Cyber-Attacken: IT-Experte erklärt ihre Rolle in Kriegen und wie sie funktionieren
Moderne Kriegsführung findet mittlerweile auch im Cyberspace statt. Nicht umsonst erklärte Bundesinnenministerin Nancy Faeser zuletzt, dass sich auch Deutschland auf mögliche Cyberangriffe vorbereite.
Der Angriffskrieg Russlands auf die Ukraine hat, nicht zuletzt aufgrund des Aufrufs der ukrainischen Regierung und der Involvierung der Hackergruppe Anonymous, ebenfalls eine digitale Dimension.
Der IT-Experte Manuel Atug erklärt im Interview, wie Cyberattacken funktionieren, welche Ziele anvisiert werden und welche Rolle der Cyberbereich in Kriegen spielt.
Ein Interview Stefan Matern von
Herr Atug, anlässlich des Angriffskriegs Russlands gegen die Ukraine: Was versteht man unter einer Cyberattacke und was passiert bei einem solchen Vorgang?
Manuel Atug: Cyberattacken können viele verschiedene Dinge sein. Im Endeffekt gehört alles dazu, was über das Internet ausführbar ist und auf IT-Systeme abzielt und dort etwas bewirkt. Das können gezielte Fake News sein, das kann Phishing bei E-Mails sein, das kann aber auch Social Engineering sein. Also dass durch das Klicken auf einen Link in einer E-Mail Schadsoftware gestartet wird. Zu Cyberattacken gehört aber auch so etwas wie, dass Systeme verschlüsselt werden oder in diese eingedrungen wird, um Daten zu gewinnen oder zu löschen. Es ist am Ende des Tages ein sehr umfangreicher Begriff.
Wenn wir einmal von Cyberattacken ausgehen, die Staaten vor allem im Krieg oder zur Vorbereitung eines solchen nutzen wollen: Welche Ziele stehen hier im Raum?
Generell galt immer, dass Cyberangriffe eigentlich eher zur Vorbereitung eines Krieges dienen und einen zeitlichen als auch einen informationstechnischen Vorteil verschaffen. Beispielsweise könnte man Radarsysteme angreifen und für kurze Zeit außer Funktion setzen, um dann mit Flugzeugen ungestört einzudringen und Bomben abzuwerfen. Dafür braucht es eben keinen nachhaltigen und langfristigen Cyberangriff. Es reicht ja, wenn die Systeme beispielsweise eine halbe Stunde außer Gefecht sind. In Bezug auf Russland heißt das: Entweder Putin wollte das nicht nutzen oder seine militärischen Cybereinheiten sind nicht besonders gut gewesen. Ansonsten geht es um Spionage im Cyberraum und um Aufklärung, beispielsweise durch Geheimdienste. Diese brechen in IT-Systeme ein und sammeln Informationen. Das geht heutzutage aber auch sehr gut über Mobiltelefone, die ja immer am Mann getragen werden.
Gibt es noch weitere Ziele?
Neben Spionage geht der Cyberbereich des deutschen Militärs, das KdoCIR [Kommando Cyber- und Informationsraum der Bundeswehr; Anm.d.Red.], auch von Angriffen auf die kritische Infrastruktur aus. Dabei geht es im Wesentlichen um die Destabilisierung der Bevölkerung von innen. Es geht oft darum, die Bevölkerung gegen die Regierung aufzubringen. Und gerade bei der kritischen Infrastruktur, wenn die Aussicht besteht, dass man kein Wasser oder keine ärztliche Versorgung mehr garantieren kann, kann das natürlich schnell zu Panik und Angst führen.
Lesen Sie auch: Alle aktuellen Informationen zu Russlands Krieg gegen die Ukraine im Live-Ticker
Wie bewerten Sie den Einstieg des Hacker-Kollektivs Anonymous und dessen gezielte Angriffe auf Russland: Was macht diese Gruppe und was ist davon zu halten?
