Geopolitik prägt die Cybergefahrenlandschaft
Politische und soziale Krisen, aber auch Großveranstaltungen wirken sich auf die IT-Sicherheit aus. Staatlich unterstützte Hacker arbeiten mit Unterstützung im Hintergrund. Cyberkriminelle nutzen schon länger geopolitische Ereignisse, um ihre Ziele zu verwirklichen. Politisch motivierte Hacker werden zu handelnden Personen in der wachsenden Weltunsicherheit.
Diese drei Gruppen werden Großereignisse oder politische Krisen und Kriege nicht mehr nur als Trittbrettfahrer für ihre Zwecke nutzen. Sie werden eine aktive und immer größere Rolle spielen.
Geopolitik im Blick
Bedrohungsakteure nutzen internationale Großereignisse, um bei diesen Gelegenheiten zuzuschlagen. Zunehmend werden das Internet und die IT dann zu einem Schlachtfeld um Informationskontrolle, Spionage oder Sabotage. Angreifer können Fehlinformationen verbreiten, die Infrastruktur attackieren oder Phishing-Mails versenden. Anlässe gibt es in den nächsten Monaten zur Genüge: In rund 70 Ländern finden bis Ende 2024 Wahlen statt – darunter im November die Wahl des neuen US-Präsidenten. Die Olympischen Spiele in Paris bieten ebenfalls zahlreiche Gelegenheiten, um schädlichen Content zu verbreiten. Sie bieten Cyberkriminellen eine große Angriffsfläche und ermöglichen koordinierte Angriffe in verschiedenen Bereichen wie Informationen, Gebäude, physische Sicherheit und digitale IT-Infrastruktur. Militärische Konflikte wiederum können zu Angriffen auf kritische Systeme im Rahmen eines gezielten und komplexen Cyberkriegs führen.
Krisen und Großereignisse sind immer häufiger Anlass für intensive Aktivitäten verschiedener Hackertypen. Drei Gruppen von Akteuren werden die IT-Sicherheitslage unter geopolitischen Vorzeichen bestimmen: staatlich unterstützte Hacker, Cyberkriminelle und Hacktivisten.
Gruppe 1: Staatlich geförderte Cyberoperateure
Einige Hacker-Gruppen agieren im Rahmen politischer Ereignisse und militärischer Konflikte sowie Geopolitik mit der Hilfe staatlicher Stellen. Letztere finanzieren sie unter anderem für Cyberspionage, Sabotage sowie um Propaganda- und Desinformationskampagnen durchzuführen. Von staatlichen Stellen oft gedeckt, entgehen diese Gruppen in der Regel einer Strafverfolgung. Zu ihrem Arsenal gehören ausgeklügelte Angriffe wie eine fortschrittliche Ransomware, Angriffe auf die Supply Chain und sehr gezieltes Spear Phishing. Folgende Gruppen sind bekannt und werden 2024 aktiv bleiben:
- APT28 und APT29: Angriffe auf Regierungs-, Diplomaten-, Medien-, Gesundheits-, Energie- und politische Organisationen – insbesondere in Ländern, die im Konflikt zu russischen Interessen stehen.
- Die Einheit 61398 steht im Kontakt mit den chinesischen Streitkräften und betreibt vor allem Cyberspionage gegen die USA.
- APT10 hat einen chinesischen Hintergrund und sucht weltweit nach geistigem Eigentum und sensiblen Daten.
- Nordkorea fördert die Lazarus-Gruppe. Diese war zuletzt für öffentlichkeitswirksame Angriffe wie den Sony-Pictures-Hack und die WannaCry-Ransomware verantwortlich.
- Der Iran fördert wahrscheinlich folgende zwei Gruppen: APT33 legt den Fokus auf die Bereiche Luft- und Raumfahrt, Energie sowie Petrochemie. APT35 ist bekannt für Social-Engineering-Angriffe auf Regierungsbeamte, Journalisten und Akademiker.
Gruppe 2: Cyberkriminelle Ransomware-Banden
Erpresserische Angriffe sind im geopolitischen Cyberspace eine große Gefahr. Die Gruppen der Cyberkriminellen reichen von den Betreibern der erpresserischen IT bis zu Initial Access Brokern (IABs), die den Zugang zu kompromittierten Netzwerken verkaufen. Folgende Ransomware-Betreiber werden wahrscheinlich auch in den nächsten Monaten agieren:
- Die Cl0p-Ransomware-Bande zielt auf kritische Sektoren wie das Gesundheitswesen, die Energiewirtschaft und die Produktion. Cl0p entwickelt seine komplexen Angriffstechniken ständig weiter. Zu ihnen gehören Social Engineering, Phishing, Exploit-Kits, Kompromittierung der Lieferkette, Datenverschlüsselung und Zero-Day-Exploits.
