Blog

Shields-Up! Risiken und Nebenwirkung der hybriden Kriegsführung auf Unternehmen

Bereits seit einigen Jahren gibt es Anzeichen, dass der nächste grosse Konflikt zwischen zwei Nationen hybrid geführt werden könnte. Dabei kommen neben konventionellen militärischen Kräften auch Mittel des Cyberkrieges zum Einsatz. Diese Annahme ist mit der militärischen Konfrontation zwischen Russland und der Ukraine jetzt zu einer Tatsache geworden. Aber was bedeutet das für die Betreiber kritischer Infrastrukturen und für Unternehmen in der Schweiz?

ISPIN Blog - Hybride Kriegsführung

Bereits im Vorfeld des Russland-Ukraine-Konflikts hat sich abgezeichnet, dass hier einerseits Mittel der Desinformation, andererseits vor allem die gezielte Störung und Zerstörung von kritischer IT-Infrastruktur im Zentrum stehen. Neben der Betroffenheit über das Leid der Menschen stellt sich die Frage, welche Auswirkungen diese Art von Konflikt auf Betreiber von kritischen Infrastrukturen und Unternehmen in Europa und der Schweiz haben kann. Dieser Frage möchten wir anhand der aktuellen Entwicklung nachgehen und in verschiedenen Szenarien darlegen.

Was bedeutet hybride Kriegsführung?

Die hybride Kriegsführung bezeichnet ein Konfliktszenario, bei dem eine Kombination aus klassischen Militäreinsätzen, wirtschaftlichem Druck, Cyberangriffen bis hin zu Propaganda in den Medien und sozialen Netzwerken zum Einsatz kommt. Dieses Vorgehen wird auch als «hybride Taktik» oder «hybride Kriegsführung» bezeichnet. Die Elemente der hybriden Kriegsführung sind nicht neu. Was neu ist, sind die Möglichkeiten, kritische Infrastruktur aus der Ferne anzugreifen und die Möglichkeiten der Sozialen Medien zu nutzen, um rasch und im grossen Stil Falschinformationen zu verbreiten oder die Meinungen über einen Konflikt zu steuern.

Neue Mittel - das gleiche Problem

Gezielte Angriffe auf die kritische Infrastruktur der Ukraine wurden bereits seit 2017 regelmässig bekannt. Die damalige NotPetya Attacke, welche später weltweit Unternehmen und Behörden betroffen hat, war ursprünglich eine gezielte Supply Chain Attacke, welche gegen die Ukraine gerichtet war. Dies zeigt gleichzeitig auch das grösste Problem der hybriden Kriegsführung. Ähnlich wie in der konventionellen Kriegsführung lassen sich Kollateralschäden bei Zivilisten oder ziviler Infrastruktur kaum vermeiden. Im Fall von Cyberangriffen besteht aber das Problem, dass sich das Gebiet geografisch kaum eingrenzen lässt. Das heisst: Kollateralschäden können weltweit, jederzeit und jede Infrastruktur treffen. Die Frage lautet deshalb: Auf welche Szenarien müssen wir uns einstellen?

Szenario 1: Overspill von Cyberattacken

Das erste und gleichzeitig wahrscheinlichste Szenario ist das Übergreifen von Cyberattacken vom eigentlichen Ziel auf kritische Infrastrukturen und Unternehmen weltweit. Ein aktuelles Beispiel dafür ist die kürzlich entdeckte Malware HermeticWiper, die gegen hunderte von Institutionen und Unternehmen in der Ukraine eingesetzt wird. HermeticWiper funktioniert genauso wie klassische Ransomware, nur ohne die Möglichkeit, die verschlüsselten Daten wieder zurückzugewinnen. Es gibt aktuell Hinweise, dass diese Malware bereits in Netzwerken in den baltischen Staaten aufgetaucht ist. Ob absichtlich oder unabsichtlich ist derzeit unklar. Es handelt sich auch nicht um die erste Entdeckung von Malware dieser Art. Bereits Mitte Januar wurde die Entdeckung von WhisperGate bekannt, welche ebenfalls seit geraumer Zeit gegen Ziele in der Ukraine eingesetzt wird. Es gibt aber noch ein weiteres Problem: Während sich die Entwicklung von «kommerzieller» Malware zumindest halbwegs zuverlässig verfolgen lässt, ist das bei den staatlichen/militärischen Pendants deutlich schwieriger. Diese werden wesentlich diskreter entwickelt und eingesetzt. Das heisst, die Verfügbarkeit von Threat Intelligence Informationen ist in diesen Fällen entsprechend eingeschränkt.

