TEILEN

Neben Fällen, bei denen Kriminelle in IT-Systeme eindringen, alle Daten verschlüsseln und für die Freigabe hohe Geldbeträge verlangen, sind Unternehmen auch der Gefahr ausgesetzt von Cyberangriffen anderer
Art betroffen zu sein. Niedersachsens Verfassungsschutz möchte sensibilisieren.

Die meisten Unternehmen merken es nicht. Deswegen ist die Überraschung groß, wenn es
dann doch passiert ist. „Viele bezweifeln, dass Sie ein Problem haben könnten – vor allem dann, wenn das Eindringen in das eigene IT-System nicht aufgefallen ist“, erklärt Fabian Schneider, der eigentlich anders heißt. Er ist einer von mehreren Beschäftigten des Bereichs Cyberabwehr beim Niedersächsischen Verfassungsschutz. Seit anderthalb Jahren
gibt es diese Stelle im Innenministerium, die eng mit dem Bundesamt für Verfassungsschutz zusammenarbeitet. Das Team kümmert sich um alle elektronischen
Angriffe mit nachrichtendienstlichem Hintergrund. Ein Beispiel: Ein Unternehmen
wird durch einen Befall unbemerkt Teil eines sogenannten Botnetzes, das dann für
Angriffe auf Unternehmen, Institutionen oder Staaten genutzt wird. „Möglicherweise kommt es dabei zwar nicht zu einem Schaden durch Datendiebstahl. Verschlüsselung oder Erpressung, aber von deutschen IP-Adressen könnten kriminelle Angriffe auf IT-Systeme ausgehen“, beschreibt es der IT-Fachmann.

Seit Beginn des Krieges in der Ukraine warnen Experten vor einer möglichen
Zunahme von Angriffen auf die IT-Infrastruktur von staatlichen Institutionen und
Unternehmen. „Es gibt eine hohe Aufmerksamkeit in der Gesellschaft und bei
Unternehmen für das Thema, was sicherlich auch dazu beiträgt, dass es mehr Hinweise und Fälle gibt, die an uns herangetragen werden“, erklärt Schneider. laut
dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es seit Beginn
des Angriffs Russlands auf die Ukraine inDeutschland zu einzelnen zusätzlichen
IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten.
Insbesondere DDoS-Angriffe waren jüngst zu verzeichnen, unter anderem auch auf
Ziele in Deutschland. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen
und Organisationen besonderes Augenmerk auf den Schutz gegen diese Art von
Angriffen legen, warnt das BSI. Daneben hat es Cyber-Angriffe auf Unternehmen
und Einrichtungen gegeben, die weiterhin Geschäftsbeziehungen mit Russland unterhalten.

Unternehmen können unbemerkt Teil eines Botnetzes werden. Foto: istock

Spuren führen auch nach Nordkorea, China und den Iran
Dem niedersächsischen Verfassungsschutz liegen zunehmend konkrete Informationen vor, die auf staatlich gesteuerte Angriffe hinweisen. Dabei handelt es sich nicht nur um Angriffe mit Bezug zum Russland-Ukraine-Konflikt. Es gibt auch Spuren, die nach Nordkorea, den Iran oder China führen – in Länder, denen Fachleute aufgrund langjähriger Erfahrungen ein potenzielles Interesse an Spionage oder Sabotage nachsagen. „Viele Unternehmen haben ihre IT-Sicherheitsmaßnahmen in Folge des Kriegs bereits verstärkt. Es ist unser Ziel als Verfassungsschutz, noch weitere Firmen auf die dringende Notwendigkeit hinzuweisen“, erklärt Schneider, dessen Abteilung dabei auch eng
mit dem Bereich Wirtschaftsschutz zusammenarbeitet. Während die Cybercrime-Abteilungen bei der Polizei sich auf alle strafrechtlich relevanten Fälle wie etwa Datendiebstähle oder Erpressungen mit Hilfe von Verschlüsselungs-Schadsoftware konzentrieren, befasst sich der Verfassungsschutz nur mit den staatlich gesteuerten Akteuren, zum Beispiel Nachrichtendiensten.

