Navigation und Service

Akteure und Angriffsmethoden.

Die Aufnahme zeigt einen Mann, der in dunkler Umgebung am Rechner sitzt und auf einer Tastatur tippt.

Deutschland im Visier

Die Aufnahme zeigt die Silhouette des Berliner Fernsehturm in der Abenddämmerung
Photo by Flo Karr on Unsplash

Ausländische Nachrichtendienste setzen Cyberangriffe gegen Deutschland mit dem Ziel ein, Informationen über seine europa- und weltpolitische Rolle, seine Verteidigungs-, Sicherheits- oder Energiepolitik zu gewinnen. Gerade der politische Raum und die Bundesverwaltung wurden in der Vergangenheit Opfer von staatlichen Angreifern. Aber auch die deutsche Wirtschaft ist betroffen, denn Know-how und Innovationen gelten als erfolgskritische Faktoren im internationalen Wettbewerb.

Besonders im Fokus stehen KRITIS-Sektoren wie Energieversorgung, Wasserwirtschaft, Verkehrssysteme/Logistik und das Finanz- oder Gesundheitswesen. Diese Bereiche bilden das Rückgrat des täglichen Lebens und der Wirtschaft – eine Störung oder ein Ausfall hätte gravierende Konsequenzen.

Zum Thema Wirtschafts- und Wissenschaftsschutz

Die Aufnahme zeigt die im Wind wehenden Flaggen der Staaten Iran, China und Russland
picture alliance / Vitaliy Ankov/Sputnik/dpa | Vitaliy Ankov

Zentrale Akteure

Fremde Nachrichtendienste nutzen Cyberangriffe teilweise in großem Umfang mit der Absicht, unbefugt an Informationen zu gelangen.

Um die wahre Identität hinter diesen Cyberangriffen zu verschleiern, setzen Staaten für ihre Angriffe im Cyberraum verschiedene Cybergruppierungen ein. Diese werden generell als APT bezeichnet, was für „Advanced Persistent Threat“ (übersetzt „fortgeschrittene, andauernde Bedrohung") steht.

Mit den durch die Cybergruppierungen ausgespähten Informationen soll die heimische Volkswirtschaft unterstützt oder (außen)politische Ziele verfolgt werden. Vor allem die Nachrichtendienste der Russischen Föderation, der Volksrepublik China, der Islamischen Republik Iran sowie der Demokratischen Volksrepublik Korea (Nordkorea) setzen Cyberangriffe gegen deutsche Stellen ein.

Die hierzu veranlassten und gesteuerten Cyberangriffe stellen aufgrund ihrer Qualität und ihres Umfangs eine erhebliche Gefahr für das jeweilige Angriffsziel dar, das in der Regel zuvor anhand der politischen Vorgaben der eigenen Regierung ausgewählt wird.

Neben Spionageaktivitäten können Cyberangriffe auch zur Vorbereitung von Sabotageakten genutzt werden. Hat ein Angreifer erst einmal Zugriff auf ein IT-System erlangt, kann er dort ungehindert eine Vielzahl an Aktionen durchführen und damit auch die Verfügbarkeit des Zielsystems beeinträchtigen.

Die Aufnahme zeigt einen Mann mit Regenschirm, der an der Liegenschaft des militärischen Auslandsnachrichtendienstes (GRU) der Russischen Föderation in Moskau vorbeigeht.
AP Photo/Pavel Golovkin, File

Russland

Russland nutzt Cyberangriffe als geopolitisches Werkzeug, um strategische Vorteile zu erzielen. Um Einfluss auf globale sowie nationale Politikprozesse auszuüben, wird im Cyber- und Informationsraum eine Doppelstrategie aus Cyberangriffen und Desinformationskampagnen verfolgt.

Sowohl der FSB (Inlandsnachrichtendienst), die SWR (Auslandsnachrichtendienst) als auch die GRU (der militärische Auslandsnachrichtendienst) operieren im Cyberraum.

