Webseiten der Regierung von Südkorea wurden zum Ziel verdächtiger Cyberattacken. Die Angriffe konzentrierten sich unter anderem auf die offizielle Onlinepräsenz des Büros des Präsidenten. [...]
In einer offensichtlich gezielten und koordinierten Vorgehensweise versuchten sich Hacker am Vormittag des 25. Juni 2013 Zugang zum Regierungsnetzwerk zu verschaffen. In einer offiziellen Regierungsmitteilung wurden Beamte und Bürger vor möglichen weiteren Angriffen gewarnt und dazu aufgefordert, ihre IT-Sicherheitsvorkehrungen zu erhöhen. Dies ist bereits der zweite, offiziell bestätigte, sicherheitsrelevante Vorfall in kurzer Zeit auf landesweite IT-Systeme Südkoreas. Im März dieses Jahres wurden EDV-Systeme und Sendeanstalten in Folge eines Hackerangriffes lahmgelegt. Damals wurde der Verdacht geäußert, dass Nordkorea hinter den Attacken stecken könnte. Auch im aktuellen Fall gehen erste Vermutungen in Richtung des Nachbarlands.
Ralph Kreter, Director Central Europe and Middle East bei Logrhythm, kommentiert den aktuellen Vorfall:
„Südkorea ist ein technologisch hochentwickeltes Land und gehört zu den führend High-Tech-Nationen der Welt. Die Tatsache, dass das Land innerhalb von sechs Monaten den zweiten großen Hackerangriff erlebt hat, verdeutlicht die ansteigende Gefahr von taktischen Angriffen auf ganze Nationen aus dem Cyberspace. Im März standen vor allem Sendeanstalten und Computersysteme von Banken im Visier. Im aktuellen Fall war offensichtlich bewusst das Netzwerk der Regierung das Ziel. Die Vorgehensweise der Angreifer gleicht einem Abtasten nach Schwachstellen, bei der die Ziele immer bedeutender werden.
Trotz der im Moment virulenten Gerüchte sind der Anlass und der Ursprung der Angriffe in beiden Fällen noch unklar. Nichtsdestotrotz war die Infiltrierung der Systeme scheinbar so massiv, dass sich die Regierung von Südkorea dazu gezwungen sah, einen Sicherheitsalarm für das gesamte Land auszulösen. Scheinbar haben die Überwachung der IT-Systeme und die im Einsatz befindlichen Sicherheitsvorkehrungen des Landes bereits ein zweites Mal nicht ausreichend funktioniert. In Anbetracht dieser letzten beiden Erfahrungen ist es für Südkorea – aber auch für alle anderen Länder – unerlässlich in die kontinuierliche und automatisierte Überwachung ihrer IT-Systeme zu investieren. Über die Korrelation von Logdaten kann hier ein essentieller Grundstein gelegt werden, um im Fall eines Angriffs auf verdächtige und unerlaubte Handlungen reagieren zu können, in dem Moment in dem sie stattfinden.
Auch die Beweissicherung spielt bei Cyberangriffen eine zentrale Rolle. Aktuell gibt es nur Gerüchte und Mutmaßungen. Zum speziellen Verhältnis von Nord- und Südkorea kann dies nicht zuträglich sein. Die forensische Beweisaufnahme, die auch strafrechtlichen Bestimmungen genügen sollte, ist nur mit Sicherheitslösungen zu bewerkstelligen, die relevante Daten vorhalten, aus dem kompromittierten System abziehen und für weiterführende Analysen zur Verfügung stellen. Dabei sind einmal mehr Log-, Flow- und Maschinendaten von unschätzbarem Wert. Nur über eine intelligente Auswertung dieser gesammelten digitalen „Fußspuren“ können Opfer von Cyberattacken ihre Sicherheitsrisiken erkennen und die tatsächlichen Schuldigen identifizieren.“ (pi)
Be the first to comment