Ein Jahr Ukraine-Krieg: Kritische Infrastrukturen im Fadenkreuz

Ein Jahr nach dem Überfall auf die Ukraine zeigt sich, dass auch im Cyberspace der Krieg tobt. Zwar blieben die Auswirkungen hinter den anfangs vermuteten Befürchtungen zurück, vor allem der KRITIS-Sektor sieht sich aber nach wie vor besonderen Bedrohungen ausgesetzt. Das BSI rät zur Wachsamkeit.

Das BSI zieht Bilanz zu Security-Vorfällen im Zusammenhang mit dem Ukraine-Krieg und warnt vor Angriffen auf Kritische Infrastruktur (KRITIS). Anlass dazu gab es schon gleich zu Beginn des russischen Angriffs. 

In Kürze jährt sich der russische Überfall auf die Ukraine zum ersten Mal. Doch schon lange vor dem Ausbruch des Krieges wurde er im Cyberspace vorbereitet, vorab von Cyber-Angriffen eingeleitet. Just wenige Minute nach dem militärischen Angriff auf die Ukraine legte Russland das Satellitennetzwerk KA-Sat lahm. Dieser Angriff sollte die Kommunikation des ukrainischen Militärs ausschalten. Betroffen waren aber auch Internet-Dienste in Deutschland. „Der Spiegel“ meldete dazu: „Am Morgen des russischen Angriffs um fünf Uhr aktivierten bisher unbekannte Angreifer ein fehlerhaftes Update für bestimmte Kunden des Viasat-Dienstes KA-SAT“. Mehr als 3000 Windräder, die über den Satellitenanbieter vernetzt sind, waren dadurch nicht mehr erreichbar.“

Ziel: ausspionieren, stören, zerstören

Cyber-Angriffe durch Nationalstaaten unterscheiden sich grundlegend von typischen Angriffen durch Cyber-Kriminelle mit finanziellen Interessen. Die eigentlichen Akteure sind zwar oftmals dieselben, doch staatliche Aktionen zielen nicht darauf ab, Geld zu erbeuten. Ihr Ziel ist es vielmehr, zu stören, zu zerstören oder zu erkunden. Den verantwortlichen Hacker-Gruppen stehen dafür massive Ressourcen zur Verfügung. Der große Vorteil feindseliger Aktionen im Cyberspace: Sie sind kostengünstiger und erfordern weit weniger personelle Ressourcen als etwa konventionelle Kriegsführung oder Spionage. Außerdem lassen sich problemlos beliebige Distanzen überbrücken – auch über Kontinente hinweg.

Angriffe auf Energiesektor befürchtet

Kurz vor dem Jahrestag des Angriffskrieges warnte das BSI vor Attacken auf den Energiesektor: „Durch die bestehenden Abhängigkeiten von Energieimporten kommt den Branchen Strom, Gas und Mineralöl aktuell eine außergewöhnliche Relevanz zu. Der Sektor Energie stellt somit aktuell ein besonders attraktives Angriffsziel für Cyber-Attacken dar.“ Anlass für die aktualisierte „Cyber-Sicherheitslage im Zusammenhang mit dem russischen Angriff auf die Ukraine“ des BSI ist wahrscheinlich die Zusage für Panzerlieferungen an die Ukraine.

Denn kurz zuvor hatte das Bundesamt massive DDoS-Angriffe auf deutsche Einrichtungen festgestellt. Ziele der DDoS-Kampagne waren laut BSI Webpräsenzen von Flughäfen, Finanzsektor sowie Bundes- und Landesverwaltung. „In der Folge waren einige Websites der angegriffenen Unternehmen zeitweise nicht erreichbar.“ Glücklicherweise: „Hinweise auf direkte Auswirkungen auf die jeweilige Dienstleistung liegen dem BSI nicht vor und sind nach Einschätzung des BSI bei Ergreifen üblicher Schutzmaßnahmen gegen DDoS-Angriffe auch nicht zu erwarten.“ Das BSI sieht erneut Killnet als Verursacher: „Die Angriffe waren von der russischen Hackergruppierung Killnet angekündigt worden.“

Killnet zählt zu den den Hauptakteuren des Cyberwar, zu denen Experten auch die russischen Gruppierungen Sandworm and SaintBear aka UNC2589 zählen. Immer wieder tauchen aber auch Akteure auf, die jedem dienen, der sie bezahlt, die also praktisch Cyber-Söldner sind.

DDoS-Schutz bleibt essenziell

Es fehlte zwar nicht an spektakulären Aktionen beider Seiten, zuletzt wurde eine Zoom-Konferenz russischer Delegierter gehackt und die ukrainische Hymne abgespielt. Die daraufhin verdutzt schauenden Delegierten bemühen sich hektisch, ihre Kameras auszuschalten. Doch die von Experten befürchteten Auswirkungen des Cyberwar blieben weitestgehend aus. Eine der Hauptangriffsformen bleiben DDoS-Attacken, die schon kurz nach dem Überfall auf die Ukraine massiv zunahmen. „Schon seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international“, schreibt das Amt in seiner Mitteilung. Diese Angriffe zielen auf eine Überlastung der Server beim Angegriffenen ab und sind einfach zu realisieren. Sie können für wenig Geld im Darknet beauftragt werden. Inzwischen sind sie aber auch ebenso einfach abzuwehren, wenn rechtzeitig vorher entsprechende Vorkehrungen getroffen wurden. Zumeist wird dazu der Internet-Traffic beim Provider oder bei speziellen Dienstleistern über ein sogenanntes Scrubbing Center geleitet, wo die regulären Datenpakete vom Angriffsvolumen getrennt werden und nur Erstere an den angegriffenen Kunden weitergeleitet werden. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

„Daneben ist es seit Beginn des Angriffs Russlands auf die Ukraine in Deutschland zu einzelnen, in diesem Zusammenhang stehenden Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten“, teilt das BSI außerdem mit. Und weiter: „Dabei handelte es sich unter anderem um Kollateralschäden aus Cyber-Aktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen“. In der Summe blieben die Auswirkungen des Cyberwars bisher also weit hinter den erwarteten Auswirkungen zurück. Das dürfte nicht zuletzt auf gestiegene Schutzmaßnahmen in den letzten Jahren zurückzuführen sein. Cybercrime und IT-Security sind verstärkt in das Bewusstsein der Öffentlichkeit und der IT-Verantwortlichen gerückt. Doch das BSI warnt: „Die Sicherheitslage bleibt weiterhin dynamisch und kann sich jederzeit ändern. Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur - demnach Anlagen zur Versorgung der Allgemeinheit - potenzielles Ziel von Angriffen sein können.“

Autor: Uwe Sievers