Diese hätten meist die Absicht Informationen auszuspähen oder IT-Systeme zu stören. Fachleute bezeichnen diese Vorgänge als Advanced Persistent Threats (kurz
APT), also „hoch entwickelte, nachhaltige Angriffe“. Die staatlich gesteuerten Akteure verfügen häufig, anders als einige Cybercrime-Gruppierungen und einzelne Hacker, über ein hohes Maß an Fachexpertise und finanzielle Mittel. Auch ist die Vorgehensweise beim Eindringen in Systeme und die Bewegung im Netzwerk häufig anders. „Bei solchen Angriffen werden meist neue Methoden oder unbekannte Schwachstellen in Systemen genutzt, die von den IT-Firmen noch nicht durch Updates oder Patches behoben werden
konnten, zum Beispiel den sogenannten Zero-Day-Exploits“, erklärt Schneider. Die
Angreifer wollen, dass der Befall des betroffenen Systems – die Kompromittierung – möglichst lange unerkannt bleibt, um das fortlaufende Abschöpfen von Informationen oder die Nutzung für kriminelle Zwecke zu gewährleisten. Das Team Cyberabwehr aus dem niedersächsischen Innenministerium setzt genau hier an. Die IT-Fachleute sammeln,
analysieren und bewerten sämtliche Daten im Zusammenhang mit den IT-gestützten Spionage- und Sabotageoperationen fremder Nachrichtendienste. Mit Hilfe der sogenannten forensischen Analyse der bei den Angriffen verwendeten Techniken und Vorgehensweisen ist die Cyberabwehr in einigen Fällen in der Lage, den Angreifer zu identifizieren. „Wir sind dabei allerdings auf die Unterstützung der Unternehmen angewiesen, die uns Zugriff auf die befallenen Systeme einräumen müssen. Doch es ist ja auch im Interesse der Firmen, fremde Aktivitäten in der eigenen IT zu entdecken und Vorsorge vor weiteren Vorfällen zu treffen“, so Schneider. Bei der Analyse der betroffenen kompromittierten Systeme könnten meist weitere befallene Systeme festgestellt werden, da diese untereinander kommunizieren.

Die Angriffe auf die IT-Systeme sind als Straftaten einzustufen, sodass auch eine parallele Bearbeitung durch die Polizei möglich ist. Der Verfassungsschutz und die Polizei tauschen sich aber regelmäßig aus, soweit dies das gesetzlich verankerte Trennungsgebot erlaubt. Gerade im Bereich der Kriminalität im IT-Bereich sei der Austausch zwischen den verschiedenen Stellen auf Landes- und Bundesebene allerdings sehr intensiv, berichtet
Schneider, der früher selbst für die Polizei tätig war.

Problem unerkannter Botnetze
Neben direkten Cyberangriffen mit dem Hintergrund der Spionage oder Sabotage stoßen er und sein Team häufig auf kompromittierte IT-Systeme, die Bestandteil eines Botnetzes geworden sind. „Dies kann grundsätzlich jeder Behörde, jedem Unternehmen und auch Privatpersonen passieren, dass die eigene Infrastruktur befallen und für kriminelle Zwecke eingesetzt wird“, sagt Schneider. Somit kann jeder, der IT-Systeme betreibt, unwissentlich von der Thematik betroffen sein. Das Problem dabei ist, dass sich solche Netze immer weiter ausbreiten, indem die befallenen Systeme grundsätzlich automatisiert nach weiteren Schwachstellen durchsucht werden, um diese zur Kompromittierung anderer IT-Systeme zu nutzen. Die kriminellen Akteure, die ihre Aktivitäten von jedem Ort der Welt steuern können, wollen durch Botnetze vor allem fremde Rechenkapazität nutzen oder sich bei eigenen Angriffen tarnen. Über Botnetze können Angreifer beispielsweise an
deutsche IP-Adressen gelangen. Da Adressen aus potenziell gefährlich eingestuften Ländern heutzutage von vielen Stellen automatisiert geblockt werden, dienen diese als Türöffner und zugleich wird es ungleich schwerer, die Hintermänner von kriminellen Machenschaften zuermitteln. Zuletzt hatte ein solches Vorgehen, für das Experten den russischen Nachrichtendienst GRU verantwortlich machen, auch niedersächsische Unternehmen getroffen. Mit der Cyclops Blink Malware soll eine Gruppe, die sich Sandworm nennt, maßgeblich an Cyberangriffen gegen ukrainische Ziele beteiligt sein.
Eine Hauptaufgabe der niedersächsischen Cyberabwehr ist es daher, zusammen mit anderen Institutionen solche Botnetze zu zerschlagen und sie einem bestimmten Akteur zuzuordnen.

