Die Cyberangriffe vor einem Jahr wirken wie Vorboten auf prorussische Attacken, die der Schweiz drohen, wenn sie am 15. und 16. Juni ihre Ukraine-Friedenskonferenz auf dem Bürgenstock durchführt.
Die prorussische Gruppierung «NoName057(16)» hatte vom 12. bis 18. Juni 2023 total 57 erfolgreiche DDoS-Angriffe durchgeführt. Bei solchen Attacken versuchen Hacker, einen Online-Dienst zum Absturz zu bringen, indem sie die IP-Adresse des anvisierten Geräts mit mehr Kommunikationsanfragen überfluten, als es verarbeiten kann.
Die Angriffswellen dauerten sieben Tage und betrafen verschiedenste Akteure: Bundesverwaltung (8 Angriffe), Kantone (5), Städte (12), Service-public-Unternehmen wie SBB und Post (5), den Flughafen Zürich (12) und das Rüstungsunternehmen Ruag (1).
Die Angriffe verliefen glimpflich. Die Schweiz habe sie «ohne nachhaltige Schäden» überstanden, schreibt das Nationale Zentrum für Cybersicherheit (heute: Bundesamt für Cybersicherheit) in einer Analyse vom Oktober 2023. Weder habe «NoName» einen Reputationsschaden verursacht, noch eine geringere Sichtbarkeit der Webseiten bei den Suchmaschinen erreicht. Teilweise erreicht hat sie aber zwei Dinge: höhere Kosten und, möglicherweise, den Abfluss technischer Informationen.
Die Angriffe hingen mit Parlamentsgeschäften zusammen, die «NoName» als proukrainisch einstufte: der Wiederausfuhr von Waffen und der Videorede des ukrainischen Präsidenten Wolodymyr Selenskyj. Als Selenskyj im Januar Bern und das WEF in Davos besuchte, folgten erneut Angriffe.
Am 15. und 16. Juni führt die Schweiz auf dem Bürgenstock eine Friedenskonferenz durch. Zu ihr hat sie 160 Staaten und internationale Organisationen eingeladen, nicht aber Russland. Das erhöht die Gefahr von prorussischen Cyberattacken signifikant.
Das Bundesamt für Cybersicherheit (BACS) bereitet sich mit dem Nachrichtendienst des Bundes (NDB) und dem Bundesamt für Bevölkerungsschutz auf Angriffe vor. Doch was droht der Schweiz genau?
«Konferenzteilnehmende können unter anderem einem erhöhten Cyberspionagerisiko ausgesetzt sein», schreibt das Bundesamt für Cybersicherheit dazu. Auch seien Überlastungsangriffe (DDoS-Angriffe) auf IT-Strukturen von Institutionen zu erwarten, die mit der Konferenz verbunden seien. «Zudem könnten Hacktivisten Websites verunstalten, die in Zusammenhang mit der Konferenz stehen.» In der Fachwelt wird dies als «Defacement» bezeichnet.
Insider gehen noch weiter. Russische Hacker könnten in das WLAN von Hotels eindringen, um Gespräche abzuhören, sagen sie. Auch könnten sie versuchen, den Zugsverkehr oder den Flugverkehr zu stören.
Entscheidend dürfte sein, wer die Schweiz angreift. Sind es prorussische Hacktivisten wie «NoName», Hacker also, die aus politischen Motiven handeln? «NoName» ist seit März 2022 aktiv und verbreitet seine Taten über Telegram. Die Follower können wünschen, welches Ziel als Nächstes angegriffen werden soll. Die Gruppierung will möglichst hohe mediale Aufmerksamkeit generieren.
Oder sind es staatliche russische Akteure wie etwa «Fancy Bear»? Die Gruppe gehört dem russischen Militärgeheimdienst GRU an. Westliche Geheimdienste bezeichnen sie auch als «APT 28» oder als «Militäreinheit 26165». «Fancy Bear» ist verantwortlich für die Cyberattacke auf die deutsche Regierungs- und Kanzlerpartei SPD, mit der E-Mail-Konten kompromittiert wurden, wie am Freitag bekannt wurde.
Zu den «konkreten Abwehrmassnahmen» könne man «aus Sicherheitsgründen» keine Auskunft geben, lässt es verlauten. Es betont aber:
Eine dieser Massnahmen dürfte die Vorbereitung auf DDoS-Angriffe sein. So könnten Provider vorgewarnt werden, im Fall von Attacken höhere Datenkapazitäten bereitzuhalten - um Überlastungsangriffe ins Leere laufen zu lassen.
(aargauerzeitung.ch)