[datensicherheit.de, 25.04.2026] Kriegerische Auseinandersetzungen veränderten nicht nur geopolitische Kräfteverhältnisse, sondern schafften auch ein Klima der Unsicherheit bei Unternehmen auf der ganzen Welt, welche Cyberkriminelle systematisch für ihre Zwecke instrumentalisierten. „Die militärische Eskalation im Nahen Osten zeigt einmal mehr, wie schnell und wie koordiniert Hacker auf weltpolitische Ereignisse reagieren, um ihre Social-Engineering-Kampagnen anzupassen“, so Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in einer aktuellen Stellungnahme. Für Unternehmen bedeutet dies demnach, dass sich die Bedrohungslage in direkter Wechselwirkung mit dem aktuellen Nachrichtengeschehen entwickelt. Befeuert durch den Einsatz Künstlicher Intelligenz (KI) erreichten diese Phishing-Angriffe mittlerweile eine beispiellose Geschwindigkeit und qualitative Präzision.

Foto: KnowBe4

Dr. Martin J. Krämer: Nachrichten, die unmittelbaren Handlungsbedarf suggerieren, etwa zur Freigabe von Zahlungen oder zur sofortigen Prüfung von Dokumenten, sollten als Warnsignal gewertet werden!

Krisen als Verstärker der Wirksamkeit von „Social Engineering“ für Hacker

Angriffe auf die menschliche Entscheidungsebene entfalteten besonders dann Wirkung, „wenn sich das Opfer in einem Zustand erhöhter Anspannung oder Ablenkung befindet“.

• Weltweite Krisen wie Pandemien, Naturkatastrophen oder bewaffnete Konflikte dienten Kriminellen daher regelmäßig als Rahmen, um Dringlichkeit zu simulieren, Vertrauen zu erschleichen und Sicherheitsmechanismen zu umgehen.

„Aktuelle Beobachtungen aus der Region zeigen, dass sich dieses Muster im Zuge des Nahost-Konflikts erneut bestätigt“, warnt Krämer.

Deutlicher Anstieg der Hacker-Angriffsaktivität

Untersuchungen des Cybersicherheitsunternehmens Bitdefender belegten einen signifikanten Anstieg gezielter Phishing-Aktivitäten nach Beginn der militärischen Auseinandersetzungen: „In den Wochen nach den ersten US-israelischen Angriffen auf iranisches Territorium Ende Februar 2026 verzeichneten die Forscher einen Anstieg manipulierter E-Mails in den Golfstaaten um rund 130 Prozent, wobei die Spitzenwerte zeitweise das Vierfache des üblichen Niveaus erreichten.“

• Die Analyse zeige, dass es sich dabei nicht um vereinzelte opportunistische Aktionen handele, sondern um koordinierte, dynamisch angepasste Kampagnen. Angreifer reagierten in Echtzeit auf die sich verändernde Nachrichtenlage und nutzten die wirtschaftlichen Störungen, insbesondere im regionalen Schifffahrts- und Handelsverkehr, als glaubwürdige Tarnung.

Als Köder dienten vor allem geschäftlich relevante Formate wie Rechnungen, Verträge, Bankdokumente und Lieferbenachrichtigungen. „Während staatlich gesteuerte Akteure in der Region ebenfalls aktiv sind, geht Bitdefender davon aus, dass der überwiegende Teil des Anstiegs auf finanziell motivierte Kriminelle zurückzuführen ist.“

Empfehlungen für Unternehmen und Anwender zur Abwehr von Hacker-Angriffen

Organisationen sollten ihre Mitarbeiter gezielt für krisenbedingte Social-Engineering-Angriffe sensibilisieren. Unerwartete Anhänge, auch von vermeintlich vertrauten Absendern, sollten grundsätzlich mit Vorsicht behandelt und im Zweifel über einen unabhängigen Kanal verifiziert werden. Dateiformate wie „.eml“, „.jar“, „.rar“ oder „.hta“ seien dabei ebenso als potenziell gefährlich einzustufen wie klassische ausführbare Dateien.

• „Komprimierte Archive aus unbekannten Quellen gelten als besonders verbreiteter Umgehungsvektor für Sicherheitsfilter.“

Krämer führt aus: „Nachrichten, die unmittelbaren Handlungsbedarf suggerieren, etwa zur Freigabe von Zahlungen oder zur sofortigen Prüfung von Dokumenten, sollten als Warnsignal gewertet werden!“ Vor dem Öffnen von Links empfiehlt sich demnach die Überprüfung der tatsächlichen Zieladresse. Finanzielle oder rechtlich relevante Anfragen sollten stets über offizielle, unabhängige Kanäle bestätigt werden.

