Zusammenarbeit für internationale Vorfallreaktion

Auf der IT-Sicherheitskonferenz RSA 2021 besprach ein Sachverständigengremium die Notwendigkeit einer besseren Zusammenarbeit, um gegen Cyberverbrechen anzukämpfen.

NotPetya legte große Unternehmen rund um den Globus lahm, Sony Pictures wurde gehackt als Vergeltung für die Veröffentlichung eines Filmes und erst vor Kurzem erlitt Colonial Pipeline einen Ransomware-Angriff. Es ist nicht nur schwer in den Nachrichten Bericht über diese Verbrechen zu erstatten, sie stellen auch eine komplexe Herausforderung für Unternehmen, Strafverfolgungsbehörden und politische Entscheidungsträger auf der ganzen Welt dar. Das Internet kennt keine Grenzen – Angreifer, die sich in einem bestimmten Land befinden, können Opfer in anderen Ländern ins Visier nehmen, was die Gerichtsbarkeit im virtuellen Raum erheblich erschwert.

Kommunikation – sehr viel Kommunikation – und Zusammenarbeit sind die Lösung. Allerdings ist das wesentlicher einfacher ausgedrückt, als es in Wirklichkeit ist.

Auf der RSA 2021 sprachen Craig Jones, INTERPOLs Direktor für Cyberkriminalität, Jon Fanzun, Sondergesandter des EDA für Cyber-Aussen- und Sicherheitspolitik und Serge Droz, Vorsitzender der Organisation FIRST (Forum of Incident Response and Security Teams, Forum für Vorfallsreaktions- und Sicherheitsteams) in der Diskussionsrunde des Gremiums über: „Die tickende ,Cyberbombe‘ und warum es keine politischen Antworten für die Behebung von Risiken in Wertschöpfungsketten gibt“. Anastasiya Kazakova, Kasperskys Senior Manager of Public Affairs, moderierte die Diskussionsrunde. In der Gruppe wurden bestimmte Herausforderungen besprochen und beratschlagt, was alles für eine globale Antwort erforderlich ist.

Allgemeine Übereinstimmung fördert bessere Zusammenarbeit und unterstützt das Teilen des Bewusstseins bezüglich der Bedrohungen sowie den sicherheitsbezogenen, grenzübergreifenden Vorfällen. Die Gerichtsbarkeit ist allerdings an Ländergrenzen gebunden, die von den Strafverfolgungsbehörden berücksichtigt werden müssen – leider sind den Cyberverbrechern die Grenzen völlig egal.

„Cyberverbrecher lieben die Strategie ,Teile und Herrsche‘ – solange wir uns nicht einig sind, wird die Cyberkriminalität florieren. Deswegen besteht die größte Herausforderung – die weit größer ist als die technische Herausforderung – darin, gemeinsam zu beschließen, wie wir besser zusammenarbeiten können“, erklärt Droz.

Die Ansicht von Droz mag katastrophisch klingen, aber es ist eine Tatsache, dass grenzübergreifende Verbrechensbekämpfung in den letzten Jahren zugenommen hat. Private Einrichtungen, Computer Emergency Response Teams (CERTs), Strafverfolgungsbehörden und Regierungen beginnen zusammenzuarbeiten, um den Opfern zu helfen. Mit dem Projekt NoMoreRansom.org konnte beispielsweise Ransomware-Opfern bei der Entschlüsselung der Dateien geholfen werden, ohne irgendjemand dafür bezahlen zu müssen. Dank der Zusammenarbeit von Europol, dem Bundeskriminalamt, den Strafverfolgungsbehörden in den Niederlanden (Politie), in Schweden (Polisen), dem australischen Centre to Counter Child Exploitation sowie der australischen Bundespolizei, dem Queensland Police Service (QPS), dem FBI, der US-amerikanischen Einwanderungsbehörde ICE und der nationalen Polizei Kanadas  konnte eine der weltweit größten kinderpornografischen Darknetplattformen abgeschaltet und die mutmaßlichen Verantwortlichen festgenommen werden.

Diese Beispiele geben uns Hoffnung, aber es muss noch weit mehr getan werden. Besonders wichtig es, dass Organisationen die Zusammenarbeit begrüßen und Cyberverbrechen als Teil unserer Gegenwart betrachten. Es ist erforderlich mehr Vertrauen aufzubauen, damit Informationen grenzüberschreitend und zwischen den Gruppen verschiedener Stakeholder problemlos ausgetauscht werden können.

Bei Kaspersky betrachten wir die Zusammenarbeit als einen Dreischritt-Vorgang, der dabei helfen kann Angriffe auf kritische Infrastrukturen abzuwehren und richtig darauf zu reagieren.

  1. Nationale Kontaktstellen ermöglichen die Koordination mit anderen relevanten Behörden des entsprechenden Landes. Es werden regelmäßige Cyberübungen durchgeführt. Außerdem solten grenzübergreifende Verfahren, Tools und Vorlagen entwickeln werden (beispielsweise für Vorfallbewertung, Hilfeersuchen oder verantwortlichen Informationsaustausch über Schwachstellen).
  2. Im Fall eines Angriffs vermitteln die nationalen Kontaktstellen die Organisation, dessen Infrastruktur angegriffen wurde, an die richtigen Softwareentwickler, Cybersicherheitsunternehmen und CERTs des entsprechenden Landes.
  3. Die nationalen Kontaktstellen tauschen dann umgehend die Informationen über die Bedrohung aus, analysieren sie und stellen forensische Untersuchungen an, um den Vorfall effizient zu beheben.

Wir sind uns sicher, dass diese Art von Zusammenarbeit zunehmen und in eine bessere Zukunft führen wird.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.