www.belgium.be Logo of the federal government
cybersecurity

Das russische Regime zögert nicht, den Krieg auch online zu führen. Müssen wir uns Sorgen machen?

Obwohl es derzeit keine objektiven Anhaltspunkte für eine konkrete Cyberbedrohung gegen Belgien oder ein anderes Land der Europäischen Union gibt, wächst das Unbehagen in allen Sektoren und auch bei den Menschen auf der Straße. Die Menschen stellen zu Recht viele Fragen, und es kursieren beunruhigende Gerüchte. Man fragt sich, ob dies nun der Beginn eines Cyberkrieges ist und ob wir zum Beispiel Bargeld abheben sollten, weil die Bankautomaten bald gehackt werden. Natürlich hat das Zentrum für Cybersicherheit (ZCB) alle Kräfte mobilisiert, aber in unseren Diensten herrscht keine Panik. Wir beobachten die Situation sehr genau und stehen in Kontakt mit einem starken internationalen Netzwerk von Cybersecurity-Experten.

Ist dies der Beginn eines Cyberkriegs?

Bei den jüngsten Konflikten zwischen Staaten fällt auf, dass einem physischen Angriff zunehmend Cyberangriffe vorausgehen, die sogenannte hybride Kriegsführung. Damit soll die Gegenpartei unter anderem taub und blind gemacht werden, indem zum Beispiel Kommunikations- oder Radarsysteme ausgeschaltet werden. Man versucht auch, kritische Infrastrukturen durch einen Cyberangriff zu zerstören, um den Gegner zu schwächen. Wir stellen auch fest, dass weniger schädliche Angriffe als Ablenkungsmanöver durchgeführt werden.

Unser CyTRIS-Team (Cyber Threat Research and Intelligence Sharing) beobachtet die Situation täglich und hat einen Überblick über die bisher in dem Konflikt beobachteten Cyberangriffe zusammengestellt. Es ist immer schwierig, den Urheber eines Cyberangriffs zu identifizieren, weil es in der digitalen Welt schlicht einfacher ist, sich zu verstecken. Aber in diesen Fällen können wir aus geopolitischer Sicht davon ausgehen, dass eine Verbindung zum russischen Regime besteht.

Welche Cyberaktivitäten wurden in der Ukraine gemeldet?

DDoS-Angriffe richteten sich gegen die ukrainische Regierung, das Militär, den Finanzsektor und die Kommunikationsbranche. Ein DDoS-Angriff führt zu einer Überlastung des Netzes, wodurch es vorübergehend außer Betrieb gesetzt wird. In der Regel verursacht ein DDoS-Angriff keine dauerhaften Schäden, kann aber die Aufmerksamkeit von einem anderen Angriff ablenken.

Es gibt auch Hinweise darauf, dass Wiper-Malware eingesetzt wurde. Dabei handelt es sich um eine Art Computervirus, das in die Systeme der Benutzer eindringt und dort Daten löschen kann. Das Sicherheitsunternehmen ESET behauptet, dass Hunderte von Computern in der Ukraine auf diese Weise unbrauchbar gemacht worden sind.

Ein anderes Sicherheitsunternehmen, Palo Alto, entdeckte, dass eine Backdoor-Malware namens SockDetour unter anderem für Spionagezwecke gegen US-Rüstungsunternehmen eingesetzt wurde. Backdoor-Malware ist ein Computervirus, das, wie der Name schon sagt, eine Hintertür im System hinterlässt, durch die Daten abgefangen werden können.

Auch Website Defacement und Supply-Chain-Angriffe wurden festgestellt. Website Defacement sind Angriffe, bei denen Hacker sich Zugriff auf Websites verschaffen und den Inhalt durch ihre eigenen Nachrichten ersetzen. Bei einem Supply-Chain-Angriff dringt der Angreifer über eine Schwachstelle in einer vom Opfer verwendeten Software in das Netzwerk seines Gegners ein.

Und schließlich wurden auch mehrere Falschmeldungen verbreitet. Desinformationskampagnen dienen unter anderem dazu, einen Angriff zu rechtfertigen.

Amerikanische und britische Cyberagenturen meldeten diese Woche eine neue Bedrohung: ein Virus namens Cyclops Blink, das von der mit Russland verbundenen Sandworm-Gruppe stammt. Siehe Empfehlung CERT.be. Nachdem die Ransomware-Gruppe CONTI ihre Dienste offen dem russischen Regime angeboten hat, lohnt es sich bei Ransomware-Angriffen dieser Art nun auch, einen Blick Richtung Russland zu werfen.

Die Informationen aus diesen Angriffen werden in den Netzwerken von Cybersicherheitsexperten, wie dem EU CSIRT, eifrig ausgetauscht. Das ZCB ist Teil dieser Netzwerke und erhält daher schnell wichtige Warnmeldungen, die wir wiederum weitergeben können.

