“Hybride Kriegsführung” – Russland fährt Cyberattacken auf Deutschland

Hacker (Bild: Shutterstock)

Das Bundesamt für den Verfassungsschutz vermutet hinter dem großangelegten Cyberangriff auf den Bundestag vor etwa einem Jahr russische Geheimdienste. Damals mussten die Systeme mehrere Tage deaktiviert werden. Nach wie vor stufen die Behörden die Gefährdungslage als “sehr hoch” ein.

Vor einer “permanenten Bedrohung” wichtiger Infrastrukturen warnt das Bundesamt für den Verfassungsschutz. Neben dem vorrangigem Ziel der “Informationsgewinnung”, versuchen sich die Angreifer immer häufiger an Sabotage-Akten, wie Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz, mitgeteilt hat. Der Cyberraum habe sich zu einem “Ort hybrider Kriegsführung” entwickelt. Daher warnt die Behörde eindringlich vor Angriffen auf Versorgungsunternehmen wie Elektrizitätswerke oder die Wasserversorgung.

Der Präsident des Verfassungsschutzes Hans-Georg Maaßen warnt vor dauerhaften Angriffen auf kritische Infrastrukturen im Netz vor allem durch russische Geheimdienste. (Bild: BfV)
Der Präsident des Verfassungsschutzes Hans-Georg Maaßen warnt vor dauerhaften Angriffen auf kritische Infrastrukturen im Netz vor allem durch russische Geheimdienste. (Bild: BfV).

In erster Linie zielten russische Nachrichtendienste auf die “strategische Informationsgewinnung, sprich Spionage” ab. Aber auch die Bereitschaft, Sabotage-Akte durchzuführen, zeige sich vermehrt, warnt Maaßen. Er berichtet von der Kampagne “Sandworm”, die auf Energieversorger, Hochschulen, Bildungseinrichtungen, Telekommunikationsunternehmen und auch Regierungsstellen abgezielt habe.

Der Verfassungsschutz bestätigte zudem, dass der umfangreiche Angriff auf das Netzwerk des Bundestages im Mai vergangenen Jahres auf russische Geheimdienste zurückzuführen ist. Im Anschluss musste das Netzwerk mehrere Tage ausgeschalten und dann neu aufgebaut werden.

Deutscher Reichstag in Berlin (Bild: Andre Borbe)
Der Verfassungsschutz bestätigte jetzt, dass der umfangreiche Angriff auf das Netzwerk des Bundestages im Mai vergangenen Jahres ebenfalls auf russische Geheimdienste zurückzuführen ist (Bild: Andre Borbe).

Als besonders aggressiv stuft der Verfassungsschutz die Operation “Sofacy/APT 28” ein. Der Behörde zufolge gibt es “mehrere Hinweise”, dass diese Cyberattacke vom russischen Diensten ausgeht. Bei der Attacke wird über Mails eine Schadsoftware auf die Rechner eingeschleust. Offenbar scheint auch ein Zusammenhang zwischen der Operation “Sofacy” und dem Einbruch in das Bundestagsnetzwerk zu bestehen. Inzwischen ermittelt auch die Bundesanwaltschaft wegen Verdacht auf geheimdienstliche Agententätigkeit.

Die Attacken der ausländischen Geheimdienste seien sehr langfristig angelegt und würden vom BfV auch beobachtet. So ließen sich einige Aktionen bis zu elf Jahre zurückverfolgen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem aktuellen Bericht erklärt, werden im Schnitt alle zwei Tage Angriffe mit Bezug zu Geheimdiensten auf die Netze der Bundesregierung registriert.

Angriffe auf CDU-Zentrale erfolgten ebenfalls aus Russland

Erst diese Woche Stunden wurde bekannt, dass auch die CDU-Zentrale von Angela Merkel Ziel eines aus offenbar aus Russland geführten Angriffs war. Das Sicherheitsunternehmen Trend Micro führt auch diese Angriffe auf russische Dienste zurück. Für die Attacke auf die CDU wurde, wie Trend Micro in einem Blog erklärt, in Lettland ein gefälschter Webmail-Server der CDU aufgesetzt. Darüber seien Informationen abgefischt werden. Parallel dazu sollen drei Domänen für das Phishing von Zugangsdaten von prominenten Nutzern der deutschen Freemail-Provider gmx.de, gmx.net sowie web.de erstellt worden sein.

“Die Angreifer führen häufig breit angelegte, gleichzeitige Angriffe gegen Ziele mit unternehmenseigenen und persönlichen Mailkonten durch. Sie erstellen eine gefälschte Version des Unternehmens-Mailservers der anvisierten Organisation und greifen gleichzeitig Schlüsselfiguren der Organisation über ihre privaten kostenlosen Webmail-Konten an”, erklärt Feike Hacquebord, Senior Threat Researcher bei Trend Micro in dem Blog.

Auf diese Weise hätten die Angreifer in der Vergangenheit bereits komplette Online-Mailboxen herunterladen können und sich zum Beispiel über eine Weiterleitung dauerhaft Zugriff auf den Mailverkehr gesichert. Typisch sei, dass diese Attacken immer von mehreren Seiten gleichzeitig geführt werden. Ziel diese Operationen seien laut Trend Micro Regierungsbehörden, Militär, Unternehmen aus der Verteidigungsbranche und Medien.

Im März hat Trend Micro solche Angriffe auf die türkische Regierung beobachtet. Hacquebord: “Alle diese Vorfälle bestätigen die Theorie bezüglich der Identität der Angreifer, denn die Opfer sind immer Gruppen, die als Risiko für russische Interessen und Politik gelten können.”

Das Bundesinnenministerium erklärt, dass eine Neubewertung der Sicherheitslage durch den aktuellen Bericht des BfV nicht nötig sei. Die Gefährdungslage werde derzeit allgemein als hoch eingestuft. Die Netze der Regierung seien stark gesichert und im Verteidigungsministerium werde derzeit eine eigene Abteilung für die Abwehr solcher Cyberrisiken aufgebaut.

Tipp: Die Gesichter hinter der Malware – Wer sind die berühmtesten Hacker? Stellen Sie Ihr Wissen auf silicon.de unter Beweis!