Hacker-Angriff zielen zunehmend auf persönliche Konten

Dass sich diese Entwicklung längst nicht mehr auf Unternehmenssysteme beschränke, belege ein prominenter Vorfall aus den USA: „Eine dem Iran zugerechnete Gruppierung drang in ein privates E-Mail-Konto von FBI-Direktor Kash Patel ein und veröffentlichte daraus stammende Fotos und Dokumente.“

• Die Realität sei, dass Angreifer zunehmend persönliche Konten ins Visier nähmen – mit dem Ziel der Rufschädigung und potenziell auch der Erpressung. Der Schutz von Führungskräften und exponierten Mitarbeitern müsse daher konsequent über den beruflichen Kontext hinausgedacht werden.

Krämers Fazit: „Unternehmen sind gut beraten, ihre Sicherheitsstrategie um eine kontinuierliche, realitätsnahe Sensibilisierung aller Mitarbeitenden zu ergänzen, die sowohl berufliche als auch private digitale Verhaltensweisen einbezieht: Nur wer das menschliche Urteilsvermögen als integralen Bestandteil der Cyber-Verteidigung begreift, kann auch in der aktuellen Bedrohungslandschaft Schritt halten!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Bitdefender, Alina BÎZGĂ, 25.03.2026
War in the Middle East Triggers Surge in Phishing and Malware Campaigns Targeting Gulf Countries

datensicherheit.de, 27.03.2026
Iran-Krieg als Aufhänger: Cyberkriminelle missbrauchen geopolitische Ereignisse für Malware-Attacken auf Geschäftskommunikation / „Bitdefender Labs“ melden Zunahme opportunistischer Malware-Cyberkriminalität zu geschäftlichen Abläufen in Echtzeit

[datensicherheit.de, 06.03.2026] Aktuelle Entwicklungen rund um den Iran zeigen aktuell offensichtlich auf, wie eng geopolitische Spannungen und Cyberoperationen inzwischen miteinander verwoben sind. Ismael Valenzuela, „VP of Threat Intelligence Research“ bei Arctic Wolf, geht in seiner aktuellen Stellungnahme auf die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen ein.

Foto: Arctic Wolf

Ismael Valenzuela warnt: Bereits subtile Manipulationen von Eingaben oder „Workflows“ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben!

OT, Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil des umkämpften Raums

„Was wir derzeit beobachten, ist hybride Kriegsführung in großem Maßstab – koordinierte kinetische Operationen gegen den Iran, vorbereitende Cyberaktivitäten sowie eine zu erwartende Welle iranischer und durch Stellvertreter geführter Einflusskampagnen, die die Grenzen zwischen militärischem Konflikt und zivilem Umfeld zunehmend verschwimmen lassen“, kommentiert Valenzuela.

• Organisationen weltweit müssten also davon ausgehen, dass ihre „Operational Technology“ (OT), Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil dieses umkämpften Raumes seien – „unabhängig davon, ob sie sich selbst als ,Ziel‘ betrachten oder nicht“.

Der Einsatz Künstlicher Intelligenz (KI) in der Kriegsführung sei längst keine theoretische Annahme mehr. „Wenn geopolitische Spannungen zunehmen, werden digitale Steuerungsebenen – insbesondere jene, die mit Automatisierung und Entscheidungsunterstützung verknüpft sind – zu strategischem Terrain!“, betont Valenzuela. Die Integrationsschichten, welche KI-Agenten mit internen Systemen, APIs und externen Datenquellen verbinden, zählten inzwischen zur Kritischen Infrastruktur (KRITIS).

KI-Framework bzw. -Anbieter per se weniger entscheidend als deren konsequente Kontrolle

Da Automatisierungsschichten über persistente Kontextinformationen verfügten und direkten Zugriff auf operative Systeme erhielten, entstünden faktisch neue angreifbare Steuerungsebenen. „Bereits subtile Manipulationen von Eingaben oder ,Workflows’ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben.“

• Das eigentliche Risiko liege daher nicht darin, welches KI-Framework oder welchen Anbieter ein Unternehmen bevorzugt, sondern darin, „ob diese integrierten Entscheidungsunterstützungs-Systeme mit derselben Strenge erfasst, überwacht und auf Belastbarkeit getestet werden wie die Netzwerke und Umgebungen, die sie beeinflussen“.

