Cyberkriminalität : Der Ukraine-Krieg als Recruiting-Messe für Cyberkriminelle

Die Angst ist groß, dass es deutsche Ziele treffen könnte. Bisher gab es jedoch lediglich eine Ansammlung von kleineren Vorfällen, die nicht auf eine übergreifend angelegte Angriffskampagne hindeuten. Seit Ende April beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel wiederholt DDoS-Attacken von Hacktivisten, die aber in den meisten Fällen abgewehrt werden konnten.

Am deutlichsten spürbar war bei uns ein Angriff auf das Satelliten-Netzwerk KA-SAT des US-Anbieters Viasat. Damit wollten russische Hacker die Kommunikation der Ukraine und der Nato-Partner empfindlich stören. Als Kollateralschaden waren Tausende von Windrädern in Europa, davon rund 5.800 in Deutschland, nicht mehr für die Fernwartung erreichbar.

Auf der anderen Seite sorgten auch deutsche Hacktivisten für Unruhe: Im März griff die Gruppierung Anonymous die Server einer deutschen Tochter des russischen Mineralölkonzerns Rosneft an. Nach eigenen Angaben hat sie dabei 20 Terabyte Daten erbeutet. Außerdem hinterließen die Aktivisten den Slogan „Slava Ukraini“ („Ruhm der Ukraine“). Aus Sicherheitsgründen musste das Unternehmen seine Systeme zeitweise vom Netz nehmen.

Wer sind sie, diese Angreifer, die mit dem Krieg die cyberkriminelle Bühne betreten? Einerseits sehen wir Hacktivisten, die aus Idealismus oder politischer Motivation heraus agieren. Im Gegensatz zum sonstigen Gros der Cyberkriminellen verfolgen sie keine finanziellen Interessen, sondern kämpfen aus ihrer Sicht für die „richtige Sache“. Dabei greifen sie sowohl die direkten Gegner an als auch all jene, die sie für deren Unterstützer halten. Mit ihren Aktionen wollen die Hacktivisten Aufmerksamkeit erregen, Unternehmen bloßstellen, sabotieren oder den Betrieb wichtiger Systeme stören. Oft hatten sie bis dahin keinen cyberkriminellen Hintergrund.

Dazu kommt eine neue Kategorie von Hackern, die wir als Cybersöldner bezeichnen. Dabei handelt es sich um cyberkriminelle Profis, die ihre Dienste einer Regierung oder anderen Gruppierung anbieten. Ihnen geht es weniger um die politische Überzeugung, sondern um eigene Vorteile. Allerdings besteht die Bezahlung nicht im klassischen Sinne aus einem Säckchen Gold, sondern aus einem stillschweigenden Abkommen: Solange die Hacker einen Staat unterstützen und keine Ziele im eigenen Land angreifen, toleriert dieser ihre cyberkriminellen Machenschaften.

Am Ende zählt das Geschäft

Ein prominentes Beispiel ist die Gruppe „Conti“. Sie erklärte bereits im Februar ihre vollständige Unterstützung für Russland. Schon vor dem Ukraine-Krieg gab sich die Gang alle Mühe, keine Länder der Eurasischen Wirtschaftsunion mit Cyberangriffen zu treffen. Indes konnte sie sich sicher fühlen, denn die russische Polizei verweigerte den westlichen Strafverfolgungsbehörden die Zusammenarbeit, wann immer es darum ging, die Hacker zu verhaften.

Conti zählt zu den führenden Anbietern von Ransomware-as-a-Service, einem Geschäftsmodell, bei dem die Gruppe ihre Malware-Tools anderen Akteuren gegen Bezahlung zur Verfügung stellt. Doch indem die Cyberkriminellen öffentlich Partei für Russland im Ukraine-Krieg ergriffen, drehten sie sich selbst den Geldhahn zu. Denn seither verstößt jeder, der die Gruppe bezahlt, gegen amerikanische Embargo-Vorschriften und macht sich strafbar. Daraufhin sah sich Conti gezwungen, die Solidaritätsbekundung mit Russland zurückzunehmen, und verkündete im Mai, sich aufzulösen.

Ein tatsächliches Aus ist das aber sicher nicht. Aller Wahrscheinlichkeit nach baut die Gruppe lediglich ihre Infrastruktur um und taucht dann unter neuer Marke wieder auf. Klar ist: Wenn es zum Konflikt zwischen politischen und finanziellen Interessen kommt, entscheiden sich die meisten Cyberkriminellen fürs Geschäft.

Conti war zum Zeitpunkt der Auflösung wie ein mittelständisches Unternehmen aufgestellt. Die Gruppe hatte mehr als 150 Angestellte und zahlreiche Partner. Aus geleakten Diskussionen geht hervor, dass es sogar Gehaltsgespräche, Bonuszahlungen und Urlaubsanträge gab.

Beste Zukunftsaussichten für Cyberkriminelle

Auch cyberkriminelle Unternehmen brauchen fähige „Fachkräfte“, um am Markt erfolgreich zu sein. Sie nutzen den Ukraine-Krieg als Chance, um motivierten Nachwuchs zu rekrutieren. Für die Hacktivisten bietet sich dadurch die Möglichkeit, von den Besten zu lernen.

Noch mag bei vielen das politische Interesse überwiegen. Aber warum die neu erworbenen Fähigkeiten nach dem Krieg auf Eis legen, wenn man damit doch viel mehr Geld verdienen kann als in einem legalen Beruf? Einige Hacktivisten, die jetzt cyberkriminelle Luft schnuppern, dürften auf den Geschmack kommen. Früher oder später werden sie auf die dunkle Seite wechseln – ob als Cybersöldner oder Verbrecher. Diesen Mechanismus kennt man aus sämtlichen Kriegen der Menschheit. Es liegt auf der Hand, dass er sich auch diesmal wiederholen wird.

Hacktivisten, die sich für eine cyberkriminelle Laufbahn entscheiden, haben beste Zukunftsaussichten. Der Übergang ist leicht und das Geschäft mit Ransomware boomt. Manch einer legt wahrscheinlich heute schon den Grundstein für eine neue Karriere: Indem er sich Zugriff auf ein Netzwerk verschafft und eine Hintertür einbaut, kann er dort später jederzeit wieder eindringen und Daten stehlen oder verschlüsseln.

Viele Unternehmen sind nicht in der Lage, solche Backdoors zu erkennen, weil ihnen sowohl die technischen Möglichkeiten als auch IT-Security-Spezialisten fehlen. So sitzen sie womöglich auf einer Zeitbombe, deren Schadensausmaß immens sein kann.

Kein Grund zum Aufatmen nach dem Krieg

Wir alle hoffen, dass der Ukraine-Krieg bald vorbei ist. Aus Security-Sicht gibt es dann aber keinen Grund zum Aufatmen. Ganz im Gegenteil: Der Zuwachs an cyberkriminellem Personal wird die Lage aller Wahrscheinlichkeit nach weiter verschärfen. Unternehmen und Behörden sollten die Warnung des BSI daher ernst nehmen und nicht nur auf die aktuelle politische Situation beziehen. Sie müssen in der Lage sein, Anzeichen für eine Kompromittierung möglichst früh zu erkennen und schnell Gegenmaßnahmen zu ergreifen.

Richard Werner ist Business Consultant beim IT-Sicherheitsunternehmen Trend Micro.