen zum Thema Cybersicherheit. So wird bspw. aktuell eine wöchentliche Lagebeurteilung an verschiedenste Unternehmen im Land gesendet. Dies ist nur ein Angebot, weitere werden folgen. Mittel- bis langfristig wird die Stabsstelle vor allem niederschwellig Hilfe zur Selbsthilfe für verschiedenste Zielgruppen und Bedürfnisse anbieten.​​​​​​​
Jörg Augustin: Die Stabstelle für Cyber-Sicherheit informiert bei Auffälligkeiten. Wir stehen in engem Austausch mit der Stabsstelle und lassen die Informationen bei unseren IT-Kunden einfliessen.​​​​​​​
​​​​​​​Pavel Laskov: Gerade in den letzten Wochen wird in einigen Ländern, vor allem in den USA, über eine Verstärkung von regulatorischen Massnahmen in Bezug auf die Cybersicherheit nachgedacht. Sollten aktuelle geopolitische Risiken zur deutlichen Verschlechterung der Cybersicherheitslage führen, werden solche Massnahmen höchstwahrscheinlich unumgänglich. Als unmittelbare Handlungsoption könnte z.B. die Einführung einer allgemeinen Meldepflicht für Cybersicherheitsvorfälle erwogen werden.​​​​​​​