Valenzuela gibt zu bedenken: „Wenn Organisationen auf staatliche Systeme, globale Zulieferer oder automatisierungsgetriebene Entscheidungsprozesse angewiesen sind, müssen diese Abhängigkeiten dokumentiert, kontinuierlich neu bewertet und ausdrücklich in Krisensimulationen einbezogen werden!“

KI-basierte Kompromittierung der Lieferkette als Teil der Risikobewertung

Denn diese Operationen zur Einflussnahme würden zunehmend nicht nur Menschen direkt ins Visier nehmen, sondern vor allem jene Systeme, die Menschen informieren und ihre Entscheidungen prägen.

• Am stärksten werde sich dieser Wandel in den Lieferketten bemerkbar machen: „Exportkontrollen werden verschärft, Beschränkungen für Seltene Erden ausgeweitet, und Lieferkettenstrukturen werden immer kleinteiliger.“ Damit erweitere sich nun auch die Angriffsfläche: „Sie umfasst nicht mehr nur Code und Hardware, sondern auch Daten und KI-gestützte Prozesse, die darüber entscheiden, welche Komponenten von wem und unter welchen Rahmenbedingungen beschafft werden.“

In diesem Kontext könne eine Kompromittierung der Lieferkette zu manipulierten Firmware- oder Software-Updates, verfälschten Lieferanteninformationen oder durch KI verzerrte Risikobewertungen führen, welche kritische Abhängigkeiten unbemerkt in Einflussbereiche gegnerischer Akteure zu verschieben drohten.

Weitere Informationen zum Thema:

ARCTIC WOLF
Wir sorgen dafür, dass die Sicherheit funktioniert.

ARCTIC WOLF
Ismael Valenzuela

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

[datensicherheit.de, 14.01.2026] Durch Künstliche Intelligenz (KI) gesteuerte Waffensysteme können heute Ziele erfassen und diese bekämpfen – noch bevor ein Mensch sie überhaupt wahrgenommen hat. Andererseits können Autonome Cyberagenten helfen KI zu verteidigen: „Der digitale Krieg ist längst Realität!“, so der Autor Dr. Eldar Sultanow. Der IT-Experte für KI und Digitale Transformation ist promovierter Wirtschaftsinformatiker und gilt als einer der führenden IT-Strategen bei Capgemini mit Fokus auf Digitalisierung und Innovation. Bei der AI for Good Foundation engagiert er sich für die Lösung der drängendsten Probleme der Menschheit, darunter die Bekämpfung tropischer Krankheiten. Sein neues Buch „Vom Schlachtfeld bis zum Serverraum“ erscheint am 27. Januar 2026 im Plassen Verlag.

Abbildung: PLASSEN VERLAG

Dr. Eldar Sultanow: „Vom Schlachtfeld bis zum Serverraum“
Preis: 19,90€ (A: 20,50€), 257 Seiten | broschiert, ISBN: 978-3-68932-062-1
PLASSEN VERLAG, Kulmbach, Januar 2026

Europa im Kontext des digitalen Kriegs vor strategischer Lücke

China, Russland und die USA seien führend bei der Entwicklung Autonomer Waffensysteme – zu Lande, zu Wasser, in der Luft und sogar im Orbit. Sultanow erörtert die Fragen: „Wie muss sich Europa angesichts der neuen Entwicklungen aufstellen? Wie können wir eine Verteidigung mit Verantwortung organisieren, die unsere ethischen Werte reflektiert?“

• Der IT-Experte und Reservist wirft hierzu einen Blick unter anderem hinter die Kulissen der Bundeswehr und skizziert eine neue Verteidigungskultur, „mit der wir unsere Demokratie schützen ohne unsere Werte auf dem Cyberschlachtfeld zu opfern“.

Europa stehe nämlich vor einer strategischen Lücke. Während die USA und China milliardenschwere militärische KI-Programme aufbauten, sei die europäische Verteidigung digital fragmentiert. Gleichzeitig steige die Zahl der Cyberangriffe auf Energieversorgung, Behörden, Transportwesen und KI.

Zunehmende Verlagerung der Kriegsführung in den Cyberspace

Mit seinem neuen Buch „Vom Schlachtfeld bis zum Serverraum“ möchte Sultanow aufzeigen, dass moderne Kriegsführung längst auch im Serverraum stattfindet. Als „Zünglein an der Waage“ sieht er dabei die KI an. Diese entscheide darüber, wer im Digitalen Raum Geschwindigkeit, Aufklärung und Handlungsfähigkeit besitzt.

