Es sind zwei Nachrichten, die im außergewöhnlich tief herunterziehenden Nachrichtenstrudel der vergangenen Tage fast untergegangen sind. Ende vergangener Woche gelingt dem FBI unter Mitwirkung auch deutscher Sicherheitsbehörden ein Schlag gegen russische Staatshacker. Und am Montag warnt der Verfassungsschutz mit dem südkoreanischen Geheimdienst NIS vor Cyberangriffen aus Nordkorea auf die Rüstungsindustrie.
Zwei Nachrichten, die eine Gefahr wieder ins Gedächtnis rufen, vor der Sicherheitsexperten immer lauter warnen: immer weiter reichende Hackerangriffe von Kriminellen und fremden Mächten. Am Mittwoch veröffentlicht die US-Cybersicherheitsfirma Crowdstrike ihren jährlichen Bericht über die virtuellen Gefahren der Welt. Die Lage? "Alarmierend", schreiben die Expertinnen und Experten. Ein Update.
Was hat es mit der Operation der Sicherheitsbehörden gegen die russischen Hacker auf sich?
Die Aktion galt einer Gruppe, die unter vielen Namen bekannt ist, "APT 28", "Fancy Bear" - oder "Einheit 26165" des russischen Militärgeheimdienstes GRU. Sie soll schon 2015 verantwortlich gewesen sein für den Bundestags-Hack und 2016 für ein E-Mail-Leak der demokratischen US-Präsidentschaftskandidatin Hillary Clinton. Gegen einen der mutmaßlichen Köpfe von "Einheit 26165" gibt es seit Jahren Haftbefehle aus den USA und Deutschland.
Jetzt wollen FBI und Co. es zumindest geschafft haben, eine Waffe der Hacker zu schleifen: ein Netz aus Hunderten mit Schadsoftware infizierten Büro- und Heim-Routern, über das die Angreifer sich Zugang zu allen möglichen Systemen verschafft haben. Auch zu deutschen, wie ein Sprecher des Bundesinnenministeriums der Deutschen Presse-Agentur sagte: "Der Fokus der Angriffe lag dabei auf Informationen über die politisch-strategische Ausrichtung Deutschlands im Zusammenhang mit Russland und Unterstützungslieferungen militärischer Güter für die Ukraine."
Adam Meyers leitet bei Crowdstrike das Gefahrenabwehr-Team. Er ist skeptisch, was den Effekt der Abschaltung betrifft. "Das ist vielleicht ein kurzzeitiger Rückschlag, aber das Routernetz war nur einer von vielen Angriffspunkten von Fancy Bear", sagt er der SZ. Außerdem verfüge Moskau noch über weit mehr Hackereinheiten.
Wie groß ist die Gefahr aus Nordkorea?
Der aktuelle Warnhinweis des Verfassungsschutzes ist schon der zweite mit Nordkorea-Bezug innerhalb eines Jahres. Das isolierte Kim-Regime nutzt Hackerangriffe zum einen, um sich technologisches Know-how zu beschaffen, und zum anderen, um Geld zu erbeuten. Besonders aktiv sind zwei Hackergruppen, "Lazarus" und "Kimsuky". Der Verfassungsschutz und der südkoreanische NIS beschreiben in ihrer Warnung zwei Beispielfälle; einen Angriff auf ein Marineforschungszentrum und einen auf ein Rüstungsunternehmen. Nordkorea "verwendet Cyberspionage zunehmend als kostengünstiges Mittel, um an militärische Technologien zu gelangen", heißt es im Bericht.
Wer hat Deutschland noch im Visier?
Die Sicherheitsbehörden nehmen neben Russland und Nordkorea auch vor allem China und Iran als Bedrohungen im Cyberbereich wahr. Aber die Bedrohung geht nicht nur von fremden Armeen und Geheimdiensten aus, sondern in noch viel größerem Maßstab auch von Kriminellen. Sie stehlen etwa Daten, um sie weiterzuverkaufen, oder verschlüsseln Systeme, um Geld zu erpressen.
Wer ist Ziel der Angriffe?
