Das VOICE Security Meeting am 06. Juli mit dem zentralen Thema Cybersecurity im Zeichen des Ukraine-Kriegs war in der Spitze mit knapp 200 Teilnehmern Ă€uĂerst gut besucht. Die 5 Impulse des zweistĂŒndigen Meetings deckten unterschiedliche Aspekte des Themas ab. Dr. Ralf Schneider, Group CIO der Allianz und Helge-Karsten Lauterbach, CIO von Bilfinger, die das Treffen in ihrer Funktion als Mitglieder des Cyber Defense Board von VOICE initiiert hatten, ĂŒbernahmen auch die EinfĂŒhrung. Schneider sprach von der Notwendigkeit, multiple Krisen gleichzeitig bewĂ€ltigen zu mĂŒssen, eine davon sei die Cybersecurity-Krise. Die wichtigste Methode zur KrisenbewĂ€ltigung sei die Fordec Methode: ZunĂ€chst benötige man Facts & Figures, dann werde auf Options geschaut, die Risiken bewertet, Decision getroffen, die daraufhin exekutiert werden und schlieĂlich wĂŒrden diese auch controlliert.
TrĂŒgerische Ruhe an der Cyber-Front
Lauterbach verdeutlichte, dass der Ukraine-Krieg zwar fĂŒr sehr viele ĂŒberraschend kam, aber allen sofort klar gewesen sei, dass die Krise Themen auf die Agenda bringen werde, bei denen man sehr, sehr vorsichtig vorgehen mĂŒsse. Ăberraschenderweise habe in den ersten Monaten des Krieges eine fast trĂŒgerische Ruhe geherrscht. Allerdings haben sich unabhĂ€ngig vom Krieg Cyberkriminelle stark professionalisiert. Ransom-Attacken charakterisiert er als kaskadierendes Vorgehen. Der Angriff beginne mit VerschlĂŒsselung, reiche ĂŒber das Stehlen von Daten bis hin zur Drohung sie zu veröffentlichen. Sein Unternehmen habe sofort bei Kriegsausbruch sĂ€mtliche Systeme in der Ukraine und in Russland gekapselt und die in der Ukraine auch gewiped. Allerdings baue man jetzt bereits wieder Offices in den nicht direkt von KĂ€mpfen betroffenen Regionen in der Ukraine auf und connecte sie auch wieder, wenn auch nur temporĂ€r.
Es liegt derzeit keine Cyber-Invasion vor
VOICE Security Spezialist Dirk Ockel stellte einige Thesen zur Diskussion:
- Wenngleich die HackeraktivitÀt seit Februar erhöht ist, liegt derzeit keine globale Cyber-Invasion vor.
- Die Menge der maliziösen AktivitĂ€ten im Netz (auĂerhalb der Ukraine) ist seit Februar gestiegen, aber die QualitĂ€t der Angreifer nicht signifikant.
- Ein erheblicher Teil des summarischen Anstiegs der HackeraktivitÀten ist durch Trittbrettfahrer verursacht.
- SchÀden durch russische Cyberkrieger verzeichnen wir in der VOICE-Mitgliedschaft bisher nicht.
- Wir haben wahrscheinlich zahlreiche bereits angelegte Backdoors, was daraus erwachsen kann, wissen wir heute allerdings noch nicht.
LKA NRW gegen Hackbacks
Peter Vahrenhorst, Security-Spezialist beim LKA NRW, erklĂ€rte, dass die Zahl der Angriffe und Bedrohungen auch unabhĂ€ngig vom Krieg in der Ukraine krĂ€ftig ansteige. Einige Strafverfolgungsbehörden nĂ€hern sich der KapazitĂ€tsgrenze. Auch seinen Daten zufolge, lasse sich nur bei wenigen FĂ€llen der insgesamt ansteigenden Fallzahlen ein direkter Ukraine-Bezug nachweisen, obwohl jeder Fall daraufhin ĂŒberprĂŒft werde. Er sprach sich ausdrĂŒcklich gegen Hackbacks aus. Schon bevor sich die Regierungskoalition gegen Hackbacks aussprach, hatte das LKA beschlossen, diese Methode nicht einzusetzen. Sie sei ineffektiv und treffe eher die Opfer als die wahren TĂ€ter erklĂ€rte Vahrenhorst.
Mehr als nur Cyber-Angriffe
Generalleutnant Michael Vetter, Leiter der Abteilung Cyber-Informationstechnik sowie CIO im Verteidigungsministerium, verdeutlichte die Position des Verteidigungsministeriums und der Bundeswehr zum Thema Hackback. Die Bundesrepublik Deutschland muss zur aktiven Cyberabwehr in der Lage sein: Hackbacks – also “VergeltungsmaĂnahmen” – fĂŒhren staatliche Stellen nicht durch. Die Bundesregierung verwendet diesen Begriff daher nicht.
Vetters Vortrag thematisierte die Cyberbedrohungen im Rahmen des Krieges in der Ukraine. In der Bundeswehr ist neben dem Heer, der Luftwaffe und der Marine der Cyber-Informationsraum als eigene “Teilstreitkraft” etabliert worden. Zu den Bedrohungen aus dem Cyber-Informationsraum zĂ€hlt Vetter nicht nur Cyberangriffe, sondern auch Desinformation, Fake News, Beeinflussung durch Propaganda sowie elektronische KampffĂŒhrung. Durch die Fortschritte der Digitalisierung und der IT werde dieser Raum zunehmend auch militĂ€risch relevant. HĂ€ufig spielt der Cyber-Informationsraum bei den hybriden AktivitĂ€ten aggressiver staatlicher Akteure eine wichtige Rolle.