• Der Autor wirft die zentrale Frage auf: „Ist Europa bereit für eine Verteidigung, die KI zum strategischen Faktor macht und braucht Europa dafür ein digitales Verteidigungsministerium?“

Außerdem geht er auf die Veränderungen ein, welche eine Verlagerung der Kriegsführung in den Cyberspace für die Streitkräfte in Europa bedeuten würde – und welche Auswirkungen sie auf die bald wieder eingeführte Wehrpflicht in Deutschland haben könnten. Auch ethische Fragen im Zusammenhang mit Autonomen Waffen werden von Sultanow beleuchtet – er stellt sogar die Forderung nach einem „Genfer Protokoll für Algorithmen“ in den Raum.

Weitere Informationen zum Thema:

ELDAR SULTANOW
Vom Code zum Publikum / Dr. Eldar Sultanow verbindet tiefes Fachwissen mit packender Bühnenpräsenz und inspiriert jedes Jahr über tausend Menschen auf Konferenzen und Events

WIKIPEDIA
Plassen Buchverlage

BÖRSEN MEDIEN AKTIENGESELLSCHAFT
Vom Schlachtfeld bis zum Serverraum

datensicherheit.de, 22.02.2022
Kontrollverlust: Folgen eines großen Cyber-Kriegs kaum zu beherrschen / Urheber und Motivation strategischer Cyber-Angriffe nicht zweifelsfrei zu erfassen

datensicherheit.de, 14.07.2021
Vom Cyber-Angriff zum -Krieg: Globales Handeln gegen schleichende Eskalation erforderlich / Stefan Schweizer fordert internationale Zusammenarbeit gegen Cyber-Kriminalität

datensicherheit.de, 15.09.2018
Umfrage: Cyberkrieg für 86 Prozent der IT-Sicherheitsexperten bereits Realität / 40 Prozent der Security-Experten gehen davon aus, dass staatliche Cyberangriffe bereits Menschenleben gekostet haben / Venafi-Umfrage im Rahmen der Black Hat-Konferenz 2018 in Las Vegas

[datensicherheit.de, 01.08.2025] Thailand hat offenbar kurzfristig ein landesweites Drohnenverbot verhängt – daher informiert „Drohnen-Camp.de“ über Strafen, Hintergründe und was Reisende jetzt wissen sollten. Demnach drohen Urlaubern jetzt bei Missachtung des Verbots Haft, hohe Strafen und Zerstörung der Drohne. „Drohnen-Camp.de“ rät allen Thailand-Reisenden daher dringend, Geräte vor Ort auf keinen Fall in Betrieb zu nehmen und weitere Entwicklungen über Behörden oder die deutsche Botschaft zu verfolgen.

Foto: „Drohnen-Camp.de“

Darauf muss nun eine Weile verzichtet werden: Drohnenflüge über Thailand

Seit dem 30. Juli 2025 ist der Drohnen-Betrieb landesweit untersagt

Thailand habe überraschend ein landesweites Drohnen-Verbot verhängt. „Seit dem 30. Juli 2025 ist der Betrieb unbemannter Fluggeräte auf dem gesamten Staatsgebiet untersagt.“

• Laut Fachportal „Drohnen-Camp.de“ gilt diese Regelung zunächst bis einschließlich 15. August 2025 – die thailändische Regierung behalte sich ausdrücklich eine Verlängerung oder kurzfristige Änderungen des Verbots vor.

Hintergrund des Verbots sei der bewaffnete Grenzkonflikt mit dem Nachbarland Kambodscha, welcher im Juli 2025 eskalierte und bereits Dutzende Todesopfer gefordert hat.

Selbst offiziell registrierte Drohnen haben Startverbot

Aus Sicherheitsgründen sei nun der Luftraum für zivile Drohnen vollständig gesperrt geworden. „Besonders wichtig für Urlauber: Auch registrierte Drohnen dürfen aktuell nicht genutzt werden!“

• Selbst dann nicht, wenn zuvor eine Anmeldung bei der thailändischen Luftfahrtbehörde CAAT sowie eine Meldung bei der Telekommunikationsbehörde NBTC erfolgt ist. Damit seien selbst legal zugelassene Geräte von diesem Verbot betroffen.

Es drohten drastische Konsequenzen bei Verstößen: Die Sicherheitsbehörden vor Ort seien berechtigt, Drohnen sofort zu beschlagnahmen und zu zerstören. Zusätzlich drohten eine Haftstrafe von bis zu einem Jahr sowie eine Geldstrafe von bis zu 40.000 Baht (etwa 1.070 Euro).