Wenn wir uns die Angriffe von Anonymous anschauen, dann sind das oft DDoS-Angriffe auf Webseiten gewesen, die dann für einige Stunden nicht erreichbar waren. Ob sich Putin davon beeindrucken lässt, ist fraglich. Es kann natürlich helfen, wenn Datenbanken mit relevanten Informationen gehackt werden und man deren Informationen nachrichtendienstlich nutzen kann, aber man muss klar sagen: Das ist nicht immer sinnvoll. Man weiß eben nicht immer, wessen Daten man veröffentlicht, ob das die vermeintlichen Täter sind oder ob es Unschuldige trifft. Jeder Hacker, der so etwas tut, muss sich die Frage stellen, ob er bereit ist, Menschenleben zu gefährden. Weil sich Russland im Krieg befindet, nimmt man durch so einen Hackerangriff dann aktiv am Krieg teil und macht sich zum Kombattanten. Man weiß auch noch nicht, wie Putin auf diese Angriffe reagiert. Vielleicht setzt er den Geheimdienst darauf an, herauszufinden, wer gegen Russland gehackt hat. Und das mag vielleicht einige Jahre dauern, alles herauszufinden, aber das ist sicherlich auch ein Risiko, das man bereit sein muss, einzugehen.
Was schlagen Sie stattdessen vor?
Verstehen Sie mich nicht falsch, ich verstehe den Ansatz und die Idee hinter dem Cyberkrieg von Anonymous gegen Putin, aber: Wenn man den Drang hat zu helfen und etwas von IT versteht, dann ist es besser, wenn man eine Analyse bezüglich kritischer Infrastrukturen in der Ukraine und deren Schwachstellen vornimmt und diese meldet, damit diese geschlossen werden. So kann man der Bevölkerung wirklich helfen und die Versorgung sicherstellen. Offensives Hacking ist dagegen weniger zielführend und ethische Hacker tun so etwas auch nicht, vor allem nicht in einem Krieg.
In diesem Zusammenhang kam zuletzt in der Öffentlichkeit auch der Begriff der Wiper-Attacke auf. Was versteht man darunter?
Wiping heißt zunächst einmal, dass etwas vernichtet, also unwiderruflich gelöscht wird. Es wird eine Schadsoftware programmiert, die, wenn sie auf einem Rechner ausgeführt wird, alle Daten unwiderruflich löscht. Der Unterschied zum herkömmlichen Löschen ist, dass die Daten unwiderruflich weg sind. Beim Wiping wird die Datei so überschrieben und vernichtet, dass sie nicht mehr wiederherstellbar ist. Es ist also eine destruktive und zerstörerische Software. Wenn man eine solche Schadsoftware rausbringt, dann birgt das aber immer auch die Gefahr, dass man nicht weiß, wo sie ausgeführt wird. Im Übrigen werden durch eine solche Schadsoftware Kalaschnikows oder Bomben nicht weniger funktionsfähig. Denn auch hier gilt, Menschen sterben durch Bomben und Waffen und nur sehr selten durch Cyberangriffe.
Gibt es denn im militärischen Bereich sinnvolle Ziele für solche Cyberangriffe, wie sie auch Anonymous angekündigt hat?
Das kommt immer darauf an, wie alt die jeweils eingesetzten Maschinen und Waffen sind. In Russland werden wie überall natürlich auf jeden Fall Radar und Funkgeräte genutzt. Das ist Telekommunikation und die ist teildigital. Und das bedeutet, dass man hier bis zu einem gewissen Grad ansetzen kann. Man muss aber auch immer bedenken: Ein solcher Angriff ist keinesfalls trivial und erfordert mehr Zeit als ein paar Minuten. Solche Infrastruktur nachhaltig auszuschalten, ist extrem schwierig. Das haben die Angriffe auf die Stromversorgung in der Ukraine Ende 2015 gezeigt, die eigentlich einen landesweiten Blackout nach sich ziehen sollten – das hat aber nicht wirklich funktioniert. Denken wir aber auch einmal umgekehrt: Wenn Putin ein Kraftwerk zerstören will, dann funktioniert das über eine Cyberattacke vielleicht, mit viel Glück. Er könnte aber auch einfach eine Bombe darauf abwerfen. Dann ist das Kraftwerk sicher und nachhaltig zerstört. Dazu kommt, wie eben gesagt, dass es extrem schwierig ist, über einen Cyberangriff so etwas wie ein Kraftwerk nachhaltig lahmzulegen.
Wie wahrscheinlich ist ein russischer Cyberangriff auf Deutschland?
Wahrscheinlich sind immer Angriffe auf die kritische Infrastruktur. Wenn diese wegbricht, kann das verheerende Folgen haben. Da sind wir in Deutschland von schlecht bis sehr gut aufgestellt. Das heißt, je nach Bereich ist die ganze Bandbreite vorhanden. Das liegt aber nicht nur an den Betreibern, sondern auch an der Politik. Hier sind Gesetze und vor allem Gesetzesänderungen gefragt. Wir bräuchten beispielsweise ein Mindesthaltbarkeitsdatum für Software. Wenn dieses Datum abgelaufen ist, dann ist die jeweilige Software schlechte Software und es ist unsicher, sie weiter zu betreiben. Das IT-Sicherheitsgesetz [IT-Sicherheitsgesetz von 2015; Anm.d.Red.] ist ein erster Schritt in die richtige Richtung. Wenn es aber keine gesetzlichen Regelungen oder nur sehr zurückhaltende Regelungen gibt, dann werden beispielsweise die Betreiber kritischer Infrastrukturen nur das Mindestmaß an IT-Sicherheitsmaßnahmen einführen oder eben ältere Software so lange wie möglich verwenden. Andererseits heißt das aber auch: Wenn Putin uns mit einem Cyberangriff erreichen wollen würde, hätte er das Problem, dass unsere Digitalisierung noch an vielen Stellen hinterherhinkt. Es ist nicht besonders wahrscheinlich, dass er so etwas versucht – in manche Regionen Deutschlands müsste er seine Schadsoftware aufgrund der schlechten Anbindung vermutlich noch persönlich vorbeibringen.
Über den Experten: Manuel Atug ist IT-Sicherheitsexperte und Sprecher der unabhängigen AG Kritis ( ist IT-Sicherheitsexperte und Sprecher der unabhängigen AG Kritis ( https://ag.kritis.info ) zum nachhaltigen Verbessern der IT-Sicherheit in kritischen Infrastrukturen. Als HonkHase im Netz und auf Twitter aktiv befasst er sich mit den Themen KRITIS, Hackback, Hybrid Warfare, Ethik und Katastrophenschutz.
Verwendete Quellen:
bmi.bund.de: Rechtsrahmen für mehr Cyber-Sicherheit
bundeswehr.de: Kommando Cyber- und Informationsraum
Telefonisches Interview mit Manuel Atug
Hackerangriffe nehmen weiter zu und erreichen Höchststand
Cyberkriminelle können eine Vielzahl von Angriffsvektoren nutzen, um einen Cyberangriff zu starten, darunter Malware, Phishing und Ransomware. Cyberbedrohungen können unterschiedlich raffiniert sein und reichen von der Installation von Malware oder Ransomware-Angriffen bis hin zum Versuch, kritische Infrastrukturen lahmzulegen. Ein häufiges Nebenprodukt eines Cyberangriffs ist eine Datenpanne, bei der persönliche Daten oder andere sensible Informationen offengelegt werden.
Beispiele für beliebte Cyberangriffe
Brute-Force-Angriffe sind eine beliebte Cracking-Methode, bei der Benutzernamen und Passwörter entschlüsselt werden, um unbefugten Zugriff auf ein System oder sensible Daten zu erhalten. Cross-Site-Scripting (XSS) ist eine Sicherheitslücke, die typischerweise in Webanwendungen auftritt. XSS ermöglicht es Angreifern, clientseitige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden. Es kann zur Umgehung von Zugriffskontrollen, wie der Same-Origin-Policy, verwendet werden.
Denial-of-Service-Angriffe (DoS) treten auf, wenn legitime Benutzer aufgrund der Aktionen eines Cyberangreifers nicht auf Informationssysteme, Geräte oder andere Netzwerkressourcen zugreifen können. Phishing als Sammeln sensibler Informationen wie Anmeldedaten oder Bankkontonummern, indem sie sich als legitime Website ausgeben. Social Engineering ist ein Angriffsvektor, bei dem Opfer dazu gebracht werden, vertrauliche Informationen und sensible Daten preiszugeben oder eine Aktion durchzuführen, die gegen die üblichen Sicherheitsstandards verstößt. Spionageprogramme zielen darauf ab, vertrauliche Informationen preiszugeben, Internetnutzungsdaten zu stehlen, sich Zugang zum Computer zu verschaffen oder diesen zu beschädigen. Ransomware ist eine Art Malware, die den Zugriff auf ein Computersystem oder Daten verweigert, bis ein Lösegeld gezahlt wird. Ransomware verbreitet sich über Phishing-E-Mails, den Besuch infizierter Websites oder durch Ausnutzung von Sicherheitslücken.
