Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Die wichtigsten Techniken und Technologien für den Cyberkrieg

In unserem Artikel Cyber Warfare: Von Nationalstaaten gesponserte Cyberangriffe haben wir die Art der Kriegsführung in der virtuellen Welt des Internets und ihre Unterschiede zur konventionellen Kriegsführung erörtert. Wir haben auch dargelegt, warum eine Art "Cybergeddon" - ein totaler Cyberkrieg - noch nicht stattgefunden hat und wahrscheinlich auch nie stattfinden wird. In diesem Beitrag werden wir uns ansehen, welche staatlichen Akteure Cyberkriegsoperationen durchgeführt haben, welche Techniken sie bei ihren Kampagnen eingesetzt haben und welche Technologien zur Verteidigung gegen Cyberkriegsangriffe zur Verfügung stehen.

Wichtigste Erkenntnisse

  • Cyberkrieg wird von einer kleinen Zahl von Nationalstaaten geführt – in erster Linie von den USA, Russland, China, Nordkorea und dem Iran –, aber zunehmend auch von staatlich finanzierten Hacker-Söldnergruppen und unkontrollierbaren Hacktivisten-Kollektiven wie Anonymous.
  • Die drei Hauptziele von Operationen im Rahmen der Cyberkriegsführung sind Spionage (Informationsbeschaffung), Sabotage (Störung oder Zerstörung feindlicher Fähigkeiten) und psychologische Kriegsführung (Desinformation, soziales Chaos und Propaganda).
  • DDoS-Angriffe sind die am leichtesten umsetzbare Technik der Cyberkriegsführung; ihre Durchführung erfordert relativ wenig Aufwand und sie wurden bereits in realen Konflikten wie den Angriffen auf Estland im Jahr 2007 und den frühen Operationen Russlands gegen die Ukraine eingesetzt, um die Infrastruktur von Regierungen, Banken und Medien lahmzulegen.
  • Ransomware hat sich zu einem Instrument der Cyberkriegsführung mit doppeltem Zweck entwickelt – sie generiert einerseits Einnahmen für staatlich geförderte Gruppen und verursacht andererseits Betriebsstörungen, Denial-of-Service-Angriffe und psychischen Druck auf die Zielorganisationen.
  • Die SSL/TLS-Überprüfung ist eine entscheidende Verteidigungsmaßnahme im Kontext der Cyberkriegsführung, da verschlüsselter Datenverkehr zunehmend dazu genutzt wird, Malware in Netzwerke einzuschleusen und Daten zu entwenden, weshalb die Transparenz verschlüsselter Kanäle für eine wirksame Verteidigung unerlässlich ist

Cyberwar-Gruppen

Staatliche Akteure

Es gibt fünf Nationalstaaten, von denen bekannt ist, dass sie in der Lage sind, einen groß angelegten Cyberkrieg zu führen:

Darüber hinaus haben viele andere Länder Cyberwar-Kapazitäten entwickelt, die vorgeblich der Verteidigung dienen.

Cyber Warfare Söldner

So zahlreich die operativen Cybersicherheitseinheiten staatlicher Akteure auch sind, so sind sie doch nur der sichtbare Teil der globalen Cyberkriegsmaschinerie, die größtenteils von Hackergruppen betrieben wird, die von staatlichen Akteuren finanziert werden. Cyber-Söldner sind für alles zu haben, von der Überwachung bis zu DDoS-Angriffen. So hat beispielsweise die berüchtigte israelische NSO Group ihre iPhone-Spionagesoftware Pegasus an Regierungsbehörden auf der ganzen Welt verkauft, darunter das New York Police Department und die Regierungen von Mexiko, Panama, Ghana und Saudi-Arabien. Die Spyware wurde auf den Handys von Politikern und Regierungsbeamten, Unternehmensleitern, Journalisten, Aktivisten und sogar Avner Netanyahu [er], dem Sohn des damaligen Premierministers Benjamin Netanyahu, gefunden.