Weitere Informationen zum Thema:

DROHNEN-CAMP
Über uns – die Gesichter dahinter

DROHNEN-CAMP, Francis Markert,Stand per 31.07.2025
Drohnen-Gesetze in Thailand

datensicherheit.de, 31.01.2025
Fokus der Unternehmen auf Cybersecurity vernachlässigt deren physische Sicherheit / Kevin Heneka warnt: Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity

datensicherheit.de, 13.05.2017
EASA schafft neue EU-Regelungen für den Betrieb kleiner Drohnen / Benjamin Binet von Gemalto fordert, die kleinen Flugkörper sicher und in einem kontrollierten Rahmen zu betreiben

[datensicherheit.de, 09.08.2022] Lothar Geuenich, „Regional Director Central Europe/DACH“ bei der Check Point Software Technologies GmbH, kommentiert in seiner aktuellen Stellungnahme die bedrohlichen Auswirkungen des russisch-ukrainischen Cyber-Krieges auf die „(Un-)Sicherheitslage im Cyberspace“. Ein weiteres Jahr in Folge ist demnach nun weiter mit einer starken Zunahme der Cyber-Angriffe zu rechnen. Geuenich erläutert diese Einschätzung: „Unser ,Check Point Cyber Attack Trends: 2022 Mid-Year Report‘ dokumentiert bereits in der ersten Jahreshälfte einen Anstieg der wöchentlich verübten Attacken um satte 42 Prozent.“

Foto: CHECK POINT

Lothar Geuenich prognostiziert: Mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts sollte in jedem Fall gerechnet werden

Cyber-Angriffe auf staatliche Einrichtungen sowie öffentliche und private Infrastrukturen

Einen guten Anteil an dieser gefährlichen Entwicklung habe der seit nunmehr rund fünf Monaten tobende russisch-ukrainische Cyber-Krieg. Fester Bestandteil der Kriegsstrategien beider Konfliktparteien seien offensichtlich Cyber-Angriffe auf staatliche Einrichtungen sowie auf öffentliche und private Infrastrukturen des jeweiligen Gegners und seiner Verbündeten.

„Solange der Konflikte andauert, darin sind sich alle Beobachter einig, kann mit einer Besserung der Cyber-Sicherheitslage nicht gerechnet werden“, warnt Geuenich. Was im Rahmen der Überlegungen zum russisch-ukrainischen Cyber-Krieg jedoch häufig übersehen werde: „Das Ende des Konflikts – ob nun schon in wenigen Monaten oder erst in einigen Jahren – wird mit hoher Wahrscheinlichkeit nicht zu einer allgemeinen Entspannung der Sicherheitslage führen.“ Denn der Cyber-Krieg sei nicht allein nur ein Unsicherheitsfaktor, er sei vielmehr noch ein „Unsicherheitskatalysator“, dessen zerstörerische Wirkung wohl erst mit einigen Jahren Verzögerung voll zum Tragen kommen werde.

Als Grund für seine pessimistische Prognose führt Geuenich an, dass neben rein staatlichen Akteuren eine größere Zahl freiwilliger, privater Akteure in den Cyber-Kampf eingebunden worden ist: Sogenannte Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen. Sogar Technologie-Unternehmen mischten in dieser illustren Runde mit. Einige von ihnen operierten im Auftrag eines der beiden Kontrahenten, andere auf eigene Faust, aber in deren Namen – „einige frei und unabhängig voneinander, andere zentral gesteuert als feste Gruppe“.

Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen

Sie alle brächten hierzu unterschiedliche Toolsets, Vorgehensweisen und Ziele in den Konflikt mit ein – abhängig von ihrem Wissensstand, Erfahrungsschatz und Ausrüstungspool. Einige begnügten sich mit einfachen DDoS-Angriffen, um Websites staatlicher Institutionen lahmzulegen. Andere führten indes hochkomplexe und von langer Hand geplante Angriffe auf Kritische Infrastrukturen durch, um ein Strom- oder Kommunikationsnetz zu unterbrechen.

Geuenich führt hierzu aus: „Dabei optimieren sie ihre Fähigkeiten und Toolsets – als Einzelperson wie als Gruppe – kontinuierlich. Sie lernen voneinander, lernen zusammenzuarbeiten. Auch und gerade mit denjenigen, die in Friedenszeiten cyber-kriminellen Aktivitäten nachzugehen suchen. Und dies sind – erstmals in einem solchen Konflikt – nicht wenige.“ Der hohe Anteil an Cyber-Kriminellen und Black-Hat-Hackern, welche sich aktiv im russisch-ukrainischen Cyber-Krieg engagierten, stelle ein Novum dar – und berge in Punkto IT-Sicherheit ein erhebliches Bedrohungspotenzial. „Denn wenn der Krieg einmal vorüber ist, wird eine erhebliche Anzahl ehemaliger ‚Cyber-Krieger‘ – ausgestattet mit einem noch nie dagewesenen Grad der Vernetzung – über mehr Wissen, mehr Erfahrung und mehr Tools verfügen als jemals zuvor.“

