Unmittelbar nach dem Terrorangriff der Hamas am 7. Oktober begann eine Flut von Cyberangriffen auf Israel. Über 100 Telegram-Gruppen berichteten von über 500 DDoS-Angriffen und über 200 Website-Defacements. Viele der Gruppen waren an den Angriffen allerdings nicht selbst beteiligt, und wie üblich bei solchen Angriffen entstand kein größerer oder länger anhaltender Schaden. Berichtet wurde auch von über 100 digitalen Einbrüchen in israelischen Unternehmen und Behörden. Die Zahl der mit Schadsoftware infizierten Rechner stieg laut unseren Beobachtungen bereits einige Tage vor dem Terroranschlag weltweit, auch in Israel, deutlich an.
Tatsächlich nahm das Angebot an geleakten Datensammlungen mit Bezug zu Israel im Darknet deutlich zu. Eine Analyse ergab allerdings keinen entsprechenden Anstieg an kompromittierten Passwörtern, Zugangsdaten und anderen persönlichen Informationen. Viele der geleakten Datensätze stammen offenkundig aus früheren Cyberangriffen.
Es gibt natürlich auch sofort erkennbar gefährliche Angriffe, etwa durch Phishing und Social Engineering, mit Ransomware und Wiper-Schadsoftware. Einige davon scheinen politisch, viele aber eher finanziell motiviert, etwa Phishing-Webseiten, die legitime Seiten zum Sammeln von Spenden für die Opfer des Terrorangriffs vortäuschen. Etliche Cyberkriminelle erklären auch freimütig, dass sie die schwierigen Zeiten ausnutzen, um ihre Opfer leichter zu täuschen.
Einzelne Angriffe, keine weitreichenden Schäden
Cyberangriffe mit umfangreichen Folgen für Israel insgesamt wurden bislang nicht bekannt. Einer der größeren Angriffe auf einzelne Unternehmen betraf den israelischen Cloud-Dienstleister Octopus, der Opfer eines Wipers wurde. Andere vermeintlich große Cyberangriffe konnten nicht bestätigt werden, etwa die angeblichen Angriffe auf das israelische Stromverteilnetz, das Verteidigungsministerium oder den Nachrichtenkanal News 13.
Andere Cyberangriffe fanden zwar statt, waren aber nicht so erfolgreich, wie von den Tätern behauptet. Beispielsweise wurde berichtet, dass das E-Mail-System der israelischen Regierung gehackt wurde; tatsächlich waren die betroffenen Mailboxen aber überhaupt nicht mit dem Netzwerk der Regierung verbunden und wurden nicht für vertrauliche Kommunikation genutzt. Ähnlich gelagert war der vermeintliche Angriff auf den Anbieter von Telekommunikationsdiensten Bezeq; tatsächlich betroffen war ein externer Dienstleister, dessen Systeme überhaupt nicht mit Bezeq verbunden waren.
Hacktivismus und kognitive KriegführungEs liegt nahe, dass die Täter es vorwiegend auf die unmittelbar wahrnehmbare und wirksame Störung der öffentlichen Ordnung in Israel abgesehen hatten, auf das Schüren von Angst und Unsicherheit, das Streuen von Zweifeln an der Fähigkeit des Staates, seine Bürger zu schützen, und auch auf Zweifel der internationalen Öffentlichkeit an den Fähigkeiten der Cybernation Israel – also auf Hacktivismus.
Diese Art von Angriffen unterscheidet sich grundlegend von professionellen Cyberangriffen wie zum Beispiel dem Solarwinds-Hack von 2021. Dieser Angriff wurde erst nach mehreren Monaten entdeckt, und auch danach gaben sich die Täter nicht zu erkennen. Das ist das typische Vorgehen bei Cyberspionage, Datendiebstahl und Infostealern, also Angriffen, die meist nur so lange erfolgreich sind, wie sie nicht auffallen. Der Aufbau des Solarwinds-Hacks war zudem sehr komplex, erforderte viel Wissen über das Opfer und brauchte daher viel Vorbereitungszeit, was typisch für APT-Angriffe ist.
