Bericht von ProSec-Berufshackern: So steht es um die IT-Sicherheit in Deutschland

Das Jahr 2022 brachte neue Rekorde bei der Cyberkriminalität mit sich. Gemäß dem BSI stieg die Zahl der DDoS-Angriffe um 41 Prozent, es kursierten 116,6 Millionen Varianten von Schadsoftware, 20.174 Software-Schwachstellen wurden entdeckt und es gab 15 Millionen Meldungen über Schadsoftware-Infektionen. Zu den üblichen, meist finanziell motivierten Cyberangriffen gesellte sich 2022 jedoch ein neues Phänomen: politisch motivierte Attacken, auch bekannt als Hacktivismus-Kampagnen. Beispielsweise griffen Hacktivisten kurz nach dem Ausbruch des Krieges die Satellitenkommunikation der Ukraine an, was dazu führte, dass auch die Fernwartung deutscher Windkraftanlagen gestört war – ein vermutlich unbeabsichtigter Cyberkollateralschaden. Ein deutsches Mineralölunternehmen, das Tankstellen mit Treibstoff versorgt, konnte aufgrund eines Angriffs auf den russischen Mutterkonzern des Anbieters vorübergehend kritische Prozesse nicht mehr aufrechterhalten. So geriet die Tankstellenbelieferung in Gefahr.

Was die freie Wirtschaft betrifft, so war Ransomware im Jahr 2022 weiterhin die zentrale Problematik. Die Zahl der Erpressungsfälle stieg, gleiches traf auf die Zahl der Betroffenen und die Höhe der Lösegeldzahlungen zu. Besonders Unternehmen mit einem hohen Umsatz waren stärker betroffen als in der Vergangenheit. Doch nicht nur die Wirtschaft, sondern auch öffentliche Einrichtungen wurden immer häufiger Ziel von Cyberattacken. Ein besonders beunruhigender Fall war der erste offiziell anerkannte, digital bedingte Katastrophenfall in Deutschland, als ein Landkreis in Sachsen-Anhalt mehr als 200 Tage lang nicht in der Lage war, wichtige Dienstleistungen wie Sozialhilfezahlungen zu erbringen.

Immanuel Bär und Tim Schughart, Gründer von ProSec, einem IT-Sicherheitsunternehmen, beobachten Vorfälle wie diese sehr genau. Als sogenannte Ethical Hacker stehen sie auf der guten Seite. Schughart kommentiert den besorgniserregenden Trend zum Hacktivismus wie folgt: "Während böswillige Hacker normalerweise auf eine Lösegeldzahlung abzielen, zeigen prorussische Hacker ihre Stärke durch eine Show of Force."

Auf die Frage, was sie bei ihrer Arbeit antreibt, antworten die beiden Sicherheitsexperten einstimmig: "Angriffe auf die IT von Behörden betreffen letztendlich immer Menschen. Dieser Fakt motiviert uns besonders dazu, Behörden beim Thema der Cybersicherheit zu unterstützen". Einfach ist dies laut Schughart jedoch keineswegs. Die zunehmend digitalen Kommunen seien komplex und böten immer mehr Angriffsmöglichkeiten für Cyberkriminelle.

Welche dies im Einzelnen sind, wissen die beiden Profihacker sehr genau. Denn durch ihre Pentests haben die Experten ein tiefes Verständnis für die Methoden, die Kriminelle einsetzen, um Zugang zu Behördennetzwerken zu erlangen. Eine ungesicherte Netzwerkbuchse reiche oft bereits aus, um in die Netzwerke ihrer Kunden einzudringen. In den meisten Fällen sei jedoch die "Schwachstelle Mensch" der entscheidende Faktor, den Kriminelle nutzten. Ein typisches Beispiel sei eine Phishing-E-Mail mit Schadsoftware im Anhang. Wenn der Anhang solcher Nachrichten geöffnet wird, ermöglicht das den Angreifern den Zutritt zu geschützten Netzwerken. Dort breiten sie sich weiter aus. Ziel ist es, Daten aus dem betroffenen Netzwerk zu exfiltrieren und zu verschlüsseln, und eine Freigabe ist nur gegen die Zahlung eines Lösegeldes möglich.

Bär gibt außerdem zu bedenken, dass noch weitaus schwerwiegender Szenarien als eine Lösegelderpressung eintreten könnten. Beispielsweise hält er den Zugriff auf verschiedene Behördenregister oder sogar Eingriffe in den öffentlichen Verkehrsraum für möglich. "Man könnte Busse hacken, Verkehrsleitsysteme manipulieren und eventuell sogar ganze Stadtwerke", warnt der IT-Sicherheitsexperte.

Tatsächlich ist es dem ProSec-Team bereits gelungen, in die Netze eines Stadtwerkebetriebs einzudringen. Natürlich erfolgte dies nicht aus kriminellem Antrieb. Vielmehr wurden die Spezialisten extra für diesen Job engagiert. Die Geschichte verdeutlicht sehr gut, über welche Wege ein erfolgreicher Angriff möglich ist:

Konkret wurde das ProSec-Team beauftragt, das Operational-Technology-Netzwerk (OT-Netzwerk) der Stadtwerke einer Kommune zu kompromittieren und den Zugang dazu dauerhaft zu sichern. Die erste Maßnahme bestand darin, mithilfe eines Drohnenüberflugs nach möglichen physischen Zugangspunkten in den Räumen der Stadtwerke zu suchen. Dabei entdeckten die ProSec-Mitarbeiter keine offenen Türen oder Fenster, aber einen Papiercontainer, in dem sich später Lieferscheine eines lokalen IT-Dienstleisters fanden.

Mit diesem Wissen täuschte ein ProSec-Mitarbeiter in einem Phishing-Anruf die Identität des IT-Dienstleisters vor und erhielt so Informationen über den Standort der Kontroll- und Steuereinheiten des OT-Netzwerks. Da ein Zugriff via Internet nicht möglich war, installierten die ProSec-Experten einen "Praktikanten" innerhalb der Stadtwerke. Dieser erlangte bereits an seinem ersten Arbeitstag Zugang zu den sensiblen Bereichen des OT-Netzwerks und installierte einen Netzwerksniffer mit LTE-Anbindung, beschriftet mit "IT, bitte stehen lassen". Ein dauerhafter Zugang zum OT-Netzwerk war erfolgreich eingerichtet.