Cyberspionage – Gefahr steigt

Weltweite Spionage-Attacken schlagen hohe Wellen

Von in IT-Sicherheit
12
Apr
'21

Was sich nach einem spannenden Thriller aus Hollywood anhört, ist leider längst Realität: Politik, Forschung und Wirtschaft werden verstärkt zur Zielscheibe von Cyberspionage. Sogar Staatshacker begeben sich auf die Jagd nach sensiblen Informationen. 

Wir erklären, welche Gefahren drohen und welche Cyberspionage-Fälle aktuell für Schlagzeilen sorgen.

In einem Meeting ist der Tisch übersät von Laptops und Unterlagen. Hier werden wichtige Strategien und Produkte entwickelt, die für Cyberspionage interessant sein könnten. Bild: Pexels/fauxels

Unternehmensdaten geraten verstärkt in das Visier von Cyberspionage. Bild: Pexels/fauxels

Auf der Jagd nach Informationen

Sie kennen es vielleicht noch aus Ihrer Schul- und Studienzeit: Bei Klassenarbeiten und Prüfungen war es durchaus verführerisch, in einem unbeobachteten Moment auf das Blatt des Sitznachbarn zu spicken, um dessen Wissen als das eigene verkaufen zu können.

Cyberspione – häufig sogar im staatlichen Auftrag – haben dieses vergleichsweise harmlose Spicken in Prüfungen regelrecht zu einer Kunstform erhoben. Sie suchen nationale Geheimnisse, geistiges Eigentum und sensible Informationen und greifen dazu gezielt sowohl öffentliche als auch private Einrichtungen an – sprich: Unternehmen. Die Gründe dafür? Es geht vorrangig um nationale Sicherheit, politische Positionierung und wirtschaftliche Wettbewerbsvorteile.

Ein neues Phänomen ist Cyberspionage dabei nicht. Laut Bundesinnenministerium werden bereits seit 2005 zielgerichtete Cyberangriffe auf Bundesbehörden, Politik und Wirtschaftsunternehmen festgestellt. Die vergangenen Monate lassen allerdings den Eindruck entstehen, dass die Angriffe massiver werden. Bevor wir auf einige konkrete Fälle eingehen, die jüngst für Schlagzeilen gesorgt haben, wollen wir klären, was Cyberspionage genau ist und wie sie funktioniert. Und wir wollen wissen, was der deutsche Staat eigentlich gegen Cyberspionageangriffe tut.

Definition: Was ist Cyberspionage?

Cyberspionage bezeichnet zielgerichtete Angriffe auf fremde Computersysteme und -netze, mit denen (geheime) Dokumente und Informationen abgegriffen werden sollen. Dadurch, dass Cyberspione besonders fortschrittliche Techniken anwenden, um ihr Eindringen verschleiern und im Verborgenen agieren zu können, gilt die Cyberspionage als eine der größten Herausforderungen für Sicherheitsbeauftragte.

Internetspione führen ihre Angriffe häufig im Auftrag von staatlichen Nachrichtendiensten aus. Besonders aktiv scheinen dabei Staatshacker aus Russland und China zu sein, aber auch den USA wird in jüngster Zeit immer öfter Cyberspionage unterstellt. Es treten aber auch Fälle von Wirtschaftsspionage durch Wettbewerber – möglicherweise durch das Buchen von Cybercrime-as-a-Service – und andere Angriffe durch nicht staatlich unterstützte kriminelle Gruppen auf.

Wie funktioniert Cyberspionage?

Cyberspione gehen üblicherweise so vorsichtig vor, dass ihre Opfer von dem Spionageangriff gar nichts mitbekommen. Manchmal gelingt ihnen dies allerdings auch nicht und die Vorfälle werden publik. Für Sicherheitsforscher ergibt sich dadurch eine seltene Gelegenheit, denn dann können sie Nachforschungen über den Ablauf des Angriffs anstellen. Also: Was haben die Forscher darüber herausfinden können, wie Cyberspionage funktioniert? Hier die Erkenntnisse:

  • Cyberspionageangriffe scheinen lange geplant zu werden und teilweise Jahre anzudauern.
  • Mit Hilfe von Social Engineering und Phishing oder auch durch das Ausnutzen von Sicherheitslücken und aktives Hacking verschaffen sich die Angreifer unberechtigten Zugang in das System ihres Opfers und installieren dort sogenannte Hintertür-Programme (Backdoor), um darüber immer wieder in das System zu gelangen.
  • Darauf folgt oft eine Analyse des Netzwerks. Die Angreifer bringen dabei in Erfahrung, wie das Netzwerk aufgebaut ist, welche Software-Versionen verwendet werden etc.
  • Es kann unter Umständen Jahre dauern, bis die eigentliche Spionage beginnt, möglicherweise damit erst einmal Gras über das erfolgreiche Eindringen wachsen kann.
  • Irgendwann beginnen die Angreifer dann aber doch, Daten zu sammeln. Sie setzen dafür Datensammel-Instrumente ein, die nach Word-, PowerPoint-, Excel- und Word-Daten fahnden. Über die Backdoor werden die Daten dann an die Server der Angreifer geschickt.
  • In manchen Fällen wird zusätzliche Malware eingeschleust, mit denen die Angreifer weitere Funktionsmöglichkeiten im System des Opfers erhalten – beispielsweise die Möglichkeit, Tastatureingaben auszulesen und abzugreifen.

