Netzwerk-Wissensdatenbank
Analyse und Beheben von Cyberangriffen

Analyse und Beheben von Cyberangriffen

By on Internetkriminalität

Nach Cyberangriff auf Ukraine Sorge um Deutschlands IT-Sicherheit

Exklusiv Nach Cyberangriff auf Ukraine Sorge um Deutschlands IT-Sicherheit Stand: 13.04.2022 16:36 Uhr

Die Ukraine hat erneut einen gezielten Cyber-Angriff gegen die Energieversorgung des Landes abwehren können. Der Vorfall führt dennoch zu wachsender Sorge um die kritische Infrastruktur auch in Deutschland.

Von Marcel Kolvenbach, SWR

Während sich die Ostukraine auf eine russische Offensive vorbereitet, konnte die ukrainische Cyberverteidigung (CERT-UA) nach eigenen Angaben mit Hilfe von Spezialisten von Microsoft und dem IT-Security Unternehmen ESET einen erneuten gezielten Angriff auf die Stromversorgung des Landes gerade noch abwehren.

SWR Logo Marcel Kolvenbach

Wie am Dienstag bekannt wurde, waren bei dem jüngsten Angriff Umspannwerke, also die Energieversorgung des Landes, das Ziel der Angriffe. CERT-UA erklärte dazu: "Die Abschaltung von Umspannwerken und die Stilllegung der Infrastruktur des Unternehmens waren für Freitagabend, den 8. April 2022, geplant."

Hybride Kriegsführung

An der Abwehr des Angriffs maßgeblich beteiligt waren Experten des IT-Sicherheitsunternehmen ESET, das bereits seit Ende 2013 ausgefeilte Cyber-Angriffe gegen wichtige Ziele in der Ukraine beobachtet und analysiert. Die Experten des in Bratislava ansässigen Unternehmens haben dokumentiert, wie von Beginn an die russische Invasion von Cyber-Angriffen begleitet wurde.

So beschreibt der leitende Cyber-Threat-Experte von ESET, Robert Lipovsky, in einer Analyse, die dem SWR vorliegt, wie bereits Angriffe zwischen dem 13. und 14. Januar mit einer bis dahin unbekannten Schadsoftware hunderte Systeme von mindestens fünf ukrainischen Organisationen befallen haben und dann die Festplatten unwiederbringlich zerstörten.

Neue Variante eines bekannten Schadprogramms

Auch bei dem aktuellen Angriff handele es sich um eine neue Schadsoftware, die in der Ukraine weltweit zum ersten Mal nachgewiesen worden sei. Im Interview mit dem SWR erklärt Thorsten Urbanski, Sicherheitsexperte bei ESET, es gehe um eine neue Variante der so genannten Industroyer-Malware, die Experten nun als Industroyer2 bezeichnen.

Industroyer ist ein Schadprogramm, das bereits 2016 eingesetzt wurde, um die Stromversorgung in der Ukraine zu unterbrechen. Hinter dem Angriff stehe die sogenannte Sandworm-Gruppe, die für ausgeklügelte Angriffe - sogenannte "Advanced Persistent Threat" (Fortgeschrittene andauernde Bedrohung, ATP) - verantwortlich ist. Nach Erkenntnissen amerikanischer Ermittlungsbehörden aus dem Jahr 2020 handelt es sich bei dieser ATP Gruppe um die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes.

Angriff auf industrielle Steuerungen

Die jüngsten Angriffe gegen die Stromversorgung der Ukraine beobachten IT-Experten und Vertreter der kritischen Infrastruktur mit großer Sorge - auch und gerade mit Blick auf Deutschland.

"Die Gefahr für Energieversorger und Betreiber kritischer Infrastrukturen erhöht sich durch Industroyer2 massiv", warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V., in einer Stellungnahme gegenüber dem SWR. "In der Ukraine ist es gelungen den Angriff abzuwehren, jedoch haben wir in der Vergangenheit erlebt, dass Systeme nach einem Angriff nicht mehr steuerbar waren. Das kann zum Ausfall der Stromversorgung oder zur Beschädigung von Infrastruktur führen."

Im Cyber-Sicherheitsrat Deutschland haben sich namhafte Unternehmen, Behörden und politische Entscheidungsträger zusammengeschlossen. "Die Beschaffenheit der Energieversorgung in Deutschland mit großen Konzernen sowie kleinen und mittleren Versorgern begünstigt die Angreifer", erklärt Dünn weiter. "Je kleiner die Einheiten sind, desto einfach ist für Hacker das Kompromittieren der Systeme, da geringere Kapazitäten für Schutzmaßnahmen vorhanden sind."

Deutsche Technik womöglich anfällig

Hintergrund ist, dass die Industroyer-Schadsoftware-Familie sich dadurch auszeichnet, dass sie die Kontrolle über die industriellen Steuerungen der verschiedenen Hardware-Komponenten, etwa so genannte SCADA Steuerungen, gezielt übernimmt. "Die Technologie, die dort zum Einsatz kommt, ist vergleichbar mit den Steuerungen in Deutschland. Darum sind Schadprogramme, die dort zum Einsatz kommen, um den Energiesektor anzugreifen, grundsätzlich auch hier einsetzbar," erklärt ESET-Experte Thorsten Urbanski.

