Die grösste Bedrohung für die kritische Infrastruktur von Staaten geht derzeit von Russland, China, dem Iran und Nordkorea aus. Dies schreibt Microsoft in seinem am Freitag publizierten «Digital Defense Report 2022».
Die globale politische Entwicklung habe dazu geführt, dass staatliche Cyber-Akteure autoritärer Regime «dreister und aggressiver vorgehen», heisst es darin. Insbesondere die Zahl der Cyberangriffe, die sich gegen kritische Infrastruktur richteten, «ist in den vergangenen Monaten sprunghaft gestiegen», schreibt Microsoft im aktuellen Cybercrime-Report. So markierten Russlands Cyberangriffe auf die Ukraine, die seit Kriegsbeginn militärische Aktionen ergänzen, den Anbruch eines neuen Zeitalters der hybriden Kriegsführung.
Der Windows-Konzern überwacht und bekämpft nicht nur gewöhnliche Cyberkriminelle, sondern auch Angriffe von Staaten, respektive staatlichen Hackern, auf Microsoft-Kunden. Seit Beginn des Monitorings im Jahr 2018 hat Microsoft weltweit Behörden und Unternehmen in 67'000 Fällen gewarnt. Über 600 von staatlichen Hackergruppen genutzte Internetdomänen wurden blockiert. Nach Kriegsbeginn in der Ukraine wurden so beispielsweise Hackerangriffe russischer Militärspione auf Regierungseinrichtungen in den USA, der EU und der Ukraine vereitelt, schreibt Microsoft.
Im Folgenden werden die wichtigsten Ergebnisse des Cybercrime-Berichts – gegliedert nach Ländern – zusammengefasst.
Die Zahl der Cyberangriffe, die sich gegen kritische Infrastruktur richteten, ist in den vergangenen Monaten drastisch gestiegen. Machten solche Attacken zuvor noch 20 Prozent aller von Staaten verübten Cyberangriffe aus, so legte der Anteil nach den Beobachtungen von Microsoft zuletzt auf 40 Prozent zu. Dieser Anstieg sei grösstenteils auf das Ziel Russlands zurückzuführen, die ukrainische Infrastruktur zu schädigen, sowie auf aggressive Spionageangriffe auf die Verbündeten der Ukraine.
Im neusten Microsoft-Bericht stehen daher wenig überraschend staatliche Cyberattacken und Propagandaaktionen aus Russland gegen die Ukraine und NATO-Staaten im Fokus. «90 Prozent der russischen Angriffe, die wir im aktuellen Untersuchungszeitraum entdeckt haben, hatten NATO-Mitgliedsstaaten zum Ziel. Fast die Hälfte (48 Prozent) dieser Angriffe richteten sich gegen IT-Unternehmen in NATO-Ländern», heisst es im Report. Russland versucht also verstärkt IT-Firmen zu kompromittieren, um deren Kunden zu schädigen oder an Informationen über westliche Regierungsbehörden zu gelangen.
55 Prozent der Cyberattacken zwischen Juli 2021 und Juli 2022 zielten auf die USA, 8 Prozent auf Grossbritannien, 3 Prozent auf Deutschland und nur 2 Prozent auf ukrainische Unternehmen oder Behörden.
Aus Schweizer Perspektive brisant: Laut Microsoft erfolgten zwei Prozent der russischen Hackerangriffe auf Organisationen in der Schweiz. Die Schweiz gehöre zu einem der häufigsten Ziele russischer Cyberattacken, heisst es im Bericht. Dies könnte unter anderem daran liegen, dass zahlreiche Nichtregierungsorganisationen (NGO) ihren Sitz bei uns haben. Auch der Finanzplatz – viele russische Oligarchen horten ihr Geld in der Schweiz – könnte ein interessantes Ziel für staatliche russische Hacker sein.
Obwohl staatliche russische Hackergruppen 2022 vermehrt ukrainische Ziele ins Visier nahmen, gilt ihr Fokus nach wie vor den USA und Grossbritannien. In der Ukraine haben es russische Hacker vorrangig auf Regierungseinrichtungen, Medien sowie die Technologie-, Transport- und Kommunikationsbranche abgesehen. Es geht also darum, die Infrastruktur zu stören, das Vertrauen in die Regierung oder das Militär zu untergraben und die Bevölkerung mit Fake News zu verunsichern.
«Als der Ukraine-Krieg begann, stieg die russische Propaganda um 216 Prozent und erreichte am 2. März ihren Höhepunkt», schreibt Microsoft. Die folgende Grafik verdeutlicht dies.
