![\"\"](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/Screenshot-2023-07-13-143233.png\")
<\/a>Abbildung <\/a>1: Anzahl der Cyber-Angriffe auf verschiedene staatliche und milit\u00e4rische Institutionen in der Ukraine [1]
<\/figcaption><\/figure>\n\n\n\n
Dabei wurden verschiedenste Arten von Angriffen durchgef\u00fchrt wie z.B. DDOS-Angriffe auf Regierungs-Websites, oder Phishing-Angriffe. Seit M\u00e4rz 2022 wurde au\u00dferdem vermehrt die Malware CaddyWiper in Organisationen entdeckt [1]. Dieser \u201eDatenwiper\u201c l\u00f6scht alle Daten unter dem Laufwerk C:\\Users sowie alle Daten unter den verf\u00fcgbaren Laufwerken D: bis Z: [2].<\/p>\n\n\n\n
Die Google Threat Analysis Group (GAT) hat bei ihren Untersuchungen der Auswirkungen des Ukraine-Konflikts einen Wandel im Bereich der Cyberkriminalit\u00e4t festgestellt. Angriffe zwischen privaten Akteuren mit finanziellen Motiven verschwimmen demnach zunehmend mit staatlich organisierten Angriffen. So wurde ein Angriff auf staatliche Organisationen mit einer Malware, welche beim \u00d6ffnen eines XLS-Files eine EXE-Datei ausf\u00fchrt, durchgef\u00fchrt. Diese l\u00e4dt die IcedID-Malware herunter. IcedID ist ein Banking Trojaner, der urspr\u00fcnglich weltweit zum Stehlen von Benutzerdaten, vor allem beim Online-Banking von Privatpersonen genutzt wurde, jetzt aber auch gezielt auf staatliche Organisationen in der Ukraine eingesetzt wird [1].<\/p>\n\n\n\n
Nachdem wir anhand des Ukraine-Konflikts beispielhafte Trends und konkrete Szenarien im Bereich Cyber-Warfare gesehen haben, soll nun eine allgemeinere \u00dcbersicht auf das Thema Cyber-Warfare gezeigt werden. Dabei soll auf \u201eThreat Actors\u201c und \u201eThreat Types\u201c eingegangen werden und gezeigt werden, wie eine Verteidigung gegen Angriffe erfolgen kann. In den folgenden Abschnitten steht dabei im Fokus, welche Gefahren aus Sicht von der NATO gesehen werden und wie sich diese gegen Gefahren vorbereitet.<\/p>\n\n\n\n
Welche Gefahren sieht die NATO im Bereich Cyberspace?<\/h3>\n\n\n\n
In der Allied Joint Doctrine for Cyberspace Operations der NATO beschreibt diese die Relevanz von Cyberspace Operationen. Dabei wird die Relevanz von funktionierenden Netzwerken und dem freien Datenfluss f\u00fcr die Zivilgesellschaft, sowie f\u00fcr das Milit\u00e4r als kritisch hervorgehoben. Demnach bieten Informationssysteme attraktive Angriffsziele und m\u00fcssen entsprechend gesch\u00fctzt werden. Durch die NATO wird dabei die Kontrolle des Cyberspace als ebenso wichtig angesehen, wie die Kontrolle \u00fcber herk\u00f6mmliche Dom\u00e4nen wie z.B. Land, Luft, Weltraum oder See.<\/p>\n\n\n\n
\n<\/p>\n\n\n\n
\u201eIn an interconnected world where military success may depend as much on the ability to control one\u2019s narrative as the ability to create physical effects, freedom of action in cyberspace may be as important as control over land, air and space, or sea.\u201c [3]<\/em><\/p>\n<\/blockquote>\n\n\n\n
Aufgrund der hohen Vernetzung und Allgegenw\u00e4rtigkeit des Cyberspace k\u00f6nnen mit geringen Mitteln Angriffe durchgef\u00fchrt werden, die gro\u00dfe Auswirkungen besitzen k\u00f6nnen. Im Vergleich zu physischen, milit\u00e4rischen Angriffen lassen sich Angriffe au\u00dferdem leichter verschleiern. Dies bietet Akteuren, die sonst (gerade z.B. gegen die NATO) keine M\u00f6glichkeiten eines Angriffs haben w\u00fcrden, eine asymmetrische Alternative. Angriffe k\u00f6nnen dabei von verschieden sogenannten \u201eThreat Actors\u201c ausgef\u00fchrt werden, in der Joint Doctrine for Cyberspace Operations der NATO werden dabei die folgenden Akteure beschrieben [3]:<\/p>\n\n\n\n
\n
- State Actors:\u00a0<\/strong>Staatliche Akteure die Angriffe auf z.B. andere Staaten bzw. staatliche Organisationen, milit\u00e4rische Einrichtungen oder Unternehmen durchf\u00fchren. Direkte Angriffe einzelner Staaten sind bisher selten aufgetreten, k\u00f6nnen jedoch weitreichende Konsequenzen haben.<\/li>\n\n\n\n
