Navigation und Service

Akteure und Angriffsmethoden.

Die Aufnahme zeigt einen Mann, der in dunkler Umgebung am Rechner sitzt und auf einer Tastatur tippt.

Deutschland im Visier

Ausländische Nachrichtendienste setzen Cyberangriffe gegen Deutschland mit dem Ziel ein, Informationen über seine europa- und weltpolitische Rolle zu gewinnen.

Gerade die Politik und die Bundesverwaltung wurden in der Vergangenheit Opfer von staatlichen Angreifern. Aber auch die deutsche Wirtschaft ist betroffen, denn Know-how und Innovationen gelten als erfolgskritische Faktoren im internationalen Wettbewerb (zum Themenbereich Wirtschafts- und Wissenschaftsschutz).

Der Gefahr, Opfer eines Cyberangriffs durch staatliche Akteure zu werden, sind darüber hinaus auch Kritische Infrastrukturen ausgesetzt. Sie stellen die tägliche Versorgung der Gesellschaft in Sektoren wie Energie, Telekommunikation oder Finanzen sicher.

Um diese kontinuierlich und umfassend zu gewährleisten, sind eng verzahnte und reibungslose IT-Prozesse zwingend erforderlich. Cyberangriffe auf diese Stellen könnten hier dramatische Konsequenzen haben.

Erfahren Sie mehr zum Thema Schutz kritischer Infrastrukturen auf dem Internetangebot des BMI.

Die Aufnahme zeigt die im Wind wehenden Flaggen der Staaten Iran, China und Russland
picture alliance / Vitaliy Ankov/Sputnik/dpa | Vitaliy Ankov

Zentrale Akteure

Fremde Nachrichtendienste nutzen Cyberangriffe teilweise in großem Umfang mit der Absicht, unbefugt an Informationen zu gelangen.

Die hierzu veranlassten und gesteuerten Cyberangriffe stellen aufgrund ihrer Qualität und ihres Umfangs eine erhebliche Gefahr für das jeweilige Angriffsziel dar, das in der Regel zuvor anhand der politischen Vorgaben der eigenen Regierung ausgewählt wird.

Neben Spionageaktivitäten können Cyberangriffe auch zur Vorbereitung von Sabotageakten genutzt werden. Hat ein Angreifer erst einmal Zugriff auf ein IT-System erlangt, kann er dort ungehindert eine Vielzahl an Aktionen durchführen und damit auch die Verfügbarkeit des Zielsystems beeinträchtigen.

Um die wahre Identität hinter diesen Cyberangriffen zu verschleiern, setzen Staaten für ihre Angriffe im Cyberraum verschiedene Cybergruppierungen ein. Diese werden generell als APT bezeichnet, was für Advanced Persistent Threat“ (übersetzt „fortgeschrittene, andauernde Bedrohung“) steht.

Mit den durch die Cybergruppierungen ausgespähten Informationen soll die heimische Volkswirtschaft unterstützt oder (außen)politische Ziele verfolgt werden. Vor allem die Nachrichtendienste der Russischen Föderation, der Volksrepublik China sowie der Islamischen Republik Iran setzen Cyberangriffe gegen deutsche Stellen ein. 

Russland

Russische Nachrichtendienste legen ihre Spionageaktionen im Cyberbereich mehrjährig aus, wobei diese stets sorgfältig geplant und international ausgerichtet sind.

Die Operationen dienen dabei dem Ziel, taktische und strategische Erkenntnisse zu gewinnen sowie Falschinformationen und Propaganda zu verbreiten. Im Vordergrund stehen dabei Maßnahmen, die die innere und äußere Sicherheit Russlands stärken, den strategischen Einfluss Russlands sichern sowie russische Militär- und Energieexporte und russische Spitzentechnologie fördern.

Sowohl der FSB (Inlandsnachrichtendienst), die SWR (Auslandsnachrichtendienst) als auch die GRU (militärische Auslandsnachrichtendienst) operieren im Cyberraum.

Die mutmaßlich russischen APT-Gruppierungen zeigen eine hohe Qualifikation und verfügen über umfangreiche finanzielle Mittel. Zudem weisen sie in ihrer Vorgehensweise sowie anhand ihrer weltweiten Tätigkeiten außergewöhnliche Operativ- und Auswertefähigkeiten auf.

Die Aufnahme zeigt eine Fotomontage der chinesischen Flagge mit binären Codes
picture alliance / kb-photodesign/Shotshop | kb-photodesign

China

Auch chinesische Nachrichtendienste besitzen Kapazitäten, um langfristig und strategisch Cyberangriffe zur Spionage durchführen zu können. Ihre komplexen und international angelegten Angriffe sind zielgerichtet und werden meist über mehrere Jahre durchgeführt. Die Akteure verfolgen das Ziel, regelmäßig Informationen über außen-, sicherheits- und wirtschaftspolitische Ansichten zu gewinnen. Die Erkenntnisse sollen eine entsprechende Informationsbasis für politische Entscheidungen der Volksrepublik China sicherstellen.

Personell setzen sich chinesische Cybergruppierungen vielschichtig zusammen. Neben kriminellen Strukturen über patriotische Hackerinnen und Hacker bis hin zu Unternehmen umfassen sie auch Regierungs- und Militärakteure.

Iran

Iranische Cyberfähigkeiten wurden in den letzten Jahren maßgeblich ausgebaut. Sie werden vor allem dafür eingesetzt, Erkenntnisse im Ausland zu gewinnen. Dabei stehen einerseits Forschungsunternehmen und Wirtschaftsunternehmen aus der Rüstungsindustrie im Visier der Akteure. Andererseits richten sich Angriffskampagnen auch gegen politische Ziele im Ausland.

Angriffsvektoren

Der Angriffsvektor bezeichnet die Methode, durch die die Angreifenden in ein System eindringen, um dort Schadsoftware installieren zu können.

Die im Opfersystem vorhandenen Sicherheitslücken bestimmen dabei über den Erfolg des genutzten Angriffsvektors. Der am häufigsten verwendete Angriffsvektor für Cyberangriffe bildet (Spear-)Phishing. Hier erhält der Adressat eine vermeintlich authentische E-Mail, der z. B. ein Dokument als Anhang beigefügt wurde oder die über einen Hyperlink auf eine Website verweist. Das Öffnen des Anhangs oder der Besuch der Website löst dann den ersten Schritt der Infektion mit einer Schadsoftware aus.

Zwischen folgenden Angriffsvektoren kann im Einzelnen unterschieden werden:

Phishing

Beim Phishing versuchen die Angreifenden an sensible Benutzerdaten zu gelangen oder Opfer mit Schadsoftware zu infizieren.

Sie nutzen dafür vermeintlich authentische und vertrauenserweckende Websites oder E-Mails. In der Regel werden Phishing-Mails an einen großen Empfängerkreis versendet, sodass sich die Wahrscheinlichkeit erhöht, dass ein potenzielles Opfer auf den Betrug hereinfällt.

Spear-Phishing

Spear-Phishing stellt eine spezielle Form des Phishings dar. Der Empfängerkreis ist weitaus gezielter ausgewählt.

Bestimmte Personen, z. B. mit Schlüsselpositionen in Unternehmen oder Organisationen, rücken hierbei in den Fokus der Angreifenden.

Mithilfe einer umfangreichen Hintergrundrecherche stellt der Angreifende einen speziell für das Opfer zugeschnittenen Inhalt zusammen, sodass die Täuschung nur schwer erkennbar ist.

Credential-Phishing

Eine weitere Form des Phishings stellt das Credential-Phishing dar. Bei dieser Methode stehen Anmeldedaten eines Opfers im Fokus.

Der Angreifende gibt sich hierzu als seriöse Instanz aus und fordert das Opfer per E-Mail auf, seine Nutzerdaten z. B. über ein gefälschtes Kontaktformular zu bestätigen.

Watering-Hole-Angriff

Beim Watering-Hole-Angriff nutzen die Angreifenden legitime und beliebte Websites, um ihre Opfer anzugreifen. Durch vorhandene Schwachstellen wird hier die Website mit Schadcode infiziert oder so verändert, dass die Besucherinnen und Besucher unbemerkt auf eine gefälschte Website weitergeleitet werden.

Dort befindet sich wiederum die eigentliche Schadsoftware und infiziert das Opfer. Wie bei Raubtieren, die am Wasserloch ("Watering-Hole") auf Beute warten, hat der Angreifende mit der infizierten Webseite ein Ziel ausgesucht, welches von seinem Opfer früher oder später aufgesucht wird.

Supply-Chain-Angriffe

Große Konzerne stellen ein eher schwierigeres Angriffsziel dar. In der Regel betreiben sie einen höheren finanziellen Aufwand, um ihre IT-Netzwerke zu schützen. Bei einem Supply-Chain-Angriff („Lieferketten-Angriff“) steht somit nicht das eigentliche Angriffsziel im Fokus des Angreifenden. Stattdessen wird zunächst ein schwächer geschütztes Element in der Versorgungskette, wie z. B. der Hersteller von den im Unternehmen verwendeten Hard- oder Softwareprodukten, angegriffen.

Die Aufnahme zeigt einen USB-Stick.
Photo by Charles Deluvio on Unsplash

Durch den erfolgreichen Angriff auf diesen schwächer geschützten Zulieferer kann nun das eigentliche Ziel angegriffen werden. Über neue Hardware oder Softwareupdates der vermeintlich rechtmäßigen und vertrauenswürdigen (Zulieferer-)Produkte gelangt nun die Schadsoftware in das geschützte Unternehmensnetzwerk und kann sich dort ausbreiten.

Exploit

Ein Exploit ist eine Schadsoftware, die eine oder mehrere Sicherheitslücken in einem System ausnutzt. Hat der Exploit das System erfolgreich infiziert, lädt dieser weitere Schadprogramme nach. Hiermit wird das Ziel verfolgt, sich möglichst großflächig im Opfersystem auszubreiten.

Infizierte Datenträger und USB-Sticks

Scheinbare Werbegeschenke oder von Herstellern mit Treibersoftware versehene Datenträger bergen die Gefahr, dass diese zuvor manipuliert und um Schadsoftware ergänzt wurden.

Social-Engineering

Beim Social Engineering versuchen die Angreifenden, durch verschiedene psychologische oder soziale Methoden das Vertrauen ihrer Opfer zu erlangen.

Konkret wird etwa mit Hilfe falscher Angaben das Ziel verfolgt, das Opfer zu einem bestimmten Verhalten zu bewegen, wie z. B. den Aufruf eines Hyperlinks. Ein Beispiel für gutes Social Engineering ist eine - eingedenk der jeweiligen sozialen Kontakte und Interessen - exakt auf das Opfer und seine individuellen Bedürfnisse abgestimmte E-Mail.