FAQ
: Wie sind wir vor Cyberangriffen geschützt?
von Oliver Klein und Jan Schneider
03.05.2024 | 19:45 Uhr
Anfang 2023 waren E-Mail-Konten der SPD Ziel einer Cyber-Attacke. Die Bundesregierung macht staatliche russische Hacker dafür verantwortlich – und bestellt einen Diplomaten ein.
03.05.2024 | 02:53 minBundesaußenministerin Annalena Baerbock (Grüne) wurde deutlich: "Staatliche russische Hacker haben Deutschland im Cyberraum angegriffen. Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben." Einmal mehr ist Deutschland Opfer eines Hackerangriffs geworden. Diesmal traf es die SPD, Email-Postfächer des Parteivorstandes wurden gehackt. Der Fall passierte bereits im vergangenen Jahr, heute wurde bekannt, dass wohl Russland dahintersteckt. Auch wenn Moskau das bereits offiziell dementiert hat.
Was wissen wir zu dem Fall? Wer steckt hinter der russischen Hackergruppe und wie kamen die Ermittler ihr auf die Spur? Und wie schützt sich Deutschland vor solchen Attacken? ZDFheute beantwortet die wichtigsten Fragen.
Was ist zum aktuellen Angriff auf die SPD bekannt?
Die Bundesregierung macht eine Einheit des russischen Militärgeheimdienstes GRU für den Cyberangriff verantwortlich, genauer gesagt, die Gruppe APT28. Die Attacke war durch eine bis dahin noch unbekannte Sicherheitslücke beim Softwarekonzern Microsoft möglich geworden, hieß es von der SPD - und: "Es ist nicht auszuschließen, dass es zu einem Abfluss von Daten aus vereinzelten E-Mail-Postfächern kam."
Innenministerin Faeser hat heute ein neues IT-Lagezentrum in Bonn eröffnet. Es soll kritische Infrastruktur besser vor Cyberattacken schützen. Spezialisten behalten die Sicherheitslage hier rund um die Uhr im Blick.
06.02.2024 | 01:47 minDer Angriff war nach ZDF-Informationen Teil einer Kampagne gegen strategisch entscheidende politische und wirtschaftliche Stellen weltweit, die sich gegen Regierungsstellen, aber auch gegen Unternehmen für Energieversorgung, Logistik, IT-Service, Rüstung, Luft- und Raumfahrt in vielen europäischen Staaten richtete. Fokus der Kampagne war offenbar herauszufinden, wie sich führende westliche Akteure gegenüber dem russischen Angriffskrieg gegen die Ukraine positionieren.
Welche Konsequenzen hat die Attacke?
Das Auswärtige Amt hat mittlerweile den russischen Geschäftsträger einbestellt. Dieser habe bei dem Treffen die "Anschuldigungen einer Beteiligung staatlicher russischer Strukturen in der fraglichen Angelegenheit" zurückgewiesen, erklärte die russische Vertretung in Deutschland im Onlinedienst Telegram. Welche weiteren Konsequenzen der Fall hat, ist noch unklar. In ähnlichen Fällen hat es früher schon Sanktionen der Europäischen Union gegen Einzelpersonen oder Einrichtungen gegeben. Denkbar sind auch Reiseverbote oder das Einfrieren von Vermögenswerten.
Tausende interne Unterlagen des russischen IT-Unternehmens NTC Vulkan geben erstmals einen Einblick in Putins digitale Cyberkriegspläne.
11.04.2023 | 28:06 minWelche großen Angriffe gab es zuvor?
Die Gruppierung APT28 ist nach Angaben des deutschen Verfassungsschutzes seit mindestens 2004 weltweit vor allem im Bereich Cyberspionage aktiv. Sie habe in der Vergangenheit auch Desinformations- und Propagandakampagnen im Cyberraum geführt und zähle "zu den aktivsten und gefährlichsten Cyberakteuren weltweit". Das Bundesamt für Verfassungsschutz rechnet APT28 eindeutig dem Militärnachrichtendienst Russlands (GRU) zu.
Die Gruppe, die auch unter dem Namen "Fancy Bear" firmiert, wurde 2015 schon für eine große Cyberattacke auf den Bundestag verantwortlich gemacht und später in den USA für eine Attacke auf die Demokratische Partei vor der Präsidentschaftswahl 2017. Im selben Jahr gab es einen größeren Datendiebstahl bei der Präsidentschaftskampagne von Emmanuel Macron.
Wie kann man die Angriffe bestimmten Gruppen zuordnen?
Bei der digitalen Forensik- und Ermittlungsarbeit gehen die Ermittler ähnlich vor wie bei der Aufklärung anderer Straftaten. Es werden Spuren gesucht und gesichert, Muster analysiert und so die unterschiedlichen Puzzleteile einer Tat zusammengeführt. Das können Worte einer ausländischen Sprache im Quellcode der Schadsoftware sein oder die Tastatureinstellung der Angreifer. Auch der Zeitpunkt der Angriffe kann Rückschlüsse auf die Angreifer möglich machen.
Das Problem dabei: Gerade Geheimdienste - zum Beispiel die CIA - haben extra Programme, die ihre Aktionen aussehen lassen, als seien sie von anderen Tätern verübt worden, womit die eindeutige Zuordnung erschwert wird. Und auch die Beweisführung birgt ein Problem: Würde das Auswärtige Amt veröffentlichen, was es über die Angreifer weiß, wissen diese, wie und warum sie aufgeflogen sind. Solange das Amt aber keine Beweise veröffentlicht, bleiben immer Restzweifel, ob wirklich die besagte Gruppe hinter der Attacke steckt.