Die kriminellen, derzeit noch in den russisch-ukrainischen Cyber-Krieg eingebundenen Kräfte würden sich dann wieder „lohnendere Ziele“ suchen – und viele ideologische, bislang nicht zum Kreis der Cyber-Kriminellen zählenden „Krieger“ würden dann rasch erkennen, „dass ihre frisch erlangte Schlagkraft nur zu halten sein wird, wenn sie für Einnahmen in einer ausreichenden Größenordnung sorgen“. Geuenichs Fazit: „Mit einer signifikanten Verschärfung der Unsicherheitslage, mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts, sollte deshalb in jedem Fall gerechnet werden.“

Weitere Informationen zum Thema:

CHECK POINT
Cyber Attacks Now State-Level Weapon, Disrupting Everyday Lives, with Ransomware the Number One Threat, says Check Point Software’s 2022 Cyber Attacks Trends: Mid-Year Report

[datensicherheit.de, 22.02.2022] Richard Werner, „Business Consultant“ bei Trend Micro, geht in seiner aktuellen Stellungnahme auf das Thema „Cyber-Krieg“ ein: „Russland gilt als Land, welches Cyber-Kriminalität nicht verfolgt und die Tatsache, dass hier seit Januar mehrere Cyber-Kriminelle verhaftet wurden, überraschte zunächst.“ Politisch bewege man sich damit allerdings auf einem „Minenfeld“. Denn diese Verhaftungen könnten – als Zeichen des guten Willens – zur Entspannung der Ukraine-Krise beitragen; sie könnten aber bei einer Verschärfung der Krise ebenso „als Vorbereitung von staatlich unterstützter Piraterie und wirtschaftlicher Kriegsführung dienen“.

Foto: Trend Micro

Richard Werner: Wirklich erfolgreiche Cyber-Angriffe erzeugen nur punktuelle und schwer einzuschätzende Schäden…

Cyber-Kriminelle wie einst Freibeuter der Meere nur Spielball der Politik

Laut Medienberichten wurden Mitte Januar 2022 einige Protagonisten der Ransomware-Gruppierung „REvil“ durch Moskau verhaftet. „Sicherheitsforscher stellten mit Genugtuung fest, dass dies zu Ängsten und Verwirrung innerhalb der Cyber-Kriminellen-Szene führte. Viele fürchteten mit Russland einen sicheren Hafen zu verlieren. Aber Ransomware-Akteure sind, wie einst die Freibeuter der Meere, nur ein Spielball der Politik“, kommentiert Werner.

Dass im Speziellen „REvil“ festgesetzt wurde, dürfe als deutliches Zeichen zu verstehen sein, denn diese Gruppe habe seinerzeit hinter dem Angriff auf Colonial Pipeline in den USA gestanden – „die einzige Attacke auf eine Kritische Infrastruktur, die eine mehr als deutliche politische Reaktion auslöste“. Damit gebe Moskau potenziellen Nachahmungstätern ein Zeichen, welches von westlichen Beobachtern auch als Entgegenkommen gewertet worden sei.

Werner führt aus: „In einem eskalierenden Konflikt mit der Ukraine, wie wir ihn momentan beobachten, käme es für Russland aus verschiedenen Gründen ungelegen, wenn Cyber-Kriminelle Kritische Infrastrukturen im Westen angreifen und damit automatisch auch den eigenen politischen Handlungsspielraum einschränken.“

Wesen von Cyber-Waffen verstehen!

Formen der Cyber-Kriegsführung, wie Cyber-Spionage, Desinformationskampagnen oder disruptive Attacken auf Kritische Infrastrukturen bzw. Serversysteme eines Landes kann laut Werner nur verstehen, „wer sich mit dem Wesen von Cyber-Waffen auseinandersetzt“. Mit kleineren Aktionen ließen sich begrenzte Auswirkungen erzielen – „das beobachten wir schon seit über zehn Jahren“. Dadurch, dass es nicht möglich sei, den Urheber und dessen Motivation zweifelsfrei zu erfassen, handele es sich um politische Waffen, „die so lange wirken, wie sie in der Lage sind, Menschen zu verängstigen“. Größere Vorfälle, die auf Kritische Infrastrukturen oder ganze IT-Systeme eines Landes abzielten, seien hingegen für staatliche Täter nur extrem schwer kontrollierbar – „und damit als Kriegswaffe eigentlich ungeeignet“.

