Cyberwar
Wie Cyberkriminalität als Waffe im Ukraine-Krieg eingesetzt wird
Schlachtfeld ohne Grenzen
Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH
Aus den Ereignissen in der Ukraine können wir ableiten, dass die virtuelle Kriegsführung zu einem festen Bestandteil des globalen Konflikts geworden ist, sowohl in der Propagandaschlacht als auch bei der Durchführung militärischer Operationen. Von DDoS-Angriffen (Distributed Denial of Service) über die Verunstaltung von Websites bis hin zu zerstörerischen Angriffen auf kritische Infrastrukturen haben die Aktivitäten auf beiden Seiten, Ukraine und Russland, drastisch zugenommen.
Nur drei Tage nach Beginn des Kampfes konnten wir einen Anstieg der Cyber-Angriffe auf die ukrainische Regierung und das Militärwesen um 196 Prozent feststellen. Diese Angriffe nahmen in den folgenden Monaten nicht ab, sondern neue Zahlen von Check Point Research (CPR) zeigen, dass sich diese Hacker-Attacken zwischen Februar und August dieses Jahres mit 112 Prozent mehr als verdoppelt haben. In Russland gingen die Angriffe auf diese Bereiche um acht Prozent zurück, was darauf zurückzuführen sein mag, dass Russland zwar nicht vollständig vom Internet abgeschnitten wurde, wie es in früheren Berichten hieß, doch Regierung und Militär verschiedene Maßnahmen ergriffen haben, um den Zugriff auf ihre IT-Umgebungen außerhalb Russlands zu beschränken. Das erschwert die Durchführung einiger Angriffe. Das Ergebnis: Während des gesamten Konflikts werden die Unternehmensnetzwerke im Durchschnitt über 1500 Mal pro Woche attackiert. Das sind 25 Prozent mehr als vor dem Krieg. Gegenüber stehen 1.434 wöchentlichen Attacken auf russische Unternehmensnetzwerke.
Insbesondere die russischen Operationen konzentrieren sich auf eine Störungs- und Zerstörungskampagne, wobei staatliche und staatlich geförderte APT-Gruppen (Advanced Persistent Threat) ausgeklügelte Angriffe durchführen, die von der Sabotage kritischer Infrastrukturen bis hin zu Spionage reichen. Zum ersten Mal haben wir auch eine Koordination zwischen Cyber-Angriffen und militärischen Angriffen gesehen. Ein bemerkenswertes Beispiel ist der Zusammenhang zwischen einem russischen Raketenangriff auf den Fernsehturm von Kiew und einem zeitgleichen Cyber-Angriff, der zum Ziel hatte, die Sendekapazität der Stadt lahmzulegen.
Diese virtuelle Schlacht in der Ukraine hat nun Tausende von Freiwilligen als Kriegsteilnehmer auf den Plan gerufen, sogenannte Hacktivisten (eigenwillige Wortneuschöpfung aus Hacker und Aktivist), außerdem organisierte Cyber-Kriminelle und bekannte Technologie-Unternehmen, wie SpaceX von Elon Musk. Die digitale Front hat auch die Aufmerksamkeit hochkarätiger Gruppierungen auf sich gezogen: Die mächtige Ransomware-Bande namens Conti schwört öffentlich, die Interessen des Kremls zu schützen, während Anonymous den Russen den Krieg erklärte. Einer der interessantesten Aspekte des virtuellen Krieges, ist die Bereitschaft der Ukraine, Tastaturkrieger von beiden Seiten des Gesetzes für ihre Reihen zu rekrutieren. In den ersten Tagen des Krieges bereits rief der ukrainische Minister für digitale Transformation, Mykhailo Fedorov, auf Twitter „digitale Talente“ auf, sich der neu geschaffenen IT-Armee des Landes anzuschließen, wobei ihnen über einen speziellen Kanal des Smartphone-Nachrichtendienstes Telegram, der Hunderttausende von Mitgliedern anzog, operative Aufgaben zugewiesen wurden. Diese Bildung einer staatlichen Cyber-Truppe ist beispiellos, jedoch muss bedacht werden, dass die Gründung der ukrainischen IT-Armee zwar eine außergewöhnliche Leistung ist, aber sie könnte sich in Zukunft als Gefahr entpuppen, denn die Rekrutierung irgendwelcher Mitglieder (auch krimineller Hacker) über Telegram ist alles andere als sicher. Wie kann man die Personen, die sich melden, prüfen und andere Parteien davon abhalten, sie für ihre eigene Rekrutierung zu nutzen – Doppelagenten sozusagen? Die Tatsache, dass so gut wie jeder in der ukrainischen Cyber-Armee dienen darf, ist beunruhigend. Ebenso besorgniserregend ist die Situation auf russischer Seite, wo die staatliche Unterstützung von Hacker-Gruppen diesen sowohl die Mittel als auch die Möglichkeit an die Hand gibt, ihre Aktivitäten zu verstärken.
Schule für künftige Cyber-Angriffe
Sobald der Krieg zwischen Russland und der Ukraine für beendet erklärt wurde, wird sich die Situation im Bereich der IT-Sicherheit wahrscheinlich noch viel schlechter darstellen als zuvor . Sei es durch die anonyme Rekrutierung der ukrainischen IT-Armee oder durch die Hacker in Russland, denen dieser Konflikt die Möglichkeit gegeben hat, ihr Handwerk zu verfeinern. Nach dem Konflikt, egal wie er ausgeht, werden diese APT-Gruppen, Hacktivisten und Einzelpersonen nicht einfach verschwinden oder ihre Tätigkeit aufgeben. Stattdessen werden sie ihr erworbenes Fachwissen und ihre Werkzeuge gegen neue Ziele richten und einen Wirbelsturm von IT-Attacken auf der ganzen Welt auslösen. Erste Anzeichen dafür sind bereits zu erkennen: Die Häufigkeit und Intensität der Angriffe gegen NATO-Partner sowie auf die Länder, die der Ukraine zu Hilfe gekommen sind, nimmt zu. Aber nicht nur die Behörden dieser Länder sollten besorgt sein, sondern ebenso die Unternehmen müssen sich auf die Folgen dieses Krieges vorbereiten. Kriminelle Banden brauchen einen steten Einkommensstrom, um neue Mitglieder rekrutieren und in bessere Technik investieren zu können. Sie werden ihre Aufmerksamkeit daher auf wertvolle Unternehmen richten, um ihre Kassen zu füllen, wenn die staatliche Unterstützung versiegt.
Eines ist unumstößlich zu sehen: Dieser Kampf hat das Gesicht der Kriegsführung durch die große Cyber-Aktivität für immer verändert. Er hat auch dazu geführt, dass die IT-Sicherheitslage wesentlich schlechter geworden ist. Wir befanden uns zwar seit wenigen Jahren schon in einer Ära ausgeklügelter IT-Angriffe der fünften Generation, aber die Methoden haben sich während dieses Krieges entwickelt und die Hacker haben gelernt. Somit steht fest, dass mehr integrierte und ausgeklügelte IT-Attacken auf uns zukommen werden. Unternehmen und Behörden, vor allem aber KRITIS-Betreiber, müssen sich jetzt vorbereiten und eine Strategie der Prävention verfolgen, denn es reicht nicht aus, die Angriffe bloß abzuschwächen. Sie müssen erkannt und abgefangen werden, bevor ein Schaden entsteht.