Der sogenannte «Russian Propaganda Index» (RPI) zeigt den Nachrichtenfluss von staatlich kontrollierten und gesponserten russischen Nachrichtenkanälen und -verstärken als Anteil am gesamten Nachrichtenverkehr im Internet. Der Index versucht für verschiedene Länder den Konsum russischer Propaganda im Zeitverlauf darzustellen. Das Problem: Desinformation in geschlossene Gruppen in sozialen Medien, die von Microsoft nicht überwacht werden können, sind darin nicht enthalten. Microsofts «Russian Propaganda Index» zeigt somit nicht das ganze Ausmass der russischen Desinformation.
Als Fazit schreibt Microsoft, Russland habe «hart daran gearbeitet», seine Bürger und die Bürger vieler anderer Länder davon zu überzeugen, dass die Invasion in der Ukraine gerechtfertigt war. Als Beispiel wird etwa die russische Verschwörungserzählung genannt, laut der die USA zusammen mit der Ukraine geheime Labore unterhielten, in denen Bio-Waffen hergestellt würden.
Solche Verschwörungserzählungen werden meist nur von einer kleinen Minderheit für bare Münze genommen, aber sie sorgen in breiteren Bevölkerungskreisen für eine gewisse Verunsicherung und befeuern Zweifel an der eigenen Regierung – also genau das, was Putin bezweckt.
In Deutschland ist die Zustimmung zu pro-russischen Verschwörungsnarrativen zwischen April und Oktober deutlich gestiegen. Desinformation wirkt.
— Marko Kovic (@marko_kovic) November 3, 2022
Wichtige, besorgniserregende Befunde von @cemas_io.https://t.co/64YbpvmSzB pic.twitter.com/9L6RHhVErG
«China hat seine Cyberattacken verstärkt, um Spionage zu betreiben und Informationen zu stehlen», schreibt Microsoft. Mit Abstand am häufigsten würden Organisationen in den USA angegriffen. Aber staatliche chinesische Hacker zielten auch «verstärkt auf kleinere Nationen auf der ganzen Welt ab, wobei der Schwerpunkt auf Südostasien liegt, um an allen Fronten Wettbewerbsvorteile zu erlangen», heisst es im aktuellen Cybercrime-Report.
Microsoft nennt auch konkrete Vorfälle: So habe im Februar und März 2022 ein chinesischer Akteur hundert Konten ins Visier genommen, die mit einer prominenten zwischenstaatlichen Organisation in Südostasien verbunden waren. «Kurz nachdem China und die Salomon-Inseln ein Militärabkommen unterzeichnet hatten, entdeckte Microsoft auf den Systemen der Regierung der Salomon-Inseln die Malware eines chinesischen Akteurs.»
Viele der Angriffe, die von China ausgehen, beruhen laut Microsoft auf der Fähigkeit des Landes, Lücken in Software zu finden, die der Sicherheitsgemeinschaft bislang nicht bekannt waren. Das Sammeln dieser Zero-Day-Schwachstellen durch China scheint zugenommen zu haben, nachdem ein neues Gesetz in Kraft getreten ist, das Unternehmen in China dazu verpflichtet, entdeckte Schwachstellen der Regierung zu melden, bevor sie sie an andere weitergeben.
Auch der Iran habe seine Cyberattacken verstärkt, schreibt Microsoft. Staatliche iranische Hacker hätten «zerstörerische Angriffe auf Israel» ausgeführt. Zudem betrafen «Ransomware- sowie Hack-and-Leak-Angriffe nicht nur Ziele in der Region, sondern auch in den USA und in der EU». Dazu gehörte laut Report unter anderem kritische US-Infrastruktur wie die Hafenbehörden.
In mindestens einem Fall entdeckte Microsoft einen Angriff, der als Ransomware-Attacke getarnt war und zum Ziel hatte, israelische Daten zu löschen. In einem anderen Fall führte ein iranischer Akteur einen Angriff aus, der in Israel Notfallsirenen für Raketen auslöste.
Über Nordkorea schreibt Microsoft, das Land habe in der ersten Hälfte des Jahres versucht Technologien von Luft- und Raumfahrtunternehmen sowie Forschenden auf der ganzen Welt zu stehlen.
Ein anderer nordkoreanischer Akteur arbeitete laut Microsoft daran, sich Zugang zu globalen Nachrichtenorganisationen zu verschaffen, die über das Land berichten, sowie zu christlichen Gruppen.
Ein dritter Akteur setzte schliesslich seine oft erfolglosen Versuche fort, in Unternehmen aus dem Bereich der Kryptowährungen einzudringen, um Gelder zur Unterstützung der angeschlagenen Wirtschaft des Landes zu stehlen.
Cybersicherheit ist heutzutage nicht wichtig und kann getrost vernachlässigt werden.