Staatlich gesteuerte Cyberangriffe

„Das Risiko hat sich weiter erhöht“

Karl-Friedrich Fecht vom Landesamt für Verfassungsschutz spricht im Interview über Cyberangriffe mit nachrichtendienstlichem Hintergrund – und die verschärfte Bedrohungslage seit Beginn des Ukraine-Kriegs.

Karl-Friedrich FechtKarl-Friedrich Fecht leitet das Referat „Behörden- und Wirtschaftsschutz, Cyberabwehr, Informationssicherheit“ beim Landesamt für Verfassungsschutz Baden-Württemberg. Foto: Landesamt für Verfassungsschutz

WNA: Herr Fecht, was sind die Aufgaben Ihres Referats im Bereich der Cyberabwehr?
Fecht: Unsere Tätigkeit besteht – in Abgrenzung zur Tätigkeit der Polizei, die sich um die Verfolgung von Cybercrime durch Kriminelle kümmert – in der Detektion, Attribution und Prävention von Cyberangriffen mit nachrichtendienstlichem Hintergrund. Bei der Detektion geht es darum, solche Cyberangriffe zunächst einmal festzustellen, etwa durch technische Analysen. Aufgabe im zweiten Schritt ist es, erkannte Angriffe einer bestimmten Tätergruppierung zuzuordnen. Dies ist eine wichtige Voraussetzung, um anschließend im dritten Schritt möglichst zielgenau Präventionsmaßnahmen zum Schutz vor weiteren Cyberangriffen anbieten zu können.

Wer sind die Hauptakteure staatlich gesteuerter Cyberangriffe?
Cyberangriffe mit mutmaßlich nachrichtendienstlichem Hintergrund werden von zahlreichen Staaten ausgeführt, wobei für die Sicherheitsbehörden in Deutschland die Staaten mit besonderem Aufklärungsinteresse von wesentlicher Bedeutung sind. Hierzu zählen in Baden-Württemberg vor allem die Russische Föderation, die Volksrepublik China, der Iran sowie Nordkorea. Um die Täterschaft zu verschleiern, werden derartige Angriffe häufig nicht von den jeweiligen Nachrichtendiensten selbst, sondern von Hackergruppierungen verübt, die staatlich gelenkt oder zumindest beeinflusst sind. Die Bandbreite der möglichen Opfer ist sehr groß. Neben staatlichen Stellen können auch Wirtschaftsunternehmen oder Bereiche der kritischen Infrastruktur Ziel eines solchen Cyberangriffs werden.

Wie gehen die Hackergruppierungen vor?
Cyberangriffe mit nachrichtendienstlichem Hintergrund werden meist über einen sehr langen Zeitraum vorbereitet. Das Ziel der Angreifer besteht darin, möglichst lange unerkannt im IT-System zu verbleiben, um sensible, öffentlich nicht verfügbare Informationen – die sogenannten Kronjuwelen – illegal abzuziehen. Bei wissenschaftlichen Einrichtungen oder Entwicklungsabteilungen von Unternehmen können dies etwa Forschungsergebnisse sein. Dabei geht es also ums Ausspähen.

„Manipulative Methoden sollen Beschäftigte zu einem bestimmten, sicherheitskritischen Verhalten verleiten“

Karl-Friedrich Fecht

Was machen die Hacker noch? 
Weniger wahrscheinlich, aber dennoch möglich sind Cybersabotageangriffe, zum Beispiel mittels Ransomware. Dabei handelt es sich um Schadprogramme, die auf einem erfolgreich angegriffenen, infizierten IT-System Dateien verschlüsseln und im Anschluss nur mit einem Entschlüsselungskey entschlüsselt werden können. Für die Entschlüsselung werden von den Tätern zum Teil sehr hohe Lösegeldsummen gefordert, die von den Opfern in der Hoffnung auf die Wiederherstellung der Systeme häufig leider auch bezahlt werden.

Welche Maßnahmen ergreift Ihre Behörde, um speziell Unternehmen vor staatlich gesteuerten Cyberangriffen zu schützen?
Wir unterstützen die Unternehmen im Land gezielt mit einer ganzen Reihe von Angeboten. Das präventive Portfolio der Cyberabwehr gemeinsam mit dem Wirtschaftsschutz umfasst etwa Vorträge, Messeauftritte, Hinweisschreiben zur aktuellen nachrichtendienstlichen Sicherheitslage oder anlassbezogene Warnmeldungen, Informationsmaterial sowie individuelle Sensibilisierungs- und Beratungsgespräche. Im Rahmen der Prävention ist es besonders wichtig, auch das klassische nachrichtendienstliche Vorgehen nicht aus dem Blick zu verlieren. So versuchen ausländische Nachrichtendienste auch im digitalen Zeitalter, über persönliche Kontaktanbahnung Informationen auszuspionieren.

Was tun Sie, wenn ein Unternehmen Opfer eines Cyberangriffs mit nachrichtendienstlichem Hintergrund geworden ist?
Dann stehen wir den betroffenen Unternehmen natürlich ebenfalls zur Seite. Neben der Aufarbeitung des Angriffs geht es dabei vor allem auch darum, das Schadensausmaß möglichst zu minimieren. In der Folge können wir den betroffenen Unternehmen zusätzlich individuelle präventive Schutzmaßnahmen empfehlen.