Die Erkenntnisse des Teams Cyberabwehr sind entscheidend, um andere, zum
Beispiel auch die Betreiber kritischer Infrastruktur in Deutschland, gezielt warnen
zu können. Bei den Vorfällen, bei denen das Team wichtige Hinweise auf den befallenen Systemen findet, werden diese festgehalten und als sogenannte „Indicators of Compromise“ an den Wirtschaftsschutz weitergegeben. Die Informationen können diese beispielsweise in ihre Firewalls einspielen, damit Angriffsversuche frühzeitig erkannt oder sogar automatisiert verhindert werden können.

Kriminelle wollen Verwirrung stiften
Das Team Cyberabwehr kämpft auch gegen die Verbreitung von Fake News und
die gezielte Enthüllung privater Informationen, die dazu geeignet sind, das
öffentliche Meinungsbild zu beeinflussen. So hat eine vermeintlich osteuropäische Hacker-Gruppe unter dem Pseudonym Ghostwriter in der Vergangenheit mit gezielten Attacken, bei denen Informationen im politischen Bereich weitergegeben oder veröffentlicht wurden, ein negatives Beispiel für ein solches Vorgehen geliefert. Bislang waren niedersächsische Politikerinnen und Politiker oder andere mit Bezügen zum niedersächsischen Landtag „nur“ Ziel von Phishing-Angriffen geworden. In Niedersachsen ist es in Zuge dessen noch zu keinem konkreten Schaden gekommen. Die Cyberabwehr ergänzt im diesem Themenfeld die Arbeit des Wirtschaftsschutzes des niedersächsischen Verfassungsschutzes, dessen primärer Fokus im präventiven Bereich liegt und der seit
vielen Jahren über verschiedene Veranstaltungen und Sensibilisierungen etablierter Netzwerk- und Ansprechpartner der niedersächsischen Wirtschaft ist. Ähnlich wie im Bereich Cybercrime ist auch bei nachrichtendienstlich gesteuerten Angriffen nicht mit einem Rückgang der Aktivitäten zu rechnen. „Umso wichtiger ist es, dass sich Unternehmen intensiv mit den Risiken wie aber auch möglichen Schutzmaßnahmen auseinandersetzen. Der Wirtschaftsschutz und wir als Team der Cyberabwehr stehen
hier den Unternehmen als neutraler und professioneller Dienstleister zur Verfügung“, sagt Schneider.

Unternehmen, die befürchten, dass sie das Ziel eines Cyberangriffs geworden sind, können sich an das Team Wirtschaftsschutz wenden. „Sobald es Anzeichen für nachrichtendienstliche Aktivitäten gibt, schalten uns die Kollegen ein“, erklärt der IT-Fachmann.

Ansprechpartner für Unternehmen:
Markus Böger
Tel. 0511 67 09 284
Mobil: 0172 426 54 68
E-Mail: markus.boeger@mi.niedersachsen.de

Glossar:

Ransomware Bei Ransomware handelt es sich um eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt.

Zero-Day-Exploits Als einen Exploit bezeichnet man den Zugang zu einer Sicherheitslücke in einem System, welcher entweder aus der theoretischen Beschreibung der Schwachstelle oder einem einsetzbaren Programmcode, resultiert. Schwachstellen und
Sicherheitslücken, die noch unbekannt sind und noch vor den SoftwareHerstellern entdeckt werden, bezeichnet man als Zero-Day-Exploits. Die Problematik beinhaltet, dass seitens der Entwickler kein Patch und keine Korrektur bezüglich der entdeckten  Schwachstellen erfolgen kann oder vorliegt.

Indicators of Compromise (IOC) – im Deutschen auch „Kompromittierungsindikatoren“
genannt, sind die digitalen Spuren, die Angreifer bei einem IT-Sicherheitsvorfall hinterlassen. Sie beweisen nicht nur, dass ein Angriff stattgefunden hat, sondern auch, welches Ausmaß er hat.

Lesen Sie die weiteren Teile des Fokus-Themas:

Kontakt zum Autor

Georg Thomas

Sie haben Fragen oder Anregungen?
Dann schreiben Sie dem Autor:

Georg Thomas