Das VOICE Security Meeting am 06. Juli mit dem zentralen Thema Cybersecurity im Zeichen des Ukraine-Kriegs war in der Spitze mit knapp 200 Teilnehmern äußerst gut besucht. Die 5 Impulse des zweistündigen Meetings deckten unterschiedliche Aspekte des Themas ab. Dr. Ralf Schneider, Group CIO der Allianz und Helge-Karsten Lauterbach, CIO von Bilfinger, die das Treffen in ihrer Funktion als Mitglieder des Cyber Defense Board von VOICE initiiert hatten, übernahmen auch die Einführung. Schneider sprach von der Notwendigkeit, multiple Krisen gleichzeitig bewältigen zu müssen, eine davon sei die Cybersecurity-Krise. Die wichtigste Methode zur Krisenbewältigung sei die Fordec Methode: Zunächst benötige man Facts & Figures, dann werde auf Options geschaut, die Risiken bewertet, Decision getroffen, die daraufhin exekutiert werden und schließlich würden diese auch controlliert.
Trügerische Ruhe an der Cyber-Front
Lauterbach verdeutlichte, dass der Ukraine-Krieg zwar für sehr viele überraschend kam, aber allen sofort klar gewesen sei, dass die Krise Themen auf die Agenda bringen werde, bei denen man sehr, sehr vorsichtig vorgehen müsse. Überraschenderweise habe in den ersten Monaten des Krieges eine fast trügerische Ruhe geherrscht. Allerdings haben sich unabhängig vom Krieg Cyberkriminelle stark professionalisiert. Ransom-Attacken charakterisiert er als kaskadierendes Vorgehen. Der Angriff beginne mit Verschlüsselung, reiche über das Stehlen von Daten bis hin zur Drohung sie zu veröffentlichen. Sein Unternehmen habe sofort bei Kriegsausbruch sämtliche Systeme in der Ukraine und in Russland gekapselt und die in der Ukraine auch gewiped. Allerdings baue man jetzt bereits wieder Offices in den nicht direkt von Kämpfen betroffenen Regionen in der Ukraine auf und connecte sie auch wieder, wenn auch nur temporär.
Es liegt derzeit keine Cyber-Invasion vor
VOICE Security Spezialist Dirk Ockel stellte einige Thesen zur Diskussion:
- Wenngleich die Hackeraktivität seit Februar erhöht ist, liegt derzeit keine globale Cyber-Invasion vor.
- Die Menge der maliziösen Aktivitäten im Netz (außerhalb der Ukraine) ist seit Februar gestiegen, aber die Qualität der Angreifer nicht signifikant.
- Ein erheblicher Teil des summarischen Anstiegs der Hackeraktivitäten ist durch Trittbrettfahrer verursacht.
- Schäden durch russische Cyberkrieger verzeichnen wir in der VOICE-Mitgliedschaft bisher nicht.
- Wir haben wahrscheinlich zahlreiche bereits angelegte Backdoors, was daraus erwachsen kann, wissen wir heute allerdings noch nicht.
LKA NRW gegen Hackbacks
Peter Vahrenhorst, Security-Spezialist beim LKA NRW, erklärte, dass die Zahl der Angriffe und Bedrohungen auch unabhängig vom Krieg in der Ukraine kräftig ansteige. Einige Strafverfolgungsbehörden nähern sich der Kapazitätsgrenze. Auch seinen Daten zufolge, lasse sich nur bei wenigen Fällen der insgesamt ansteigenden Fallzahlen ein direkter Ukraine-Bezug nachweisen, obwohl jeder Fall daraufhin überprüft werde. Er sprach sich ausdrücklich gegen Hackbacks aus. Schon bevor sich die Regierungskoalition gegen Hackbacks aussprach, hatte das LKA beschlossen, diese Methode nicht einzusetzen. Sie sei ineffektiv und treffe eher die Opfer als die wahren Täter erklärte Vahrenhorst.
Mehr als nur Cyber-Angriffe
Generalleutnant Michael Vetter, Leiter der Abteilung Cyber-Informationstechnik sowie CIO im Verteidigungsministerium, verdeutlichte die Position des Verteidigungsministeriums und der Bundeswehr zum Thema Hackback. Die Bundesrepublik Deutschland muss zur aktiven Cyberabwehr in der Lage sein: Hackbacks – also “Vergeltungsmaßnahmen” – führen staatliche Stellen nicht durch. Die Bundesregierung verwendet diesen Begriff daher nicht.
Vetters Vortrag thematisierte die Cyberbedrohungen im Rahmen des Krieges in der Ukraine. In der Bundeswehr ist neben dem Heer, der Luftwaffe und der Marine der Cyber-Informationsraum als eigene “Teilstreitkraft” etabliert worden. Zu den Bedrohungen aus dem Cyber-Informationsraum zählt Vetter nicht nur Cyberangriffe, sondern auch Desinformation, Fake News, Beeinflussung durch Propaganda sowie elektronische Kampfführung. Durch die Fortschritte der Digitalisierung und der IT werde dieser Raum zunehmend auch militärisch relevant. Häufig spielt der Cyber-Informationsraum bei den hybriden Aktivitäten aggressiver staatlicher Akteure eine wichtige Rolle.