Gängige Ziele für Cyberangriffe auf Infrastrukturen
Dazu gehören Steuersysteme, die industrielle oder mechanische Steuerungen aktivieren und überwachen, beispielsweise die Steuerung von Ventilen und Toren in der physischen Infrastruktur. Cyberkriminelle können auch Stromnetze oder Erdgasleitungen angreifen, die Städte, Regionen oder Haushalte mit Strom versorgen. Die Finanzinfrastruktur ist aufgrund der zunehmenden Vernetzung von Computer- und Finanzsystemen häufig Ziel von Cyberkriminalität. Denial-of-Service (DoS)-Angriffe zielen häufig auf Telekommunikationsnetze und beeinträchtigen die Kommunikationsmöglichkeiten. Erfolgreiche Cyberangriffe auf die Verkehrsinfrastruktur haben ähnliche Auswirkungen wie Angriffe auf die Telekommunikation und beeinträchtigen den Zeitplan und die Zugänglichkeit des Verkehrs. Die Wasserinfrastruktur wird häufig von Computern gesteuert, was sie zu einem gefährlichen Ziel für Cyberkriminelle macht. Auch Abwassersysteme können angegriffen werden.
Cyberangriffe erkennen und erfolgreich abwehren
Sollte ein Cyberangriff zu einem Sicherheitsvorfall führen, sollte das Unternehmen Maßnahmen ergreifen, um diesen zu erkennen, zu klassifizieren, zu verwalten und gegebenenfalls an die Kunden zu kommunizieren. Der erste logische Schritt besteht darin, einen Desaster-Recovery-Plan für die Reaktion auf einen Vorfall zu entwickeln und eventuell ein Cybersicherheitsteam einzusetzen. Zur Erkennung von Cyberangriffen kann eine Reihe von Gegenmaßnahmen auf organisatorischer, verfahrenstechnischer und technischer Ebene ergriffen werden. Dazu gehören die Durchführung von Cybersicherheitsschulungen auf allen Ebenen des Unternehmens. Technische Gegenmaßnahmen sind die Installation von Antiviren-, Anti-Malware- und Anti-Spyware-Software sowie von NIDS-Systemen (Network Intrusion Detection Systems) auf allen Computern und die kontinuierliche Überwachung auf Datenlecks.
Unbemerkte Downloads mit bösartigem Code als Praxisbeispiel
Ein Mitarbeiter einer Anwaltskanzlei erhält eine E-Mail von einem Fremden. Da das Büro täglich mit E-Mails von unbekannten Absendern überflutet wird, öffnen Mitarbeiter die E-Mails. Da die Absenderadresse neu ist, wird die E-Mail von keinem Spamfilter blockiert. Als Nachweis der Korrespondenz führt der Absender das beigefügte Word-Dokument an. Anschließend öffnet der Mitarbeiter das Dokument. Was er nicht bemerkte, war, dass die Datei einen Makrobefehl enthielt. Daraufhin lud der PC im Hintergrund eine ausführbare Datei mit Schadcode herunter und schleuste die Malware über den Rechner in das Unternehmensnetzwerk ein. Dies umgeht die Firewall und bleibt zumindest zeitweise von Virenscannern unbemerkt. Daher nutzen Cyberangriffe die Beschränkungen von Firewalls und Antivirensoftware aus, um Unternehmen zu stören. Unabhängig von der Motivation hinter dem Angriff ist es nicht ungewöhnlich, dass Angreifer versuchen, eine Remote-Verbindung zu einem infizierten System herzustellen.
Der Banking-Trojaner “Emotet”
Der Trojaner Emotet wird über eine massive Spam-Kampagne in Verbindung mit Social Engineering verbreitet. Emotet ist nur der erste Schritt einer Infektion: Dann werden Schadprogramme wie Trickbot oder teilweise auch Ransomware wie Ryuk heruntergeladen. Diese heruntergeladenen Programme sind für tatsächliche Schäden verantwortlich. Der Empfänger erhält eine E-Mail mit dem Word-Dokument im Anhang. Dieses Dokument enthält Makros, die Empfänger normalerweise aktivieren müssen, nachdem das Dokument durch einen einzigen Klick oder eine ähnliche Aktion geöffnet wurde. Sobald dies geschieht, werden weitere Schadprogramme aus dem Internet heruntergeladen und infizieren den Computer.
