Darmstädter Expertin über das Geschäftsmodell von Cyberkriminellen

Cyberattacken: Unsichtbare Bedrohung aus dem Netz

Die Zahl der Cyberangriffe nimmt zu, und die Hackergruppen organisieren sich immer professioneller. Bei Ransomware-Angriffen verschlüsseln sie Daten aus Unternehmensnetzwerken und erpressen Lösegeld.
+
Die Zahl der Cyberangriffe nimmt zu, und die Hackergruppen organisieren sich immer professioneller. Bei Ransomware-Angriffen verschlüsseln sie Daten aus Unternehmensnetzwerken und erpressen Lösegeld.

Die Gefahr erscheint abstrakt, aber sie kann jederzeit konkret werden: Cyberattacken sind in Zeiten der Digitalisierung fast aller Lebensbereiche zu einer realen Bedrohung geworden.

Offenbach/Darmstadt – Online-Erpressung, Angriffe auf kritische Infrastruktur, Cyberspionage – all das nimmt seit etwa zwei Jahren rasant zu, wie die Cyberexpertin Haya Shulman erklärt, die am Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie SIT die wissenschaftliche Abteilung Cybersecurity Analytics and Defences leitet. Im Interview spricht die Wissenschaftlerin darüber, was man über die Hackergruppen weiß, die hinter den Angriffen stehen, wie man sich selbst vor Attacken aus dem Netz schützen kann und wie wahrscheinlich ein folgenschwerer Angriff in Deutschland ist.

Frau Shulman, Sie untersuchen Cyberattacken und forschen auf dem Gebiet der Cybersecurity. Es ist eine Art Kampf gegen einen unsichtbaren Feind. Wie viel erfahren Sie über die Hintermänner und -frauen von solchen Angriffen?

Wir erforschen verschiedene Arten von Cyberangriffen, die von diversen Gruppen ausgeführt werden. Es gibt Spionageangriffe und solche, die finanziell motiviert sind. Oft kommen sie aus China oder Russland, ab und zu aus dem Iran. Anhand der Werkzeuge, die diese Hackergruppen einsetzen, und der Muster, nach denen sie vorgehen, kann man meist recht gut einschätzen, woher die Urheber kommen. Generell beobachten wir, dass die Gruppen immer organisierter werden und sich eine regelrechte Industrie entwickelt hat. Die finanziell motivierten Gruppen brüsten sich mittlerweile oft mit ihren Angriffen und wie vor Kurzem bei Kaseya damit, dass sie 70 Millionen Euro Lösegeld verlangen. Da müssen wir gar nicht lange nach der Quelle suchen.

Wissenschaftlerin Haya Shulman.

Cyberexpertin Haya Shulman

Haya Shulman zählt international zu den führenden Wissenschaftlern in Cybersicherheit. Sie studierte Informatik in Israel und kam nach der Promotion 2014 nach Deutschland. Am Fraunhofer-Institut für Sichere Informationstechnologie SIT leitet sie die wissenschaftliche Abteilung Cybersecurity Analytics and Defences und ist Mitglied im Direktorium von ATHENE, dem Nationalen Forschungszentrums für angewandte Cybersicherheit. In diesem Jahr erhielt sie den „Deutschen IT-Sicherheitspreis“ 2021 der Horst Görtz-Stiftung.

Warum geben diese Hacker-Gruppen ihre Taten öffentlich zu?

