Cyberwar Ukraine

Ukraine-Krieg: Ost- und Nordeuropa an der Frontlinie des Cyber-Konflikts

Ukraine-Krieg: Ost- und Nordeuropa an der Frontlinie des Cyber-Konflikts

Cyberkonflikt erreicht einen Wendepunkt

Der Thales Bericht vom Februar 2023 der Abteilung Cyber Threat Intelligence von Thales gibt einen Überblick über ein Jahr Cyberangriffe in Europa.

In den letzten 12 Monaten hat sich eine neue Angriffsgeografie herausgebildet. Zu Beginn des Konflikts betraf die Mehrheit der Vorfälle nur die Ukraine (50,4 % gegenüber 28,6 % im dritten Quartal 2022). In den letzten sechs Monaten ist die Zahl der konfliktbezogenen Vorfälle in den EU-Ländern stark angestiegen (9,8 % gegenüber 46,5 % der weltweiten Angriffe). In diesem Sommer gab es fast so viele konfliktbezogene Vorfälle in EU-Ländern wie in der Ukraine (85 gegenüber 86). Im ersten Quartal 2023 fand die überwältigende Mehrheit der Vorfälle (80,9 %) innerhalb der Europäischen Union statt.

  • Das dritte Quartal 2022 markierte einen Wendepunkt bei Cyberangriffen im Zusammenhang mit dem Konflikt in der Ukraine mit einem klaren Übergang von einem Cyberkrieg, der sich auf die Ukraine und Russland konzentrierte, zu einem hochintensiven hybriden Cyberkrieg. Dieser zielt insbesondere auf Polen und die baltischen und nordischen Länder sowie auf eine wachsende Zahl von Schlüsselsektoren der Zivilgesellschaft ab, darunter Luftfahrt, Energie, Gesundheitswesen, Banken und öffentliche Dienste.
  • Von gezielten Zerstörungskampagnen bis hin zur Guerilla-Cyber-Belästigung nutzen prorussische Hacktivisten DDoS-Angriffe, um Server vorübergehend unzugänglich zu machen und Services zu stören. Diese Angriffe sind Teil der russischen Strategie, einen Informationskrieg zu führen, um öffentliche und private Organisationen zu zermürben.

Kandidaten für die europäische Integration wie Montenegro und Moldawien werden zunehmend ins Visier genommen (0,7 % der Angriffe im ersten Quartal 2022 gegenüber 2,7 % Ende 2022). Polen steht unter ständigem Druck, mit einer Rekordzahl von 114 Vorfällen im Zusammenhang mit dem Konflikt im vergangenen Jahr. Die baltischen Länder (157 Vorfälle in Estland, Lettland und Litauen) und die nordischen Länder (95 Vorfälle in Schweden, Norwegen, Dänemark und Finnland) standen im Visier der Hacktivisten. In Deutschland gab es im vergangenen Jahr 58 Vorfälle. Andere europäische Länder wurden relativ gesehen verschont, wie Frankreich (14 Angriffe), Großbritannien (18 Angriffe), Italien (14 Angriffe) und Spanien (4 Angriffe).

Pierre-Yves Jolivet, VP Cyber Solutions bei Thales

„Im dritten Quartal 2022 wurde Europa an einem Wendepunkt des Konflikts mit einer massiven Welle von DDoS-Angriffen – insbesondere in den skandinavischen und baltischen Ländern sowie in Osteuropa – in einen hochintensiven hybriden Cyber-Krieg hineingezogen. Cyber-Kriegsführung ist heute neben Desinformation, Manipulation der öffentlichen Meinung, Wirtschaftskrieg, Sabotage und Guerillataktik eine wichtige Waffe im Arsenal der neuen Kriegsinstrumente. Angesichts der Verlagerung des Konflikts von der Ukraine auf das übrige Europa sollte Westeuropa vor möglichen kurzfristigen Angriffen auf kritische Infrastrukturen auf der Hut sein, wenn sich der Konflikt weiter zuspitzt,“ erklärt Pierre-Yves Jolivet, VP Cyber Solutions bei Thales.