Im Gegensatz zu anderen Spam-E-Mails erhält der Empfänger eine E-Mail, die wie eine Antwort auf eine zuvor gesendete E-Mail aussieht. Denn der Computer des Absenders ist bereits mit Emotet infiziert. Im Falle einer Malware-Infektion werden E-Mails der letzten 180 Tage aus Outlook-Postfächern gelesen und an Emotet-Steuerungsserver übertragen. Als Ergebnis werden automatisch maßgeschneiderte Spam-Templates erstellt, mit denen alle gelesenen Kommunikationspartner angegriffen werden können – ein Freifahrtschein für kriminelle Aktivitäten.
Fazit: 2021 war ein Rekordjahr für Cyberkriminelle
Viele Unternehmen und Behörden wurden 2021 Opfer von Hackerangriffen – darunter der gesamte Landkreis Anhalt-Bitterfeld. Im Vergleich zum Vorjahr ist die Zahl der bekannten Angriffe um 20 Prozent gestiegen – die Dunkelziffer dürfte deutlich höher liegen. Experten erwarten, dass die Zahl der Hacking-Angriffe in den kommenden Jahren einen neuen Höchststand erreichen wird. Das Ziel der Kriminellen: Geld erpressen. Bei Anhalt-Bitterfeld war das volle Ausmaß des Cyberangriffs nicht sofort spürbar: Zunächst funktionierten die E-Mail-Server nicht mehr. Am nächsten Tag, als die Administratoren die Computer starteten, begann bereits die Verschlüsselung. Im Jahr 2021 waren auch viele Behörden getroffen. So konnte das Gesundheitsamt Ludwigslust-Parchim seit Oktober keine Corona-Daten mehr an das RKI melden.
Das Bundesamt für Sicherheit in der Informationstechnik zählte in diesem Jahr 144 Millionen Malware-Varianten, 20 Prozent mehr als im Vorjahr. Die Allianz schätzt die Dunkelziffer jedoch höher und dass Hacking-Angriffe sogar um mehr als 125 Prozent zugenommen haben. Fest steht: Der Erfolg der Unternehmensdigitalisierung basiert auf einer umfassenden IT-Sicherheitsstrategie für mehr Informationssicherheit und Datenschutz.
Kostenloser Leitfaden: Was tun bei einem Cyberangriff
Wir alle arbeiten täglich mit Computern. Doch die wenigsten von uns wissen, was im Fall eines Cyberangriffs zu tun ist. Finden Sie es heraus mit unserem Leitfaden.
Direkt zum Leitfaden
Richtiges Handeln bei einem Cybervorfall
Es ist der Albtraum eines jeden Mitarbeiters: Sie arbeiten an einem Dokument, recherchieren im Internet oder gehen Ihre E-Mails durch und plötzlich “spinnt” der Rechner. Auf dem Bildschirm erscheint eine bedrohliche Nachricht: Ihr Computer warnt, er sei mit Schadsoftware infiziert. Programme öffnen und schließen sich scheinbar wie von Geisterhand oder das Gerät funktioniert gar nicht mehr. Der Monitor wird schwarz oder zeigt eine Nachricht von Cyberkriminellen an, die Ihnen mitteilen, dass alle Ihre Nutzerdaten durch eine Verschlüsselung in digitale Geiselhaft genommen wurden und die Kriminellen nun Lösegeld fordern. Oder sie haben angeblich vertrauliche Informationen über Sie gestohlen und drohen sie zu veröffentlichen. Und übrigens: Ihre Backups sind ebenfalls kompromittiert.
Damit Sie und Ihre Mitarbeiter wissen, wie Sie bei so einem Horrorszenario reagieren sollten, haben wir einen kostenlosen Leitfaden entwickelt. Professionelles Incident Management ist heute für praktisch jedes Unternehmen unverzichtbar und wird in Zukunft immer wichtiger werden. Machen Sie einen ersten Schritt.