Auch Hans-Wilhelm Dünn vom Cybersicherheitsrat geht davon aus, dass vergleichbare Angriffe durch Industroyer2 in Deutschland bereits vorbereitet wurden. "Ich gehe davon aus, dass auch in deutschen SCADA-Systemen feindselige Hacker eingedrungen sind und dort auf den passenden Augenblick zum Angriff warten." Dünn fordert darum: "Kurzfristig müssen alle Systeme auf die entsprechende Schadsoftware geprüft werden. Zudem müssen Notfallkonzepte für den Ausfall von Systemen erprobt werden."

Langfristig brauche es einen firmen- und branchenübergreifenden Austausch sicherheitsrelevanter Informationen, um Schwachstellen und Malware frühzeitig zu erkennen und abzuwehren. Zudem müsse sich die Relevanz von Cybersicherheit auch im Budget für IT-Schutzmaßnahmen widerspiegeln. Dabei seien auch die Bundesregierung und die Bundeswehr gefragt.

BSI hält Angriffe für unwahrscheinlich

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Bedrohung durch die neue Schadsoftware Industroyer2 etwas anders ein. Dem SWR teilte die Behörde auf Anfrage mit, eine einfache Übertragung oder Wiederverwendung bei deutschen Energieversorgern sei "unwahrscheinlich”. Das IT-Sicherheitsniveau im Energiesektor sei hoch, bisher hätten die Betreiber kritischer Infrastrukturen angemessen auf Angriffe reagiert.

Dennoch habe man diese über den Vorfall in der Ukraine "gezielt” informiert. Allgemein erkenne man eine "erhöhte Bedrohungslage für Deutschland”.

Digitaler Ernstfall - Was tun bei einem Cyberangriff?

Cyber-Attacken gelten als Bestandteil einer sogenannten hybriden Kriegsführung (picture alliance / Silas Stein)

Die Attacke erfolgt inmitten der aktuellen Krise mit dem russischen Truppenaufmarsch an der Grenze zur Ukraine: Der Cyberangriff auf das Verteidigungsministerium und zwei wichtige staatliche Banken sei der schwerste gewesen, den die Ukraine je erlebt habe, gab die Regierung in Kiew bekannt - und verwies auf Russland als möglichen Urheber.

Schon im Januar waren mehrere Internetseiten der ukrainischen Regierung massiv attackiert worden. Vorübergehend konnten die Webseiten von Außen-, Katastrophen- und Forschungsministerium nicht aufgerufen werden, auf derjenigen des Außenministeriums war in ukrainischer, russischer und polnischer Sprache zu lesen: "Habt Angst und rechnet mit dem Schlimmsten". Die Cyberattacke schreckte auch die westlichen Partnerstaaten der Ukraine auf, die NATO sagte Kiew eine verstärkte Zusammenarbeit bei der Internetsicherheit zu.

Cyberattacken wie diese gelten als Bestandteil einer sogenannten hybriden Kriegsführung. Diese war ein zentrales Thema auf der 8. Münchner Cyber Sicherheitskonferenz (MCSC), die traditionsgemäß am Tag vor dem Beginn der Münchner Sicherheitskonferenz stattfand. Internationale IT-Sicherheitsexperten, Politikwissenschaftler und Vertreter angrenzender Disziplinen diskutierten unter dem Eindruck der aktuellen Russland-Ukraine-Krise auch die zivil-militärische Zusammenarbeit im Fall von Cyberangriffen.

Nach den Cyberangriffen Mitte Februar gab es Probleme mit Online-Zahlungen und der Kontenverwaltung über Finanz-Apps sowohl von Privatbanken als auch der Staatsbank der Ukraine. Hinzu kamen Ransomware-Attacken, also Angriffe mit Erpressungssoftware, auf Server des ukrainischen staatlichen Notdienstes kamen hinzu.

Laut Victor Zhora, einem Sprecher des ukrainischen Verteidigungsministeriums, konnten die Attacken rasch isoliert und dadurch die meisten Schäden relativ kurzfristig beseitigt werden: Die Server des staatlichen Notdienstes waren einige Stunden nach der Ransomware-Attacke wieder hochgefahren.

Zhora führte das als Beleg für die gute zivil-militärische Zusammenarbeit in der Ukraine an. Zum Vergleich: Bei vergleichbaren Angriffen in Deutschland waren Verwaltungen einige Wochen außer Gefecht gesetzt.

Dafür werden im Wesentlichen zwei Gründe angeführt: ein extrem gutes Backup-Management und mehrfach geübte Krisenreaktion. Wenn es nach der Verschlüsselung eines System mit einer Erpressungssoftware möglich ist, auf ein Backup vom Vortrag zurückzugreifen, ist das System rasch wieder einsatzfähig. Allerdings muss das Backup vom Vortag frei von Schadsoftware sein. Dies erfordert die gründliche Zusammenarbeit der Mitarbeiter und das Ineinandergreifen vieler Prozesse. Zudem müssen diese Abläufe eingeübt werden. In der Ukraine hat dies intensiv in Zusammenarbeit von zivilen und militärischen Stellen geschehen.

