Geopolitische Spannungen und Konflikte führen zu erheblichen Risiken für Unternehmen – sowohl in betroffenen Regionen als auch darüber hinaus. In solchen Zeiten häufen sich Cyberangriffe, die häufig staatlich unterstützt werden. Diese Angreifer nutzen fortschrittliche Techniken, um kritische Infrastrukturen zu infiltrieren, Betriebsabläufe zu stören oder Daten zu stehlen. Ihre Ziele sind vielfältig: von Spionage und Sabotage bis hin zu wirtschaftlicher Destabilisierung und psychologischer Kriegsführung. Dabei treten Nationalstaaten, Hacktivisten und Cyberkriminelle in Erscheinung, die die Unruhen zu ihrem Vorteil nutzen.
Besonders bedrohlich wird die Lage, wenn Cyberakteure ihre Strategien gezielt an Krisen anpassen und ihre Angriffe intensivieren. Eine frühzeitige Erkennung dieser Verhaltensänderungen ist daher für die Verteidigung von Unternehmen entscheidend. Historische Präzedenzfälle, wie die Kampagnen gegen die Ukraine seit 2014 und die jüngsten Angriffe, die Volt Typhoon zugeschrieben werden, zeigen, dass Unternehmen ihre Strategien nicht an neue Gegebenheiten anpassen müssen. So zielt die seit 2021 aktive und mutmaßlich staatlich unterstützte chinesische Hackergruppe beispielsweise auf Spionage ab und möchte, sobald sie sich Zugang zu den Systemen ihrer Opfer verschafft hat, möglichst lange unerkannt bleiben. Unternehmen müssen derartige Techniken und Konflikte als Teil des Risikomanagements wahrnehmen und proaktiv antizipieren.
Fortgeschrittene persistente Bedrohungen (APTs)
Eine der größten Herausforderungen in solchen Konflikten sind die Advanced Persistent Threats (APTs). Diese langwierigen und hochgradig zielgerichteten Cyberoperationen zielen darauf ab, sensible Informationen von Regierungen oder Unternehmen zu stehlen und die betroffenen Organisationen zu destabilisieren. APT-Angriffe, die oft von Nationalstaaten unterstützt werden, zeichnen sich durch ausgeklügelte Taktiken aus, darunter Social Engineering, Spear-Phishing oder die Nutzung von Zero-Day-Exploits. Mit zunehmender Eskalation der Konflikte arbeiten APT-Gruppen vermehrt mit Cyberkriminellen zusammen, um sich weiteren Zugang zu verschaffen. Dies führt dazu, dass auch vormals geschützte Organisationen, wie Gesundheitseinrichtungen oder kritische Infrastrukturen, ins Visier geraten. Dabei handelt es sich nicht nur um sogenannte „sophisticated“ Angriffe, sondern auch um massive Distributed Denial of Service (DDoS)-Attacken, die beispielsweise Rüstungsfirmen treffen und die zumeist eher Hacktivisten zuzuordnen sind. Obwohl diese in der Regel nicht den gleichen Schaden anrichten wie andere Angriffe, binden sie wertvolle Ressourcen und können das Cyberrisiko insgesamt erhöhen.
Ein besonders besorgniserregendes Beispiel ist die Aktivität der russlandnahen Killnet-Gruppe sowie Hacker im Nahost-Konflikt. Auch in Deutschland ist die Zunahme staatlich unterstützter Angriffe deutlich spürbar. So wurde kürzlich der chinesische Botschafter ins Auswärtige Amt einbestellt, nachdem ein massiver Cyberangriff auf deutsche Ministerien und Behörden stattgefunden hatte, der China zugeschrieben wurde. Solche Vorfälle verdeutlichen die internationale Dimension von APT-Angriffen in geopolitisch angespannten Zeiten.
Weitere Unternehmensprozesse betroffen
Auch andere Unternehmensprozesse, wie die Personalbeschaffung und Remote-Arbeitsmodelle, sind zunehmend von Cyberbedrohungen betroffen. Ein Beispiel dafür sind die nordkoreanischen Remote-Worker-Kampagnen, bei denen Kriminelle erfolgreich IT-Positionen in westlichen Firmen besetzen, um Daten zu stehlen und Erpressungen durchzuführen. Die Intentionen sind derzeit in Teilen noch unklar, klar ist jedoch, dass sie dabei gestohlene Identitäten und lokale Mittelsmänner nutzen, um ihre Aktivitäten zu verschleiern. In einem kürzlich bekannt gewordenen Fall hat ein Unternehmen unwissentlich nordkoreanische Remote-Worker eingestellt. Fälle wie dieser verdeutlichen das Risiko, das von solchen Arbeitskräften ausgeht, die über mehrere Monate hinweg für westliche Firmen arbeiten, während sie Gelder über komplexe Netzwerke nach Nordkorea schleusen. Unternehmen wird empfohlen, solche Fälle in ihr Risikomanagement miteinzubeziehen und Maßnahmen zu ergreifen, um sich vor Datenverlust und Erpressung zu schützen.
Eine enge Verzahnung von Cybersicherheit und operativen Abläufen hilft dabei, potenzielle Angriffe rechtzeitig zu erkennen und abzuwehren. Zudem ist es von großer Bedeutung, eine verlässliche Kommunikation mit der Öffentlichkeit zu gewährleisten, um Desinformationen entgegenzuwirken. Unternehmen müssen sich darüber hinaus intensiv mit ihren Risiken und potenziellen Schwachstellen auseinandersetzen und entsprechende Sicherheitsmaßnahmen umsetzen.
Verstehen der erweiterten Angriffsfläche
Ein wesentlicher Bestandteil der Anpassung an diese Bedrohungslage ist das Verständnis der erweiterten Angriffsfläche, die Unternehmen heutzutage ausgesetzt sind. Diese umfasst nicht mehr nur die klassische IT-Infrastruktur, sondern auch Technologien wie IoT-Geräte, Cloud-Dienste und Remote-Arbeitsumgebungen. All diese Bereiche bieten potenzielle Schwachstellen, die Angreifer ausnutzen könnten, insbesondere wenn Mitarbeiter in Notfällen von weniger sicheren Geräten auf Unternehmensnetzwerke zugreifen. In geopolitischen Konflikten muss zusätzlich berücksichtigt werden, dass Unternehmen in betroffenen Regionen möglicherweise den Zugang zu Büros verlieren oder längere Stromausfälle erleben. Kritische Geschäftsprozesse müssen daher so gestaltet werden, dass sie trotz dieser Herausforderungen funktionsfähig und sicher bleiben.
Was können Unternehmen tun?
Um in geopolitischen Krisen resilient zu bleiben, sollten Unternehmen ihre Cybersicherheitsstrategien frühzeitig auf den Prüfstand stellen und entsprechend stärken. Ein wichtiger Baustein dafür ist eine detaillierte Analyse der eigenen Risikolage. Dazu gehört ein fundiertes Verständnis der aktuellen Bedrohungsszenarien durch Maßnahmen wie Threat Intelligence, die Verbesserung der Visibilität von Risiken und die klare Kommunikation dieser Risiken gegenüber der Geschäftsleitung. Es muss betont werden, dass die IT-Abteilung sich nicht um geopolitische Themen kümmern kann, sondern lediglich dafür sorgen sollte, möglichst viel Kontext und Transparenz zu schaffen, um fundierte Entscheidungen zu ermöglichen. Darüber hinaus ist es wichtig, dass Krisenmanagementteams klare Rollen und Verantwortlichkeiten haben, um in Konfliktzeiten handlungsfähig zu bleiben.
Mit diesen Maßnahmen können Unternehmen ihre Widerstandsfähigkeit gegen Cyberbedrohungen erhöhen und sich proaktiv auf potenzielle Risiken vorbereiten.