Wie bereits erwähnt, bekommen die Opfer von all dem meistens gar nichts mit. Und das macht Cyberspionage auch so gefährlich – weder Betroffene noch zukünftige Opfer haben die Möglichkeit, Lehren daraus zu ziehen, Lücken zu schließen und sich künftig besser zu schützen. Hinzu kommt natürlich der Schaden durch den Abfluss des internen Wissens.

Ein Mann steht vor einem Whiteboard mit vielen Informationen. Könnte seine Forschung für Cyberspionage interessant sein?

Auf das Wissen aus Politik und Unternehmen zielt Cyberspionage ab. Bild: Pexels/Startup Stock Photos

Cyberspione verursachen Schäden in Milliardenhöhe

Laut dem IT-Branchenverband BITKOM werden im Bereich der digitalen Wirtschaftsspionage Daten entlang der gesamten Wertschöpfungskette ausspioniert. Das beginnt bei der Produktidee, führt weiter über Forschung, Entwicklung, Beschaffung und Herstellung und reicht bis zur Vermarktung von Produkten. Das Bundesamt für Verfassungsschutz gab schon im Jahr 2015 die Einschätzung ab, dass der deutschen Wirtschaft durch Cyberspionage jährlich mindestens 50 Milliarden Euro Verlust entstehen.

Und was macht der Staat gegen Cyberspionageangriffe? In erster Linie ist es die Aufgabe der Spionageabwehr, nachrichtendienstlich gesteuerte Cyberangriffe zu erkennen, zu analysieren und Maßnahmen einzuleiten, um die potenziellen Opfer für die Gefahr zu sensibilisieren. Dazu ziehen zahlreiche Bundesbehörden an einem Strang, seit 2011 gibt es sogar ein Nationales Cyber-Abwehrzentrum (Cyber-AZ). Und mit der durch das Bundesinnenministerium ins Leben gerufenen „Initiative Wirtschaftsschutz“ sollen besonders kleine und mittelständische Unternehmen vor dem Ausspionieren geschützt werden.

Weltweiter Cyberkrieg?

Gerade bei staatlich motivierter Cyberspionage bleibt es trotz aller Bemühungen aber brandgefährlich. Denn: Für erfolgsversprechende Attacken auf lukrative oder aus anderen Gründen wichtige Ziele werden durchaus hohe finanzielle Mittel bereitgestellt und eingesetzt. Im Internet gibt es einen florierenden Schwarzmarkt für Schwachstellen in Betriebssystemen (Windows, Linux, iOS, etc.) oder Anwendungen (MS Office, Adobe Reader, Adobe Flash, etc.), die käuflich erworben und dann für Cyberspionageattacken ausgenutzt werden können.

Inzwischen ist sogar schon von einem weltweiten digitalen Wirtschaftskrieg die Rede. Sogar die UNO ist in das Thema involviert und hat ein Gremium für Sicherheit im Cyberraum gegründet, nachdem die Fronten zwischen Russland, China und den USA jahrelang verhärtet waren. Das Bemühen, staatliches Hacking international zu regulieren, steckt in einer Sackgasse.

Das Problem ist, dass immer wieder neue Fälle von staatlicher Cyberspionage Öl ins Feuer gießen. Drei dieser Fälle, die unlängst international für Aufruhr gesorgt haben, wollen wir Ihnen nun vorstellen.

1. Fall: Hacker nutzen Exchange-Lücke

Anfang März 2021 haben Nachrichten über Software-Lücken in Microsofts Exchange Server, über den auch der Outlook-E-Mail-Verkehr läuft, gewaltige Wellen geschlagen. Hafnium, eine staatlich unterstützte Hackergruppe aus China, soll laut Microsoft die Schwachstelle entdeckt und ausgenutzt haben.

Anfangs waren vor allem Forschungseinrichtungen in den USA Ziel der Spionageangriffe; kurz vor dem Ausspielen des rettenden Sicherheitspatches durch Microsoft in der Nacht zum 3. März 2021 automatisierten die Hacker ihre Angriffe aber angeblich, um noch so viele Systeme wie möglich befallen zu können. Nach Bekanntwerden der Lücke sprangen dann weitere kriminelle Gruppen auf den Zug auf und machten sie sich zunutze, denn viele Firmen hatten das Patch auch nach Tagen nicht installiert.

Auch Unternehmen in Deutschland waren und sind in Gefahr. Das ganze Ausmaß dieses Cyberangriffs lässt sich immer noch nicht ausmachen, denn es ist ungewiss, in wie vielen Systemen Angreifer eine Backdoor installieren konnten. Immerhin fand die erste Ausnutzung wohl schon am 3. Januar 2021 statt. Der sogenannten Zero-Day-Exploit hat den Hackern also massig Zeit für ihre Spionagetätigkeiten gegeben.