Wie verschaffen sich staatlich gelenkte Hacker Zugriff auf Firmencomputer?
Ausländische Nachrichtendienste greifen für ihre Cyberangriffe auf verschiedene Akteure zurück. Diese werden als APT-Gruppe (Advanced Persistent Threat) bezeichnet. Übersetzt sind dies Gruppen, die für eine fortgeschrittene, anhaltende Bedrohung sorgen und die von Nachrichtendiensten genutzt werden, um ihre wahre Identität zu verschleiern. Da APT-Gruppen staatlich gesteuert oder beeinflusst sind, zeichnen sich solche Angriffe durch einen erheblichen personellen und finanziellen Ressourceneinsatz und hohe technische Fähigkeiten aus. Meistens erfolgen jedoch zunächst Phishing-Angriffe, mit denen persönliche Zugangsdaten erlangt werden sollen.

Wie gehen die Täter dabei vor?
Hierbei werden oftmals ausgefeilte manipulative Methoden verwendet, um Beschäftigte zu einem bestimmten, sicherheitskritischen Verhalten zu verleiten. Man spricht dabei von Social Engineering. Unter bestimmten Umständen werden auch Spear-Phishing-E-Mails an die Opfer versendet. Diese sind passgenau auf die Interessenslage des jeweiligen Empfängers zugeschnitten und oft nur schwer zu erkennen. Mit dieser Mail wird dann versucht, mittels versteckt integrierter oder angehängter Schadsoftware das IT-System zu kompromittieren.

„China hat seine Ausforschungsbemühungen in den Bereichen Wissenschaft und Forschung erkennbar verstärkt“

Karl-Friedrich Fecht

Was sollte ein Unternehmen tun, wenn es den Eindruck hat, ins Visier eines staatlich gesteuerten Cyberangriffs geraten zu sein?
Sobald dieser Verdacht besteht, sollte sich das Unternehmen an uns wenden. Wir können dabei ein absolut vertrauliches Vorgehen zusichern. Hinzu kommt: Je mehr wir über das Vorgehen der Täter erfahren, desto effizienter können wir unsere Präventionsangebote und Abwehrmaßnahmen ausgestalten. Ob Unternehmen im Fall der Fälle auch die Polizei einschalten, liegt in ihrem eigenen Ermessen.

Hat sich die Bedrohungslage durch Cyberangriffe fremder Nachrichtendienste seit Beginn des Ukraine-Kriegs verschärft?
Ja, durch den russischen Angriffskrieg hat sich dieses Risiko weiter erhöht. Bislang wurden zwar keine staatlich gesteuerten Cyberangriffe aus Russland auf die kritische Infrastruktur in Baden-Württemberg festgestellt – das ist jedoch kein Grund für nachlassende Aufmerksamkeit. So hat in den vergangenen Monaten etwa die Volksrepublik China ihre Ausforschungsbemühungen in den Bereichen Wissenschaft und Forschung erkennbar verstärkt. Wir vermuten, dass fremde Staaten die den deutschen Sicherheitsbehörden unterstellte Konzentration auf russische Cyberattacken gezielt ausnutzen, weil sie sich unter dem Radar wähnen. Die Bedrohungslage durch mutmaßlich nachrichtendienstlich gesteuerte Cyberangriffe bleibt hoch.

Anfang des Jahres hat die russische Hackergruppe Killnet Websites der Bundes- und Landesverwaltung sowie von Flughäfen vorrübergehend lahmgelegt. Diese Angriffe schüren bei manchen die Angst, dass auch Baden-Württembergs kritische Infrastruktur, etwa die Stromversorgung, ins Visier von staatlich gesteuerten Hackern geraten könnte. Wie schätzen Sie diese Bedrohung ein?
Aktuell nicht sehr hoch – zumindest was Killnet anbelangt. Dabei handelt es sich um eine Hacktivisten-Gruppierung, die seit Beginn des russischen Überfalls auf die Ukraine als Unterstützer der russischen Politik auftritt und in der Vergangenheit bereits mehrere Cyberangriffe gegen westliche Ziele durchgeführt hat. Uns liegen zu Killnet derzeit allerdings keine Anhaltspunkte vor, die auf eine staatliche Steuerung oder Beeinflussung hindeuten könnten. Die Cyberangriffe von Killnet weisen durchweg ein sehr geringes technisches Niveau auf und haben zu keinerlei Ausfällen bei der kritischen Infrastruktur geführt. So war beispielsweise die Website der Polizei in Baden-Württemberg Ende Januar 2023 von einem solchen Cyberangriff kurzzeitig betroffen, die polizeiliche Arbeit an sich war jedoch zu keinem Zeitpunkt gefährdet. /

(Dieses Interview erschien in gekürzter Form in der WNA-Ausgabe 4+5/2023.)

Hintergrund

Die Cyberabwehr des Landesamtes für Verfassungsschutz Baden-Württemberg steht im Falle einer mutmaßlich nachrichtendienstlich gesteuerten oder beeinflussten Cyberattacke Unternehmen, Behörden, akademischen Einrichtungen sowie sonstigen Landesstellen zur Verfügung.

Kontakt zum Landesamt für Verfassungsschutz.