Seit einem Jahr nun verteidigt sich die Ukraine gegen eine groß angelegte Invasion Russlands. Nicht nur physisch muss die Ukraine sich dabei verteidigen – die Auseinandersetzung wird auch auf digitaler Ebene geführt und durchdringt damit alle gesellschaftlichen Bereiche. IT-Sicherheit ist mehr denn je gefordert.
Die Ukraine als bevorzugtes Ziel von Cyberattacken
Das Advanced Research Center von Trellix registrierte im vierten Quartal 2022 vermehrt Angriffe staatlich unterstützter Gruppierungen aus China, Russland und Nordkorea. Das bevorzugte Ziel politisch motivierter Cyberattacken ist derzeit die Ukraine. Die erhobenen Daten zeigen auch, dass die Zahl der E-Mail-Angriffe auf staatliche Institutionen und Unternehmen des Landes im Herbst 2022 um das Zwanzigfache gestiegen sind.
Die meisten dieser Angriffe zielten auf Unterdomains von Gov.ua, also auf Computer von ukrainischer Regierung und Militär. Meistens wurden E-Mails mit minimalem Textinhalt und einem Anhang oder Link verwendet, in dem sich die Malware verbirgt: HTML-Files, die auf eine manipulierte Website führten, vorgebliche Rechnungen oder Archive mit Schadcode-Inhalt und Ähnliches.
Websites werden mit so viel Sinn fürs Detail nachgebaut, dass es für Nicht-Fachleute kaum möglich ist, sie von den echten zu unterscheiden. Auffällig waren in den vergangenen Monaten auch gehäufte Versuche, potenziell unerwünschte Programme (sogenannte potentially unwanted programs, PUPs) in Systeme zu schmuggeln, die versuchten, ihrerseits ein Programm aufzurufen, das Adobe aktiviert. Häufiger treten inzwischen Malware-Tools vom Typ „Wiper“ auf. Sie nisten sich auf Systemen ein und löschen Dateien oder machen sie unbrauchbar.
Besonders häufig agiert bei Angriffen auf die Ukraine die Gruppe „Gamaredon“ (Background berichtete). Sie ist auf gezielte, komplexe, langfristige Angriffe auf die Accounts von Personen oder Einrichtungen spezialisiert. Diese Advanced Persistent Threats (APTs) sind gefürchtet, weil ihre Initiatoren in der Regel um ausreichend Geduld und Mittel verfügen, um ihre maliziösen Ziele auf unterschiedlichen Wegen so lange zu verfolgen, bis sie entweder entdeckt wurden oder Erfolg hatten – viel zu oft letzteres.
Vermehrte Cyberangriffe auch auf Deutschland
Deutschland ist zwar kein aktiver Kriegsteilnehmer, aber ein wichtiger Waffenlieferant der Ukraine. Zudem suchen viele Menschen aus der Ukraine hier Zuflucht vor der Zerstörung in ihrer Heimat. Die „Tageschau“ meldete schon Ende August 2022 unter Berufung auf den Branchenverband Bitkom vermehrte Angriffe aus Russland und China in Deutschland. Die Schäden für die deutsche Wirtschaft sollen sich Jahr für Jahr auf über 200 Milliarden Euro belaufen.
Zwei Beispiele: Deutschland verzeichnete im dritten Quartal 2022 mit einem Anteil von 29 Prozent die weltweit meisten APT-Angriffe und zudem die meisten Ransomware-Fälle weltweit.
Der Krieg in der Ukraine hat auch neue Formen von Cyberangriffen hervorgebracht. Prorussische Aktionen im Hacktivismus-Gewand haben das Potenzial, stark an Umfang zuzunehmen. Denn Gruppen wie „Killnet“ werden immer geschickter und stärker darin, Websites zu verunstalten, Informationen weiterzugeben und DDoS-Angriffe durchzuführen – oft getrieben durch den Wunsch, die Aufmerksamkeit der Medien auf sich zu ziehen. Sie nutzen geschickt die sozialen Medien, um die öffentliche Meinungsbildung zu beeinflussen und streuen gezielt Fehlinformationen, um ihre politischen und ideologischen Ziele zu erreichen (Background berichtete).
Mehr Kooperation auf allen Ebenen gefordert
Viele Fachleute erwarten eine aktivere Rolle des Staates. Darauf deuten zumindest die Ergebnisse einer Studie hin, die das Marktforschungsinstitut Vanson Bourne im Frühjahr 2022 durchführte. Über 900 Cybersicherheitsexperten aus Unternehmen mit mehr als 500 Beschäftigten nahmen an der Befragung zur Cyber Readiness staatlicher Einrichtungen teil, davon 200 aus Deutschland, Großbritannien und Frankreich. 87 Prozent der Befragten aus den drei zuvor genannten Ländern glauben, dass staatliche Initiativen eine wichtige Rolle bei der Stärkung der Cyberabwehr spielen können. Gleichzeitig sahen 92 Prozent von ihnen Raum für Verbesserungen bei Cybersicherheitspartnerschaften mit ihren Regierungen.
Um die Bedrohung der westlichen Demokratien durch Nationalstaaten zu bekämpfen, bedarf es einer ständigen gemeinsamen Anstrengung aller öffentlichen und privaten Akteure – und das länderübergreifend.
Mehr Kooperation auf allen Ebenen scheint also das Gebot der Stunde: Auf zwischenstaatlicher Ebene, wo inzwischen bei Rüstung und Sicherheit die meisten europäischen Staaten gemeinsam mit den USA und Nato an einem Strang ziehen. Aber auch zwischen privaten Unternehmen und Staaten als Private-Public-Partnership.
Erfolgreiche Beispiele dafür im Bereich Cybersicherheit gibt es bereits. So lieferten Trellix, Cisco, Microsoft und Google 2022 ihre Sicherheitserkenntnisse an die Nato und die Ukraine. Die schnellen Reaktionskräfte von EU und USA arbeiteten gemeinsam daran, Malware weltweit unschädlich zu machen, indem sie Botnetze deaktivierten und Cyberangriffe abblockten (Background berichtete). Das zeigt den Weg in die Zukunft: Nur gemeinsames Handeln birgt angesichts zunehmenden Polit-Hackings und kriminellen Cyberangriffen die Chance, den digitalen Raum als gemeinsame Ressource sicher und benutzbar zu halten.
John Fokker ist Head of Threat Intelligence beim Cybersicherheitsunternehmen Trellix.