2. Fall: Cyberspione greifen Solar Winds an

Im Dezember 2020 entdeckte die IT-Sicherheitsfirma Fire Eye einen der größten Hackerangriffe in der Geschichte der USA – nachdem sie selbst Opfer dieses Angriffs geworden war. Fire Eye stellte ein Team zusammen, dass rund um die Uhr arbeitete, um Spuren der Hacker ausfindig machen zu können. Nach wenigen Tagen entdeckte das Team die Schadsoftware in einer Datei des Programms Orion.

Das Programm des texanischen Herstellers Solar Winds unterstützt die etwa 300.000 Kunden, darunter viele Ministerien und große Unternehmen, den Überblick über alle Geräte im Netzwerk zu behalten. Die weiteren Recherchen haben ergeben: Mutmaßlich russischen Hackern scheint es gelungen zu sein, einen speziell programmierten Schadcode in ein Orion-Update einzuschmuggeln. Kunden, die das Update heruntergeladen haben, können monatelang ausspioniert worden sein.

Neun amerikanische Behörden und etwa 100 Großunternehmen sollen jedenfalls betroffen gewesen sein. Die Hinweise verdichten sich, dass die amerikanische Regierung bald zum Gegenschlag ausholen wird. Der Cyberkrieg ist hier also in vollem Gang. Und der Exchange-Hack hat das Ganze wohl noch befeuert.

Zu sehen ist Coronavirus-Impfstoff. Angreifer hatten es darauf bei ihrer Cyberspionage abgesehen. Bild: Unsplash/Hakan Nural

Cyberspione hatten es im Dezember 2020 auf Information zu Coronavirus-Impfstoff abgesehen. Bild: Unsplash/Hakan Nural

3. Fall: Hacker erbeuten Impfstoff-Daten

Schon seit Monaten wird vor der Gefahr von Cyberangriffen auf Impfstoffhersteller sowie die Lieferketten von Impfstoff gewarnt – sowohl wegen möglicher Spionage als auch Sabotage. Ob nun Angriffe auf die Hersteller direkt erfolgten oder nicht: Erfolg hatten Hacker jedenfalls im Dezember 2020 bei einer Cyberattacke auf die Europäische Arzneimittelbehörde (EMA).

Die Angreifer konnten dabei Dokumente über den Coronavirus-Impfstoff der Mainzer Firma Biontech und des US-Pharmaunternehmens Pfizer erbeuten. Diese Dokumente hatten die beiden Hersteller mit dem Zulassungsantrag für ihren jeweiligen Impfstoff an die EMA eingereicht.

Führende Sicherheitsexperten gehen davon aus, dass hier Geheimdienste am Werk waren, um Impfstoff-Forschungsdaten zu stehlen. Die Motivation dahinter: Je früher ein Impfstoff verfügbar und die Bevölkerung durchgeimpft ist, desto früher finden auch nationale Lockdowns ein Ende und die Wirtschaft kann wieder an Fahrt aufnehmen – möglichst schneller als in anderen Ländern, damit man sich Wettbewerbsvorteile sichern kann. Konkrete Hinweise auf die Angreifer gibt es offenbar nicht.

IT-Experten riegeln Unternehmen ab

Die allgemeine Erwartung von Branchenexperten ist, dass die Gefahr von Cyberspionage künftig noch steigen wird. Mit der fortschreitenden Digitalisierung und der Entwicklungen hin zum Internet of Things und zu Smart Cities bieten sich den Angreifern immer mehr Einfallstore, zudem sind auch mehr und mehr kritische Systeme mit dem Internet verbunden. Wichtig ist es daher, dass aus jedem bekannt gewordenem Fall von Cyberspionage Lehren gezogen werden, um Computersysteme und -netzwerke für die Zukunft besser abzusichern und erfolgreiche Angriffe dadurch zu verhindern.

Hierzulande entscheiden sich immer mehr IT-Systemhäuser zum Schulterschluss, um ihre Unternehmenskunden vor Cyberangriffen im Allgemeinen und Cyberspionage im Besonderen besser schützen zu können. Das ist zumindest bei den IT-Systemhäusern der Fall, die sich im IT-SERVICE.NETWORK zusammengeschlossen haben.

Mit vereintem Wissen geht es daran, umfassende Konzepte zur IT-Sicherheit zu entwickeln und die Netzwerke der Unternehmenskunden so gut wie möglich abzudichten. Sie wollen sich das Know-how der Experten aus dem IT-SERVICE.NETWORK zunutze machen? Dann nehmen Sie Kontakt zu uns auf!


Weiterführende Links:
Cyber-Espionage Report, BMI, Bitdefender, Tecchannel, BMI, Initiative Wirtschaftsschutz, Neue Zürcher Zeitung, SZ, SZ, SZ, FAZ, Pharmazeutische Zeitung

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.