Während in der Ukraine Bomben fallen, tobt in Europa ein weiterer Krieg. Es ist ein Krieg ohne Lärm, geführt im Internet. Russische Hackerbanden attackieren westliche Regierungen und kritische Infrastrukturen auf dem ganzen Kontinent.
In den letzten Wochen haben sich die Cyberangriffe intensiviert. Im Visier sind alle ukrainefreundlichen Länder – auch die Schweiz. SonntagsBlick-Recherchen zeigen: Prorussische Hacker haben das Aussendepartement (EDA) angegriffen. Das geht aus einem vertraulichen Lagebericht des Nachrichendienstes des Bundes (NDB) vom 24. Juni hervor.
Angriffsversuch mit Phishing-Mails
Für ihre Attacke auf die Schweiz benutzten die Hacker sogenannte Phishing-Mails. Dabei geben sich die Internetkriminellen in gefälschten Nachrichten als vertrauenswürdige Kommunikationspartner aus, mit dem Ziel, an sensible Daten zu gelangen. Laut dem Lagebericht wurden die E-Mails jedoch erkannt und unschädlich gemacht.
Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch
Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch
Was genau die Hacker vorhatten, ist unklar. Ging es nur um kommerziell motivierten Betrug oder vielmehr um Spionage? In einer allgemeinen Beurteilung schreibt der NDB im Lagebericht: «Nach erfolgreichem Eindringen in ein Computersystem zu Spionagezwecken kann dieser Zugang auch zu Sabotage (insbesondere Datenlöschungen) genutzt werden.»
Konfrontiert mit der Phishing-Attacke auf das EDA, blockt der Bund ab. «Aus Gründen der Sicherheit gibt das EDA keine Details zu Angriffsversuchen bekannt», sagt Andreas Heller, Sprecher des Aussendepartements.
Erhöhte Cyberbedrohung
Beim Nationalen Zentrum für Cybersicherheit (NCSC) will man erst gar nichts von einer «qualifizierten» Attacke wissen. Sprecherin Manuela Sonderegger: «Das NCSC hat seit dem Beginn des Ukraine-Konflikts keine gezielten Cyberangriffe gegen den Bund beobachtet, welche eindeutig mit dem Kontext des Konflikts in Verbindung gebracht werden konnten.» Dass der NDB den Phishing-Angriff in seinem vertraulichen Bericht explizit in den Kontext der russischen Cyberspionage gegen ukrainefreundliche Regierungen stellt, ändere nichts an der Antwort.
Der Nachrichtendienst selbst versichert schliesslich, dass die Lage aufmerksam verfolgt werde. Laut Sprecherin Isabelle Graber hat der Krieg in der Ukraine bisher «nicht direkt» zu einer Zunahme von Cyberangriffen auf die Schweiz geführt. Sie räumt aber ein: «Die Cyberbedrohung hat sich erhöht.»
Das Thema ist heikel – und der Zeitpunkt noch heikler. Just am Montag reisen hochrangige Politikerinnen und Politiker aus der ganzen Welt nach Lugano TI. Dort findet die Ukraine-Wiederaufbaukonferenz statt. Der Kreml dürfte ein grosses Interesse daran haben zu erfahren, was die westlichen Ukraine-Freunde hinter den Kulissen besprechen.
Staatliche und private Hacker arbeiten zusammen
Letzte Woche veröffentlichte der Nachrichtendienst des Bundes seinen jährlichen Tätigkeitsbericht. Darin stuft er Cyberspionage gegen die Schweiz als Folge des Ukraine-Kriegs als «sehr wahrscheinlich» ein. «Schadsoftware fliegt weiter als Raketen», schreibt der NDB.
Oft ist es schwierig, Cyberangriffe klar einem Absender zuzuordnen. Bei Attacken aus Russland verschwimmen staatliche und private Urheber. Der Kreml arbeitet zunehmend mit kriminellen Hackerbanden zusammen. Jüngstes Beispiel: die Gruppierung Killnet, das russische Pendant zu Anonymous.
Die Five Eyes, ein Geheimdienstbündnis aus Australien, Kanada, Neuseeland, Grossbritannien und den USA, stufen die Truppe als Online-Kriminelle ein, die vorwiegend aus finanziellen Motiven handeln, sich aber zeitweise auch für russische Regierungsinteressen einspannen lassen.
Angriffe auf mehrere Länder
In den vergangenen Wochen hat Killnet zahlreiche Länder in Westeuropa attackiert. Für Aufsehen sorgte vor allem ein Angriff auf Litauen, wo die Gruppe Behörden und Firmen lahmlegte. Auf dem Messengerdienst Telegram brüstete sich Killnet mit der Attacke und drohte mit weiteren Angriffen. Grund dafür sei, dass Litauen die EU-Sanktionen übernommen habe und den Transport von Waren wie Stahl in die russische Enklave Kaliningrad blockiere.
Killnet ist auch auf dem Radar des Schweizer Nachrichtendienstes. In seinem vertraulichen Lagebericht erwähnt er die russische Gruppe. Auf Telegram werde Killnet für die Unterstützung bei Cyberangriffen auf die Infrastruktur von Litauen gedankt, so der NDB.
Ob die Putin-Hacker auch hinter den Angriffen auf den Bund stecken, ist nicht klar. Sicher ist hingegen: Sie werden schon bald wieder zuschlagen – irgendwo in Europa.