Häufig eingesetzte Methoden sind Phishing und das Ausnutzen von Schwachstellen in IT-Systemen sowie Malware. Die mutmaßlich russischen APT-Gruppierungen zeigen einen hohen Grad an technischen Fähigkeiten und verfügen über umfangreiche finanzielle Mittel.

Zudem weisen sie in ihrer Vorgehensweise sowie anhand ihrer weltweiten Tätigkeiten außergewöhnliche Operativ- und Auswertefähigkeiten auf.

Die Aufnahme zeigt eine Fotomontage der chinesischen Flagge mit binären Codes
picture alliance / kb-photodesign/Shotshop | kb-photodesign

China

Auch chinesische Nachrichtendienste besitzen Kapazitäten, um langfristig und strategisch Cyberangriffe zur Spionage durchführen zu können. Ihre komplexen und international angelegten Angriffe sind zielgerichtet und werden meist über mehrere Jahre durchgeführt. Die Akteure verfolgen das Ziel, regelmäßig Informationen über außen-, sicherheits- und wirtschaftspolitische Ansichten zu gewinnen. Die Erkenntnisse sollen eine entsprechende Informationsbasis für politische Entscheidungen der Volksrepublik China sicherstellen.

Personell setzen sich chinesische Cybergruppierungen vielschichtig zusammen. Neben kriminellen Strukturen über patriotische Hackerinnen und Hacker bis hin zu Cybersecurity-Unternehmen im Staatsauftrag umfassen sie auch Regierungs- und Militärakteure.

China setzt Cyberangriffe ein, um so seinem Interesse an einer globalen Spitzenposition in Politik, Wirtschaft, Technologie und Militär näherzukommen.

Iran

Iranische Cyberfähigkeiten wurden in den letzten Jahren maßgeblich ausgebaut. Sie werden vor allem dafür eingesetzt, Erkenntnisse im Ausland zu gewinnen. Dabei stehen einerseits Forschungsunternehmen und Wirtschaftsunternehmen aus der Rüstungsindustrie im Visier der Akteure. Andererseits richten sich Angriffskampagnen auch gegen politische Ziele im Ausland und dienen etwa der Einschüchterung im Ausland befindlicher Oppositioneller (-> Transnationale Repression).

Nordkorea

Nordkorea nutzt Cyberangriffe primär zur finanziellen Bereicherung des Regimes und zur Umgehung internationaler Sanktionen. Nordkoreanische Cyberakteure sind bekannt für Ransomware-Kampagnen und Angriffe gegen den Finanzsektor und auf Kryptowährungsplattformen. Darüber hinaus werden Cyberoperationen für politische Zwecke wie Spionage eingesetzt.

Angriffsvektoren

Angriffsvektor bezeichnet die Methode, durch die die Angreifenden in ein System eindringen, um dort Schadsoftware installieren zu können.

Die im Opfersystem vorhandenen Sicherheitslücken bestimmen dabei über den Erfolg des genutzten Angriffsvektors. Der am häufigsten verwendete Angriffsvektor für Cyberangriffe ist (Spear-)Phishing. Hier erhält der Adressat eine E-Mail, der beispielsweise ein Dokument als Anhang beigefügt wurde oder die über einen Hyperlink auf eine Website verweist. Das Öffnen des Anhangs oder der Besuch der Website löst dann den ersten Schritt der Infektion mit einer Schadsoftware aus.

Zwischen folgenden Angriffsvektoren kann im Einzelnen unterschieden werden:

Phishing

Beim Phishing versuchen die Angreifenden an sensible Benutzerdaten zu gelangen oder Opfer mit Schadsoftware zu infizieren.

Sie nutzen dafür vermeintlich authentische und vertrauenserweckende Websites oder E-Mails. In der Regel werden Phishing-Mails an einen großen Empfängerkreis versendet, sodass sich die Wahrscheinlichkeit erhöht, dass ein potenzielles Opfer auf den Betrug hereinfällt.

Die Aufnahme zeigt in einer Fotomontage eine Computertaste mit der Aufschrift Phishing.
picture alliance / Bildagentur-online/Ohde | Bildagentur-online/Ohde

Spear-Phishing

Spear-Phishing stellt eine spezielle Form des Phishings dar. Der Empfängerkreis ist weitaus gezielter ausgewählt.

Bestimmte Personen, zum Beispiel mit Schlüsselpositionen in Unternehmen oder Organisationen, stehen hierbei im Fokus der Angreifenden.

Mithilfe einer umfangreichen Hintergrundrecherche stellt der Angreifende einen speziell auf das Opfer zugeschnittenen Inhalt zusammen.

Credential-Phishing

Eine weitere Form des Phishings stellt das Credential-Phishing dar. Bei dieser Methode stehen Anmeldedaten eines Opfers im Fokus.

Der Angreifende gibt sich hierzu als seriöse Instanz aus und fordert das Opfer per E-Mail auf, seine Nutzerdaten zum Beispiel über ein gefälschtes Kontaktformular zu bestätigen.

Watering-Hole-Angriff

Beim Watering-Hole-Angriff nutzen Angreifer legitime und beliebte Websites, um ihre Opfer anzugreifen. Durch vorhandene Schwachstellen wird eine Website mit Schadcode infiziert oder so verändert, dass die Besucherinnen und Besucher unbemerkt auf eine gefälschte Website weitergeleitet werden.

Dort befindet sich wiederum die eigentliche Schadsoftware und infiziert das Opfer. Wie bei Raubtieren, die am Wasserloch ("Watering-Hole") auf Beute warten, hat der Angreifende mit der infizierten Website ein Ziel ausgesucht, welches von seinem Opfer früher oder später aufgesucht wird.

Supply-Chain-Angriffe

Große Unternehmen stellen ein eher schwierigeres Angriffsziel dar. In der Regel betreiben sie einen höheren finanziellen Aufwand, um ihre IT-Netzwerke zu schützen. Bei einem Supply-Chain-Angriff ("Lieferketten-Angriff") steht somit nicht das eigentliche Angriffsziel im Fokus des Angreifenden. Stattdessen wird zunächst ein schwächer geschütztes Element in der Versorgungskette, wie etwa der Hersteller von den im Unternehmen verwendeten Hard- oder Softwareprodukten, angegriffen.

Die Aufnahme zeigt einen USB-Stick.
Photo by Charles Deluvio on Unsplash

Durch den erfolgreichen Angriff auf diesen schwächer geschützten Zulieferer kann nun das eigentliche Ziel angegriffen werden. Über manipulierte Hardware oder Software der vermeintlich rechtmäßigen und vertrauenswürdigen (Zulieferer-)Produkte kann dann Schadsoftware in das geschützte Unternehmensnetzwerk gelangen und sich dort ausbreiten.

Exploit

Ein Exploit ist eine Schadsoftware, die eine oder mehrere Sicherheitslücken in einem System ausnutzt. Hat der Exploit das System erfolgreich infiziert, lädt dieser weitere Schadprogramme nach. Hiermit wird das Ziel verfolgt, sich möglichst großflächig im Opfersystem auszubreiten.

Infizierte Datenträger und USB-Sticks

Bei Datenträger unbekannter Herkunft ist besondere Vorsicht geboten. Scheinbare Werbegeschenke oder von Herstellern mit Treibersoftware versehene Datenträger bergen die Gefahr, dass diese zuvor manipuliert und um Schadsoftware ergänzt wurden.

Die Aufnahme zeigt das Display eines Smartphones, auf dem Social Media Apps installiert sind.
Photo by Hello I'm Nik on Unsplash

Social-Engineering

Beim Social Engineering versuchen die Angreifenden, durch verschiedene psychologische oder soziale Methoden das Vertrauen ihrer Opfer zu erlangen und sie zu einem bestimmten Verhalten zu bewegen. Konkret soll das Opfer dazu verleitet werden eine manipulierte E-Mail zu öffnen, einen Hyperlink aufzurufen oder Zugangsdaten preiszugeben. Ein Beispiel für gutes Social Engineering ist eine – eingedenk der jeweiligen sozialen Kontakte und Interessen – exakt auf das Opfer und seine individuellen Bedürfnisse abgestimmte E-Mail.