Hacktivisten

Obwohl Hacker, die sich für eine Sache engagieren - Hacktivisten -, von einem staatlichen Akteur weder geschaffen noch finanziert werden, können sie in einem Cyberwar eine bedeutende Kraft sein, indem sie beispielsweise einen groß angelegten DDoS-Angriff gegen die eine oder andere Seite starten. Das Problem für die Seite, die die Hacktivisten unterstützen, ist, dass sie nicht kontrollierbar sind und den Angriffsplan der eigenen Seite stören oder sogar vereiteln können. Für die andere Seite besteht das Problem darin, dass die oft verteilten und unkoordinierten Angriffe die ausgefeilteren Angriffe der staatlichen Akteure verdecken können. Eines der besten Beispiele für Hacktivismus ist das dezentralisierte internationale Kollektiv Anonymous:

Unterstützer haben die Gruppe als "Freiheitskämpfer" und digitale Robin Hoods bezeichnet, während Kritiker sie als "Cyber-Lynchmob" oder "Cyber-Terroristen" bezeichnet haben. Im Jahr 2012 zählte Time Anonymous zu den "100 einflussreichsten Menschen" der Welt. Das Medienprofil von Anonymous nahm 2018 ab, aber die Gruppe tauchte 2020 wieder auf, um die Proteste von George Floyd und andere Anliegen zu unterstützen. - Wikipedia

Arten von Cyberangriffen

Cyber-Spionage

In der Cyber-Kriegsführung verfolgt die Spionage die gleichen Ziele wie in der konventionellen Kriegsführung, d. h. es geht darum, so viel wie möglich über die physischen, informationellen und Cybersicherheitsressourcen des Gegners zu erfahren. Dazu können das Hacken von Servern und Netzwerken, Phishing-Angriffe und Social Engineering eingesetzt werden, um Zielnetzwerke abzubilden, in Datenquellen einzudringen und dann Informationen zu exfiltrieren.

Cyber-Sabotage

Das Ziel der Sabotage im Cyberwar ist es, die Informationsdienste, Cybersicherheitsmaßnahmen und Ressourcen eines Ziels zu schwächen, zu deaktivieren, zu beschädigen oder zu zerstören. Der Stuxnet-Wurm (siehe unten), der von den Vereinigten Staaten und Israel entwickelt wurde, um die iranischen Kapazitäten zur Verarbeitung von Kernbrennstoffen zu schädigen, ist ein hervorragendes Beispiel für Cybersabotage.

Psychologische Cyber-Kriegsführung und Propaganda

Psychologische Kriegsführung oder PsyOps werden seit jeher in der konventionellen Kriegsführung eingesetzt. In der Schlacht von Pelusium im Jahr 525 v. Chr. trugen die persischen Truppen beispielsweise Katzen vor sich her in die Schlacht, um die Ägypter, in deren religiösem Glauben Katzen als heilige Tiere gelten, psychologisch zu bekämpfen. Im digitalen Zeitalter setzen Nationalstaaten Cyber-PsyOps ein, um durch Desinformationskampagnen, Ransomware-Angriffe, die Übernahme und Verunstaltung von Websites und verteilte Denial-of-Service-Angriffe ein soziales Chaos zu verursachen und Websites und Dienste lahmzulegen.

Techniken der Cyber-Kriegsführung

Verteilte Denial-of-Service-Angriffe (DDoS)

Bei einem DDoS-Angriff (Distributed Denial of Service) werden verschiedene Techniken eingesetzt, um ein Ziel mit gefälschten Anfragen zu überschwemmen, die den Betrieb und die Systeme stören oder anhalten und den Zugang zu Websites für Zivilisten, Militär- und Sicherheitspersonal oder Forschungseinrichtungen blockieren können. Von allen Arten von Cyberangriffen sind DDoS-Angriffe am einfachsten zu bewerkstelligen. In den ersten Tagen des russischen Angriffs auf die Ukraine legte eine Reihe von DDoS-Angriffen die ukrainische Regierung und Banken kurzzeitig lahm, und Beamte der USA und Großbritanniens identifizierten Russland als Urheber. Die stellvertretende nationale Sicherheitsberaterin der USA, Anne Neuberger, erklärte vor Journalisten im Weißen Haus, dass Washington versuche, Russland für seine aggressiven Aktionen im Cyberspace zur Rechenschaft zu ziehen.