Hacktivisten spielen hÀufiger eine wichtige Rolle
Diese AktivitĂ€ten sind hĂ€ufig in der Grauzone zwischen Frieden, Krise und Krieg angesiedelt, weil Akteure wie Russland dabei zumindest anfangs nicht die Schwelle zum bewaffneten Konflikt und Krieg ĂŒberschreiten wollen, der völkerrechtliche Konsequenzen hat. Angriffe im Cyber-Informationsraum mĂŒssen nicht regional begrenzt sein und sie gehen nicht ausschlieĂlich von staatlichen Stellen aus. Die CyberaktivitĂ€ten spielen sich deshalb hĂ€ufig vor dem eigentlichen bewaffneten Konflikt ab. Hacktivisten spielen dabei auch immer hĂ€ufiger eine Rolle und machen das Ganze noch undurchsichtiger. Vetter sieht die AktivitĂ€ten von Hacktivisten durchaus kritisch. Ihre Aktionen könnten von der jeweiligen Gegenseite als geplanter Angriff interpretiert werden und so zur Eskalation beitragen.
In Bezug auf die Bundeswehr erklĂ€rte Vetter, dass man sich auch in Sachen Cyber-Informationsraum an das Völkerrecht halte. Vetter betonte, dass es gerade fĂŒr seinen Bereich extrem wichtig sei, die AktivitĂ€ten mit den anderen TeilstreitkrĂ€ften abzustimmen. Im digitalen Bereich könne man nicht unabhĂ€ngig von den anderen DomĂ€nen der Bundeswehr agieren.
Killnet-Angriffe bisher nicht relevant
Dr. Dirk HĂ€ger, Abteilungsleiter des Bereichs Operative Sicherheit beim BSI, erklĂ€rte die Angriffe russischer Hacktivisten wie Killnet auf staatliche Websites fĂŒr bisher nicht wirklich relevant. Die AktivitĂ€ten der Hackerkollektive wie Anonymus, die sich gegen Russland richteten haben dagegen durchaus Wirkung. Allerdings zeigten diese Angriffe dem russischen Staat die heutigen Schwachstellen auf, die jetzt geschlossen werden könnten. HĂ€ger geht davon aus, dass die Russen aus diesem Konflikt mit einer stĂ€rkeren Cyberabwehr hervorgehen als sie in den Krieg mit der Ukraine hineingegangen sind. Problematisch sieht HĂ€ger die Angriffe auf russische Firmen in Deutschland bzw. auf deutsche Firmen mit russischer Beteiligung, die kritische Infrastrukturen bereitstellen. Nach der Anonymus-Attacke auf die deutsche Rosneft GmbH konnte diese nur nach Intervention des deutschen Wirtschaftsministeriums Dienstleister engagieren, die den Schaden in ihren Systemen wieder repariert haben.
Sorge um die Weiterentwicklung der Angriffe
UnabhĂ€ngig vom Ukraine-Russland Krieg sorgt sich HĂ€ger um die Weiterentwicklung der Cyberangriffe in Deutschland. Viele der erfolgreichen Angriffe liefen nicht mehr ĂŒber bösartige E-Mail-AnhĂ€nge, sondern ĂŒber das Ausnutzen von Schwachstellen, vor allem Schwachstellen in VPN-Software seien aus Sicht des BSI eine âKatastropheâ. AuĂerdem warnte er vor chinesischen Hackergruppen, die sehr viel âbesserâ werden und vor allem auf Informationsdiebstahl setzen.
Cloudflare hat Netz-Traffic in und um Ukraine analysiert
Joe Sullivan, CISO von Cloudflare,  ein Unternehmen das weltweit Netz und RechenzentrumskapazitĂ€ten fĂŒr seine Kunden bereitstellt, berichtete ĂŒber Datenbeobachtungen, die sein Unternehmen in der Ukraine, Belarus und Russland vor und wĂ€hrend des Ukraine-Russland Kriegs gemacht haben. Nachdem der Konflikt zum offenen Krieg eskalierte, ging der Internet-Traffic in und um die Ukraine zunĂ€chst zurĂŒck. AuĂerdem stieg die mobile Nutzung stark an. Sullivan teilte mit den Teilnehmern des VOICE-Security-Meeting verschiedene interessante PhĂ€nomene, die sich an der Analyse des regionalen Internet-Traffics ablesen lassen. Zum Beispiel, dass nach AusfĂ€llen hĂ€ufig russische Provider die Internetversorgung ĂŒbernehmen, teilweise vorĂŒbergehend, teilweise permanent. Nach dem 24. Februar nahm auĂerdem die Nutzung von VPNs stark zu. Offensichtlich wollen sich ukrainische BĂŒrger der möglichen Ăberwachung durch russische KrĂ€fte entziehen. Der populĂ€rste Messagging-Dienst in der Ukraine ist laut Sullivan Viber, gefolgt von Telegram. Die Attacken auf Unternehmen in der Ukraine haben stark zugenommen. In erster Linie waren das DDOS-Attacken.
