Seit dem 24. Februar 2022 beobachten wir mit Sorge den von Russland begonnenen völkerrechtswidrigen Angriffskrieg gegen die Ukraine. In diesem Zusammenhang wächst auch die Angst vor Cyberangriffen. Im folgenden Artikel möchten wir unsere Erkenntnisse darstellen, inwieweit dieser Krieg im Cyberraum geführt wird und welche Auswirkungen auf die Cyberbedrohungslage zu erwarten sind.
Doch zunächst zur Zeit vor dem Angriff auf die Ukraine: Bereits vor Beginn der russischen Invasion gab es eine Flut von Data Wiper- und Distributed-Denial-of-Service (DDoS)-Angriffen gegen ukrainische Regierungsbehörden sowie kritische Infrastrukturen und Nachrichtenagenturen. Die Data Wiper Malware zielte dabei darauf ab, große Datenmengen unbemerkt zu zerstören. Bei DDoS-Angriffen wurden Server mit illegitimen Anfragen überflutet, sodass Infrastrukturen überlastet wurden und abstürzten.
Laut Computer Emergency Response Team (CERT-UA) der Ukraine wurden Phishing-Kampagnen vonseiten weißrussischer, staatlich gesponserter Hacker beobachtet, die auf das ukrainische Militärpersonal und damit verbundene Personen abzielten. Im Fokus standen dabei die E-Mailkonten. „Nachdem das Konto kompromittiert wurde, erhalten die Angreifer über das IMAP-Protokoll Zugriff auf alle Nachrichten.“[1] Anschließend nutzten die Angreifer die im Adressbuch des Opfers gespeicherten Kontaktinformationen, um die Phishing-Nachrichten an andere Ziele zu verbreiten. (https://cert.gov.ua/articles) Somit nutzt Russland den Cyberspace ganz klar für hybride Kriegsführung. Dazu gehört offenbar nicht nur der Angriff auf kritische IT-Infrastrukturen, sondern auch die gezielte Verbreitung falscher Informationen durch Russland.
Auch Russland selbst ist Ziel von Angriffen: Russlands National Coordination Center for Computer Incidents (NCCCI) veröffentlichte Anfang März eine umfangreiche Liste mit 17.576 IPs und 166 Domains, die die russische Infrastruktur mit DDoS-Angriffen angreifen. Als Teil ihrer Empfehlungen zur Abwehr von DDoS-Angriffen fordert die Agentur (NCCCI) russische Organisationen auf, Netzwerkgeräte abzuschirmen, die Protokollierung zu aktivieren, Passwörter für wichtige Infrastrukturelemente zu ändern, automatische Software-Updates zu deaktivieren, Plugins von Drittanbietern auf Websites zu deaktivieren, Datensicherungen durchzusetzen und auf Phishing-Angriffe zu achten.
Der aktuelle Bodenkrieg wird also durch eine Flut von Cyberangriffen im digitalen Bereich ergänzt. Hacktivistengruppen und andere Bürgerwehrakteure unterstützen die beiden Länder dabei, Websites von Regierungen und kommerziellen Einrichtungen anzugreifen und Fundgruben personenbezogener Daten preiszugeben.
Die Auswirkungen des Krieges haben laut Reuters die ukrainische Regierung dazu veranlasst, eine freiwillige „IT-Armee“ von zivilen Hackern aus der ganzen Welt zu bilden, um an der Cyber-Front operative Aufgaben gegen Russland durchzuführen. Es wurde von dieser „IT-Armee“ eine neue Reihe von Zielen aufgestellt, darunter das belarussische Eisenbahnnetz, Russlands eigenes satellitengestütztes globales Navigationssystem GLONASS und Telekommunikationsbetreiber. (https://www.dw.com/en/russia-ukraine-conflict-what-role-do-cyberattacks-play/a-60945572)
Unterstützung bekommt die Ukraine auch von Anonymous, dem international organisierten Hacker-Kollektiv, das dem Kreml den digitalen Krieg erklärt hat. Zahlreiche Websites der russischen Regierung waren bis zum 26. Februar nicht zugänglich, was vermutlich Anonymous-Aktivisten verursacht haben. Auch die Website des russischen Regierungssenders RT, die in westlichen Ländern als Propagandainstrument des Kremls gilt, war von Cyberangriffen der Vergeltung betroffen. (thehackernews.com)
Bedeutung für deutsche Unternehmen
Doch was bedeutet das für deutsche Unternehmen? – Durch die Teilnahme an Sanktionen gegen Russland könnte auch Deutschland zunehmend Ziel von Hackerangriffen werden, so SPD-Innenministerin Nancy Faeser. Man habe „die Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren und relevante Stellen sensibilisiert.“ (https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2022/02/ukraine.html)
Auch die deutsche Rosneft-Tochtergesellschaft, Russlands größter Ölproduzent, ist nicht von Hackern im Zusammenhang mit dem Ukraine-Konflikt verschont geblieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte, dass die Rosneft Deutschland GmbH am Wochenende im Rahmen seiner KRITIS-Meldepflichten einen IT-Sicherheitsvorfall meldete. Die Hackergruppe Anonymous hat die Verantwortung für den Cyberangriff auf die deutsche Niederlassung des russischen Energiekonzerns übernommen, der nach eigenen Angaben großen Schaden angerichtet hat. Angeblich wurden 20 Terabyte Daten abgegriffen und die Inhalte auf dutzenden Geräte gelöscht. Die Hacker hinter diesem Angriff, die sich Teil des Anonymous-Kollektivs sehen, stammen scheinbar aus Deutschland. Damit könnte Russland diesen Hackerangriff als Kriegsakt interpretieren und deutsche Unternehmen stärker ins Visier nehmen.
Das BSI warnt zudem gemäß § 7 BSI-Gesetz vor dem Einsatz von Antiviren-Schutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Virenschutz-Software-Portfolio von Kaspersky durch alternative Produkte zu ersetzen. Hintergrund: Ein russischer IT-Hersteller könnte von der russischen Regierung gezwungen werden, selbst offensive Operationen durchzuführen und Zielsysteme gegen seinen Willen anzugreifen. Eine weitere Gefahr besteht darin, selbst als Opfer einer Cyber-Operation ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht zu werden. (Weitere Informationen unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html)
Somit könnten auch wir in Deutschland in Zukunft mit großen Cyber-Angriffswellen konfrontiert werden, da im Cyberraum die Grenzen nicht eindeutig zu erkennen sind. Daher beobachten wir in unserer Leitstelle die aktuellen Geschehnisse mit erhöhter Wachsamkeit und bereiten uns auf den Ernstfall vor.
Deutsche Unternehmen gelten in Sachen Cybersicherheit als verletzlich, wie mehrere Angriffe im vergangenen Jahr gezeigt haben: Der IT-Branchenverband Bitkom schätzt den jährlichen Gesamtschaden durch digitalen Diebstahl, Erpressung und Sabotage auf 223 Milliarden Euro. Experten kritisieren, dass immer noch sehr wenig in die Cybersicherheit investiert wird[2]
Vor allem unseren Kunden aus dem Bereich der kritischen Infrastrukturen bereiten die aktuellen Entwicklungen Sorge. Sie befürchten demnächst selbst Angriffen zum Opfer fallen zu könnten. Auch wir haben darum in unserer Leitstelle die Schutzmaßnahmen erhöht und auf unseren Kunden-Sensoren neue Sicherheitsmechanismen und Use-Cases ausgerollt, die Traffic zu Systemen von bestimmten IP-Bereichen, die in Verbindung mit den aktuellen Cyberattacken aus Russland stehen, detektieren.