Phishing, Spearphishing und Whaling

Phishing-Angriffe zielen auf jeden, der auf einen Link in einer E-Mail-Nachricht klickt, in der Hoffnung, seinen Computer, seine Cybersicherheit und seine Netzwerkverbindungen zu gefährden. Ein gezielterer Versuch, das Spearphishing, zielt auf Personen ab, die in einem bestimmten Unternehmen oder einer bestimmten Branche arbeiten, um sich Zugang zu diesem Unternehmen zu verschaffen. Um einen Spearphishing-Angriff durchzuführen, können Angreifer eine Mischung aus E-Mail-Spoofing, dynamischen URLs und Drive-by-Downloads verwenden, um Sicherheitskontrollen zu umgehen.

Whaling-Angriffe zielen sehr gezielt auf hochrangige Führungskräfte ab, die Zugang zu Unternehmensdaten oder -finanzen haben. So kann beispielsweise eine Führungskraft mit finanziellen Genehmigungsbefugnissen eine E-Mail von einer Führungskraft der C-Ebene erhalten, in der sie aufgefordert wird, dringend einen hohen Geldbetrag zu überweisen, um eine Lieferantenzahlung oder eine ähnliche Verpflichtung zu erfüllen.

Ransomware

Ein Ransomware-Angriff basiert auf Malware, die die Festplatten eines Computers verschlüsselt und eine Zahlung, meist in Kryptowährung, verlangt. Diese Angriffe werden meist über Phishing gestartet und haben sich zu einer der häufigsten Techniken für Erpressung und Denial-of-Service entwickelt. Der "Verizon Data Breach Investigations Report" aus dem Jahr 2021 stellte fest, dass Ransomware die Ursache für 10 Prozent aller Sicherheitsverletzungen war, und das Internet Crime Complaint Center des FBImeldete mit 2.084 Ransomware-Beschwerden, die von Januar bis zum 31. Juli 2021 eingereicht wurden, einen Anstieg der Ransomware um 62 Prozent im Vergleich zum Vorjahr.

Beispiele für Cyberwarfare

Obwohl es schwierig sein kann, den Ursprung eines Cyberwar-Angriffs zu ermitteln, können einige Cybersecurity-Angreifer anhand ihrer Angriffsmethoden, der Codierung der Malware oder der über verdeckte Kanäle gewonnenen Informationen identifiziert werden. Hier einige Beispiele für Cyberwar-Angriffe, die sich nicht nur durch ihre Größe und Reichweite auszeichneten, sondern auch dadurch, dass es viele Beweise zur Identifizierung der Angreifer gab:

  • 2007: Ein verteilter Denial-of-Service-Angriff durch ein Botnetz von über einer Million Computern legte die estnischen Regierungs-, Wirtschafts- und Medienwebsites lahm. Es wurde vermutet, dass der Angriff von Russland ausging und durch die politischen Spannungen zwischen den beiden Ländern motiviert war.
  • 2009: Ein mutmaßlich chinesisches Cyberspionagenetzwerk namens "GhostNet", das von der chinesischen Regierung dementiert wurde, hackt sich in staatliche und private Organisationen in über 100 Ländern weltweit ein und schmuggelt vertrauliche Informationen heraus.
  • 2010: Ein Cyberangriff auf die iranische Kernbrennstoffaufbereitungsanlage führte zur physischen Zerstörung von fast 1.000 Zentrifugen zur Urananreicherung durch den Computerwurm Stuxnet. Die Beweise deuten darauf hin, dass der Wurm von den Vereinigten Staaten und Israel in einer gemeinsamen Anstrengung, die als Operation Olympic Games bekannt ist, entwickelt wurde.
  • 2014: Nach der Veröffentlichung des Films "The Interview", der ein negatives Bild von Kim Jong Un zeichnete, wurde der Verleger Sony Pictures angegriffen. Es überrascht nicht, dass der Angriff auf die Cybersicherheit nordkoreanischen Hackern zugeschrieben wurde.
  • 2014 bis 2016: Eine russische organisierte Cyberkriminalitätsgruppe namens Fancy Bear nahm ukrainische Raketentruppen und Artillerie ins Visier, indem sie Malware über eine infizierte Android-Anwendung verbreitete, die von der Artillerieeinheit D-30 Haubitze zur Verwaltung von Zieldaten verwendet wurde. Dieser äußerst erfolgreiche Angriff führte zur Zerstörung von über 80 Prozent der ukrainischen Haubitzen D-30.
  • 2022: Während Russland bis einschließlich dieses Jahres mehrere Cyberangriffe gegen die Ukraine durchgeführt hat, erklärte das Hacktivistenkollektiv Anonymous Russland Ende Februar 2022 den Krieg und behauptete, das russische Verteidigungsministerium angegriffen zu haben. Andere Hacktivistengruppen wie Ghostsec(eine Abspaltung von Anonymous), AgainstTheWest, SHDWsec, die Belarussian Cyber Partisans und Raidforums Admin greifen ebenfalls Russland an.

