Fünf Dinge, die Sie über den Cyberkrieg in der Ukraine wissen müssen

Einstein sagte einmal, er wisse nicht, mit welchen Waffen der nächsten Weltkrieg ausgetragen wird, aber er befürchte, dass der Krieg danach mit Stöcken und Steinen geführt wird. Eine neuer Weltkrieg ist angesichts des aktuellen Konflikts zwar höchst unwahrscheinlich, aber es kommen High-Tech-Waffen zum Einsatz, die Schießpulver gegen Code eingetauscht haben.

Als die ersten russischen Truppen in die Ukraine einmarschierten, rechneten Cybersecurity-Experten in aller Welt mit dem Schlimmsten – denn einige der größten Cyberbanden der Welt stehen in Verdacht, enge Beziehungen zur russischen Regierung zu unterhalten und vom Gebiet der ehemaligen Sowjetunion aus zu operieren, wo Hackern ideale Rahmenbedingungen geboten werden.

Die Befürchtungen wurden bestätigt, als die Ransomware-Gruppe Conti ihre Unterstützung für Russland öffentlich machte. Etliche ukrainische Banken und öffentliche Einrichtungen gerieten ins Visier von DDoS-Angriffen und datenlöschender Malware, doch Vergeltungsangriffe auf westliche Institutionen und Unternehmen blieben die Ausnahme. Bisher zumindest.

Lässt sich daraus schließen, dass die meisten Unternehmen die Gefahr richtig eingeschätzt und ihre Sicherheitsmaßnahmen verstärkt haben, oder ist es nur die Ruhe vor dem Sturm?

Was wir bisher wissen:

1.     Im Moment ist die Ukraine das Hauptziel

Die meisten der bisherigen Cyberangriffe richteten sich ausschließlich gegen ukrainische Organisationen. Dabei gab es mindestens drei Angriffswellen:

• Am 14. Januar wurden 70 Regierungswebsites sabotiert und vom Netz genommen, darunter die des Außenministeriums und des Sicherheits- und Verteidigungsrats. Berichten zufolge konnten jedoch keine Daten erbeutet werden und die Websites waren nur wenige Stunden nicht erreichbar. Fast zur gleichen Zeit meldete das Microsoft Threat Intelligence Center (MSTIC) aktive Malware, bekannt als WhisperGate, die zwar den Anschein von Ransomware erweckt, aber keine Möglichkeit zur Wiederherstellung von Daten umfasste. Daraus lässt sich schließen, dass das eigentliche Ziel die Zerstörung von Daten war.
• Am 15. Februar wurden die beiden größten ukrainischen Banken durch einen massiven DDoS-Angriff (Distributed Denial of Service) vom Netz genommen. Betroffen waren auch mobile Apps und Geldautomaten.
• Am 23. Februar legte ein erneuter DDoS-Angriff Militär- und Regierungsseiten lahm, gleichzeitig wurde auf Hunderten von Computern verschiedener ukrainischer Organisationen ein Datenlöscher mit den Namen HermeticWiper entdeckt. Zur gleichen Zeit entdeckte das MSTIC einen Trojaner namens FoxBlade, der die Computer seiner Opfer unbemerkt zur Waffe im Rahmen von DDoS-Angriffen machen kann.

Trotz der Tatsache, dass sich diese Angriffe bisher nur gegen Infrastrukturen in der Ukraine richten, gibt es natürlich keine Garantie dafür, dass Schadprogramme wie WhisperGate, HermeticWiper oder FoxBlade nicht auch ihren Weg auf Computer in anderen Ländern finden werden. Und da sich immer mehr Länder den Sanktionen gegen Russland anschließen, könnten sich die von Russland unterstützten Hacker neue Ziele suchen und Vergeltung üben.