- Die Akteure hinter LockBit suchen gezielt nach Unternehmen mit wertvollen Daten und geistigem Eigentum. Sie greifen mit Werkzeugen an, die sie einfacher nutzen und verwalten sowie gezielter einsetzen. Ihr Ziel sind verstärkt Cloud-Infrastrukturen. Die Gruppe droht damit, Informationen offenzulegen, um die Opfer zusätzlich unter Druck zu setzen.
- BlackCat, auch bekannt als ALPHV, rekrutiert aktuell neue Affiliates für sein Ransomware-Betreibernetz. Die Gruppe hat es weltweit auf verschiedene Industriezweige abgesehen. Sie ist dafür bekannt, ihre Unternehmen zweifach zu erpressen: Sie stiehlt sensible Informationen, bevor sie die Daten verschlüsselt und droht mit DDoS (Distributed Denial of Service)-Angriffen, sollte das Opfer das Lösegeld nicht bezahlen.
Gruppe 3: Zunehmender Hacktivismus
Politisch und sozial motivierte Hacktivisten wollen die öffentliche Debatte und Geopolitik beeinflussen, die Arbeit und die Amtsgeschäfte von Regierungen stören oder vermeintliche Ungerechtigkeiten aufdecken. Hacktivisten könnten bei globalen oder lokalen Konflikten mittels Cyberangriffen den Regierungsbetrieb stören, sensible Informationen offenlegen oder die öffentliche Meinung beeinflussen. Die Aktionen dieser Gruppen sind in jüngster Zeit im geopolitischen, militärischen und gesellschaftlichen Kontext wichtiger geworden. Dieser Trend wird sich fortsetzen. Folgende Faktoren spielen dabei eine Rolle:
- Neue Technologien: Hacktivisten können die mit gefährlichen Konsequenzen demokratisierte künstliche Intelligenz nutzen oder andere neue Technologien ins Visier nehmen. Damit wollen sie entweder die Anfälligkeit der angegriffenen IT-Infrastrukturen demonstrieren oder eine Aussage über die ethischen Implikationen und Gefahren von Technologien treffen
- Zunehmende Komplexität der Angriffe: Politisch motivierte Angreifer setzen immer anspruchsvollere Angriffsmethoden und fortschrittlichere Malware und Ransomware ein, um Schwachstellen in neuen und vorhandenen Technologien auszunutzen.
- Zusammenarbeit mit anderen Gruppen und Cyberkriminellen: Eine verstärkte Zusammenarbeit zwischen verschiedenen Aktivistengruppen oder mit Cyberkriminellen könnte zu besser koordinierten und effektiveren Cyberoperationen führen.
- Soziale Medien und Desinformationskampagnen: Hacktivisten werden intensiver soziale Medienplattformen nutzen, um Desinformationen oder Propaganda zu verbreiten.
- Konzentration auf Wirtschafts- und Umweltfragen: Politisierte Akteure könnten Unternehmen oder Regierungen ins Visier nehmen, deren Geschäfte als umweltschädlich gelten oder zu wirtschaftlichen Ungleichheiten beitragen.
- Ausnutzen der öffentlichen Meinung: Hacktivisten werden vermutlich Cyber-Kampagnen zu Themen wie Menschenrechte, Datenschutz und digitale Freiheit starten.
Es ist davon auszugehen, dass politische Ereignisse uund Geopolitik verstärkt zu Brennpunkten für Cyber-Gefahren werden. Verschiedene Akteure – darunter staatlich gesponserte Gruppen, Ransomware-Banden und Hacktivisten – werden sich mit unterschiedlichen Motiven an diesem Prozess beteiligen. Konkrete Vorhersagen über die Angriffe lassen sich aber im Vorfeld kaum treffen. Alle Unternehmen und Organisationen sollten ihre IT-Sicherheitsstrategie an den hier vorhergesagten Trends ausrichten und sich vorbereiten. Alle Verantwortlichen sollten wachsam sein und ihre IT-Abwehr an geopolitischen Ereignissen ausrichten.