Russland-Ukraine-Krieg : Die Evolution von staatlich geförderten Angreifern

1) Cyberangriffe bleiben Standardtools von Geheimdiensten

Zwischenstaatliche Auseinandersetzungen werden im Cyberraum fortgeführt. Sie haben Auswirkungen auf die Bedrohungslandschaft, die weit über das eigentliche Kriegsgebiet hinausreichen, denn Cyberangriffe gehören heute zum Baukasten jedes Geheimdienstes der Welt. Das sehen wir seit einem Jahr in der Ukraine und den direkt oder indirekt beteiligten Staaten.

Der Krieg in der Ukraine hat aber nicht nur staatlich gesponserte Gruppen innerhalb von Russland auf den Plan gerufen. Die Auseinandersetzung motivierte auch viele Cyberkriminelle, die die Gunst der Stunde nutzen wollten. Durch die neue geopolitische Lage brauchen sie keine Verfolgung in Russland mehr zu befürchten, solange ihre Ziele außerhalb Russlands und dessen Bündnispartner liegen. Solchermaßen staatlich unterstützte oder geduldete Gruppen greifen zum einen die Ukraine direkt an, aber auch den Westen, den sie als Verbündeten der Ukraine ansehen. Die aktive Tolerierung von Cyberkriminellen ist längst ein bewusst einkalkulierter Teil von Cyberkampagnen.

2) Kinetische Kriege definieren die Cyberbedrohungslandschaft neu

Bis dato haben die russischen Cyberangriffe den Kriegsverlauf nicht substanziell beeinflussen können. Ein Grund hierfür liegt in der sehr guten Vorbereitung der Kritis-IT-Landschaft der Ukraine. Stark gehärtete Kritis-Infrastrukturen – und das zeigt das Beispiel klar – führen dazu, dass im Kriegsfall der Angreifer keine einfachen Siege auf dem Cyberfeld erzielen kann. Gleichzeitig ist in einem heißen Krieg ein kinetischer Angriff deutlich einfacher und effizienter. Relativ aufwendige Cyberangriffe sind dagegen dort effektiv, wo es noch keine Kriegserklärung gibt und man die Urheberschaft des Angriffes bei Bedarf leichter abstreiten kann.

Im Ukraine-Krieg haben Cyberangriffe allerdings auf anderen Ebenen eine größere Rolle gespielt. APT-Gruppen haben sehr viel Energie in Kampagnen zur Desinformation oder Informationsgewinnung sowie Nadelstich-Operationen in Form von destruktiven Angriffen gegen einfache Ziele gelegt, beispielsweise gegen schlecht gesicherte Netzwerke. Aus einer aktuellen Analyse von Cisco Talos lässt sich zudem erkennen, dass eine Diversifizierung der von APT-Gruppen benutzten Malware stattgefunden hat. Staatlich gelenkte Bedrohungsakteure bleiben zudem konsequent aktiv, selbst wenn sie von Sicherheitssystemen entdeckt und blockiert werden.

3) Die Abkehr von einer globalen Wirtschaftsstruktur unterstützt den Diebstahl von Know-how

Als Spätfolge der Pandemie mit gestörten Lieferketten haben Unternehmen in Europa feststellen müssen, dass Just-in-Time (JIT) nur funktioniert, wenn auch Lieferanten verfügbar sind. Sourcing und Produktion in Übersee haben sich als Kostentreiber entpuppt und manch ein Hersteller plant eine Rückkehr in die heimische Region. Doch die Rückverlagerung beispielsweise der Chipfertigung nach Europa oder in die USA wird weltweit Auswirkungen zeigen. Immer mehr autokratische Staaten sehen sich gezwungen, eigene Versionen von Produkten und Technologien zu entwickeln, was in der Regel beträchtliche Investitionen in Forschung und Entwicklung nach sich zieht.

Es gibt jedoch noch einen kostengünstigeren Weg für diese Länder: Cyberdiebstahl von geistigem Eigentum. Ein Rückzug aus der Globalisierung hat damit unmittelbare Auswirkungen auf die Handlungsfelder staatlich unterstützter Angreifer: Gehen westliche Unternehmen dazu über, wieder regional zu produzieren, werden sie verstärkt zu Angriffszielen. Die Abkehr von weltweiten Wertschöpfungsketten wird nach unserer Einschätzung tendenziell in einen verstärkten Diebstahl von geistigem Eigentum münden. Das Problem: Eine globale Cisco-Studie zeigte zuletzt, dass 66 Prozent der deutschen Security-Experten wenig zuversichtlich sind, im schlimmsten Cybervorfall auch widerstandsfähig bleiben zu können.

