Westliche Unternehmen und Finanzinstitute sind bislang nicht häufiger Hackerattacken ausgesetzt als vor dem Ukraine-Krieg, hat Cyberexperte Thomas Schumacher beobachtet. Das dürfte sich seiner Einschätzung nach aber ändern. „Der Krieg in der Ukraine wird von Cyberaktionen flankiert. Unternehmen haben mit Beginn des Konflikts damit gerechnet, dass eine Welle von Cyberangriffen nach Europa und in die Welt schwappt. Dieser Sturm ist noch nicht ausgebrochen. Die Betonung liegt auf noch“, sagt der Leiter IT-Security von Accenture in Deutschland, Österreich und der Schweiz im Gespräch mit der Börsen-Zeitung.

Auch wenn die Attacken gegen westliche Finanzinstitute, die es auch vor dem Krieg schon gab, nicht zugenommen hätten, könne sich das ändern: „Ich glaube schon, dass wir Aktionen sehen werden.“ Die Entscheidungsträger in Banken und Unternehmen sollten deshalb den Konflikt zum Anlass nehmen, die eigenen Cyberabwehrfähigkeiten zu verbessern. „Manche russische Hackergruppen spielen in der Champions League. Sie verfügen über ein sehr, sehr hohes Niveau“, weiß Schumacher.

Zu beobachten war ihm zufolge, dass russische Hackergruppen ukrainische Regierungseinrichtungen und Infrastruktur wie den Energiesektor attackierten, und zwar lange bevor die Kampfhandlungen begonnen hatten. Auch der Ukraine freundlich gesonnene Nachbarstaaten seien nach Kriegsbeginn angegriffen worden und Transportwege in der Ukraine, gerade für Hilfsorganisationen, zu stören versucht worden.

Schumachers Erkenntnis, dass im Finanzwesen bislang größere Ausreißer ausgeblieben sind, deckt sich mit Aussagen von Steve Silberstein, CEO von FS-Isac, einer internationalen Vereinigung von Finanzinstituten, die über Cyberbedrohungen Informationen austauschen und Strategien entwickeln, wie ihnen zu begegnen ist. Silberstein hatte jüngst erklärt, dass es seit Kriegsausbruch jenseits der Ukraine noch keine nennenswerte Zunahme an Cyberattacken gegen Finanzinstitute gebe.

Dennoch sind die Verantwortlichen alarmiert. Ob in New York, London, Frankfurt oder Bonn: Finanzaufseher warnten spätestens seit Beginn des Überfalls Russlands auf das Nachbarland am 24. Februar vor verstärkten Hackeroffensiven gegen westliche Banken und ermahnten sie zur Stärkung ihrer Cyberverteidigung. BaFin-Chef Mark Branson rief jüngst angesichts der zunehmenden Gefahr ebenso zu erhöhter Wachsamkeit auf wie die EZB-Bankenaufsicht, die britische Financial Conduct Authority und das New York State Department of Financial Services.

Aber auch die russische Seite sieht sich vor. So wehrte die größte Bank Russlands, die Sberbank, am 6. Mai nach eigenen Angaben eine Distributed-Denial-of-Service-Attacke (DDoS) ab, die den Zweck hat, Server lahmzulegen. Es habe sich um die schwerste DDoS-Attacke in der Unternehmensgeschichte gehandelt, hieß es aus Moskau. Von einer explosionsartigen Zunahme von Cyberangriffen auf russische Unternehmen in den vergangenen drei Monaten sprach der Sberbank-Vizepräsident und Cyberabwehrchef Sergei Lebed einer Mitteilung zufolge.

Offensiven gegen russische Bankengruppen in den vergangenen Wochen kann Schumacher bestätigen. „Man hätte das andersherum erwartet, nämlich, dass europäische Banken – auch infolge der Sanktionen – angegriffen werden. Gezielte Kampagnen gegen diese Finanzinstitute sehen wir im Moment noch nicht.“ Woran das liege, darüber könne nur spekuliert werden, sagt der IT-Sicherheitsexperte. Möglicherweise, weil die Russen den Widerstand der Ukrainer unterschätzt haben und zunächst mit anderen Dingen beschäftigt waren, als Banken in westlichen Ländern anzugreifen. Eine Lehre aus dem seit gut drei Monaten währenden Angriffskrieg ist schließlich nach einhelliger Expertenmeinung, dass der Kreml auf eine handstreichartige Übernahme der Ukraine ähnlich wie 2014 in der Krim ausgerichtet war und nicht auf einen länger anhaltenden Konflikt. Das spräche auch dafür, dass sich die Russen entsprechend nur auf einen kurzen Cyberkrieg gegen die Ukraine eingestellt haben, nicht aber auf umfassendere Aktionen gegen Staaten in Europa und der Welt. All das bleibt freilich Spekulation.

