Assaf Dahan ist Chef der Bedrohungsforschung beim IT-Sicherheitsdienstleister Cybereason. Der studierte Computerlinguist arbeitet seit mehr als 15 Jahren in verschiedenen zivilen und militärischen Funktionen auf dem Gebiet der Informationssicherheit.
WirtschaftsWoche: Herr Dahan, vor wenigen Tagen hat sich die russische Hackergruppe Killnet zu Cyberattacken auf Bundesbehörden bekannt. Gleichzeitig legten Angreifer IT-Systeme beim Autovermieter Sixt oder dem Traktorhersteller Fendt lahm. Wie sehr hat sich die Cyberbedrohungslage für Deutschland seit Beginn des russischen Angriffs auf die Ukraine verschärft?
Assaf Dahan: Auch wenn es überraschend klingt: Nicht sehr. Und zwar nicht, weil die Bedrohung nicht existiert, sondern weil sie auch vorher schon sehr präsent war. Einer der weltweit schwerwiegendsten Cyberangriffe der vergangenen Jahre, die NotPetya-Attacke 2017, die gegen die Ukraine gerichtet war, verursachte immense Schäden, auch in Deutschland.
Haben Sie solche Angriffe schon feststellen können?
Solch ein Risiko, dass zunächst gezielte Attacken den Angreifern entgleiten und massive Kollateralschäden auslösen, besteht auch heute. In den Wochen seit Kriegsbeginn sind fünf bis sechs sehr bösartige Schadprogramme vermutlich russischen Ursprungs aufgetaucht, sogenannte Wiper, die das Ziel haben, IT-Systeme in ukrainischen Behörden und Unternehmen zu zerstören. Es werden also ständig neue Cyber-Massenvernichtungswaffen entwickelt.
Aber die treffen natürlich nicht bloß ihre primären Ziele.
Richtig, in Kriegszeiten besteht ein erhöhtes Risiko von Kollateralschäden und so besteht etwa für deutsche Firmen, die Fertigungsstandorte oder Zulieferer in der Ukraine haben, ein erhöhtes Risiko, dass über gemeinsame Rechnernetzwerke auch solche Schadprogramme nach Deutschland gelangen.
Weiß man, wer hinter den Angriffen steckt?
Die Zuordnung von Angriffen zu bestimmten Gruppen oder Personen ist eine sehr schwierige Aufgabe. Es gibt viele Aspekte zu berücksichtigen, und viele Bedrohungsakteure setzen auf psychologische Kriegsführung, sogenannte „False Flags“, um den Eindruck zu erwecken, dass eine andere Gruppe für einen bestimmten Anschlag verantwortlich war. Als Sicherheitsforscher entwickeln wir Methoden, um Hinweise im Code der Schadsoftware aufzuspüren und Angriffsmuster zu korrelieren, die mit ziemlicher Sicherheit einzelnen Hackergruppen zugeordnet werden können.
Wer ist hierzulande besonders aktiv?
Auch wenn es der Ukrainekonflikt vielleicht anders erwarten ließe, klassische Cyberkriminelle, die primär mit Erpressungen oder Datendiebstahl Geld verdienen wollen, sind noch immer die größte Bedrohung. Deutschland ist eine der stärksten Volkswirtschaften der Welt und als solche im Visier einer Vielzahl von Bedrohungsakteuren. Die meisten Angriffe, die wir beobachten, gehen auf das Konto von Cyberkriminellen – hauptsächlich Ransomware-Angriffe und Finanzbetrug. Es gibt jedoch auch erhebliche – eher verdeckte – Aktivitäten, die von nationalstaatlichen Bedrohungsakteuren ausgehen und der Spionage dienen. In den letzten Jahren hat sich gezeigt, dass die Grenzen zwischen Cyberkriminellen und staatlichen Hackern immer mehr verschwimmen.
Also Hackern auf der staatlichen Lohnliste?
Ja, auch wenn sich das immer weniger sauber trennen lässt. Da gibt es ganz klar staatliche Akteure, dann solche, die ihren Schreibtisch vielleicht bei einem Geheimdienst haben, nach Dienstschluss aber auf eigene Rechnung aktiv werden. Daneben gibt es Gruppen, die einen engen Austausch mit staatlichen Stellen pflegen und Wissen um riskante Computerschwachstellen gegen bei ihren digitalen Raubzügen erbeutete Informationen tauschen – etwa Passwörter für den Zugang zu Regierungsservern oder Behördennetzen. Und schließlich gibt es noch die Hacker, die eine Verständigung mit den Sicherheitsbehörden haben, dass sie nur im Ausland aktiv sind und inländische Ziele verschonen.