Für sie ist es Werbung. Sie wollen bekannt werden, zum Beispiel um neues, gutes Personal zu rekrutieren. Man muss sich das wie ein Unternehmen vorstellen, in dem es Spezialisten gibt, die die Malware entwickeln, andere, die den Angriff strategisch vorbereiten und gezielt nach Schwachstellen in den Zielsystemen suchen und wieder andere, die die Kommunikation nach außen übernehmen. Wenn solche Gruppen eine offene Stelle haben, schreiben sie sie auf ihrer Website aus und man kann sich bewerben. Die Gruppe „REvil“, die für den Angriff auf Kaseya verantwortlich ist, hat das so gemacht, oder auch „Nobelium“, die Solarwinds angegriffen haben. In dieser Branche gibt es keine Arbeitsverträge, das funktioniert nach dem Prinzip der Reputation. Die Hacker stellen deshalb ihr Können und ihre Stärke zur Schau. Dazu gehört für diese bekannten Gruppen auch zu zeigen, dass mit ihnen nicht zu spaßen ist und die Opfer lieber schnell bezahlen sollten.

Das spielt sich sicher im Darknet ab?

Um die Hackergruppen zu finden, muss man den Anonymisierungs-Browser TOR verwenden, das stimmt. Die Menschen, die hinter den Attacken stecken, wollen natürlich im wahren Leben unentdeckt bleiben, sonst würden sie ja im Gefängnis landen. Deshalb nutzen sie zum Beispiel auch als Zahlungsmittel – für ihr Gehalt oder den Empfang des Lösegelds – anonyme Kryptowährungen.

Ein Angriff im anonymen Raum des Internets ist nicht dasselbe, wie wenn man in eine Bank geht und mit der Pistole in der Hand sagt: „Rück das Geld heraus.“

Haya Shulman

Könnte jede und jeder im Darknet einen Cyberangriff beauftragen?

Auf den Portalen und in den Foren im Darknet kann man alles Mögliche kaufen. Von Waffen über Drogen bis hin zu Cyberangriffen. Allerdings sehen sich die „renommierten“ Hackergruppen nicht als Dienstleister. Sie verkaufen ihre selbst entwickelten Werkzeuge nicht, und sie wählen ihre Opfer selbst aus. Sie studieren sie. Sie schauen sogar, ob das Zielobjekt eine Versicherung hat, die im Falle einer Ransomware-Erpressung zahlt. Sonst hätte sich der Aufwand für den Angriff nicht rentiert.

Was sind das für Menschen, die so etwas machen? Kann man sie sich vorstellen wie Kriminelle, die im „wahren Leben“ jemanden erpressen oder vielleicht eine Bank ausrauben würden?

Ich habe einmal ein Interview mit einem Mitglied der Gruppe „Darkside“ gelesen. Er sagte, es seien ganz normale Menschen mit einem regulären Arbeitsplatz, die einfach an Geld kommen wollen. Ein Angriff im anonymen Raum des Internets ist nicht dasselbe, wie wenn man in eine Bank geht und mit der Pistole in der Hand sagt: „Rück das Geld heraus.“ Im Internet bedrohen sie niemanden direkt. Wenn sie den Angriff durchführen, merkt erst mal keiner etwas. Es ist also psychologisch schon etwas ganz anderes. Dann haben Hacker vielleicht sogar den Anspruch an sich selbst, gut in dem zu sein, was sie tun, erfolgreich zu sein. Aber am Ende sind es natürlich trotzdem einfach Kriminelle, die sich bereichern wollen.

Haben Sie bei Ihren Forschungen persönlichen Kontakt zu diesen Hackern?

Natürlich. Ohne die Angreifer zu verstehen, ihre Werkzeuge und Taktiken zu kennen, ist es viel schwieriger, sich zu schützen. Deshalb bin ich, wie auch die Sicherheitsbehörden, oft im Darknet und schaue, was verkauft wird, was gemacht wird, was die neuen Entwicklungen sind. Die Kommunikation läuft anonym. Es fragt keiner danach, warum Sie zum Beispiel Credentials, also Nutzernamen und Passwörter, kaufen wollen. Diese Angebote gibt es en masse. Sie brauchen Daten von kompromittierten Konten einer bestimmten Firma? Kein Problem.