Schumacher kann sich gut vorstellen, dass sich im Zuge der zunehmenden geopolitischen Spannungen die Konfrontation im Cyberspace ausweitet: „Cyberangriffe sind auch ein Mittel der Kriegführung und der Auseinandersetzung in geopolitischen Konflikten. Hier ist davon auszugehen, dass dieses Mittel verstärkt eingesetzt werden könnte.“ Das Finanzielle stehe aktuell in den meisten Fällen nicht mehr im Mittelpunkt: „Früher ging es zunächst einmal ums Geld und dann um Daten, die man zu Geld machen kann. Heute geht es um verschiedene Dinge, unter anderem auch zur Erreichung von politischen Zielen.“

Bei gut jedem dritten Angriffsversuch (35%) im vergangenen Jahr sei Ransomware zum Einsatz gekommen. Mit solchen Schadprogrammen sperren Hacker Computer und Daten und verlangen Geld, um sie wieder freizugeben. Tendenz: voraussichtlich steigend. Allein zwischen 2020 und 2021 habe deren Zahl um 107% zugenommen. „Wir verzeichneten in den vergangenen zwei, drei Jahren eine Renaissance von Ransomware-Attacken auf Unternehmen. Auch Banken sind betroffen, wenn auch die Auswirkungen nicht so stark erscheinen.“

Am häufigsten trifft es seinen Angaben zufolge produktionsnahe Firmen mit 19% aller Angriffe. Finanzdienstleister erwischt es in 9% der Fälle, Anbieter im Gesundheitswesen in 7% und Regierungen in 5%. Jeder zweite erpresste Finanzdienstleister (52%) hat schon einmal Lösegeld gezahlt, um verschlüsselte Daten zurückzubekommen, hat der britische Anbieter von Sicherheitssoftware, Sophos, in einer aktuellen Erhebung herausgefunden. Der Wert für alle Branchen liegt bei 46%.

Im Schnitt fordern die Hacker aktuell ein Lösegeld von mehr als 800000 Dollar, berichtet Schumacher. Werde eine Privatperson noch mit etwa 300 bis 2000 Euro abgestraft, die dann in Bitcoins zu begleichen seien, so zahle eine Firma erfolgsabhängig: Produktionsunternehmen und Versorger kämen auf 2 Mill. Euro, im Gesundheitswesen würden knapp 200000 Euro fällig. „Diese Erpressungsversuche sind sehr professionell und zielgerichtet. Die Angreifer betreiben Strukturen wie in Unternehmen, mit spezialisierten Rollen und ,Berufsbildern‘.“ Eine Hotline, unter der zu erfahren sei, wie Kauf und Transfer von Bitcoins vonstatten zu gehen habe, fehle ebenso wenig wie Vermittler, die den Kontakt zwischen Angreifern und Opfern herstellen. „Das ist die neue Realität“, sagt Schumacher.

Eine weitere beliebte Angriffsmethode ist nach wie vor DDoS. „Gerade im deutschsprachigen Raum haben wir zuletzt eine Kette von DDoS-Attacken erlebt, mit einer Wucht, die an die Substanz ging“, berichtet Schumacher. Auch Finanzinstitute waren betroffen. „Das zeigt, dass sie weiterhin Ziel sind und ihnen Gefahr droht.“

Überliefert sind solche Angriffe im Finanzwesen unter anderem vor einem Jahr auf den IT-Dienstleister der Volks- und Raiffeisenbanken, Atruvia (Ex-Fiducia & GAD) und Anfang 2020 auf Finanz Informatik. Lösegeldforderungen waren bei Hackerattacken auf den Sparkassenverband Baden-Württemberg und auf die Haftpflichtkasse im vergangenen August im Spiel. Im April gab der schweizerische Versicherer Bâloise bekannt, einer Cyberattacke ausgesetzt gewesen zu sein. Details zur Methode wurden nicht genannt.