Das wird sehr unterschiedlich beurteilt. Jaak Tarien, der Direktor des NATO Cyber Defence Centers in der estnischen Hauptstadt Tallinn verspricht sich von einer Kooperation mit zivilen Stellen vor allem, Entlastung für militärische Ressourcen. Diese könnten dann genutzt werden, um die digitale Angriffsfähigkeiten der NATO zu verbessern. Für ein solches Vorgehen warb Tarien auf der Münchner Cyber Security Conference. Die meisten Sicherheitspolitiker und -experten erhoffen sich durch eine zivil-militärische Zusammenarbeit im Bereich IT-Sicherheit in erster Linie eine schnellere Beseitigung der Schäden nach einem digitalen Angriff. Wie eine solche Kooperation von zivilen Stellen und militärischen Einheiten NATO-weit umgesetzt werden könnte, darüber wird unter anderem auch auf der Münchner Sicherheitskonferenz debattiert.

Nach Cyberattacken auf staatliche Stellen wird auch immer wieder die Bundeswehr im Rahmen der Amtshilfe angefordert. So hat es beispielsweise der Landkreis Anhalt-Bitterfeld nach einem Angriff mit Erpressersoftware getan. Seit längerem wird jedoch diskutiert, ob diese Art militärischer Nothilfe nach digitalen Angriffen nicht besser von einem zivilen Cyber-Hilfswerk übernommen werden sollte. Als Vorbild wird das Technische Hilfswerk (THW) genannt, das in Katastrophenfällen zum Einsatz kommt.

Die Befürworter eines solchen Cyber-Hilfswerks lehnen eine zivil-militärische Zusammenarbeit ab. Sie argumentieren, dass die Zivilgesellschaft die Abwehr und Beseitigung von Schäden durch Cyberangriffe besser organisieren könne. Vor dem Hintergrund des Ukraine-Konflikts wird auch der Aspekt der Sicherheit für das Personal angeführt: Die IT-Experten, die im Rahmen der zivil-militärischen Zusammenarbeit eingesetzt werden, hätten im Falle einer militärischen Auseinandersetzung Kombattantenstatus, würde also wie Militärangehörige behandelt. Das heißt, auf diese Mitarbeiter könnte geschossen werden, sie könnten in Kriegsgefangenschaft geraten.

THW-Einsatzkräfte dagegen haben Nicht-Kombattantenstatus, das heißt, sie werden wie Mitarbeiter des Roten Kreuzes als humanitäre Hilfskräfte behandelt. Diesen Status fordern Vertreter der Zivilgesellschaft auch für ein mögliches Cyber-Hilfswerk.

Analyse und Beheben von Cyberangriffen

Das Unternehmen nach dem Angriff wieder handlungsfähig machen

Sind Sie als Unternehmen Opfer eines Cyberangriffs geworden, dann ist schnelle Hilfe angesagt, um den Schaden möglichst zu begrenzen. Wir analysieren den Vorfall hinsichtlich Ausmaß sowie Schwachstellen und machen Ihr Unternehmen wieder handlungsfähig. Gerne erstellen wir mit Ihnen ein Notfall-Managementkonzept, damit Sie für einen möglichen Cyberangriff gewappnet sind, unterstützen Sie in der Meldepflicht gegenüber Behörden und beraten Sie in allen juristischen Fragen.

Den Cyberangriff durchleuchten und Maßnahmen treffen

Das Team der dhpg besteht aus Cybersicherheits-, Netzwerk- und IT-Experten. Die Analyse vieler Cybersicherheitsfälle macht uns zu routinierten Fachleuten, die an jeder Stelle des Prozesses einen kühlen Kopf bewahren und Ihnen professionell zur Seite stehen.

Dies können Sie von uns erwarten:

Feststellen von Sicherheitsvorfällen und Schadensbegrenzung

Einleiten von Sofortmaßnahmen

Ermittlung von Folgen und Einleiten von Maßnahmen

Schadensbehebung an der Infrastruktur

Wiederherstellen der Informationssicherheit

Unterstützen in der Kommunikation mit Ermittlungsbehörden

Krisenkommunikation zur Vermeidung von Reputationsschäden

Erstellen von Notfallkonzepten

Forensik – Hackerangriffe rechtssicher dokumentieren

Ein Cyberangriff ist ein rechtliches Delikt. Ist Ihr Unternehmen Gegenstand eines Hackerangriffs geworden? Dann unterstützen wir Sie nicht nur darin, rasch wieder handlungsfähig zu werden. Vielmehr sichert unsere forensische Analyse die Beweismittel eines Angriffs und erstellt Gutachten, die einer Untersuchung vor Gericht Stand halten.

Sie möchten gerne wissen, wie es um Ihre IT-Sicherheit bestellt ist? Dann empfehlen wir Ihnen einen Penetrationstest​​​​​​​, der die Schwachstellen aufzeigt.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels