Staatlich gesteuerte Cyberangriffe werden in der Regel von speziellen Abteilungen innerhalb militärischer oder nachrichtendienstlicher Organisationen durchgeführt. Die Einheiten tragen oft einen falschen Namen oder sind als zivile Einrichtungen getarnt. Ausländische Nachrichtendienste agieren zudem häufig mittels sogenannter APT-Gruppierungen. APT steht für „Advanced Persistent Threat“ und bedeutet übersetzt so viel wie „fortgeschrittene, andauernde Bedrohung“. Auch wenn eine APT-Gruppe nicht direkt Teil eines ausländischen Nachrichtendienstes ist, wird sie durch den jeweiligen Dienst maßgeblich gesteuert oder beeinflusst. APT-Gruppierungen verfügen über sehr große finanzielle und personelle Ressourcen und sind in der Lage, komplexe Cyberangriffe auch über lange Zeiträume durchzuführen.
Zu den bekanntesten Akteuren zählen APT-Gruppierungen aus Russland, China, Iran und Nordkorea. Diese Staaten sind auch in der Bundesrepublik Deutschland sehr aktiv.
Folgende Gruppierungen sind besonders bekannt:
- APT28: Diese Gruppe wird mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht und ist bekannt für ihre Angriffe auf westliche Regierungen, Streitkräfte und Medienorganisationen.
- APT29: Die ebenfalls aus Russland stammende Gruppe wird mit dem russischen Auslandsgeheimdienst SWR in Verbindung gebracht. APT29 verwendet häufig ausgeklügelte Phishing-Angriffe und versucht, in IT-Systeme staatlicher Stellen einzudringen.
- Chinesische Hackergruppen: Mit dem chinesischen Staat werden unterschiedliche Gruppierungen assoziiert, darunter beispielsweise APT15 und APT31. Diese Angreifergruppierungen versuchen häufig, Betriebsgeheimnisse von Unternehmen oder sonstige Informationen zu erlangen, die von der politischen Führung in China als strategisch angesehen werden, um den technologischen Rückstand auf westliche Staaten zu verringern.
- Lazarus-Gruppe: Bei Lazarus handelt es sich um eine der bekanntesten Hackergruppierungen der Welt. Die aus Nordkorea stammende Gruppe ist seit mindestens 2009 aktiv und berüchtigt für ihre Angriffe auf Finanzinstitutionen und Kryptowährungsbörsen. Das Ziel dieser Angriffe besteht vor allem in der Beschaffung von Devisen. Aber auch Wirtschaftsunternehmen stehen im Fokus der Gruppierung, um mittels Spionage an geistiges Eigentum zu gelangen. Bei den Aktivitäten von Lazarus verschwimmen die Grenzen zwischen rein kriminellem Handeln, wie beispielsweise Ransomware-Angriffe zur Erpressung von Lösegeld, und nachrichtendienstlichem Handeln zunehmend.
- Silent Librarian/Mabna Institute: Diese Hackergruppe wird dem iranischen Staat zugeordnet und war in den letzten Jahren in der Bundesrepublik Deutschland sehr aktiv. Die Attacken zielten hauptsächlich auf akademische Einrichtungen, um an geistiges Eigentum oder noch nicht veröffentlichte Forschungsergebnisse zu gelangen.
Was sind die Ziele staatlich gesteuerter Cyberangriffe?
Staatlich gesteuerte Cyberangriffe verfolgen zahlreiche Ziele, die weit über die bloße Störung von IT-Diensten hinausgehen. Eines der Hauptziele ist das Sammeln von Informationen, unter anderem durch Spionage gegen fremde Regierungen, Streitkräfte, Wirtschaftsunternehmen und wissenschaftliche Einrichtungen. Die Staaten versuchen, mit Hilfe der Angreifergruppierungen unrechtmäßig in Computernetzwerke einzudringen und sensible Daten zu beschaffen, um sich so einen strategischen Vorteil zu verschaffen.
Ein weiteres Ziel ist die Beeinflussung der öffentlichen Meinung und die Destabilisierung anderer Staaten. Dies kann einerseits durch die Verbreitung von Desinformation, die Manipulation von Wahlergebnissen oder das Schüren sozialer Unruhen geschehen. Aber auch Cybersabotageangriffe auf die Kritische Infrastruktur, beispielsweise Stromnetze, Wasserwerke, Verkehrssysteme oder Kommunikationsnetze können erhebliche Störungen verursachen und das Vertrauen der Bevölkerung in die Funktionsfähigkeit des Staates unterminieren. Im Falle eines militärischen Konflikts kann so auch die Verteidigungsfähigkeit des Gegners beeinträchtigt werden. Derartige Angriffe stellen daher eine erhebliche Bedrohung dar.
Wirtschaftsspionage, also die unrechtmäßige Beschaffung von geistigem Eigentum und Geschäftsgeheimnissen, ist ebenfalls ein häufiges Ziel staatlich gesteuerter Cyberangriffe. Durch das Ausspähen von Technologieunternehmen, Forschungseinrichtungen und anderen wirtschaftlich relevanten Organisationen wie Unternehmensverbänden gewinnen fremde Nachrichtendienste wertvolles Wissen, das dann zum Wettbewerbsvorteil des jeweiligen Staates genutzt werden soll.