Als Beispiel diene „NotPetya“ von 2017. Werner erinnert: „Diese Attacke stellte sich mit großer Wahrscheinlichkeit als getarnter staatlicher Cyber-Angriff heraus, weil die Technik der Verbreitung und der angerichtete Schaden enorm fortschrittlich waren. Ganz im Gegensatz zum Ransomware-Anteil, der so unterentwickelt war, dass von einem Ablenkungsmanöver ausgegangen werden kann – im Gegensatz zu einem monetären Motiv.“ Die Ukraine habe dabei als Hauptopfer gegolten, aber auch europäische, US-amerikanische und russische Unternehmen seien von „NotPetya“ betroffen gewensen. „Denn ähnlich atomarer, biologischer und chemischer Waffen lassen sich digitale Waffen in ihrer Wirkung nicht einschränken. In einer vernetzten Welt treffen sie jeden“, betont Werner und warnt:

„Wer sie in einem Konflikt als Waffe einsetzt, muss damit rechnen, auch nicht teilnehmende Nationen sowie früher oder später sich selbst zu treffen.“ Versuche man als Täter dagegen die Waffe kontrolliert einzusetzen, brauche man Personal, um sie in ihrer Wirkung zu „betreuen“. Hierzu seien Spezialisten gefragt, um etwa pro ins Visier genommenem Unternehmen Erfolge sicherzustellen. Die Anzahl der möglichen Opfer sei durch diesen hohen Aufwand an Ressourcen automatisch begrenzt.

Cyber-Attacken eher für Manipulation und Ablenkung geeignet

Bisherige Vorfälle wie „Stuxnet“, ein im Jahr 2010 aufgedeckter und effektiver Computerwurm, oder „NotPetya“ hätten bewiesen: „Es ist möglich, mit gezielten Aktionen enorme Schäden anzurichten. Ein Kriegsgegner könnte Waffen wie diese einsetzen, um in einem eskalierenden Konflikt einer anderen Nation massive Probleme zu bereiten – mit Konsequenzen für weitere Staaten.“ Denn ebenso wie der Einsatz einer nuklearen Waffe hätte eine unkontrollierte digitale Eskalation der Krise zwischen Russland und der Ukraine auch Auswirkungen auf Deutschland, Europa und die ganze Welt.

Da die Folgen aber wesentlich milder seien als die einer nuklearen Bedrohung, könnte dieses Szenario für militärische „Falken“ weniger abschreckend wirken. Umso wichtiger sei es, die diplomatische Konfliktlösung in den Vordergrund zu stellen. Tatsächlich könne davon ausgegangen werden, dass heute jedes Land über Mittel verfügt, nicht allein defensiv zu reagieren. „So ist auch die Bundesregierung zumindest im Besitz der notwendigen Technik für einen ,Hackback‘, um bei Attacken zurückschlagen zu können“, so Werner.

Cyber-Kriegsführung sei in manchen Nationen mittlerweile fest etabliert und Angriffe kämen demzufolge strategisch zum Einsatz. In der Regel seien staatliche Täter jedoch mehr daran interessiert, durch Cyber-Attacken die öffentliche Wahrnehmung zu manipulieren oder Ablenkungsmanöver zu inszenieren, anstatt dauerhafte, weitgreifende Störungen – zum Beispiel Kritischer Infrastrukturen – zu verursachen. Die psychologische Wirkung überwiege an dieser Stelle. Wirklich erfolgreiche Cyber-Angriffe erzeugten nur punktuelle und schwer einzuschätzende Schäden, „die bestenfalls den Weg für einen konventionellen Schlag ebnen, ihn aber nicht ersetzen“, so Werners Fazit.

Weitere Informationen zum Thema:

BBC NEWS, 14.01.2022
REvil ransomware gang arrested in Russia

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

[datensicherheit.de, 14.07.2021] In seinem aktuellen Kommentar kritisiert Stefan Schweizer, „Vice President Sales DACH“ bei Thycotic, dass heutzutage Regierungen und Institutionen nur auf Bedrohungen reagieren – und fordert: „Es muss daher ein klares Umdenken geben: Wir benötigen ein aktives Handeln, anstatt immer nur zu reagieren!“ Cyber-Angriffe etwa auf Gesundheitseinrichtungen oder die Stromversorgung könnten ähnlich hohe Verluste an Menschenleben verursachen wie ein konventioneller Angriff, so seine eindringliche Warnung.

Foto: Thycotic

Stefan Schweizer: Wir benötigen ein aktives Handeln, anstatt immer nur zu reagieren!