- Non-state Actors:\u00a0<\/strong>Sind Akteure, die prinzipiell f\u00fcr sich selbst agieren. H\u00e4ufig werden solche Akteure jedoch als Proxies von Staaten eingesetzt, dies kann Gr\u00fcnde wie gr\u00f6\u00dferes Know-How der Akutere haben. H\u00e4ufig werden Proxy-Actors jedoch eingesetzt, damit Staaten Angriffe besser bestreiten k\u00f6nnen [3]. Die im ersten Abschnitt erw\u00e4hnten Angriffe mit CaddyWiper sind z.B. voraussichtlich auf das Hackerkollektiv Sandworm bzw. Sofacy zur\u00fcckzuf\u00fchren [4]. Diese Gruppe wird auch auf einen Angriff auf den Deutschen Bundestag im Jahr 2015 bezichtigt. Laut westlichen Geheimdiensten und einem gro\u00dfen Teil der IT-Sicherheitsforscher ist diese Gruppe Teil des russischen Milit\u00e4rgeheimdienstes, was jedoch nicht durch gerichtsfeste Beweise nachgewiesen ist [5]<\/li>\n\n\n\n
- Kriminelle: <\/strong>Deren Aktivit\u00e4ten unter Umst\u00e4nden auch milit\u00e4rische Operationen beeinflussen. Nicht direkt auf milit\u00e4rische bzw. staatliche Einrichtungen gezielte Cyberangriffe privater Personen\/Gruppen fallen dabei jedoch in die Zust\u00e4ndigkeit nationaler Gerichte.<\/li>\n\n\n\n
- Insiders: <\/strong>Wie bei Unternehmen spielen Insider-Attacks auch bei milit\u00e4rischen Einrichtungen eine gro\u00dfe Rolle. Angriffe k\u00f6nnen dabei willentlich durch Mitarbeiter oder ehemalige Mitarbeiter durchgef\u00fchrt werden oder auch versehentlich, wenn z.B. Sicherheits-Guidelines umgangen oder ignoriert werden [3].<\/li>\n<\/ul>\n\n\n\n
Als Angriffsarten bzw. \u201eThreat Types\u201c, die besonders h\u00e4ufig sind, werden in der Joint Doctrine for Cyberspace Operations z.B. Denial-of-Service erw\u00e4hnt [3]. Generell sollen DoS-Angriffe ca. 90% aller Angriffe ausmachen [6]. Weitere g\u00e4ngige Angriffsarten sind demnach z.B. das T\u00e4uschen befugter Nutzer, um Sicherheitsgef\u00e4hrdende Aktionen durchzuf\u00fchren, dies ist zum Beispiel bei Phishing-Angriffen der Fall. Angriffe \u00fcber Malware-Installationen (wie bei CaddyWiper) sind weitere Angriffsmuster [3]. Anstelle der L\u00f6schung von Daten, kann ein solcher Angriff auch genutzt werden, um ein System weiter zu infiltrieren. Die Folgen der beschriebenen Angriffe k\u00f6nnen je nach Ziel sehr weitreichend sein. Besonders im milit\u00e4rischen Kontext k\u00f6nnen gro\u00df angelegte Angriffe zum Ausfall oder der Zerst\u00f6rung von z.B. Energieinfrastrukturen wie Stromnetzen oder Kraftwerken eingesetzt werden. Folgen solcher Angriffe k\u00f6nnen zum Teil \u00e4hnliche Ausma\u00dfe besitzen, wie Naturkatastrophen [6].<\/p>\n\n\n\n
Ein weiterer \u201eThreat Type\u201c, der in der Joint Doctrine der NATO nicht explizit erw\u00e4hnt wurde, ist die Verbreitung von Falschmeldungen im Kontext des Informationskrieges. Von der GAT wird dies als ein weiterer Typ eines Cyber-Angriffes gesehen. In den letzten Jahren haben sich die M\u00f6glichkeiten zur Verbreitung von Falschmeldungen stark vereinfacht. Es k\u00f6nnen z.B. generative KI-Verfahren eingesetzt werden, um Deep-Fakes zu erstellen. Am 16. M\u00e4rz 2022 wurde zum Beispiel die Website des ukrainischen Nachrichtensenders Ukraine 24 kompromittiert und ein Deep-Fake Video des ukrainischen Pr\u00e4sidenten Zelensky abgespielt. In diesem Deep-Fake verlie\u00dft dieser die Kapitulation der Ukraine vor den russischen Streitkr\u00e4ften. Die Qualit\u00e4t des Videos ist zwar nicht besonders hoch und f\u00fcr viele vermutlich schnell als Deep-Fake zu erkennen. Jedoch ist davon auszugehen, dass die Qualit\u00e4t solcher Deepfake-Videos stark zunehmen wird und in Zukunft solche Videos vermehrt im Informationskrieg eingesetzt werden. Besonders wenn Original und F\u00e4lschung kaum mehr zu unterscheiden sind, wird es schwierig, gegen solche Arten der Angriffe vorzugehen\u00a0[1].<\/p>\n\n\n\n