Wie Hacker die Ukraine attackieren

Schon seit Wochen attackieren Hacker gezielt Systeme in der Ukraine: Erst von der Regierung, dann auch die kritische Infrastruktur des Landes. Solche Angriffe müssen keineswegs auf die Ukraine beschränkt bleiben.

Schon Tage vor der Invasion haben russische Hacker Server und digitale Infrastruktur in der Ukraine angegriffen. Jetzt noch intensiver: Sie unterstützen die militärischen Aktionen. Doch die Hacks beschränken sich nicht auf die Ukraine – sie könnten auch den Westen treffen.

Schon seit Wochen greifen Hacker Ziele in der Ukraine an. So wurden noch im Januar Webseiten der ukrainischen Regierung gekapert – etwa des Außenministeriums und Dutzende anderer Behörden und Ministerien. Hacker hatten in einer Nachtaktion die Inhalte der Webseiten ausgetauscht („Defacement“) und dort eine Drohbotschaft in Russisch, Ukrainisch und Polnisch hinterlassen: „Fürchtet Euch!“.

Defacement: Eine Botschaft in Russische, Ukrainische und Polnisch hinterlassen

Defacement: Eine Botschaft in Russische, Ukrainische und Polnisch hinterlassen

Noch wenige Tage vor der Invasion haben Hacker zwei große Banken des Landes manipuliert und damit den Zahlungsverkehr gestört. Aber auch das Notfallsystem des Landes war Ziel von Hackattacken – stundenlang konnten keine Krankenwagen mehr koordiniert werden. Solche Angriffe können Menschenleben fordern.

Hacker platzieren gezielt Schad-Software („Wiper“)

Seit Mittwoch wird ist die kritische Infrastruktur der Ukraine Ziel der Angriffe: Die Internetangebote von Parlament, Regierung, Außenministerium wurden lahmgelegt. Gleichzeitig schickten die Hacker sogenannte „Wiper“ los: Eine besonders destruktive Schad-Software, die ferngesteuert Festplatten formatiert und Daten löscht. Auf Hunderten von Rechnern.

Der Verdacht liegt nahe, dass hier russische Hacker aktiv waren und sind. „Beweisen lässt sich das nur, wenn man aufwändige Untersuchungen macht“, sagt Manual Atug. Der Experte für IT-Sicherheit ist Mitglied des Chaos Computer Club und berät Firmen und Behörden in Sachen IT-Sicherheit. Auch er geht davon aus, dass es sich hier um Hacker handelt, die von der russischen Regierung bezahlt werden. Denn es lasse sich ein „Muster erkennen, das wir immer wieder sehen“.

Wiper löschen komplette Festplatten

Schad-Software: Wiper löschen komplette Festplatten

Cyber-Angriffe sollen Vertrauen der Bevölkerung erschüttern

Schon im Krieg gegen Georgien hat Russland eine ähnliche Taktik angewandt. Hybride Kriegsführung, wird das genannt: Konventionelle militärische Macht gepaart mit destruktiven Angriffen über das Netz. Die Hackergruppen platzieren Schad-Software, um Daten zu löschen und Systeme zu blockieren. Sie greifen Server mit „Denial-of-Service-Attacken“ (DDoS) an, um sie zu überlasten und sabotieren kritische Infrastruktur. Die Hacker machen auch nicht halt vor Strom- und Wasserversorgung.

Die Angriffe auf die digitale Infrastruktur sollen vor allem das Vertrauen der Bevölkerung untergraben. Nahezu täglich melden ukrainische Regierungsstellen wie die Behörde für Sonderkommunikation und Informationsschutz (SSSCIP) Hack-Angriffe vermeintlich russischer Hacker. Natürlich verunsichert das die Bevölkerung.

Experten überzeugt: Angriffe kommen aus Russland

Nicht nur die ukrainische Regierung, sondern auch Experten aus dem Ausland sind überzeugt, dass die Angriffe Teil der Invasion und von Russland choreografiert sind. Sicherheits-Teams von Cisco Talos, Sophos, Palo Alto Networks und Microsoft, sowie aber auch westliche Geheimdienste haben keinen Zweifel, dass bekannte russische Hackergruppen wie „Turla“ alias „Snake“, „APT28“, „Darkhalo“ und andere aktiv waren und sind.

Die Cyber-Angriffe terrorisieren aber keineswegs nur die Ukraine, sondern auch den Westen. Denn zum einen müssen sich Politik und Wirtschaft immer wieder fragen, welche Angriffe nun wirklich von Russland ausgegangen sind. Der Westen muss aber auch befürchten, ebenfalls Ziel solcher Angriffe zu werden – etwa als Antwort auf angekündigte Sanktionen. Auch wir im Westen werden uns künftig fragen, wenn wieder mal die Notrufnummer 110 ausfällt – wie erst kürzlich –, ob es sich um eine technische Panne oder die Folgen eines Hackangriffs handelt.

Der Westen muss sich besser schützen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz warnen aktuell jedenfalls vor einer „erhöhten Gefahrenlage“. Auch unsere kritische Infrastruktur ist aus Sicht der Behörden in Gefahr. Sicherheitsexperten sollen wachsamer sein als sonst ohnehin schon.

Hier sieht Sicherheitsexperte Manuel Atug das größte Problem: „Wir brauchen unbedingt mehr Resilienz bei Cyber-Angriffen“, sagt Atug. Das bedeute nicht nur besseren Schutz durch Hard- und Software, sondern vor allem deutlich mehr Kompetenz in Unternehmen, Behörden und bei Administratoren – aber auch in der Politik und unter Entscheidern. Denn die möglichen Risiken, die mit Hack-Angriffen einhergehen, werden bei uns immer noch deutlich unterschätzt.