Marc Wilczek, Link11

Cyberangriffe kommen oft im Doppelpack

Banken und Unternehmen sehen sich nicht erst seit dem Ukraine-Krieg mit einer Vielzahl russischer Cyberangriffe konfrontiert. Zunehmend seien dabei Nachrichtendienste zu beobachten, sagt Marc Wilczek vom Cybersecurity-Fintech Link11.

Cyberangriffe kommen oft im Doppelpack

Von Tobias Fischer, Frankfurt

Der Ukraine-Krieg verschärft nach Einschätzung des Cyberexperten Marc Wilczek die Bedrohungslage für Banken und Unternehmen. Geopolitisch motivierte Hackerattacken könnten nach Einschätzung des Chief Operating Officer (COO) des global tätigen Frankfurter IT-Sicherheitsdienstleisters Link11 dabei an Bedeutung gewinnen. „Wir erleben schon seit zwei, drei Jahren ein überproportionales Wachstum von DDoS-Angriffen“, sagt Wilczek. „Seit dem Ukraine-Krieg kommen auf einem Spielfeld, auf dem ohnehin schon der Teufel los ist, aber noch weitere Akteure hinzu, vor allem Nachrichtendienste und Gruppierungen, die ihnen nahestehen.“ Für Distributed-Denial-of-Service-Attacken (DDoS) übernehmen Hacker die Kontrolle über eine Vielzahl an Rechnern, die den Zielserver gleichzeitig mit Anfragen bombardieren, bis er unter der Last zusammenbricht.

Es ist kein Geheimnis, dass russische Hackergruppen seit Langem westliche Ziele angreifen. Zu nennen sind neben vielen anderen Fancy Bear, denen beste Verbindungen zum russischen Militärgeheimdienst GRU nachgesagt werden, Cozy Bear, die den Auslandsagenten des SVR zugeordnet werden, oder Snake, die mit dem Inlandsgeheimdienst FSB im Bunde stehen sollen.

Kritische Infrastruktur als Ziel

Insbesondere auf Anbieter sogenannter kritischer Infrastrukturen (Kritis) in Westeuropa hätten es die Hacker wegen der Unterstützung der Ukraine durch westliche Staaten abgesehen, um Panik zu schüren, berichtet Wilczek. Zu Kritis zählen nach Definition des Bundes Organisationen oder Einrichtungen mit erheblicher Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Einschränkung beispielsweise deutliche Versorgungsengpässe oder Störungen der öffentlichen Sicherheit zur Folge hätte. Im Finanzsektor sind das etwa Dienstleister für Bargeldversorgung, Zahlungsverkehr und Clearing, sofern bestimmte Schwellenwerte überschritten werden. Weitere Kritis-Sektoren sind unter anderem Energie, Gesundheit, Ernährung, IT und Telekommunikation. Angriffe könnten auch zu Dominoeffekten führen, warnt Wilczek. Würden etwa große Telekommu­nikationsdienstleister lahmgelegt, dürfte eine Vielzahl weiterer Unternehmen als Teil der digitalen Wertschöpfungskette in Mitleidenschaft gezogen werden, ohne eigentliches Angriffsziel zu sein. „Wir können davon ausgehen, dass die Bedrohung zunimmt und uns noch eine Weile begleiten wird, zumal im Ukraine-Krieg bislang leider keine Lösung in Sicht ist.“ Dass insbesondere die Betreiber kritischer Infrastrukturen aktuell in den Fokus von Angriffen gerieten, trägt ihm zufolge zwar zur Problematik bei, „ist aber nur die Spitze des Eisberges“.

Mehr als 90% der Cyberangriffe seien primär finanziell motiviert. Zwar betätigten sich dabei auch Nachrichtendienste und ihre Helfershelfer in Lösegeldeintreibung und Erpressung, doch sei das nicht deren originäres Geschäft. Genau genommen habe man dort Besseres zu tun. Freilich gestaltet es sich für die Cyberverteidiger schwierig genug, die Täter zu ermitteln. Eine trennscharfe Einteilung der Verursacher ist kaum möglich und wird in der aktuellen Gemengelage umso schwieriger. Hinzu kommt, dass sich oft genug solche mit Taten rühmen, die sie nicht begangen haben, und die wahren Verantwortlichen falsche Fährten legen.

Bankrun in Ukraine bleibt aus

Bevor die Russen am 24. Februar die Ukraine mit Krieg überzogen, wurde diesem physischen Angriff mit Raketen und Panzern zuvor virtuell mit DDoS-Attacken auf ukrainische Regierungseinrichtungen und Banken das Feld bereitet. Die Finanzinstitute wurden dadurch zwar temporär ausgeschaltet, doch führten die Cyberangriffe letztlich nicht zum mutmaßlich erwünschten Effekt: einem Bankrun. Die Ukrainer seien nach Jahren des 2014 von Russland losgetretenen Krieges im Donbass schon krisenerprobt, die Strategie, Panik zu schüren, verfing deshalb nicht, meint Wilczek. Die russische DDoS-Offensive sei aber klar geopolitisch motiviert gewesen.