Seit Beginn des russischen Angriffskrieges sei auch Deutschland ein Hauptziel russischer Militärspionage, sagt Geheimdienstexperte Gerhard Conrad.
18.04.2024 | 08:32 minWelche großen Hackergruppen sind bekannt?
Ermittlungsbehörden und Cybersicherheitsfirmen sind zahlreiche Hackergruppen bekannt. Teilweise hat eine einzige Gruppe dazu noch viele verschiedene Spitznamen: Eine Gruppe, die Microsoft "Midnight Blizzard" nennt und die mutßmaßlich für den Kreml arbeitet, ist unter anderem auch als "Cozy Bear", "CozyCar", "CozyDuke", "The Dukes" oder "Office Monkeys" bekannt.
Unter anderem diese Hackergruppen sind auch noch bekannt:
Forest Blizzard ...
... ist ein russischer Geheimdienstakteur. Microsoft glaubt, dass die Operationen von Forest Blizzard eine unterstützende Rolle für Russlands Außenpolitik und militärische Ziele sowohl in der Ukraine als auch in der breiteren internationalen Gemeinschaft spielen. Die Gruppe nutzte ChatGPT-Dienste für Nachforschungen zu Satellitenkommunikationsprotokollen und Radarbildgebungstechnologien sowie zur Unterstützung bei Programmieraufgaben.
Emerald Sleet ...
... ist aus Nordkorea, die Gruppe war laut Microsoft im Jahr 2023 "äußerst aktiv". Die Gruppe nutzte ChatGPT-Dienste, um Experten und Organisationen zu identifizieren, die sich auf Verteidigungsfragen in der asiatisch-pazifischen Region konzentrieren. Es ging auch darum, öffentlich verfügbare Schwachstellen zu verstehen, bei Programmieraufgaben zu helfen und Inhalte zu entwerfen, die in Phishing-Kampagnen verwendet werden könnten.
Crimson Sandstorm ...
... ist aus dem Iran und wird mit den iranischen Revolutionsgarden in Verbindung gebracht. Die Gruppe nutzte ChatGPT-Dienste für Skriptunterstützung im Zusammenhang mit App- und Webentwicklung, um Inhalte zu generieren, die wahrscheinlich für Phishing-Kampagnen verwendet werden sollten. Weiteres Ziel: Gängige Methoden zu erforschen, wie Malware der Erkennung entgehen könnte.
Charcoal Typhoon ...
... ist eine chinesische, staatlich angebundene Hackergruppe, die ChatGPT nutzte, um Unternehmen und Cybersicherheitstools zu erforschen, Fehler in Codes aufzuspüren und Skripte zu generieren. Weiteres Ziel: Inhalte zu erstellen, die wahrscheinlich für den Einsatz in Phishing-Kampagnen bestimmt waren.
Salmon Typhoon ...
... wird ebenfalls mit China in Verbindung gebracht. Die Gruppe hat eine Historie in der Zielausrichtung auf US-amerikanische Verteidigungsunternehmen, Regierungsbehörden und Einrichtungen im Bereich der kryptographischen Technologie. Die Gruppe nutzte ChatGPT-Dienste, um technische Papiere zu übersetzen, öffentlich verfügbare Informationen über mehrere Geheimdienste und regionale Bedrohungsakteure abzurufen, bei der Codierung zu helfen und Methoden zu erforschen, wie Prozesse auf einem System verborgen werden könnten.
Quelle: ZDF/Microsoft
Wie schützen sich deutsche Parteien?
"Das Gesamtbild sieht leider immer noch sehr desolat aus", meint der Cybersicherheits-Experte Manuel Atug auf Anfrage von ZDFheute. Gerade in den deutschen Parteien sei kein wirkliches Bewusstsein für das Thema vorhanden. Keine Partei habe nach seinem Kenntnisstand einen hauptamtlichen IT-Sicherheitsbeauftragten. Deswegen sei es auch nicht überraschend, dass es den aktuellen Hack bei der SPD gegeben hat. Auch die Grünen und die FDP aber auch die CDU waren schon betroffen:
Es gibt zwei Arten von Parteien: Die, die gehackt wurden, und die, die noch nicht wissen, dass sie gehackt wurden.
Das habe verschiedene Ursachen, für die Atug wenig Verständnis hat. So seien Parteien etwa vom Datenschutz ausgenommen, müssen sich also nicht an die DSGVO halten. Auch dürfe das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie nur auf Anfrage beraten und unterstützen. Eine Hilfe, die nach Atugs Wissen selten beansprucht wird. Verpflichtende Cybersicherheitsvorgaben für Parteien gibt es auch anderweitig keine.
In Bayern wurden zwei Männer wegen Spionage festgenommen. Spätestens seit Beginn des russischen Angriffskrieges sei man auf solche Fälle vorbereitet, sagt Innenministerin Faeser.
18.04.2024 | 00:52 minGleichzeitig seien es oft genau die Parteien, die nach weitreichender Überwachungstechnik wie der IP-Vorratsspeicherung und Nutzung von Palantir als Totalüberwachung rufen oder Sicherheitslücken für die deutschen Geheimdienste offen halten wollen. "Der Cyberraum wird im Politischen leider sehr populistisch genutzt, aber es passiert sehr wenig an echter Absicherung", ist Atugs ernüchterndes Fazit auch nach diesem neuen Hackerangriff.
Quelle: Mit Material von dpa