Energieversorgung schützen, um Domino-Effekt nach Cyber-Attacke vorzubeugen

Die meisten Regierungen müssten dringend mehr Geld in die Hand nehmen, um ihre Kritische Infrastruktur (Kritis) besser zu schützen. Israel, aber auch die Ukraine hätten dies aufgrund ihrer akuten Sicherheitsbedrohungen durch ausländische staatliche Akteure, bereits schmerzhaft lernen müssen. Schweizer betont daher: „Es muss sichergestellt werden, dass es beispielsweise im Gebiet der Energieversorgung keinen Domino-Effekt gibt!“
Aufgrund der Lieferketten und der zahlreichen Verbindungen innerhalb des Energiesektors werde sich das als schwierig erweisen. „Es muss zugunsten der Sicherheit also ein dezentralerer Ansatz der Energieversorgung gewählt werden“, rät Schweizer. Um die Auswirkungen und Potenziale der Angriffe richtig einschätzen zu können sei es wichtig, „dass man das Motiv der Angreifer kennt“. Dies sei in den meisten Fällen Geldgier.

Beispiel Defcon: Verteidigungsstufen auch für Cyber-Kriege empfohlen

Schweizer spricht nach eigenen Angaben sogar von einem „Cyber-Krieg“ – dieser eskaliere und die Auswirkungen auf die Sicherheit im Internet nähmen zu. In den Vereinigten Staaten von Amerika gebe es verschiedene Verteidigungsstufen für verschiedene Szenarien („Defense Condition“ / DEFCON). Es sei daher wichtig, dass wir diese Verteidigungsstufen auch für Cyber-Kriege einsetzten. Darüber werde in Sicherheitskreisen bereits diskutiert, aber bis zur Umsetzung sei es noch ein langer Weg.
Die einzelnen Länder sollten sich daher gegen die unmittelbare Bedrohung von Cyber-Angriffen auf ihre Kritis wappnen, „indem sie im Vorfeld überlegen, wie diese bekämpfen oder verhindern können“. Dazu zählten auch bestimmte militärische Einrichtungen. „Man stelle sich den Schaden vor, wenn es Hackern gelingen würde, militärische Einrichtungen auszuschalten. Bei dieser Vorsorge ist es wichtig die Belastungen zu steuern und bewusst zu simulieren, um Schwachstellen in den eigenen Systemen aufzudecken“, so Schweizer. Auch Social-Engineering und physische Tests sollten dabei eingesetzt werden.

Cyber-Abwehr erfordert auch Aufklärung

Aufklärung sei einer der wichtigsten Bereiche der Cyber-Abwehr: „Dort sollte viel Zeit und Aufwand investiert werden. ,Klassische‘ menschliche Spione können dazu auch eingesetzt werden. Dies schafft oftmals auch Vertrauen in Informationen.“
Einrichtungen sollten sich auch auf den physischen Aspekt der Gefahrenabwehr konzentrieren, denn oftmals schlichen sich Angreifer in Einrichtungen ein und griffen dann von internen Möglichkeiten auf Software und sensible Daten zu. Schweizer erläutert: „Es sind oftmals minimale Fehler, welche die gesamte Sicherheit einer Einrichtung bedrohen können.“

Internationale Zusammenarbeit gegen Cyber-Kriminalität

Allein mit Hilfe von Technologie und Cyber-Sicherheit könne das Phänomen Cyber-Krieg nicht besiegt werden. „Diese neue Bedrohung sollte daher zukünftig in der Genfer Konvention geregelt sein“, regt Schweizer an. Dazu bedürfe es jedoch des entsprechenden politischen Willens und eines politischen Rahmens, „der sicherstellt, dass die Bemühungen zur Eindämmung von Cyber-Kriminalität länderübergreifend gebündelt werden“.
Cyber-Sicherheit sollte daher eine wichtige Rolle bei internationalen Gesprächen einnehmen. Ein Land allein könne keine ausreichende Cyber-Offensivfähigkeit aufbauen. „Die benötigt es aber, wenn es ein Akteur und kein Opfer sein will“, sagt Schweizer. Der beste Weg sich zu verteidigen ist seiner Ansicht nach, die Kritis so weit wie möglich zu dezentralisieren. Schweizer erläutert abschließend: „So werden aus einem großen Ziel, viele kleine Ziele, die einen Angriff deutlich erschweren.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2021
Globale Verteidigung gegen Ransomware erfolgsentscheidend / Opfer von Ransomware-Attacken sollten direkt mit lokalen Behörden kooperieren, um das Wissen schnell mit anderen Unternehmen zu teilen

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene