Alarmstufe Orange IT-Sicherheitsbehörde warnt zum dritten Mal vor russischen Hacks

Das BSI mahnt deutsche Firmen erneut, sich auf Cyberattacken vorzubereiten. Die Nato-Partner würden »vermehrte aggressive Scan-Aktivitäten in ihren Netzen registrieren« – als mögliche Vorbereitung für Angriffe.
BSI in Bonn: »Eine besondere IT-Bedrohungslage«

BSI in Bonn: »Eine besondere IT-Bedrohungslage«

Foto: Andreas Rentz/ Getty Images

Bei deutschen Sicherheitsbehörden wächst angesichts des Krieges in der Ukraine die Befürchtung vor weiteren Cyberangriffen, die auch deutsche Ziele betreffen könnten. Das Bundesamt für Sicherheit in der Informationstechnik verschickte am Donnerstag bereits das dritte Warnschreiben an Unternehmen und Behörden – es bewertet die aktuelle IT-Bedrohungslage im Land mit der zweithöchsten Warnstufe »orange«.

Konkreter Anlass waren die russische Invasion und vorangegangene neuerliche Cyberangriffe auf ukrainische Ziele. Am Tag vor dem Einmarsch hatte es neue Überlastungsattacken (»Distributed Denial of Service«, kurz DDoS) auf die Websites zweier ukrainischer Banken sowie von Ministerien und des Parlaments gegeben. Wie schon bei früheren DDoS-Attacken auf die Ukraine wurden parallel auch sogenannte Wiper auf ukrainischen Rechnern gefunden – dabei handelt es sich um Schadprogramme, die Daten löschen und Computer auf diese Weise unbrauchbar machen können. Wie schon bei einer Wiper-Angriffswelle im Januar ist die Schadsoftware wohl nicht in der Lage, sich selbst weiter auszubreiten – das war 2017 bei NotPetya noch der Fall, das sich aus dem eigentlichen Angriffsziel Ukraine global ausbreitete und für Milliardenschäden sorgte.

Der neue Wiper wurde allerdings nicht nur in den Systemen ukrainischer Banken gefunden, sondern auch bei Dienstleistern der ukrainischen Regierung in Litauen und Lettland. Nach Einschätzung der deutschen Experten nutzten die Angreifer Zugänge, die sie schon vorher hatte: Die Täter müssten »bereits entsprechende Administratorrechte und Zugang zu zentralen Servern gehabt haben«, heißt es in dem vierseitigen Papier.

Offenbar gebe es seit Kriegsbeginn auch neue Aktivitäten über die Ukraine hinaus: »Mehrere Nato-Partner sehen seit dem heutigen Tag vermehrte aggressive Scan-Aktivitäten in ihren Netzen.« Dabei kann es sich um Vorbereitungshandlungen für spätere Angriffe handeln. Für Deutschland habe das BSI bis dato keine Auffälligkeiten festgestellt, und es seien ihm auch keine gemeldet worden, heißt es. Insofern sehe die Behörde »aktuell keine geänderte Gefährdung für deutsche Stellen«.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

»Kollateralschäden nicht auszuschließen«

Die erste entsprechende BSI-Warnung stammt vom 4. Februar und war noch mit der Warnstufe »gelb« versehen. Das BSI rechne »nicht mit nennenswerten gezielten Cyber-Sabotage-Angriffen auf Ziele in Deutschland«, hieß es darin, »Kollateralschäden außerhalb der Ukraine sind aus Sicht des BSI jedoch nicht auszuschließen«. Als mögliche Szenarien betrachtete die Behörde unter anderem sich selbst verbreitende Computerwürmer wie einst WannaCry und NotPetya oder Angriffe auf Lieferketten, die bei entsprechenden Abhängigkeiten auch jenseits der Ukraine gefährlich werden können. Das sei »vor allem für Unternehmen und Organisationen relevant, die IT-Netzwerkbeziehungen oder Kommunikationsverkehr mit ukrainischen Stellen haben«.

Zehn Tage später erhöhte die Behörde die Warnstufe auf »orange«. Es liege nun »eine besondere IT-Bedrohungslage vor«, die sich kurzfristig verschärfen könne. Die Gefahr durch einen Wurm (»selbstreplizierende Malware, die sich unter Ausnutzung neuer Schwachstellen in internen Netzen ausbreitet«) etwa steige, wenn eine Firma oder Organisation Software benutzt, »die in der Ukraine gängig ist oder sogar ukrainischen Ursprungs ist«.

Das BSI riet insbesondere Betreibern kritischer Infrastrukturen, sicherzustellen, dass ihre IT-Spezialisten in einem Angriffsfall verfügbar sind – notfalls auch durch Urlaubssperren. Notfallpläne sollten überprüft und die Software auf den neuesten Stand gebracht werden. Zudem sollten Sicherungskopien von allen relevanten Systemen angelegt werden.

Auf Geheiß des Bundesinnenministeriums hat das Bonner Bundesamt eine Liste möglicher Unterstützungsleistungen für die Ukraine zusammengestellt – von der technischen Analyse der Schadcodes bis zum Aufbau sicherer Infrastrukturen. Bundesaußenministerin Annalena Baerbock (Grüne) hatte der Ukraine bei ihrem ersten Besuch dort Hilfe bei der Cyberabwehr angeboten.

Bundesinnenministerin Nancy Faeser (SPD) hatte am Donnerstag gesagt: »Wir wissen, dass Cyberangriffe mittlerweile ein häufiges Mittel in Konfliktsituationen sind. Wir gehen daher auch für deutsche Stellen von einer erhöhten Gefahr durch Cyberangriffe aus. Konkrete Hinweise auf Cyberangriffe gegen deutsche Stellen liegen derzeit noch nicht vor«.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Unterdessen schaltete sich die Hacktivistentruppe Anonymous in den Konflikt ein und kündigte via Twitter einen »Cyberkrieg« und Hacks gegen russische Ziele an. In der Nacht zum Freitag gelang es ihnen offenbar, die Seite des russischen Staatssenders RT News zeitweise unerreichbar zu machen. »Das Anonymous-Kollektiv hat die Website des russischen Propagandasenders RT News abgeschaltet«, hieß es auf einem der Hacktivisten-Accounts bei Twitter  dazu.