Hacktivisten spielen häufiger eine wichtige Rolle
Diese Aktivitäten sind häufig in der Grauzone zwischen Frieden, Krise und Krieg angesiedelt, weil Akteure wie Russland dabei zumindest anfangs nicht die Schwelle zum bewaffneten Konflikt und Krieg überschreiten wollen, der völkerrechtliche Konsequenzen hat. Angriffe im Cyber-Informationsraum müssen nicht regional begrenzt sein und sie gehen nicht ausschließlich von staatlichen Stellen aus. Die Cyberaktivitäten spielen sich deshalb häufig vor dem eigentlichen bewaffneten Konflikt ab. Hacktivisten spielen dabei auch immer häufiger eine Rolle und machen das Ganze noch undurchsichtiger. Vetter sieht die Aktivitäten von Hacktivisten durchaus kritisch. Ihre Aktionen könnten von der jeweiligen Gegenseite als geplanter Angriff interpretiert werden und so zur Eskalation beitragen.
In Bezug auf die Bundeswehr erklärte Vetter, dass man sich auch in Sachen Cyber-Informationsraum an das Völkerrecht halte. Vetter betonte, dass es gerade für seinen Bereich extrem wichtig sei, die Aktivitäten mit den anderen Teilstreitkräften abzustimmen. Im digitalen Bereich könne man nicht unabhängig von den anderen Domänen der Bundeswehr agieren.
Killnet-Angriffe bisher nicht relevant
Dr. Dirk Häger, Abteilungsleiter des Bereichs Operative Sicherheit beim BSI, erklärte die Angriffe russischer Hacktivisten wie Killnet auf staatliche Websites für bisher nicht wirklich relevant. Die Aktivitäten der Hackerkollektive wie Anonymus, die sich gegen Russland richteten haben dagegen durchaus Wirkung. Allerdings zeigten diese Angriffe dem russischen Staat die heutigen Schwachstellen auf, die jetzt geschlossen werden könnten. Häger geht davon aus, dass die Russen aus diesem Konflikt mit einer stärkeren Cyberabwehr hervorgehen als sie in den Krieg mit der Ukraine hineingegangen sind. Problematisch sieht Häger die Angriffe auf russische Firmen in Deutschland bzw. auf deutsche Firmen mit russischer Beteiligung, die kritische Infrastrukturen bereitstellen. Nach der Anonymus-Attacke auf die deutsche Rosneft GmbH konnte diese nur nach Intervention des deutschen Wirtschaftsministeriums Dienstleister engagieren, die den Schaden in ihren Systemen wieder repariert haben.
Sorge um die Weiterentwicklung der Angriffe
Unabhängig vom Ukraine-Russland Krieg sorgt sich Häger um die Weiterentwicklung der Cyberangriffe in Deutschland. Viele der erfolgreichen Angriffe liefen nicht mehr über bösartige E-Mail-Anhänge, sondern über das Ausnutzen von Schwachstellen, vor allem Schwachstellen in VPN-Software seien aus Sicht des BSI eine „Katastrophe“. Außerdem warnte er vor chinesischen Hackergruppen, die sehr viel „besser“ werden und vor allem auf Informationsdiebstahl setzen.
Cloudflare hat Netz-Traffic in und um Ukraine analysiert
Joe Sullivan, CISO von Cloudflare, ein Unternehmen das weltweit Netz und Rechenzentrumskapazitäten für seine Kunden bereitstellt, berichtete über Datenbeobachtungen, die sein Unternehmen in der Ukraine, Belarus und Russland vor und während des Ukraine-Russland Kriegs gemacht haben. Nachdem der Konflikt zum offenen Krieg eskalierte, ging der Internet-Traffic in und um die Ukraine zunächst zurück. Außerdem stieg die mobile Nutzung stark an. Sullivan teilte mit den Teilnehmern des VOICE-Security-Meeting verschiedene interessante Phänomene, die sich an der Analyse des regionalen Internet-Traffics ablesen lassen. Zum Beispiel, dass nach Ausfällen häufig russische Provider die Internetversorgung übernehmen, teilweise vorübergehend, teilweise permanent. Nach dem 24. Februar nahm außerdem die Nutzung von VPNs stark zu. Offensichtlich wollen sich ukrainische Bürger der möglichen Überwachung durch russische Kräfte entziehen. Der populärste Messagging-Dienst in der Ukraine ist laut Sullivan Viber, gefolgt von Telegram. Die Attacken auf Unternehmen in der Ukraine haben stark zugenommen. In erster Linie waren das DDOS-Attacken.