Fachkräfte aus Russland und Ukraine: Trust, but verify

Der Krieg lässt derzeit nicht nur ukrainische Kabelbäume und russisches Gas knapp werden, sondern wirft auch ein Schlaglicht auf eine andere Ressource, ohne die die deutsche Wirtschaft kaum noch auskommt: Fachkräfte aus der Ukraine und Russland in sensiblen IT-Positionen. Etwa Software-Entwickler, Crypto-Spezialisten und andere IT-Experten mit Administratorrechten.

Der Knackpunkt dabei: Deutsche Firmen, die Job-Bewerber oder Freelancer aus diesen beiden Ländern beschäftigen wollen, sollten die damit verbundenen Risiken engmaschig managen. Sonst kann es zu ernsthaften Schäden am Unternehmen kommen, darunter Reputations-, Spionage- und Cybercrime-Schäden.

Niemand in der Wirtschaft spricht gerne offen darüber; auch will niemand den Fachkräften pauschal böse Absichten unterstellen. Die große Mehrheit ist, wie immer im Leben, ehrlich und integer. Aber einfach wie bisher blind auf eine 100% heile Welt zu vertrauen, trotz gegenteiliger Beweise, wäre blutige Naivität. Und die hat uns bekanntermaßen überhaupt hierhergebracht.

Um es vorwegzunehmen: Effektive Mittel gegen die genannten Risiken sind gründliche Pre-Employment Screenings und das wachsame Monitoring von Admin-Zugängen in den IT-Systemen.

Die Risiken

Die europäische Wirtschaft ist momentan stark beschäftigt, ihre Abhängigkeiten von russischen Ressourcen jeder Art zu minimieren. In manchen Bereichen, wie bei den IT-Experten, ist das aber kaum möglich. Die Nachfrage nach hoch qualifizierten IT-lern ist in Deutschland viel höher als das Angebot. Russische und ukrainische Fachkräfte sind in der EU seit Jahren begehrt.

Cyber-Crime, Spionage und kriegsbezogener Aktivismus

Cybersecurity-Spezialisten wissen es seit Jahren: Cybercrime sitzt häufig in Russland und der Ukraine. Wer in den letzten Jahren von der Flut der Ransomware-Fälle und Fraud per E-Mail (Payment Diversion/Zahlungsumleitungen) betroffen war, hat nicht selten mit Tätern aus genau diesen Ländern kommuniziert und verhandelt.

Jetzt, in der neuen Situation eines heißen Krieges, der auf Jahrzehnte vermutlich auch einen Kalten Krieg mit Russland nach sich ziehen wird, werden Begehrlichkeiten gegen westliches Know-How und Vermögenswerte erst richtig geweckt. Im Krieg fällt jede Art von Zurückhaltung. Täter fokussieren sich auf die neuen Gegebenheiten mit dem Abfluss von Geschäftsgeheimnissen, taktisch/strategisch wertvollen Wirtschaftsinformationen sowie der Aneignung von Vermögenswerten. “In the midst of chaos, there is also opportunity”, schrieb bereits Sun Tzu.

Wie man diese Risiken senken kann

Pre-Employment Screenings, mit Einverständnis des Bewerbers, sind Hintergrundrecherchen zu Werdegang und sonstigen Aktivitäten. Darunter:

  • Verifikation der Identität der Bewerber oder Freelancer
  • Kritische Überprüfung ihrer beruflichen Werdegänge
  • Geschäftliche Historie (sofern Organschaften/Beteiligungen vorhanden sind)
  • Footprint im Internet, in speziellen Foren, Darknet etc.

Ziel ist festzustellen, ob es Ungereimtheiten in den Lebensläufen oder sicherheitsrelevante Feststellungen gibt, etwa

  • Hinweise auf Bezüge zu Cyber-Crime
  • anderen Arten der organisierten Kriminalität
  • Bezüge zu ausländischen staatlichen Institutionen, die im Sinne der Spionageabwehr relevant sind

Doch selbst tiefgehende Pre-Employment Screenings alleine reichen zur Minimierung der genannten Risiken nicht aus.

Monitoring von Admin-Zugängen

IT-Mitarbeiter können aktivistisch veranlagt sein und sich in der derzeitigen Kriegslage radikalisieren.

Speziell Mitarbeiter in herausgehobenen Positionen (z.B. Administratoren) oder Entwickler, die einzeln, ohne Einbindung in ein größeres Entwicklerteam arbeiten („Kopfmonopole“) können in einer Firma potentiell großen Schaden anrichten. Die Erfahrung mit solchen Schadensfällen zeigt, dies wird oft zu spät bemerkt.

Jede CISO-Organisation sollte hier vorsorgen. Für administrative Tätigkeiten sollte ein Privilege Access System (wie z.B. Cyberark oder Microsoft PIM) eingeführt werden. Ohne Begründung kann dann niemand administrative Aktionen durchführen und verdächtige Maßnahmen können so zeitnah überwacht werden. In Zeiten wie diesen ist eine regelmäßige, verdachtsunabhängige Kontrolle administrativer Aktivitäten geboten.

Bei Entwicklern und Programmierern ist die Lösung dagegen nicht ganz so einfach. Wichtig ist, dass der Source Code in einem Verwaltungssystem (git, cvs, etc.) liegt und so die Historie der Änderungen nachvollziehbar ist. Grundsätzlich gilt, dass Entwicklungen schon aus Business Continuity Gründen im Team erledigt werden sollten.

Firmen können aber auch ohne eigenes Verschulden in den Konflikt hineingezogen werden. Einige oft verwendete Open-Source-Projekte sind zu einem Nebenkriegsschauplatz im Ukraine-Konflikt geworden: mit Code-Änderungen wird gegen die Invasion protestiert.

Der bisher schwerwiegendste Fall solcher „Protestware“ zeigte sich in einem beliebten Open-Source-Projekt namens node.ipc, das bei der Erstellung neuronaler Netze hilft. Dessen Entwickler Brandon Nozaki Miller aus den USA hat eine Routine mit der Bezeichnung „PeaceNotWar“ eingefügt, die eine Protestbotschaft gegen den Krieg ausgibt.

Aber auch destruktive Routinen wurden schon gesichtet, die den Dienst verweigern oder gar Schadcode ausführen, sobald sie auf Geräten mit russischen Ländereinstellungen ausgeführt werden – das kann auch in einer deutschen Firma passieren, deren russische oder ukrainische  Mitarbeiter auf ihren Computern Russisch eingestellt haben.

Ein wachsames Auge auf diesen besonderen Risiken des Konflikts ist also dringend geboten – durch Pre-Employment Screenings und das Monitoring von Admin-Zugängen.

Die Autoren:

Sebastian Okada, Leiter Ermittlungen & Prävention Wirtschaftskriminalität

Florian Oelmaier, Leiter Cybersecurity & Cybercrime, IT-Krisenmanagement

intelligence@corporate-trust.de

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s