4) Geopolitische Verwerfungen werden zum Katalysator für destruktive Angriffe

Das Spielfeld für staatlich gesponserte Akteure hat sich erheblich vergrößert. Dominierten früher eine Handvoll gut ausgestatteter Staaten dieses Metier, treten nun immer mehr Länder mit offensiven Fähigkeiten auf den Plan. Cisco Talos beobachtet parallel, dass sich staatlich geförderte Akteure in den vergangenen Jahren verstärkt auf destruktive Angriffe fokussiert haben. Die Beispiele in Verbindung mit Russland sind vielfältig: „NotPetya“, „OlympicDestroyer“, „WhisperGate“, „CaddyWiper“. Aber auch andere Länder haben sich mit destruktiven Angriffen hervorgetan. Der Einsatz von destruktiver Malware wird in den kommenden Monaten und Jahren eher noch zunehmen. Diese Akteure haben gelernt, dass Malware ein wirksames Mittel sind, um eine Region zu destabilisieren oder lebenswichtige Dienste zu beeinträchtigen.

5) Die Entfernung bestimmt über den Einsatz von Cybertechnologien

Kritische Infrastrukturen waren bislang eine rote Linie, wenn auch eine, die bereits mehrfach überschritten wurde. Der Ransomware-Angriff auf Colonial Pipeline hat jedoch gezeigt, dass Staaten Kritische Infrastrukturen nicht physisch angreifen müssen, um sie zu stören. Betrachtet man den Ukraine-Krieg in seiner jetzigen Form, wird jedoch deutlich, dass in regionalen Kriegen kinetische Angriffe auf Kritische Infrastrukturen effizienter als digitale sind. Bei Gegnern, die über größere Entfernungen agieren, ist dies nicht der Fall, da kinetische Angriffe hier kostspieliger und logistisch schwieriger sind. Es überrascht daher nicht, dass sich staatlich geförderte Akteure für digitale Möglichkeiten interessieren, Kritische Infrastrukturen zu stören, ohne sie direkt anzugreifen. Das Handwerkszeug steht ihnen zur Verfügung.

6) Staatlich geförderte Gruppen nutzen Informationen als Waffe

Kritische Infrastrukturen sind nicht der einzige Bereich, in dem APT-Gruppen versuchen, ihre Gegner zu destabilisieren. Mit dem Aufkommen sozialer Medien können Informationen auf mächtige Weise genutzt werden, wobei sich die Grenze zwischen Wahrheit und Lüge als fließend erwiesen hat. Dies hat staatlich geförderten Gruppen Raum geschaffen, Falschinformationen als Keil zu nutzen. Falschnachrichten und Desinformationen sind heute schlagkräftige Werkzeuge, um Veränderungen herbeizuführen – und dies in einem Ausmaß, wie es früher alleine durch physische Beteiligung möglich war. Für aggressive Nationalstaaten ist dies ein denkbar attraktiver Weg, da er leicht durchzuführen, relativ billig und im Zweifelsfall einfach zu leugnen ist.

7) Die Verfügbarkeit mobiler Spionageprogramme erleichtert die Überwachung der Zivilgesellschaft

In den vergangenen Jahren ist der Markt für mobile Spionageprogramme schlagartig gewachsen. Eine Vielzahl von Start-ups drängen aktuell in den Markt. Ihre Tools versprechen, Kriminelle und Terroristen weltweit zu enttarnen, werden aber auch gegen Dissidenten, Aktivisten und Journalisten eingesetzt.

Heutzutage findet sich das Leben jedes Menschen auf seinen mobilen Geräten wieder, von E-Mails über Dokumente bis hin zu privaten Mitteilungen. Hält ein staatlicher Angreifer diese Informationen für wertvoll genug, bekommt er sie wahrscheinlich auch. Die dafür nötigen Tools sind sicher nicht an jeder Ecke zu kaufen. Mit überschaubarem Aufwand sind sie aber für Geheimdienstapparate und ihre Cybergruppen erhältlich. Es überrascht daher nicht, dass Datenschützer gegen diese mobilen Spionageprogramme und ihre Hersteller vorgehen. Auch ist deutlich, dass der Schutz von Menschen, die ins Visier dieser Spionageprogramme geraten, alles andere als leicht ist.

Fazit: Entwicklungen der Weltwirtschaft befeuert staatliche Angreifer

Es zeigt sich also: De-Globalisierung und steigende Kosten auf dem internationalen Geldmarkt lassen einige Staaten nach kostenminimalen Möglichkeiten Ausschau halten, die eigene Wirtschaft durch Cyberoperationen zu unterstützen. Solche Operationen können vergleichsweise billig sein und haben, selbst wenn sie entdeckt werden, selten politische Auswirkungen. Solange Cyberoperationen für den Bruchteil der Kosten staatlicher Entwicklungsprogramme verfügbar sind, lohnen sie sich weiterhin. Und APT-Gruppen werden diesen „Wert“ ihrer Angriffe zunehmend in Mittelpunkt stellen. Darüber hinaus wird eine Abkehr von der Globalisierung die Zahl nichtstaatlicher Ziele für staatlich gesponserte Gruppen tendenziell noch erhöhen.

Holger Unterbrink ist technischer Leiter von Cisco Talos in Deutschland.