Können auch belgische Sektoren angegriffen werden und welche Sektoren sind besonders anfällig?

Alle diese Angriffe wurden in der Ukraine und nicht in anderen EU-Ländern entdeckt. Derzeit gibt es keine Anzeichen dafür, dass einer der belgischen Sektoren gefährdet wäre. Das heißt aber nicht, dass wir unantastbar sind. Ein Cyberangriff, der bis nach Belgien zu spüren ist, kann nie ganz ausgeschlossen werden. In der Vergangenheit gab es digitale Angriffe, deren Auswirkungen bis nach Belgien reichten, man denke nur an NotPetya im Jahr 2017. Der Angriff begann in einer ukrainischen Regierungsabteilung, breitete sich aber schnell auf die Geschäftswelt aus und war sogar im Hafen von Rotterdam und bei einigen belgischen Unternehmen zu spüren. Nach der Verhängung von Sanktionen gegen das russische Regime fragen sich viele, ob Russland mit einem Cyberangriff unter anderem auf belgische Einrichtungen reagieren wird. Bestimmte kriminelle Organisationen unterstützen das russische Regime ganz offen und bieten ihre Hilfe an. Sie drohen mit Anschlägen in Ländern, die versuchen, Russland zu treffen. Auch dafür haben wir derzeit keine konkreten Hinweise. Diese Bedrohung wird jedoch ständig evaluiert, und erforderlichenfalls werden zusätzliche Maßnahmen ergriffen.

Sind wir einem Cyberangriff schutzlos ausgeliefert?

Auf keinen Fall. Cyberexperten und Sicherheitsfirmen betonen immer wieder, dass grundlegende Sicherheitsmaßnahmen einen großen Unterschied machen können: Erkennen von Phishing, Verwendung sicherer Passwörter und Zwei-Faktor-Authentifizierung (2FA) und vor allem rechtzeitiges Patchen und Aktualisieren von Systemen.

Die beste Sicherheit für Organisationen und Unternehmen, nicht nur heute, sondern das ganze Jahr über, ist die Verstärkung der Cybersicherheitsvorkehrungen. Dabei spielen die grundlegenden Sicherheitsmaßnahmen eine wichtige Rolle. Wir empfehlen Unternehmen und Organisationen, einen (Cyber-)Notfallplan zu entwickeln, zu aktualisieren und regelmäßig zu testen. Es ist wichtig, dass jeder Mitarbeiter weiß, welche Aufgabe er im Falle eines Cybervorfalls zu erfüllen hat. Sehen Sie sich unser Webinar über Cyber-Vorfälle an https://www.youtube.com/watch?v=-cHcTidmT1Y.

Sind Gegenreaktionen von Hackern sinnvoll?

Wir hören, dass belgische Hacker angekündigt haben, russische Websites mit DDoS-Angriffen zu bombardieren, und auch die Aktivistengruppe Anonymous kündigt Angriffe auf das russische Regime an. Das wollen wir auf keinen Fall unterstützen. Hacken ist illegal und solche Angriffe sind für das russische Regime wahrscheinlich nur Nadelstiche. Außerdem könnten derartige Angriffe vom russischen Regime als Rechtfertigung für einen weitaus schwerwiegenderen Gegenangriff genutzt werden.

Lasst uns keine Gespenster sehen!

Derzeit ist die Wahrscheinlichkeit von IT-Problemen in unseren Organisationen und Unternehmen aufgrund des sogenannten FUD-Syndroms (Fear, Uncertainty and Doubt – Angst, Unsicherheit und Zweifel) größer als die für einen Angriff des russischen Regimes. Deshalb sollten Sie nicht gleich in Panik verfallen, wenn eine Website ausfällt oder das Unternehmensnetz „langsam“ ist. Es kann sein, dass die IT-Abteilung ein Sicherheitsupdate überstürzt durchführt. Wenn Sie aufgefordert werden, Ihre Passwörter zu ändern, tun Sie dies so schnell wie möglich. Wir möchten Sie außerdem bitten, die Sicherheitshinweise Ihres Arbeitgebers genau zu beachten.

Das ZCB beobachtet die Situation genau und wird, falls erforderlich, über ihre Kanäle sofort konkrete Ratschläge und Anweisungen an die gefährdeten Sektoren weitergeben. Wenn die Bevölkerung auf irgendeine Art und Weise gewarnt werden muss, werden wir alle unsere Kanäle nutzen, um dies zu tun, und auf die Presse zählen, um die Informationen zu verbreiten. Wir verpflichten uns, regelmäßig einen aktuellen Überblick über die Situation zu geben.