2.     Die Ukraine schlägt zurück

Die vom Kreml unterstützten Hacker konnten anfangs zwar den Überraschungsmoment für sich nutzen, doch der Cyberkrieg verläuft keineswegs einseitig. Ganz im Gegenteil. Nach dem ersten Schock mobilisierte die ukrainische Regierung eine freiwillige IT-Armee, die schnell Vergeltung übte: Das Hackerkollektiv Anonymous legte das interne Netz der belarussischen Eisenbahn und fast 300 Websites von russischen Unternehmen lahm. Contis interne Nachrichten und Quellcode wurden geleakt, die Kreml-Website wurde gehackt, das russische Nuklearinstitut und die russische Raumfahrtbehörde hatten mit Datenlecks zu kämpfen und russische Fernsehsender wurden gehackt, um echtes Filmmaterial aus der Ukraine zu zeigen.

3.     Nicht nur Unternehmen sind betroffen

Die meisten Menschen gehen immer noch davon aus, dass staatliche Akteure nur gegen Unternehmen und öffentliche Einrichtungen vorgehen. Leider entspricht das nicht ganz der Wahrheit. Es geraten immer wieder auch Einzelpersonen ins Visier. Ende Februar warnte das ukrainische Computer Emergency Response Team vor einer groß angelegten Phishing-Kampagne, die sich gezielt gegen Militärpersonal richtet. Noch besorgniserregender waren Malware-Angriffegegen Vertreter der EU in dem offensichtlichen Versuch, die Flüchtlingshilfe für Menschen aus der Ukraine zu stören.

Auf der Suche nach nachrichtendienstlichen Informationen, beim Diebstahl von Zugangsdaten oder bei der Behinderung von humanitärer Hilfe machen staatlichen Akteure auch vor normalen Bürgern nicht halt. Auch wenn Sie selbst nicht direkt von der aktuellen Situation betroffen sind, sollten Sie Ihre Geräte immer vor Malware schützen, sie immer auf dem neuesten Stand halten, sichere Passwörter vergeben und vor Betrugsversuchen und Phishing-E-Mails auf der Hut sein.

4.     Auch Dritte nutzen die Situation aus

Die Sicherheitsforscher der Bitdefender Labs haben eine Welle betrügerischer und bösartiger E-Mails registriert, die die humanitäre Krise und die damit einhergehende Hilfsbereitsschaft von Menschen in aller Welt ausnutzen. Der Krieg in der Ukraine ist eine Goldgrube für Betrüger und kriminelle Gruppen, die nicht zwangsläufig politische Ziele verfolgen, sich aber gerne bereichern. Dafür verschicken sie bevorzugt betrügerische E-Mails, in denen sie um Geldspenden bitten. Sie geben sich als Vertreter der ukrainischen Regierung, der internationalen humanitären Hilfsorganisation Act for Peace, der UNICEF oder des Ukraine Crisis Relief Fund aus und bitten vermehrt auch um Kryptospenden.

5.     Cyberkrieg hat das Potenzial der nächste Kalte Krieg zu werden

Das Ausbleiben von verheerenden Angriffen auf westliche Ziele in der Größenordnung von Colonial Pipeline oder Kaseya bedeutet noch lange nicht, dass keine Gefahr besteht. Selbst nach Ende der militärischen Auseinandersetzung wird der Cyberkrieg vermutlich noch viele Jahre andauern und es gibt nichts, was die Betroffenen, ob Regierungsbehörden, Privatunternehmen oder normale Nutzer dagegen tun könnten.

Ob es uns gefällt oder nicht, Cyberangriffe zu Sabotage- oder Spionagezwecken werden uns auch in absehbarer Zeit weiter begleiten. Dafür gibt es mehrere Gründe: Sie sind billig und effizient, sie können von jedem Ort der Welt aus gestartet werden, sie bringen viel Geld ein, die Beteiligung staatlicher Stellen ist nur schwer zu beweisen und vor allem ist die Zahl der möglichen Ziele praktisch unbegrenzt.

Weitere Tipps finden Sie in unserem Leitfaden zur Cybersicherheit in Kriegsgebieten.

Als Reaktion auf die militärische Krise und die Zunahme an cyberkriminellen Aktivitäten bieten Bitdefender und das rumänische Nationale Direktorat für Cybersicherheit während dieser Zeit allen ukrainischen Bürgern, Unternehmen und Institutionen kostenlose Cybersicherheitstechnologiean, und zwar so lange wie nötig.