Kein Unternehmen ist vor Hacktivisten sicher

Hacktivismus hat sich in den letzten zehn Jahren dramatisch entwickelt – von unorganisierten digitalen Protesten hin zu gut koordinierten, hoch qualifizierten Cyberoperationen. Was also einst die Domäne von Amateurhackern war, die Websites für politische Statements verunstalteten, ist heute fast schon ein Schlachtfeld.

Hacktivismus, also die Verfolgung aktivistischer Ziele mit Mitteln der Cyberkriminalität, ist kein neues Phänomen. Bislang ging es dabei meist um symbolische Aktionen: Angriffe, die Websites veränderten (Web Defacements), Online-Dienste vorübergehend lahmlegten oder nicht sensible Daten durchsickern ließen, um die Aufmerksamkeit von Medien und Öffentlichkeit zu erregen. Ziel der stark verteilten Kollektive, wie beispielsweise Anonymous, war hauptsächlich, das Bewusstsein für politische Ideologien zu schärfen. Ihre Kampagnen fügten den ausgewählten Opfern nur selten relevanten finanziellen, rufschädigenden oder operativen Schaden zu. Die Websites waren meist schnell wieder online, die verunstalteten Seiten wurden zeitnah zurückgesetzt.

Das ändert sich jedoch immer mehr: Hacktivisten suchen nicht mehr einfach nur Aufmerksamkeit, sondern wollen reale Auswirkungen erzielen, indem sie besonders kritische Systeme lahmlegen, sensible Daten offenlegen und Regierungen, Unternehmen oder Institutionen untergraben. Für Cybersicherheitsverantwortliche besteht die Herausforderung deshalb nicht mehr nur darin, oberflächliche Störungen abzuwehren, sondern sich auf länger anhaltende, gut geplante Cyberoffensiven mit immer ausgefeilteren Methoden vorzubereiten.

Rekrutierung erfolgt oft in geschlossenen Foren

Aktuelle Analysen zeigen, dass immer mehr moderne Hacktivisten-Gruppen wie gut geölte Cybermilizen mit klaren Führungsstrukturen, strategischen Zielen und ausgefeilten Angriffsmethoden funktionieren. Viele werden von einem kleinen Kern hochqualifizierter Personen geführt, die Mitglieder aufgrund ihrer technischen Fähigkeiten und ideologischen Ausrichtung rekrutieren. Die Rekrutierung erfolgt häufig in geschlossenen Foren, wobei die Mitgliedschaft sorgfältig überprüft wird. Ihre Motivationen sind nach wie vor tief in politischen, religiösen und nationalistischen Ideologien verwurzelt, was sie zu schwer kalkulierbaren Gegnern macht. Mit zunehmender Qualifikation werden Angriffe immer komplexer und gehen über einfache Störungen hinaus. Moderne Hacktivisten setzen eine breite Palette von Techniken ein.

Distributed-Denial-of-Service-Angriff (DDoS), bei denen ein Server, eine Website oder ein Netzwerk mit einer riesigen Menge an Datenverkehr überflutet wird, um sie lahmzulegen und für legitime Benutzer unzugänglich zu machen, gehören schon lange zum hacktivistischen Arsenal. Sie werden jedoch immer raffinierter und umfassen mehrere Angriffsvektoren, um herkömmliche Verteidigungsmaßnahmen zu umgehen. Sie können zudem als Ablenkungsmanöver dienen, um heimlich noch schadensträchtigere Angriffe durchzuführen. Besorgniserregender sind sogenannte Hack-and-Leak-Kampagnen, die darauf abzielen, sensible Daten zu exfiltrieren und zu veröffentlichen, um den Ruf von Unternehmen oder Regierungen zu schädigen und das Vertrauen in Institutionen zu untergraben. Besonders gefährlich sind Angriffe auf kritische Infrastrukturen (Kritis), die wichtige Dienste wie die Energie- und Wasserversorgung stören sollen.