Die Supermarktkette Tegut war vor einigen Wochen Opfer eines Ransomware-Angriffs. Die erbeuteten Kundendaten wurden nach und nach im Darknet veröffentlicht…

… Vermutlich, um Druck auf das Erpressungs-Opfer aufzubauen, schnell zu zahlen.

Fast jeder ist im Darknet zu finden, für fast jeden findet man im Darknet geleakte Passwörter.

Haya Shulman

Was passiert mit diesen erbeuteten Daten. Wem nutzen sie was?

Die Daten kosten erst mal Geld. Denn mit ihnen kann man gefälschte Identitäten erschaffen und zum Beispiel Phishing-Angriffe starten, also Malware bei jemandem einschleusen. Da ist es natürlich einfacher, wenn man vortäuschen kann, jemand zu sein, den das Opfer kennt und dem es vertraut. Man kann aber auch selbst die Identität des Opfers annehmen und versuchen, an weitere Informationen und Kontakte zu kommen. Einige Hacker probieren auch, sich mit den bekannten Daten in weitere Systeme einzuloggen, beispielsweise um persönliche Daten aus Cloudspeicherdiensten zu stehlen oder im Internet auf Kosten des Opfers einzukaufen. Jetzt, wo alle im Homeoffice arbeiten, gibt es vermehrt auch Versuche, mit diesen Daten in Unternehmensnetze zu gelangen.

Klingt, als wäre es jetzt Zeit, über gute Passwörter zu sprechen?

Ich verrate Ihnen was: Fast jeder ist im Darknet zu finden, für fast jeden findet man im Darknet geleakte Passwörter. Sichere und verschiedene Passwörter für verschiedene Dienste sind deshalb sehr wichtig. So kann man zumindest sichergehen, dass nur ein und nicht gleich alle Konten gehackt werden. Die meisten verwenden typischerweise ein und dasselbe Passwort fast überall. Dann kann der Hacker sogar versuchen, in den privaten Laptop zu kommen. Wichtig ist auch, die Angebote zur Zwei-Faktor-Authentisierung zu verwenden, die es mittlerweile für viele Dienste im Internet gibt. Dann muss man zusätzlich zum Passwort noch einen Sicherheitscode eintippen, den man zum Beispiel per SMS erhalten hat, und an den der Angreifer nicht so einfach gelangen kann. Für alle sind regelmäßige Backups auf verschiedene Server wichtig. Unternehmen und Behörden brauchen eine gute Segmentierung ihrer Netze, damit nicht gleich das gesamte System angegriffen werden kann. Generell gilt: 90 Prozent der heutigen Angriffe könnten abgewehrt werden, indem man bekannte Probleme, Schwachstellen, Fehlkonfigurationen behebt.

Cyberattacken und ihre Folgen

Cyberattacken sind laut Bundeskriminalamt im Jahr 2020 in Deutschland um acht Prozent auf mehr als 108 000 Fälle gestiegen. Ziele waren vor allem Unternehmen, darunter die Mediengruppen Madsack und Funke, aber auch Kommunalverwaltungen und andere Einrichtungen wie etwa Krankenhäuser. Zuletzt waren Server des Landkreises Anhalt-Bitterfeld mit Ransomware (Erpressersoftware) infiziert worden. In den vergangenen Monaten machten spektakuläre Cyberattacken Schlagzeilen: Ende 2020 wurde bekannt, dass Angreifer über Wartungssoftware der Firma Solarwinds vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen waren. Im März dieses Jahres wurde ein weltweiter Cyberangriff auf E-Mail- und Exchange-Server von Microsoft bekannt. Dabei waren laut Bundesamt für Sicherheit in der Informationstechnik (BSI) auch deutsche Bundesbehörden betroffen. Hinter dem Angriff wurden chinesische Hacker vermutet. Im Mai stoppte ein Angriff auf das Unternehmen Colonial den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung vorübergehend ein. Kurz danach legten Hacker der russischen Gruppe „REvil“ den weltgrößten Fleischkonzern JBS in den USA lahm. Im Juli startete die Gruppe einen Ransomware-Angriff auf die US-Firma Kaseya und forderte ein Lösegeld von 70 Millionen US-Dollar. Weltweit waren Hunderte Unternehmen betroffen. Vor Kurzem erregte die Spionagesoftware „Pegasus“ der israelischen Firma NSO Aufsehen, mittels derer offenbar weltweit Journalisten und Oppositionelle ausgespäht wurden. beri (Stand: August 2021)

