Warnhinweise der Polizei NRW im Kontext Ukraine-Konflikt

Mit Blick auf die steigende Solidarisierung von Cyber-Gruppierungen (Anonymus, Conti u.a.) mit der Ukraine oder Russland ist nicht auszuschließen, dass durch Cyber-Gegenangriffe dieser Gruppierungen ebenfalls Kollateralschäden in Deutschland oder z. N. deutscher Unternehmen/Einrichtungen entstehen. Durch eine Beteiligung mehrerer, teils prominenter Cyber-Akteure am Konflikt zwischen Russland und der Ukraine erhöht sich das Eskalationspotential im Cyber-Raum weiter.

Auch wenn bisher noch keine Erkenntnisse vorliegen, dass aktuell laufende Angriffe von Ransomware-Gruppierungen wie Conti direkt mit dem Russland-Ukraine-Konflikt in Verbindung stehen, ist es wahrscheinlich, dass solche Angriffe jederzeit erfolgen könnten, da dafür erforderliche Schwachstellen, Backdoors und Zugänge zu deutschen Unternehmen bei den Gruppierungen bereits vorliegen dürften.                          

Die Mitwirkung Deutschlands am internationalen Sanktionsregime der westlichen Staaten, die Lieferung von Waffen an die Ukraine und die konkrete Ankündigung Russlands, „mit symmetrischen und asymmetrischen Gegenmaßnahmen“ zu reagieren, zeigt das vorliegende Gefährdungspotenzial auf. Cyberangriffe sind hierbei eine mögliche "asymmetrische Gegenmaßnahme", die Russland zur Durchsetzung seiner Interessen ergreifen könnte.

Entsprechende Drohungen und Angriffe/Angriffsversuche auf europäische Ziele zeugen von einer hohen Gefährdungslage auch für Deutschland. Neben tatsächlichen Angriffen bergen auch Drohungen oder falsch verbreitete / nicht durchgeführte Angriffe und Angriffsszenarien weiteres Potential einer Verunsicherung der Bevölkerung. Weiterhin können hierfür eingesetzte Schadsoftware bzw. zur Verbreitung genutzte User oder Avatare nicht immer zweifelsfrei einer möglichen politischen Richtung zugeordnet werden bzw. zur Streuung diesbezüglicher Desinformationen genutzt werden.

Im Fall neuer IT-Sicherheitsrelevanter Entwicklungen in der Ukraine wird wie gewohnt anlassbezogen, ggf. mit lageangepassten Empfehlungen, informiert.

Bis dahin gelten weiterhin die bestehenden Empfehlungen, insbesondere:

 

  • Nutzung von "demilitarisierten Zonen (DMZ)" für B2B-Netzwerk-Verbindungen
  • Akivierung von Multi-Faktor-Authentifizierung
  • Minimierung von Privilegien für Systems mit Vertrauensbeziehungen zu externen Systemen
  • Minimierung von Privilegien für Nutzer mit Fern-Zugängen
  • IT-Sicherheits-Logging und -Monitoring mit geeigneten Lösungen und geschultem Personal, insbesondere an Systemen in der Peripherie:
  • VPN- und andere Fernwartungszugänge, Router, Webmail
  • Identifikation von geschäftskritischen Systemen und Prozessen
  • Sicherstellen, dass IT-Systeme und Anwendungen auf aktuellem Patch-Stand sind
  • Erstellen und Prüfen von Notfallplänen
  • Sicherstellen, dass aktuelle Backups vorhanden sind (getrennt von Life-Systemen) und bei Bedarf eingespielt werden können
  • In der unternehmenseigenen Risikoanalyse sollten Geschäftsbeziehungen (inklusive Dienstleister) in die Ukraine sowie technische Schnittstellen/Verbindungen oder VPN zu IT-/OT-Systemen in der Ukraine entsprechend berücksichtigt werden.