Staatliche Cyberkriminelle:
Wahrheit statt Heldenverehrung
Die Verherrlichung von Cyberkriminellen ist ein wachsendes Problem, das angegangen werden muss. Wenn die Medien über den neuesten spektakulären Cyberangriff berichten, klingt das oft wie die Beschreibung eines genialen Kunstwerks. Gesprochen wird hier von „raffinierten Methoden“, von „hochkomplexen Angriffen“ oder „brillanten Strategien“. Die Angreifer bekommen prägnante Namen wie Beispielsweise „Fancy Bear“ oder „Cozy Bear“ – als wären sie die Stars einer Netflix-Serie und nicht die Verursacher von Milliardenschäden und menschlichem Leid.

Um es klar zu formulieren: Gesprochen wird in diesem Beitrag nicht von der Gemeinschaft ethischer Hacker und Sicherheitsforscher, die unsere digitale Welt schützen, sondern von staatlichen Akteuren, die sich diese Begriffe zu eigen machen.
Die romantische Verklärung von Cybercrime ist nicht nur falsch – sie ist gefährlich. Denn während wir fasziniert die technischen Details der Angriffe diskutieren, übersehen wir die eigentliche Geschichte: Die erfolgreichsten Cyberangreifer unserer Zeit sind keine genialen Rebellen. Es sind gewissenlose Söldner – viele davon im Staatsdienst – deren wichtigste Charakteristik nicht ihre technische Brillanz ist, sondern ihre völlige Gleichgültigkeit gegenüber den Opfern ihrer Angriffe. Das Letzte, was wir brauchen, ist, dass auch die Öffentlichkeit gegenüber dem Leid und den Schmerzen der Betroffenen abstumpft.
Die unbequeme Wahrheit über die sogenannten „Elite-Hacker“
Die Realität aus jahrelanger Arbeit in der Endpoint Security zeigt sich wie folgt: Die umtriebigsten Cyber-Akteure der Welt – APT28, APT29, Lazarus Group – sind direkte Ableger von Geheimdiensten und Militäreinheiten. Sie sind keine Genies, die mit ein paar Tastenanschlägen Festungen zum Einsturz bringen. Sie sind hartnäckige, staatlich finanzierte Kriminelle, die über beträchtliche Ressourcen verfügen und keinerlei konventionelle moralische Skrupel kennen.
Nehmen wir APT28, besser bekannt als „Fancy Bear“. Diese Einheit des russischen Militärgeheimdienstes GRU hackte 2015 den Deutschen Bundestag und lähmte tagelang die IT-Infrastruktur des Parlaments.[1] Ihre Methoden? Erschreckend banal: Sie verschickten massenhaft Phishing-E-Mails und nutzten bekannte Sicherheitslücken, für die längst Updates verfügbar waren. Ihr „Genie“ bestand darin, so lange an Türen zu rütteln, bis sie eine unverschlossene fanden – eine Eigenschaft, die man eher bei gewöhnlichen Straßenkriminellen als bei kriminellen Drahtziehern findet.
Ein weiteres Beispiel: die Lazarus Group aus Nordkorea. Diese staatliche Einheit ist im Grunde eine digitale Bankräuberbande. Sie hatte vor ein paar Jahren 81 Millionen Dollar von der Zentralbank Bangladeschs gestohlen[2] und verbreitete mutmaßlich 2017 die WannaCry-Ransomware. Letztere legte weltweit Krankenhäuser lahm – nicht als gezielter Angriff, sondern als Kollateralschaden einer schlampig programmierten Erpressungssoftware. In britischen Krankenhäusern mussten 19.000 Termine abgesagt werden, Notaufnahmen schlossen, Krebspatienten warteten auf dringende Behandlungen. Das ist kein technisches Meisterwerk – das ist digitaler Terrorismus.
Der wahre Preis: Milliarden Euro und oft auch Menschenleben
Die Zahlen sprechen eine deutliche Sprache, die diesen Gruppen jeglichen Anspruch auf Ruhm aberkennen. Der NotPetya-Angriff 2017[1], ebenfalls aus Russland, kostete die Weltwirtschaft über 10 Milliarden Dollar. Maersk, der Logistikriese, verlor 300 Millionen Dollar und musste zehn Tage lang auf Papier und Stift umstellen. In einer Milka-Fabrik von Mondelez standen die Bänder eine Woche still.
Aber es geht nicht nur um Geld. Als WannaCry den britischen National Health Service traf[2], verursachte dies reales menschliches Leid: Operationen wurden verschoben, Notfälle mussten zu entfernten Krankenhäusern umgeleitet werden, lebensrettende Behandlungen verzögerten sich. Wir reden hier nicht über clevere Hacks – wir reden über Angriffe auf die Schwächsten unserer Gesellschaft.
Das Perfide daran: Diese Gruppen nutzen keine revolutionären Techniken. Fast alle ihre Erfolge basieren auf simplen Versäumnissen: ungepatchte Software, schwache Passwörter, unachtsame oder getäuschte Mitarbeiter. Bei NotPetya und WannaCry war die ausgenutzte Sicherheitslücke seit Monaten bekannt und ein Update verfügbar. Die „Genialität“ dieser Angreifer besteht einzig darin, dass sie von Staaten finanziert werden und es ihnen völlig egal ist, wen sie treffen.