So dramatisch es klingen mag: praktisch jeder. Behörden, öffentliche Einrichtungen wie Krankenhäuser, Betreiber kritischer Infrastruktur - aber auch ganz normale Unternehmen. Laut einer Umfrage des Digitalverbands Bitkom unter deutschen Unternehmen entsteht der hiesigen Wirtschaft inzwischen jedes Jahr ein Schaden von mehr als 200 Milliarden Euro durch Cyberangriffe, mehr als doppelt so viel wie noch 2019. Das BKA zählte 2022 mehr als 130 000 Fälle von Cyberkriminalität, die Dunkelziffer ist nach Einschätzung von Experten allerdings hoch.
Wie gehen die Angreifer vor?
Sehr unterschiedlich. Aber IT-Sicherheitsfachmann Adam Meyers und sein Team erkennen Trends: Dem Crowdstrike-Bericht zufolge sind die Zahl der Angriffe auf Cloud-Systeme 2023 um 75 Prozent im Vergleich zum Vorjahr gestiegen. Das liegt Meyers zufolge daran, dass immer mehr Unternehmen und Organisationen ihre Daten in Clouds speichern, und das nicht immer gut genug geschützt.
Ein zweiter Trend: "identitätsbasierte" Attacken. Dabei verschaffen sich Angreifer Zugriff auf die digitale Identität echter Nutzer eines Systems, indem sie zum Beispiel Passwörter stehlen, oft mithilfe perfider menschlicher Manipulation.
Ein Beispiel für solches "Social Engineering" beschreibt der Verfassungsschutz in seiner Nordkorea-Warnung. Angreifer der Gruppe "Lazarus" richten Fake-Konten auf Jobportalen ein, schreiben über diese gezielt Mitarbeiter von Rüstungsfirmen an und machen ihnen vermeintlich attraktive Jobangebote. Später bringen sie ihre Opfer dazu, kompromittierte Dateien (etwa angebliche Informationsblätter über die potenzielle neue Stelle) und Programme auf ihren Mitarbeiteraccounts des bisherigen Arbeitgebers zu öffnen - und den Angreifern damit die Tür ins System. "Sie quatschen und manipulieren sich ihren Weg rein", sagt Meyers. "Wir müssen uns vor Augen führen: Die meisten Angreifer sind Menschen, nicht irgendwelche Bot-Netzwerke oder bösartiger Code."
Wenn Hacker auch ganz normale Mitarbeiter in Behörden und Unternehmen ins Visier nehmen - wie kann man sich schützen?
Der Verfassungsschutz, der in Deutschland auch fürs Aufspüren staatlicher Cyberangriffe zuständig ist, gibt einige Hinweise: Aufseiten der Nutzer vor allem Wachsamkeit bei verdächtigen Dokumenten oder Links, besonders, wenn sie von Fremden kommen. Unternehmen sollten mit Zugriffsrechten auf Systeme sparsam umgehen, Zugriffsprotokolle speichern, um Auffälligkeiten nachvollziehen zu können, und Mitarbeiter grundsätzlich eine Mehrfach-Authentifizierung nutzen lassen, außerdem Zugriff auf betriebsinterne Systeme nicht nur mit einem Passwort geben.
Auf staatlicher Ebene sind viele verschiedene Behörden für die Erkennung und Abwehr von Cyberangriffen zuständig. Bundesinnenministerin Nancy Faeser (SPD) will deshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI), das momentan die Netze des Bundes schützt, zu einer Zentralstelle zur Bearbeitung von Cybervorfällen umbauen, um auch bei Vorfällen in den Ländern einschreiten zu können. Die Unions-Innenminister aber sperren sich gegen den Plan.
Zumindest eine Maßnahme steht dieses Jahr sicher noch an: die Umsetzung einer neuen EU-Richtlinie ("NIS2"), die höhere Standards als bisher für die IT-Sicherheit von Unternehmen der Grundversorgung und kritischen Infrastruktur vorschreibt. "Eigentlich brauchen wir keine neuen Standards", sagt Adam Meyers von Crowdstrike. "Wir wissen seit Jahrzehnten, was nötig ist. Nur setzen es viele Organisationen nicht um."