In der Vergangenheit klagten speziell westliche Sicherheitsbehörden, dass Cyberkriminelle in Russland quasi Narrenfreiheit genießen.
Das stimmt in gewissem Maße, denn viele der Drahtzieher der Ransomware-Banden genießen in Russland seit über einem Jahrzehnt Freiheit und einen opulenten Lebensstil, ohne Verhaftungen befürchten zu müssen. Dies war Teil eines „Gentlemen's Agreement“ zwischen ihnen und den Behörden – solange sie keine Angriffe im Inland verüben und den Westen weiter belästigen, konnten die russischen Behörden ein Auge zudrücken. Ende Januar, kurz vor Kriegsbeginn, kam es dann doch überraschend zu Festnahmen von mehreren vermutlichen Mitgliedern der international aktiven Hackergruppe REvil, die etwa hinter den Attacken auf den Fleischkonzern JBS oder den IT-Dienstleister Kaseya steckte.
Wie deuten Sie dieses Durchgreifen?
Als ein Signal der Macht nach innen, an die Hacker im Land. Dass sie sich weiterhin staatskonform verhalten, sich vielleicht auch bei den folgenden Angriffen auf die Ukraine beteiligen. Darüber hinaus kann es auch als Versuch gewertet werden, etwas fürs eigene Image zu tun, da Russland vom Westen heftig dafür kritisiert wurde, dass es Cyberkriminellen erlaubt, von seinem Hoheitsgebiet aus ungehindert zu operieren. Ich persönlich bezweifle, dass die verhafteten Personen tatsächlich Haftstrafen antreten werden, aber das wird die Zeit zeigen.
Könnte der russische Fokus auf die Ukraine sogar darauf hinauslaufen, dass die direkte Bedrohung für Deutschland sinkt?
Nein ganz sicher nicht. Denn Hacker aus Russland sind ja beileibe nicht die einzigen, die es auf Geld und Wissen aus westlichen Unternehmen oder Informationen aus Behörden abgesehen haben. Gerade beim Diebstahl von sensiblen Firmendaten, Konstruktionsplänen oder anderem Know-how liegt Deutschland voll im Visier der Wirtschaftsspione.
Aus welchen Ländern droht besondere Gefahr?
Unter den international aktiven Hackergruppen, gerade denen mit Staatsbezug, sind solche aus China für Ziele im Westen vermutlich aktuell sogar bedrohlicher als russische. In letzter Zeit waren auch staatlich gesponserte iranische Hackergruppen in Deutschland recht aktiv und versuchten, Informationen von Regierungsbehörden und deutschen Unternehmen zu stehlen. Auch Akteure aus Nordkorea oder Vietnam sind aktiv. In der Sicherheitsszene werden solche Gruppen oft auch als APT bezeichnet, als „Advanced Persistent Threat“, zu Deutsch fortgeschrittene, anhaltende Bedrohung. Wir unterscheiden die einzelnen Akteure dann anhand von Nummern oder Spitznamen.
Wie zum Beispiel?
APT 41 etwa, auch bekannt als Winnti, stammt aus China und hat in der Vergangenheit sehr erfolgreich internationale Konzerne angegriffen, darunter Bayer oder ThyssenKrupp. Die Lazarus-Gruppe aus Nordkorea wiederum ist während der Hochphase der Pandemie aufgefallen, als sie unter anderem mehrfach versucht hat, an Informationen zu westlichen Forschungsprojekten rund um Impfstoffe zu gelangen.
Wie stark steht Deutschland da im Vergleich zu anderen Industrienationen im Fokus?
Auf der Rangliste der von Erpressergruppen meistattackierten Länder weltweit steht Deutschland weit oben, nur noch übertroffen von den USA und Großbritannien. Insofern ist das Risiko, Opfer eines Hackerangriffs zu werden für Firmen in Deutschland überproportional groß. Und es gibt eine Gruppe von Unternehmen, die dabei besonders gefährdet sind.
Das wäre?
Der deutsche Mittelstand. Die Firmen sind zwar nicht so finanziell verlockend, wie die Großkonzerne, bei denen die Hacker in der Regel allein aufgrund der Finanzkraft, höhere Summen erpressen können. Aber dafür sind sie zumeist für die Angreifer eine sehr viel leichtere Beute. Die haben sehr viel Know-how, das für ausländische Konkurrenten sehr viel wert ist, wenn man es als Hacker stehlen kann. Und sie sind viel schlechter geschützt.
Lesen Sie auch: Der deutsche Mittelstand gerät immer stärker ins Visier der boomenden Hackerszene. Ein Grund dafür ist die Industrialisierung des Cyberangriffs.