Die Lösung: Den Angreifern den Spaß verderben
Eine gute Nachricht: Wir können uns wehren. Nicht indem wir versuchen, diese Akteure zur Rechenschaft zu ziehen – sie sitzen sicher in Moskau, Pjöngjang oder Peking. Sondern indem wir ihnen das Geschäft verderben.
Der Schlüssel liegt in einer modernen Zero-Trust-Architektur und Herangehensweise. Das Prinzip ist simpel: Vertraue niemandem, verifiziere alles. Stellen Sie sich Ihr Netzwerk nicht als eine Burg mit hohen Mauern vor, sondern als ein Labyrinth aus hunderten kleinen, verschlossenen Räumen. Selbst wenn ein Angreifer durch die erste Tür kommt, steht er vor der nächsten verschlossenen Tür. Und der nächsten. Und der nächsten. Das Ziel besteht nicht darin, jeden Angriff zu verhindern, sondern jede Gelegenheit zu nutzen, um das Angriffsverhalten der Angreifer aufzudecken und zu unterbinden.
In der Praxis bedeutet das: Jeder Zugriff wird überprüft und verifiziert, jeder Nutzer erhält nur die minimal nötigen Rechte, und der herkömmliche Netzwerkzugang wird durch spezifische, individuelle Verbindungen zwischen autorisierten Benutzern und Ressourcen ersetzt. Ein Angreifer, der es auf einen Arbeitsplatzrechner schafft, kommt nicht automatisch an die Kundendatenbank. Er muss sich durch jede einzelne Sicherheitsschicht durchkämpfen – und jeder Versuch erhöht das Risiko, entdeckt zu werden. Jedes Hindernis bietet auch die Chance, dass der Angreifer sich einem leichteren Ziel zuwendet oder einen entscheidenden Fehler begeht, der die Erkennung und Reaktion auslöst.
Das Schöne an Zero Trust: Es macht Angriffe wirtschaftlich unattraktiv. Aus dem täglichen Betrieb sehen wir, dass Angreifer nach dem ersten Eindringen den Großteil ihrer Bemühungen darauf verwenden müssen, sich im Netzwerk auszubreiten – die sogenannte laterale Bewegung. In einer Zero-Trust-Umgebung wird jeder dieser Schritte zur Qual. Die Kosten explodieren, die Erfolgsaussichten sinken. Irgendwann lohnt sich der Angriff schlicht nicht mehr.
Zeit für einen Kulturwandel
Es ist Zeit, dass wir als Gesellschaft umdenken. Hören wir auf, diesen Gruppen coole Namen zu geben und ihre „Leistungen“ zu bewundern. Nennen wir sie, was sie sind: Kriminelle im Staatsdienst, die Krankenhäuser lahmlegen und Existenzen zerstören.
Für Unternehmen bedeutet das, dass Cybersicherheit nicht länger als reine Verantwortlichkeit der IT-Abteilung zu betrachten ist, sondern als Chefsache. Die Bedrohung durch staatliche Hackergruppen ist ein existenzielles Geschäftsrisiko – oft nicht mal mehr versicherbar, wie der Fall Mondelez gegen Zurich[5] zeigt, wo die Versicherung die Zahlung von 100 Millionen Dollar verweigerte, weil sie NotPetya als „kriegerischen Akt“ einstufte.
Für uns alle bedeutet es, dass wir diese digitale Bedrohung ernst nehmen und entsprechend handeln müssen. Patches einspielen, Mitarbeiter schulen, Zero-Trust-Architekturen implementieren. Das ist keine Paranoia – das ist digitale Selbstverteidigung.
Die Fancy Bears und Lazarus Groups dieser Welt sind keine digitalen Robin Hoods. Sie sind Söldner ohne Gewissen, die im Dienste autoritärer Regime großen Schaden anrichten. Je schneller wir das verstehen und unsere Verteidigung entsprechend aufbauen, desto schneller können wir ihnen das Handwerk legen. Nicht durch Strafverfolgung, die sie nie vermutlich erreichen wird, sondern indem wir ihre Angriffe so teuer und kompliziert machen, dass sie sich ein leichteres Ziel suchen müssen.
Es ist Zeit, den Glanz von diesen Gruppen zu nehmen und sie als das zu sehen, was sie sind: Eine Bedrohung, die wir nur durch entschlossene, technisch fundierte Verteidigung in Schach halten können. Die Technologie dafür haben wir. Was uns fehlt, ist die richtige Einstellung – und die beginnt damit, aufzuhören, unsere Angreifer zu glorifizieren und anzufangen, ihnen Stöcke in die Speichen zu stecken!
[1] Cyberkampagne APT 28 – Verfassungsschutz BW
[2] The Lazarus heist: How North Korea almost pulled off a billion-dollar hack
[3] https://www.watson.ch/digital/russland/221086525-globale-malware-attacke-spur-fuehrt-nach-russland
[4] https://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/



Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.