Szenario 2: Bürgerkrieg im Netz

Während sich ein klassischer Konflikt in der Regel zwischen zwei klar identifizierten Parteien abspielt, gibt es Anzeichen, dass es auch im Umfeld des russisch-ukrainischen Konflikts zu einer Art ziviler Bürgerkrieg kommen kann. So hat die Gruppe Anonymous in einer Twitter Mitteilung offiziell den Krieg gegen das russische Regime erklärt. Als Reaktion darauf hat die CONTI Ransomware Gruppe, welche dem russischen Spektrum zugeordnet wird, über Twitter bekanntgegeben, entsprechende Gegenschläge auszuführen. Bereits kürzlich hat Anonymous eine Reihe von gestohlenen Benutzerdaten aus dem Umfeld des Kremls veröffentlicht. Was diese Gruppen letztlich als entsprechende Ziele identifizieren und welche Mittel sie bereit sind, einzusetzen, ist derzeit nicht absehbar. Bezeichnend dafür ist, dass nicht nur zahlreiche westliche Behörden entsprechende Warnungen an Unternehmen ausgegeben haben, sondern auch russische.

Szenario 3: Gezielte Angriffe auf Zahlungssysteme

Mit dem Ausschluss Russlands aus dem Zahlungssystem SWIFT ergibt sich zudem ein weiteres Gefährdungsszenario, das sich unter Umständen sehr rasch materialisieren dürfte. Dazu eine Rückblende: In den Jahren 2015 und 2016 kam es zu einer Reihe von teilweise erfolgreichen Angriffen auf das Zahlungssystem SWIFT. Diese wurden der Gruppe Lazarus zugeschrieben, welche in Verbindung mit Nordkorea steht. Das Ziel dieser Angriffe war offensichtlich die direkte Beschaffung von Devisen für ein Regime, welches vom internationalen Zahlungsverkehr weitgehend ausgeschlossen ist. Es ist daher sehr gut denkbar, dass diese Strategie auch von Russland genutzt werden könnte, wodurch jedes Finanzinstitut zum ultimativen Ziel würde.

Vorbeugen ist schwierig - laufendes Beobachten und schnelle Reaktion sind gefragt

Bereits jetzt ist absehbar, dass der Konflikt in Osteuropa die Möglichkeiten und Auswirkungen der hybriden Kriegsführung auf eine ganz neue Stufe heben wird. Konkret heisst das, dass in diesem digitalen Krieg die geografischen Grenzen, wie auch die Unterscheidung von öffentlichen oder privaten Zielen wohl eher eine untergeordnete Rolle spielen dürften. Praktisch jedes Unternehmen, jede Organisation kann gezielt - oder auch nur als Kollateralschaden zum Opfer werden. Das Problem ist im Zusammenhang mit der Cyberkriminalität an sich nicht neu, aber eine neue Dimension ist, dass diese Angriffe im grossen Stil durch Nationen aktiv gefördert werden dürften. Rein passive Schutzmechanismen, egal wie ausgeklügelt, werden diesem neuen Sturm definitiv nicht standhalten - die rasche Erkennung und richtige Reaktion rückt ins Zentrum der Cyber Defense Strategie.

Zusammen. Sicher.

Verhindern Sie, dass Ihr Unternehmen zum Kollateralschaden wird. Prüfen Sie Ihre Risiken wie z.B. Vendor und Third Party Risiken und ob Ihre Cyber Defense Strategie und Massnahmen ausreichen, um eventuellen Angriffen standzuhalten. Unsere erfahrenen Cybersecurity-Experten beraten und unterstützen Sie gerne. Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.
Incident melden!

.