Aber auch Ransomware-Angreifer, die nicht gezielt vorgehen, wollen zumindest so lange unentdeckt bleiben, bis sie die Daten ihrer Opfer ausgeleitet und verschlüsselt haben. Auch danach gehen sie üblicherweise höchstens dann selbst an die Öffentlichkeit, wenn das Opfer sich weigert, Lösegeld zu zahlen. Im Gegensatz dazu waren die Angriffe in Israel meist relativ einfach aufgebaut und sollten sofort auffallen. Meist bekannten sich die Täter zu ihren Angriffen und feierten ihren Erfolg in sozialen Medien. Manche Hackergruppen kündigten ihre Cyberangriffe sogar zuerst erst Telegram an.
Reputationssteigerung dank Desinformation
Hacktivismus ist eine Variante kognitiver Kriegführung. Bei der kognitiven Kriegführung geht es immer darum, die Meinungen und Emotionen des Gegners im eigenen Sinne zu beeinflussen. Das offensichtlichste Instrument dafür ist Desinformation, also die Verbreitung falscher und verfälschter Nachrichten sowie das gezielte Weglassen von Information und Kontext.
Auch hierfür findet man im aktuellen Kampf Israels gegen die Hamas sehr viele Beispiele, auch im Kontext von Cyberangriffen: Viele Berichte über erfolgreiche Cyberangriffe gegen Israel wurden bewusst übertrieben, manche Angriffe waren frei erfunden und manche berichtete Schäden sind nie eingetreten. Leider fielen auch zahlreiche selbsterklärte IT-Sicherheitsexperten und auch deshalb zahlreiche seriöse Medien auf diese Desinformation herein und halfen so, sie mit mehr Glaubwürdigkeit zu versehen und weiterzuverbreiten.
Diese Art von Desinformation dürfte sich weniger an die israelische Öffentlichkeit richten, wo sie ja kaum wahrgenommen wird, sondern vorrangig an die eigenen Förderer und Anhänger. Hacker im staatlichen Auftrag steigern so ohne Aufwand ihre Reputation bei der eigenen Regierung wie auch bei anderen Hackergruppen und potenziellen „Mitarbeitern“, andere Hackergruppen werden zu Taten ermuntert, der Ruf von Israel als gut abgesicherter Cybernation wird angekratzt.
Das Risiko, dass solche Scheinangriffe auffliegen, ist relativ gering. Die Opfer erfolgreicher Cyberangriffe ziehen es oft vor, nicht an die Öffentlichkeit zu gehen, um Reputationsschäden zu vermeiden. Folglich kann man aus dem Umstand, dass die vermeintlichen Opfer einen Cyberangriff nicht bestätigen, nicht schließen, dass er nicht stattgefunden hat.
Eine weitere Variante der kognitiven Kriegführung ist das gezielte Lancieren vertraulicher, diskreditierender Informationen und die zur Beschaffung notwendigen Cyberoperationen. Bislang sind im Zusammenhang mit Israels Kampf gegen die Hamas noch keine Beispiele dieser Art aufgetaucht.
Was man nicht weiß…Natürlich kann man aus dem Umstand, dass bisher noch keine Cyberangriffe mit großer Wirkung gegen Israel bekannt geworden sind, nicht schließen, dass es noch keine gab. Die gefährlichsten Cyberangriffe sind genau die, die lange Zeit im Verborgenen bleiben, wie etwa der schon erwähnte Angriff gegen Solarwinds. Ob es solche im Zusammenhang mit dem Krieg Israels gegen die Hamas gibt, wird sich also erst noch zeigen. Generell gilt Israel als relativ gut abgesichert, aber es ist gut vorstellbar, dass ein gewisser Teil der vermeintlich harmlosen Hacktivismus-Angriffe auch dem Ziel diente, das Entdeckungsrisiko für die eigentlichen, gefährlicheren Angriffe zu senken.
Seit dem 7. Oktober gibt es eine Welle von Cyberangriffen gegen Israel. Das meiste, was wir direkt sehen oder was in den Medien berichtet wird, zielt auf unmittelbar sichtbare Effekte ab – also Hacktivismus, kognitive Kriegführung. Diese spielt also auch in diesem Krieg eine große Rolle. Wichtig dabei ist, sich klarzumachen, dass die Motivationen der Täter hinter diesen Angriffen vielfältig sind.
Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
Michael Waidner ist Professor für Sicherheit in der Informationstechnologie im Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für sichere Informationstechnologie SIT und CEO von ATHENE.
In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich der Cybersicherheit ein. Zuvor von Schulmann und Waidner im Background Cybersicherheit erschienen: Staatliches Schwachstellenmanagement für mehr Sicherheit