Von Kriegs-Hacktivisten zur Cyber-Drangsalierung

Von allen Cyberangriffen, die seit Beginn des Konflikts weltweit gemeldet wurden, wurden 61 Prozent von pro-russischen Hacktivistengruppen verübt, namentlich von Anonymous Russia, KillNet und Russian Hackers Teams. Diese Gruppen haben sich seit Beginn des Konflikts formiert und spiegeln die Bemühungen der Hacktivisten der ukrainischen IT-Armee in der Anfangsphase des Krieges wider. Diese neuen Gruppen sind ausgeprägter strukturiert und nutzen die Art von Ressourcen, die von organisierten Cybercrime-Gruppen bevorzugt werden, darunter Botnet-as-a-Service2-Ressourcen wie Passion Botnet, mit denen das Ziel verfolgt wird, westliche Länder, die die Ukraine unterstützen, per Internet zu bedrohen. Diese Gruppen von unabhängigen, zivilen Hacktivisten haben sich zu einer neuen Komponente im Konflikt entwickelt. Sie können einer cyberkriminellen Gruppe mit spezifischen politischen Zielen und Interessen zugeordnet werden, die aus Überzeugung handelt, aber nicht direkt von einer Regierung finanziell unterstützt wird. Die Mitglieder solcher Gruppen verfügen über ein breites Spektrum an Herkünften, technischen Fähigkeiten und Hintergründen. Das dritte Quartal 2022 markierte den Übergang zu einer Welle von DDoS-Attacken, im Gegensatz zum ersten Quartal 2022, in dem eine Reihe unterschiedlicher Angriffsarten zu beobachten war, die sich mehr oder weniger gleichmäßig auf Datenlecks und -diebstahl, DDoS-Attacken, Spionage, Beeinflussungskampagnen, Eindringversuche, Ransomware, Phishing, Wiper und Infostealer-Angriffe verteilten3. Cyber-Angreifer verüben seitdem bevorzugt DDoS-Angriffe (75 %) auf Unternehmen und Regierungen. Diese systematische Drangsalierung hat häufig nur geringe operative Auswirkungen, sorgt aber für ein Klima der Angst bei Sicherheitsteams und Entscheidungsträgern. Sie sollen keine größeren operativen Auswirkungen haben, sondern vielmehr die Angriffsziele drangsalieren und von der Unterstützung der Ukraine abhalten.

Am anderen Ende des Spektrums können Wiper-Angriffe die Systeme eines Gegners zerstören und langfristige Ausspähaktionen die Integrität des gegnerischen Sicherheitsapparats unterminieren. Allerdings dauert die Vorbereitung solcher Techniken viel länger und erfordert mehr Ressourcen. Destruktive cyber-militärische Operationen und Spionage machen gerade einmal 2 % aller Vorfälle aus und zielen hauptsächlich auf ukrainische Organisationen des öffentlichen Sektors ab.

Die russischen Behörden nutzen Cyberangriffe regelmäßig, um ihre Gegner zu drangsalieren, ohne in eine direkte Konfrontation einzugreifen. Cyber-Kriegshandlungen finden in der Ukraine nach wie vor statt, wie der Angriff ATK256 (UAC-0056) gegen mehrere öffentliche Einrichtungen in der Ukraine am Jahrestag des Konflikts (23. Februar 2023) gezeigt hat. Allerdings werden sie in den Augen des Westens durch ständige Cyber-Drangsalierungen in den Hintergrund gerückt.

Thales-Beitrag zum Schutz kritischer Infrastruktur

Thales bietet Cybersicherheitslösungen für neun der zehn größten Internet-Giganten und trägt zum Schutz der Informationssysteme von mehr als 130 Regierungsbehörden und Anbietern wichtiger Dienstleistungen bei. Mit mehr als 3.500 Cybersecurity-Experten bietet das Unternehmen Regierungen und Betreibern kritischer Infrastrukturen integrierte Lösungen zur Erkennung von Vorfällen und zur Reaktion darauf, einschließlich Aufklärung von Cyberbedrohungen, „Sovereign-Sensoren“, Sicherheits-Operationszentren und Verschlüsselungssysteme zur Verhinderung von Datenschutzverletzungen. Das Portfolio der Gruppe an Cyberlösungen ist in drei Produkt- und Dienstleistungsfamilien – Sovereign-Produkte, Datenschutz-Plattformen und Cybersecurity-Dienste – organisiert und erzielte im Jahr 2022 einen Gesamtumsatz von mehr als 1,5 Milliarden Euro.