Link11 bietet cloudbasierte IT-Sicherheitslösungen an, mit einem Fokus auf Schutz gegen DDoS. „Wir prüfen in Echtzeit den Datenverkehr von Unternehmen und suchen nach Anomalien, das heißt, wir können unterscheiden zwischen legitimem Datenverkehr und Bedrohungen.“ Angesichts von mehreren Hundert Kunden, darunter vielen, die zur kritischen Infrastruktur zählen, habe Link11 jederzeit einen guten Überblick über die Cybergefahren in Deutschland. „Wir können dieses Lagebild relativ gut erkennen und vor allem Zusammenhänge ausmachen.“ Das mache die Gesellschaft zu einem gefragten Partner für Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundeskriminalamt (BKA), die den Auftrag haben, Unternehmen aus dem Kritis-Bereich zu schützen.

Die Vorgehensweise von Link11 zum DDoS-Schutz beschreibt Wil­czek anhand des Kunden Bank-Verlag. Die Tochtergesellschaft des Bundesverbandes deutscher Banken mit Sitz in Köln ist nicht nur Fachverlag, sondern auch IT-Dienstleister. „Jeder, der mit dem Kunden Bankverlag kommuniziert, in welcher Form auch immer, durchläuft unsere Prüfung. Alles, was hereinkommt, geht zunächst zu uns.“ In dieser „Waschanlage“, wie er es anschaulich ausdrückt, werden die Daten sofort geprüft und bewertet. Algorithmen entscheiden laut Wilczek binnen Millisekunden, welche Daten sauber und welche – zumindest potenziell – schädlich sind. Letztere würden auf der Stelle geblockt, was als gut befunden wird, gehe an den Kunden weiter. „Man kann es sich einfach ausgedrückt so vorstellen: Es handelt sich um unsere Plattform, an die der Kunde mit einem Kabel verbunden ist. Dort fließt der Datenverkehr rein, geht kurz durch die Waschstraße und wird in Echtzeit weitergegeben. Alles, was potenziell übel ist, bleibt im Schmutzpartikelfilter haften – einem extrem feinen Filter.“

Link11 verpflichte sich dabei, eine Bedrohung in weniger als zehn Sekunden zu erkennen, zu bewerten und erfolgreich abgewehrt zu haben. Immer häufiger würden Angriffsmethoden kombiniert, hat Wilczek festgestellt. „DDoS-Angriffe sind oft Ablenkungsmanöver, um die IT-Organisation zu beschäftigen, während die Hacker im Hintergrund weitere Attacken ausüben.“ Zunehmend griffen die auf zwei oder sogar mehr Arten gleichzeitig an, um den Druck auf das Opfer zu erhöhen. So sei zu beobachten, dass parallel zu DDoS-Offensiven beispielsweise Ransomware platziert werde, also Schadprogramme, die Daten sperren, für deren Entschlüsselung dann ein Lösegeld fällig wird. Oder es werde damit gedroht, erbeutete Daten zu veröffentlichen. Mit dem DDoS-Schutz sei deshalb nur das „absolute Basisfundament“ gelegt. „Wenn ich das nicht habe, brauche ich mir keine weiteren Gedanken über den Rest des Hauses zu machen, weil ein kleiner Windstoß genügt, um alles zusammenfallen zu lassen.“

Entrichten erpresste Firmen an russische Hacker Lösegeld, riskieren sie empfindliche US-Strafen. „Wer in bestimmte Länder zahlt, begeht unter Umständen nach US-Recht eine Straftat, weil diese Gelder gegebenenfalls in Embargoländer fließen und im Zweifelsfall zum Beispiel zur Terrorismusfinanzierung zweckentfremdet werden können.“

Ein unter Cyberkriminellen zunehmend beliebtes DDoS-Verfahren ist ihm zufolge das Carpet Bombing (Flächenbombardement): Unternehmen, die in dieser Form angegriffen werden, bemerken es oft zunächst nicht. Denn statt Server mit einer von der Cyberabwehr gut erkennbaren Datenlawine zusammenbrechen zu lassen, geschieht dies durch einen Teppich an Nadelstichen. Das jeweilige Datenpaket bleibt dadurch so unauffällig klein, dass es den Radar von vielen der Schutzsysteme unterwandert. Irgendwann fällt dann die Firewall aus, es kommt zum Systemcrash, und die IT-Sicherheitsleute wundern sich.

Kleinstangriffe ab 5 Dollar

DDoS-Kleinstangriffe lassen sich ihm zufolge schon ab 5 Dollar im Darknet bestellen. So könnten selbst Schulkinder ihnen unliebsame Homepages vom Netz schießen lassen. Wirkungsvollere Attacken ließen sich auf professionell betriebenen „DDoS for Hire“-Plattformen ordern. Vor allem im Darknet, mittlerweile aber auch im Clearnet lasse sich nach dem Vorbild eines Autokonfigurators im Netz das Wunschmodell auswählen, berichtet der Link11-Vorstand: Welche Intensität soll der Angriff haben, wie lange soll er dauern, welche Attribute sollen ihn kennzeichnen? Sei der Auftraggeber mit dem determinierten Preis einverstanden, müsse er nur noch die gewünschte Zieladresse eingeben, um den Angriff zu initiieren.

BZ+
Jetzt weiterlesen mit BZ+
4 Wochen für nur 1 € testen
Zugang zu allen Premium-Artikeln
Flexible Laufzeit, monatlich kündbar.