Im September sind Bundestagswahlen. Mit welcher Art von Cyberangriff rechnen Sie?

Vor allem mit Desinformationskampagnen, bei denen kompromittierende, oft gefälschte Informationen verteilt werden. Bei den Präsidentschaftswahlen in den USA 2016 und 2020 haben wir das gesehen. Die Hacker versuchen, an sensible Daten zu kommen und Politikerinnen und Politiker zu diskreditieren. Es geht um die Beeinflussung von Meinungen, wie wir es auch in Bezug auf Corona erlebt haben, um das Lancieren von Falschinformationen und Lügen, die dann im Netz kursieren.

 In künftigen Kriegen wird die Bedeutung des Cyberraums sicher noch größer werden, mit Cyberangriffen auf kritische Infrastrukturen der Zivilgesellschaft und Cyberangriffen auf das gegnerische Militär.

Haya Shulman

Einige Staaten und ihre Geheimdienste verwenden große Ressourcen auf die Entwicklung von Cyberwaffen, sie betreiben eigene, große Hacker-Einheiten. Man liest, dass die USA und Russland zum Beispiel prophylaktisch nach Schwachstellen in Versorgungsnetzen des anderen suchen, um im Falle einer Bedrohung mit einer Lahmlegung zumindest zu drohen. Würden Sie von einer Art unsichtbarem Krieg sprechen, der im Digitalen stattfindet?

Auseinandersetzungen zwischen Staaten finden schon heute auch im Cyberraum statt. In künftigen Kriegen wird die Bedeutung des Cyberraums sicher noch größer werden, mit Cyberangriffen auf kritische Infrastrukturen der Zivilgesellschaft und Cyberangriffen auf das gegnerische Militär. Es ist so: Die Gesellschaft wird immer mehr digitalisiert, und je mehr Kontrolle jemand im digitalen Raum hat, desto mehr Kontrolle und Einfluss hat er auch im realen Leben. Momentan gibt es übrigens Hinweise dafür, dass nicht nur Russland und die USA beteiligt sind, sondern auch China da exzessiv mitspielt.

Besonders gefährlich sind die von Ihnen erwähnten Attacken auf die kritische Infrastruktur. 2016 legte Russland die Stromversorgung der Ukraine lahm, im April 2020 wurde ein israelisches Wasser- und Klärwerk zum Ziel eines mutmaßlich iranischen Hacker-Angriffs, in Florida haben Hacker im Februar die Kontrolle über die Trinkwasseraufbereitung eines Wasserwerkes übernommen. Wie realistisch sind solche Angriffs-Szenarien in Deutschland, bei denen Teile der Bevölkerung vielleicht gar nicht mehr versorgt werden können? Müssen wir in nächster Zukunft mit solchen Attacken rechnen?

Angriffe auf kritische Infrastrukturen sind sicher auch in Deutschland denkbar. Was wir heute sehen, sind aber Spionage, Desinformation, Erpressung und Betrug, und diese Angreifer haben kaum Interesse an riesigen solchen Horrorszenarien. Aber natürlich können auch Kriminelle auf die Idee kommen, eine Kommune in Deutschland mit Angriffen auf die Wasserversorgung zu erpressen. Wenn sie nicht gut abgesichert sind, können Ransomware-Angriffe auch Produktionsanlagen und ganze kritische Infrastrukturen lahmlegen und dadurch Schäden an Leib und Leben verursachen.

