So wird unsere KRITIS-Infrastruktur angegriffen

Motive, Vorgehensweisen, Bedrohungsszenarien

Hacker greifen die kritische Infrastruktur an

© wilaiwan / stock.adobe.com

Weltweit werden Einrichtungen kritischer Infrastrukturen (KRITIS) angegriffen, und zwar sowohl aus wirtschaftlichen als auch aus politischen Motiven. So hat die Hackergruppe APT44 hat im Frühjahr 2024 in zehn Regionen der Ukraine Unternehmen aus den Bereichen Energie-, Wasser- und Wärmeversorgung attackiert. Dieser Hackergruppe werden enge Verbindungen zum russischen Militärnachrichtendienst GRU nachgesagt. Auch in Deutschland nimmt die Zahl der Angriffe zu, beispielsweise auf Kliniken.

Angriffe aus Profitgier oder politischen Motiven

Die Hackergruppen haben entweder rein finanzielle Interessen oder sie werden staatlich gesteuert. Angaben des European Repository of Cyber Incidents (EuRepoC) zufolge war China zwischen den Jahren 2005 und 2023 das Land, das mit 240 Angriffen für die meisten Cyberangriffe weltweit verantwortlich war. An zweiter Stelle steht Russland mit 158 Attacken. Zu den Zielen der Angriffe aus China gehören zum einen staatliche Institutionen, zum anderen aber auch Firmen und Universitäten. Dabei geht es um Technologie- oder Wirtschaftsspionage. Aber auch Dissidenten oder Bürger aus Tibet werden ausspioniert. Seit 2022 bildet China seine Cyberarmee sogar auf einem eigenen Campus aus: Im 40 Quadratkilometer großen Nationalen Cybersecurity Center im zentralchinesischen Wuhan trainieren Pekings Hacker. Chinas Ziel ist es, den Wettlauf mit dem Westen um die technologische Vorherrschaft zu gewinnen. Die Attacken aus Russland gelten vor allem der Ukraine und den Staaten, die die Ukraine gegen den Angriff Russlands unterstützen. Durch die Cyberangriffe auf die kritische Infrastruktur in Deutschland soll ein Klima der Verunsicherung geschaffen werden, das zu einem Regierungswechsel führen soll, der russlandfreundliche Kräfte an die Macht bringt.

Für seine Cyberarmee hat China einen eigenen Campus

© DesignzByLA / stock.adobe.com

Wie greifen die Täter konkret an?

Meist erfolgen solche Angriffe niedrigschwellig: Viele setzen auf „Social Engineering“ und schicken E-Mails mit angehängten Schadprogrammen an Beschäftigte oder bringen diese dazu, über Links in den Mails manipulierte Webseiten anzusteuern. Hier werden dann Zugangsdaten abgegriffen (Phishing) oder der Download von Schadprogrammen gestartet. Außerdem gibt es in der Standardsoftware, die weltweit von vielen Unternehmen genutzt wird, immer wieder Sicherheitslücken. Wenn diese nicht zeitnah geschlossen werden, können die Angreifer auch auf diesem Weg ins IT-System einer Einrichtung gelangen und dort einen eigenen Programmcode installieren, der ihnen eine vollständige Kontrolle über das IT-System erlaubt. Manche Unternehmen erhoffen sich ein höhere Ausfallsicherheit ihrer IT-Systeme, indem sie diese an externe professionelle Dienstleister übertragen. Doch auch das bietet keinen absoluten Schutz. So konnten Angreifer beispielsweise im Mai 2024 die Webseiten der Landesregierung und der Polizei von Mecklenburg-Vorpommern über eine DDos-Attacke kurzzeitig lahmlegen. Bei DDos-Attacken wird eine Website mit massenhaften Anfragen bombardiert, bis die Server überlastet sind. Die betroffenen Websites werden bei einem professionellen externen IT-Dienstleister gehostet. Eine weitere häufige Form von Attacken sind sogenannte Ransomware-Angriffe: Hier werden Daten verschlüsselt und alle Zugänge gesperrt, um Lösegeld zu erpressen. Hinter solchen Angriffen steckt zum Beispiel die Software LockBit einer russischsprachigen Hackergruppe mit gleichem Namen. Diese Gruppe ist seit 2019 aktiv und bietet anderen Cyberkriminellen ihre Schadsoftware als fertigen Werkzeugkasten an, um Ransomware-Angriffe durchzuführen. Die IT-Fachleute nennen das Ransomware-as-a-Service (RaaS). Die Lösegeldzahlungen werden dann zwischen dem LockBit-Entwicklerteam und den Kriminellen, die den Angriff durchführen, aufgeteilt. Im Mai 2024 gelang es dem BKA, die sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot abzuschalten, die als sogenannte „Dropper“ mit mindestens 15 Ransomware-Gruppierungen in Verbindung standen. Dropper sind Schadsoftware-Varianten, die zur Erstinfektion genutzt werden und Cyberkriminellen als Türöffner dienen, um unbemerkt fremde IT-Systeme zu infizieren und dann weitere Schadsoftware nachzuladen.

Geheimdienste organisieren die Hackerangriffe

© Andreas / stock.adobe.com

Wie sollte man sich auf den Störungsfall vorbereiten?

Das IT-Sicherheitsgesetz 2.0 fordert technische Werkzeuge und unterstützende Prozesse, die Bedrohungen kontinuierlich im laufenden Betrieb erkennen und vermeiden. Dazu müssen Einrichtungen ein Information Security Management System ISMS einrichten, ein Management-System für Informationssicherheit. Dieses System beschreibt und verankert Verantwortungen und Prozesse für das Management von Cybersecurity.

Mithilfe von regelmäßigen Sicherheitstests (Penetrationstests) können KRITIS-Betreiber Angriffe auf ihre Anlagen simulieren. So können sie Schwachstellen aufdecken und sich besser auf die Abwehr von Angriffen vorbereiten. Diese präventiven Maßnahmen werden in der Regel mithilfe externer Cybersecurity-Dienstleister erarbeitet. Sie kommen auch zum Einsatz, wenn trotz aller Vorsichtsmaßnahmen ein Störfall eintritt. Sie schicken dann Notfall-Teams in die betroffenen Unternehmen. Relevante Störfälle müssen dem BSI gemeldet werden. Um die Detektion der Angriffe zu verbessern, sollten auch die Zentralen Ansprechstellen Cybercrime (ZAC) bei den Landeskriminalämtern von diesen Störfällen erfahren.

WL (19.07.2024)