Die wohl wichtigste Entwicklung der letzten Jahre ist die zunehmende Überschneidung zwischen Hacktivismus, Cyberkriminalität und staatlichen Cyberoperationen. Einige Hacktivisten-Gruppen beteiligen sich jetzt an kriminellen Aktivitäten, um ihre Operationen zu finanzieren: Dies hat zu einer Grauzone geführt, in der sich politisch motiviertes Hacken mit finanziell motivierter Cyberkriminalität überschneidet. Gleichzeitig nutzen staatliche Akteure Hacktivisten, um ihre eigenen geopolitischen Ziele zu verfolgen. Indem sie diese Gruppen finanzieren, unterstützen oder einfach ein Auge zudrücken, können Nationalstaaten von einer glaubhaften Abstreitbarkeit profitieren, die es ihnen ermöglicht, einen Cyberkrieg zu führen, ohne direkt angeklagt zu werden. Das Ergebnis ist eine unberechenbarere Bedrohungslandschaft, in der es immer schwieriger wird, zwischen ideologischen Hacktivisten, finanziell motivierten Cyberkriminellen und staatlich gesponserten Angreifern zu unterscheiden.

Damit erhöht sich auch das Risiko für Unternehmen erheblich, ungewollt zwischen die Fronten zu geraten. Beispielsweise kompromittierte die dem iranischen Staat nahestehende Gruppe Cyber Av3ngers in Israel hergestellte industrielle Steuergeräte in Versorgungseinrichtungen. Diese Angriffe führten dazu, dass die Einwohner einer entlegenen Region Irlands zwei Tage lang ohne Trinkwasser auskommen mussten. Hierzulande bereiten vor allem russische Cyberakteure Sorgen. Sie bestehen aus einer undurchsichtigen Kombination von Militär, Geheimdiensten, Privatunternehmen, Cyberkriminellen und Hacktivisten, die durch den Staat beauftragt, gelenkt oder unterstützt werden. Das trägt zu einer immer schärferen hybriden Bedrohungslage bei. Ein Beispiel: Der Satellitennetz-Provider Viasat wurde im Februar 2022 zum Ziel eines staatlich gesteuerten Cyberangriffs. Zeitgleich zum russischen Angriff auf die Ukraine führte die Cyberattacke zu erheblichen Internetausfällen im Land, was die Kommunikation drastisch einschränkte.

Die Bedrohung für deutsche Unternehmen wird größer

Aufgrund einer Vielzahl ähnlich gelagerter Vorfälle warnen die Sicherheitsbehörden im Zusammenhang mit staatlichen russischen Akteuren ausdrücklich vor einer wachsenden Bedrohungslage für deutsche Unternehmen. Diese umfasst die bewusste Beeinträchtigung von Prozessen, einschließlich der Lieferketten, was durch die Vernetzung in der digitalen Welt zur Kompromittierung wichtiger Anlagen und Einrichtungen im Kritis-Bereich führen kann. Um derartigen dramatischen Auswirkungen vorzubeugen sind Richtlinien, wie NIS 2 essenziell. Egal, ob Kollateralschaden oder gezielter Angriff – Unternehmen, die ihre Risikoexposition innerhalb ihrer Lieferkette kennen, können die Auswirkungen zeiteffizient zuordnen und im besten Fall präventive Maßnahmen ergreifen.

Während viele Unternehmen Hacktivismus trotzdem immer noch als lästig und von geringer Priorität betrachten, ist die Realität weitaus besorgniserregender. Moderne Gruppen sind in der Lage, erhebliche Störungen, finanzielle Verluste und Rufschädigung zu verursachen. Dabei machen sie kaum Unterschiede: Regierungen, Finanzinstitute, Gesundheitsdienstleister und Unternehmen stehen gleichermaßen im Visier. Die Zunahme von Hack-and-Leak-Kampagnen bedeutet, dass Hacktivisten davon ausgehen, betroffene Ziele durch die Offenlegung interner Kommunikation, geistigen Eigentums oder sensibler Kundendaten erheblich treffen zu können.

Darüber hinaus haben DDoS-Angriffe an Komplexität gewonnen und dienen oft als Deckmantel für weitreichende, schädlichere Angriffe. Spill-Over-Effekte, bei denen Cyberattacken auf Infrastrukturen zu Kollateralschäden in anderen Einrichtungen oder Ländern führen, werden durch die weltweite Vernetzung von Lieferketten zudem wahrscheinlicher. Da politische Akteure nicht nur ihre „direkten Feinde“, sondern auch deren Unterstützer attackieren wollen, ist dieser Effekt oft eines der Ziele der Täter. Die größte Herausforderung des modernen Hacktivismus liegt dabei in seiner Unberechenbarkeit. Angriffsziele können sich als Reaktion auf geopolitische Ereignisse schnell ändern, so dass es für Unternehmen schwierig ist, vorherzusehen, wann sie zum Ziel werden könnten.