Die „New York Times“ sah schon 1999 einen „elektronischen Pearl Harbor“ kommen. Wie kurz stehen wir davor, dass eine Cyberattacke Hunderte oder Tausende Leben gefährdet?

In Pearl Harbor wurde 1941 das US-Militär durch einen Angriff völlig überrascht und verlor fast die gesamte Pazifikflotte. Heute ist die Lage ganz anders, mittlerweile haben alle die Gefahr von Cyberangriffen erkannt. Das heißt, wir sind vorbereitet – aber ob unsere Vorbereitung ausreichend ist, ist schwer zu sagen.

Wie kann man folgenschwere Attacken verhindern?

Wir müssen das Thema noch mehr in den Fokus nehmen und investieren. Wie gesagt, 90 Prozent der heutigen Sicherheitsprobleme kann man mit bekannten Maßnahmen beheben, das muss man auch tun. Das kostet Geld, und man muss die Beteiligten auch verpflichten, das Notwendige zu tun. Die Bevölkerung muss besser informiert und sensibilisiert werden. Und man darf nie stillstehen, die Angreifer entwickeln ihre Methoden ständig weiter und man muss sich auch um die letzten zehn Prozent kümmern. Dafür braucht es Forschung, und vor allem auch die schnelle, praktische Umsetzung von Forschungsergebnissen.

Das Gespräch führte Lisa Berins.

Desinformationskampagne vor der Bundestagswahl

Die Bundesregierung hat sich in scharfem Ton gegen russische Beeinflussungsversuche vor der Bundestagswahl verwahrt. Eine Sprecherin des Auswärtigen Amts forderte am Montag (6. September 2021) eine sofortige Einstellung der Cyber-Kampagnen und drohte der russischen Regierung mit Konsequenzen, sollte sie der Forderung nicht nachkommen. „Die Bundesregierung betrachtet dieses inakzeptable Vorgehen als Gefahr für die Sicherheit der Bundesrepublik Deutschland und für den demokratischen Willensbildungsprozess und als schwere Belastung für die bilateralen Beziehungen“, sagte sie.
Der Bundesregierung liegen der Außenamtssprecherin zufolge „verlässliche Erkenntnisse“ vor, demzufolge die Desinformationskampagne „Cyber-Akteuren des russischen Staates und konkret dem Militärgeheimdienst GRU zugerechnet werden können“. Dieses Vorgehen sei „vollkommen inakzeptabel“, die Bundesregierung behalte sich „weitergehende Maßnahmen“ vor.
Im Vorfeld der Bundestagswahl sei „unter anderem mit Phishing-Emails“ versucht worden, an persönliche Anmeldedaten insbesondere von Bundestags- und Landtagsabgeordneten zu gelangen, „um dadurch Identitätsdiebstahl begehen zu können“, sagte die Außenamtssprecherin. „Diese Angriffe können als Vorbereitungshandlungen für Einflussoperationen wie zum Beispiel Desinformationskampagnen bei der Bundestagswahl dienen.“
Hinter den Angriffen stecke ein „Cyber-Akteur“ namens „Ghostwriter“, hinter dem der russische Militärgeheimdienst stehe, sagte die Sprecherin. „Die Bundesregierung fordert die russische Regierung mit allem Nachdruck auf, diese unzulässigen Cyber-Aktivitäten mit sofortiger Wirkung einzustellen.“
Sie habe diese Forderung bereits „direkt gegenüber russischen Amtsträgern geäußert“, sagte die Sprecherin - zuletzt bei der Tagung der deutsch-russischen hohen Arbeitsgruppe Sicherheitspolitik in der vergangenen Woche. Zur Reaktion der russischen Seite wollte sich die Sprecherin nicht äußern. afp (Stand 6. September 2021)

DAS KÖNNTE SIE AUCH INTERESSIEREN

Mehr zum Thema

Kommentare