Einige staatlich gesteuerte Hackergruppen sind auch für Cyberkriminalität verantwortlich. Durch den Diebstahl von Kryptowährungen, die Erpressung mit Ransomware oder durch andere kriminelle Aktivitäten versuchen Staaten wie Nordkorea, ihre finanziellen Ressourcen zu erweitern.
Beispiele staatlich gesteuerter Cyberangriffe in Baden-Württemberg
Die Bedrohung baden-württembergischer staatlicher und nichtstaatlicher Einrichtungen durch ausländische Nachrichtendienste ist bereits seit Jahren sehr hoch. Die Bereiche Rüstungsindustrie, Politik und Verwaltung sowie Forschung und Wissenschaft zählen hierzulande zu den bevorzugten Zielen. Folgende Beispiele zeigen exemplarisch, wie und gegen wen Angreifer in der Vergangenheit vorgegangen sind:
Angriff auf ein Energieunternehmen
Die Angreifer nutzten im Jahr 2017 Schwachstellen in einer Router-Software, um sich Zugriff auf die Geräte des Unternehmens zu verschaffen. Im weiteren Verlauf konnten sie die Kontrolle über die Router übernehmen und den Datenverkehr ausleiten beziehungsweise mitlesen. Der Angriff wird einer staatlich gesteuerten russischen APT-Gruppierung zugeordnet.
Angriffe auf kleine und mittelständische Unternehmen
Im Jahr 2022 wurden Geräte von mehreren kleinen Unternehmen und Betrieben angegriffen und kompromittiert, die auf den ersten Blick nicht zur Zielgruppe von staatlichen Akteuren gehören. Diese Methode der Angreifer führt dazu, dass die Geräte ab dem Zeitpunkt der Kompromittierung von den Angreifern für deren eigentlichen Ziele benutzt werden können. Ein solches Vorgehen ist typisch für die chinesischen APT-Gruppierungen APT15 und APT31. Ziel der Angriffe auf Heimnetzwerkgeräte von kleinen und mittelständischen Unternehmen (KMU) sowie Privatpersonen ist es, die Kontrolle über die Geräte zu übernehmen und sie für Folgeangriffe gegen staatliche und politische Stellen zu nutzen.
Angriffe auf Forschungsinstitute
Cyberangriffe der iranischen Gruppierung Mabna Institut/Silent Librarian richten sich seit 2018 gezielt gegen akademische Einrichtungen und Forschungsinstitute in Baden-Württemberg, insbesondere gegen interne Portale wie Bibliotheks-, Forschungs- oder Lernplattformen, auf deren Inhalte man nur mit persönlicher Authentifizierung Zugriff erhält. Dort interessieren sich die Angreifer besonders für Dissertationen und andere unveröffentlichte Forschungsergebnisse und -arbeiten oder Konferenzberichte. Auch persönliche Daten der Opfer sind von Interesse, da sie diese bei späteren Angriffen nutzen können, beispielsweise zur besseren Tarnung von Phishing-Angriffen.
Schutzmaßnahmen
Unternehmen und öffentliche Stellen sollten in umfangreiche Sicherheitsmaßnahmen investieren. Hierzu zählen unter anderem die regelmäßige Schulung von Mitarbeitenden, der Einsatz von Sicherheitstechnologien im eigenen IT-Netzwerk sowie die Zusammenarbeit mit staatlichen Stellen und Organisationen zur Aufklärung von IT-Sicherheitsvorfällen. Aber auch Privatpersonen sollten wachsam sein, sich informieren und schützen. Im zweiten Teil der Beitragsserie („Spione im Cyberraum [Teil 2]: Wie schütze ich meine Daten vor staatlich gesteuerten Cyberangriffen?“) werden mögliche Schutzmaßnahmen detailliert vorgestellt.
Fazit
In der heutigen, digitalen Welt stellen staatlich gesteuerte Cyberangriffe eine konkrete und ernste Bedrohung dar. Staatliche Stellen, Unternehmen und Privatpersonen sind hierbei gleichermaßen im Fokus. Hinter den Angriffen stehen oft gut organisierte und hochqualifizierte Hackergruppen, die unterschiedliche Ziele verfolgen – von Spionage über Destabilisierung und Sabotage bis hin zur Erlangung wirtschaftlicher Vorteile. Für baden-württembergische Unternehmen, öffentliche Stellen und Privatpersonen gilt: Seien Sie sich der Bedrohungen bewusst, ergreifen Sie frühzeitig geeignete Schutzmaßnahmen und suchen Sie bei Fragen oder verdächtigen IT-Vorfällen den Kontakt zu den Sicherheitsbehörden.
Bei Fragen steht die Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg jederzeit als Ansprechpartner zur Verfügung. Auch wenn Sie Opfer eines Cyberangriffs geworden sein sollten oder einen Angriff vermuten, erreichen Sie uns wie folgt:
Telefon: 0711 9544-4985
E-Mail: cyberabwehr@lfvbw.bwl.de