Wie A10 Networks helfen kann

Das branchenführende Unternehmen A10 Networks bietet Cybersicherheitslösungen an, darunter das A10 Thunder® Threat Protection System (TPS), das fortschrittliche DDoS-Schutz- und -Minderungsstrategien zum Schutz vor DDoS-Angriffen einsetzt. A10 Thunder SSL Insight (SSLi) bietet vollständige Transparenz des Netzwerkverkehrs und macht es Angreifern schwer, Malware in Netzwerke einzuschleusen oder Daten zu exfiltrieren. Diese Lösungen unterstützen eine Zero-Trust-Strategie, die Unternehmen dabei hilft, ihre Netzwerke und Daten zu schützen.


Häufig gestellte Fragen

Cyberkriminalität wird von nichtstaatlichen Akteuren vor allem aus finanziellen Gründen begangen. Cyberkrieg wird von Nationalstaaten oder in deren Auftrag geführt, um geopolitische Ziele zu erreichen – darunter Spionage, Sabotage oder die Störung der kritischen Infrastruktur eines Gegners – und ist oft Teil einer umfassenderen militärischen oder politischen Strategie.

Hacktivisten können den Druck auf einen Gegner verstärken, indem sie eigenständige DDoS- oder Defacement-Angriffe starten, doch sie unterstehen keiner Befehlsstruktur. Ihre unkoordinierten Aktivitäten können die ausgefeilteren verdeckten Operationen verbündeter staatlicher Akteure aufdecken und stören oder einen Konflikt unbeabsichtigt auf unvorhersehbare Weise eskalieren lassen.

Angreifer verschleiern ihre Herkunft gezielt, indem sie beispielsweise den Datenverkehr über mehrere Länder leiten, Malware einsetzen, die so programmiert ist, dass sie den Tools anderer Gruppen ähnelt, oder über Söldnergruppen operieren, die ihnen eine plausible Ausrede bieten. Selbst wenn eine Zuordnung anhand von Angriffsmustern oder geheimdienstlichen Erkenntnissen möglich ist, entscheiden sich Regierungen aus diplomatischen Gründen oft dafür, diese nicht öffentlich zu bestätigen.

Zero Trust macht die Annahme zunichte, dass alles innerhalb eines Netzwerkperimeters vertrauenswürdig ist, und erfordert eine kontinuierliche Überprüfung jedes Benutzers und jedes Geräts. Dies schränkt die laterale Bewegung nach einem ersten Einbruch ein, begrenzt die Auswirkungen von Ransomware und mindert die Wirksamkeit von Spionagetechniken, die darauf beruhen, sich nach dem Erlangen des ersten Zugriffs unentdeckt im Netzwerk zu bewegen.

Stuxnet war die erste öffentlich bekannte Cyberwaffe, die physische Schäden an realer Infrastruktur verursachte und dabei etwa 1.000 Zentrifugen zur Urananreicherung in der iranischen Anlage in Natanz zerstörte. Damit wurde deutlich, dass Cyberangriffe kinetische Auswirkungen erzielen können, die zuvor nur durch konventionelle Militärschläge möglich waren, was die Sichtweise von Nationalstaaten auf offensive Cyberfähigkeiten grundlegend verändert hat.

A10 Networks TrojAI Inc. und erweitert seine KI-Roadmap Lesen Sie die Meldung