Cybersicherheit : Rückzug deutscher Firmen birgt neue Cyberrisiken

Der 24. Februar 2022 markiert eine Zäsur in der europäischen Nachkriegsgeschichte. An diesem denkwürdigen Tag beschloss die russische Führung ein neues, trauriges Kapitel in den Geschichtsbüchern aufzuschlagen. Der teilweise Rückzug russischer Truppen offenbart einen Einblick in die kalte, unmenschliche Grausamkeit dieses Krieges. Die Aufarbeitung möglicher Kriegsverbrechen wird uns voraussichtlich noch viele Jahre beschäftigen.

Nach anfänglichem Zögern zu Beginn des Krieges in der Ukraine hat sich Deutschland mittlerweile als starker Unterstützer der internationalen Strafmaßnahmen gegen Russland etabliert. Deutschland ist sich dabei mit seinen Nato-Verbündeten einig: Man will um jeden Preis vermeiden, als Kriegspartei in diesen Konflikt hineingezogen zu werden. Doch Putin hat bereits in mehreren Auftritten zum Ausdruck gebracht, dass er bereits die wirtschaftlichen Sanktionen als feindlichen Akt versteht und sich Gegenmaßnahmen vorbehält.

Russland hat in den vergangenen Jahren bereits mehrfach mit staatlich gebilligten Cyberangriffen Aufsehen erregt. So führten russische Hacker:innen im Dezember 2015 einen groß angelegten und hochgradig orchestrierten Cyberangriff auf das ukrainische Stromnetz aus, was zu einem vollständigem und zeitgleichen Blackout in 103 ukrainischen Städten führte. Der Angriff, bei dem auch die für Spionage entwickelte Malware Black Energy 3 zum Einsatz kam, wurde von der Gruppe Sandworm durchgeführt. Viele Expert:innen vermuten, dass Sandworm dem russischen Militärgeheimdienst GRU untersteht und politisch motivierte Cyberangriffe auf Geheiß des Kremls ausführt. Auch die derzeit beobachtbare Kampagne an Cyberangriffen auf die Ukraine ist mit einem starken Verdachtsmoment gen Russland versehen. „Wir sehen, dass Cyber-Maßnahmen ein wichtiger Teil des russischen hybriden Instrumentariums sind“ äußerte sich dazu das litauische Verteidigungsministerium.

Nicht jeder Cyberangriff aus Russland ist von so langer Hand geplant und mit vergleichbaren Mitteln an Expertise und Technik ausgestattet wie der Angriff auf das ukrainische Stromnetz im Jahre 2015. Spätestens durch die jüngsten Sanktionen hat der Brain-Drain in Russland zunehmend an Fahrt aufgenommen. Zehntausende IT-Fachkräfte haben bereits das Land verlassen.

Auch die erschwerte Einfuhr an High-Tech Komponenten behindert eine weitere Aufrüstung der russischen Staatshacker:innen. Doch unterschätzen sollte man die Gefahr nicht, die von ihnen ausgeht. Auch wenn die russischen Cyberressourcen im Vergleich zu denen der USA oder Chinas sicherlich begrenzt sind, so reichen sie nach wie vor aus, auch deutsche KRITIS durch konzertierte Angriffe empfindlich zu treffen.

In vertraulichen Gesprächen mit CISOs deutscher Unternehmen mit Außenstellen in Russland taucht immer wieder eine bisher wenig beachtete, potenzielle Sicherheitslücke für einstmals in Russland operierende Firmen auf: zurückgelassene technische Infrastruktur.

Im Zuge der Sanktionen haben sich viele westliche Unternehmen, darunter auch viele aus Deutschland, dazu entschlossen, ihre Aktivitäten in Russland kurzfristig einzustellen. Die örtlichen Mitarbeiter wurden mit einer Abfindung aus ihrem Beschäftigungsverhältnis entlassen, Angestellte aus Deutschland wurden in die Heimat zurückbeordert. In der Folge zeugen viele Büroräume und Produktionsanlagen in russischen Städten menschenleer vom plötzlichen Exodus dieser Firmen. Die technische Infrastruktur sowie die Maschinen in Produktionsanlagen konnten beim eiligen Abzug nicht berücksichtigt werden und verblieben unbeaufsichtigt an ihren jeweiligen Standorten.

Den Auskünften einiger deutscher CISOs zufolge können viele IT-Assets nicht mehr über das Internet erreicht oder gar gesteuert werden. Es kursieren auch Berichte von deutschen Produktionsanlagen, die vom russischen Staat übernommen und nun zur Produktion von Kriegsgütern umfunktioniert wurden.

Feindliche Übernahme

Man könnte diese Geschichten nun als unvermeidliches Übel des Rückzugs titulieren und sie als schmerzhafte, aber notwendige Maßnahme zu den Abschreibungen heften. Doch hinter dem offensichtlichen Verlust an teurer Hardware verbirgt sich auch eine nicht zu unterschätzende Gefahr für die IT-Sicherheit der deutschen Konzerne und ihrer heimischen IT-Infrastruktur.

Denn die ausbleibende Erreichbarkeit von Servern, Computern oder industriellen Anlagensteuerungen ist ein stilles Indiz für eine feindliche Übernahme seitens russischer Behörden. Es ist nicht auszuschließen, dass staatliche Akteure damit beauftragt werden, die digitalen Hinterlassenschaften auf verwertbare Daten und Zugänge zu durchleuchten und diese anschließend zu späteren Verwendung an den russischen Geheimdienst übermitteln. 

Für viele Betriebe stellt der Abschied aus Russland ein endgültiges Kapitel in ihrer Firmengeschichte dar. Sollte sich die politische und militärische Lage in Russland nicht grundlegend ändern, ist eine Rückkehr zum alten Status Quo ausgeschlossen. Doch wie zuvor beschrieben, ist der Rückzug deutscher Firmen erst dann vollständig abgeschlossen, wenn alle offenen Enden geschlossen und die abgetrennten IT-Assets vollständig separiert und isoliert sind.

Ein einziger vergessener Zugang, ein einziges hinterlassenes Gerät mit Verbindung zum heimischen Server kann bereits ausreichen, um unbemerkt von russischer Malware befallen zu werden. Haben die Hacker:innen im russischen Staatsdienst erst einmal die IT-Sicherheitsvorkehrungen überwunden, nisten sie sich in allen Winkeln der befallenen IT-Infrastruktur ein, um in einem opportunen Moment mit maximaler Schadenswirkung zuzuschlagen.

Daher sei an alle Firmen mit bestehender oder auch abgerissener Verbindung zu Russland ein eindringlicher Rat gerichtet: Es gilt nun alle denkbaren dunklen Winkel und blinde Flecken der firmeneigenen IT-Infrastruktur zu durchleuchten.