Russian Cyberwar

Ob nun in der Tagesschau¹, bei SWR Aktuell² oder z. B. der Zeit Online³, das Buzzword „russischer Cyberwar“ kommt in fast allen deutschen Medien irgendwann zur Sprache. Ob und inwieweit wir von diesem schon betroffen sind, möchten wir in an dieser Stelle einmal näher beleuchten.

Wenn man es genau definieren möchte, begann der russische „Cyberwar“ sogar bereits 2014 vor der Annexion der Krim. In deren Verlauf wurden unter anderem mit verschlüsselnder Malware (Petya/NotPetya) bereits Angriffe auf ukrainische Infrastrukturen getätigt. Dabei wurde unter anderem die Stromversorgung von ca. 200.000 Menschen in der Ukraine für mehrere Stunden unterbrochen. Seitdem ist die Ukraine eine Art Versuchsballon für die Cyber-Kriegsführung der russischen Führung geworden. Was wir jetzt im Zuge der Invasion in der Ukraine sehen, ist die Fortführung der Strategie der letzten Jahre.

Nach Daten von Check Point Research ist die Zahl der Cyber-Angriffe mit Beginn des Krieges weltweit gestiegen. In ihrem Report⁴ beziffern sie den Anstieg der Angriffe für die Ukraine mit 39 %, für Russland mit 22 % und der weltweite durchschnittliche Anstieg beläuft sich auf 16 % im Vergleich zum Niveau vor der Invasion.

Im direkten Vorfeld der Invasion wurden – mit entsprechender Malware – Ziele vor allem in den Sektoren staatlicher Einrichtungen, Banken und Infrastruktur angegriffen. Ein anfängliches Ziel war auch die Firma Viasat. Daraus resultierte unter anderem die eingeschränkte Kommunikation des ukrainischen Militärs zu Beginn des Krieges, was für das russische Militär einen erheblichen Vorteil dargestellt hat. Microsoft hat in einem Bericht⁵ den Zusammenhang zwischen den Cyber-Attacken und nachfolgenden militärischen Aktionen hergestellt. Es verdeutlicht das koordinierte Vorgehen beider Bereiche.

Im gleichen Bericht werden auch die in der Ukraine aktiven APT-Gruppen (Advanced Persistant Threat) aufgeführt und deren vermutliche Verbindung zur russischen Führung in Moskau. Die dabei eingesetzte Malware zielt vor allem auf die Zerstörung von Daten und die Beschaffung von militärischen Informationen.

Der letzte öffentlich ersichtliche Angriff wurde von der Gruppe Sandworm mit Industroyer2 und CaddyWiper auf Ziele im Bereich der ukrainischen Stromversorgung durchgeführt. Laut ukrainischem CERT (Computer Emergency Response Team) und der Firma ESET konnte der Angriff allerdings vereitelt werden.

Eine wöchentliche Übersicht der Aktivitäten gibt auch Pierluigi Paganini auf seiner Webseite⁶ securityaffairs.

Aktuell beschränken sich die Cyber-Angriffe seitens Russlands auf Ziele in der Ukraine sowie auf Einrichtungen der NATO. Vor allem osteuropäische Mitglieder der NATO wie z. B. Rumänien oder Bulgarien werden vermehrt angegriffen⁷. Eine Ausweitung wird zwar immer wieder ins Gespräch gebracht, allerdings gibt es momentan noch keine Anzeichen dafür.

Mögliche Gründe für eine Ausweitung des Cyberwars auf andere Länder könnten natürlich die stattfindenden Angriffe auf Russland selbst sein – denn auch die westliche Seite ist sehr aktiv: Wie beispielsweise die "IT Army of Ukraine", welche sich zu Beginn des Krieges formierte und DDoS Attacken auf russische Webseiten von Firmen, Banken und regierungsnahen Organisationen durchführt. Mit automatisierter Software wird es auch Laien einfach gemacht, an den Angriffen teilzunehmen. Dazu gesellen sich Hackergruppen, die Partei für die Ukraine ergriffen haben (ein Trend, der sich scheinbar durch die gesamte Szene zieht, mit unterschiedlichem Ergebnis). Auf Wikileaks ähnlichen Portalen werden die erbeuteten Daten zum Download⁸ für Jedermann angeboten.

Die Fälle in der Ukraine zeigen aber auch, welche möglichen Angriffsvektoren bei uns wahrscheinlich wären. Dafür wurden bereits im Jahr 2009 bestimmte Branchen in sogenannte „Kritische Infrastrukturen“ (KRITIS) klassifiziert und die Anforderungen an die Sicherheit kontinuierlich erhöht (zuletzt im Jahr 2021). Dies bedeutet allerdings nicht, dass wir uns jetzt entspannt zurücklehnen dürfen.

Wie das BSI⁹ bereits am 17.03.22 erwähnt hat, müssen auch Unternehmen ihre „Hausaufgaben“ machen – dazu gehören: Notfallpläne zu aktualisieren, regelmäßige Backups durchzuführen und alle IT-Systeme auf dem aktuellen Stand zu halten. Des Weiteren empfiehlt das BSI den Unternehmen und Institutionen deren Mitarbeitenden verstärkt zu Phishing-Mails, Social Engineering und Fake News zu sensibilisieren, da speziell Desinformation und Phishing-Mails mit Ukraine-Bezug derzeit ein mögliches Einfallstor für Kriminelle werden könnten.

Außerdem empfiehlt es sich auch die fünf Basistipps des BSI für Cyber-Sicherheit zu berücksichtigen: