Cyberspionage – Definition und Beispiele

Cyberspionage

Cyberspionage ist eine Art von Cyberangriff, bei dem ein unbefugter Benutzer versucht, sich Zugang zu privaten oder sensiblen Informationen oder geistigem Eigentum zu verschaffen. Dessen Ziel ist es, daraus finanziellen Gewinn, geschäftliche Vorteile oder politische Vorteile zu ziehen.

Was genau ist Cyberspionage?

Gezielte Angriffe auf fremde Computersysteme und Netzwerke mit dem Ziel, (geheime) Dokumente und Informationen abzufangen, werden als Cyberspionage bezeichnet. Cyberspionage gilt als eine der größten Schwierigkeiten für IT-Sicherheitsexperten in der aktuellen Zeit.

Dies liegt darin begründet, dass Cyberspione hochentwickelte Taktiken anwenden, um ihr Eindringen zu verbergen und unauffällig zu operieren.

Die Angriffe werden häufig von Internetspionen im Auftrag nationaler Geheimdienste durchgeführt. Staatliche Hacker aus China und Russland scheinen am aktivsten zu sein, aber auch die Vorwürfe der Cyberspionage gegen die USA haben in letzter Zeit zugenommen.

Ebenso sind Fälle von Wirtschaftsspionage durch Konkurrenten – möglicherweise durch den Kauf von Cyberkriminalität als Dienstleistung – und andere Angriffe durch kriminelle Organisationen ohne staatliche Unterstützung sind im Kommen.

Warum wird Cyberspionage eingesetzt?

Um an sensible oder vertrauliche Informationen, Geschäftsgeheimnisse oder andere Arten von geistigem Eigentum zu gelangen, die der Angreifer nutzen kann, um sich einen Wettbewerbsvorteil zu verschaffen oder sie gewinnbringend zu verkaufen, wird häufig Cyberspionage betrieben.

Unter bestimmten Umständen soll durch die Kompromittierung lediglich der Ruf des Opfers geschädigt werden, indem sensible Daten oder zweifelhafte Geschäftsvorgänge offengelegt werden.

Auch die anschließende Erpressung einer hohen Geldzahlung, beispielsweise in Bitcoin, oder andernfalls die Offenlegung der Daten ist eine gängige Praxis von Kriminellen.

Angriffe auf Computernetzwerke können kommerziell motiviert sein, sie können aber auch im Rahmen militärischer Operationen, als Cyberterrorismus oder als Teil der Cyberkriegsführung durchgeführt werden.

Cyberspionage hat das Potenzial, Infrastrukturen und öffentliche Dienste zu stören und Todesopfer zu fordern, insbesondere wenn sie Teil einer größeren militärischen oder politischen Anstrengung ist.

Ziele von Cyberspionageangriffen

Die Nachhaltigkeit von Cyberangriffen und die Auswahl der Ziele sind unverhohlene Versuche, die Politik und die Bundesregierung strategisch auszuspionieren. Cyber-Spionageangriffe stellen jedoch auch eine ernsthafte Gefahr für die Rentabilität und die Expansionsaussichten von Unternehmen dar.

Große Unternehmen, Regierungsbehörden, akademische Einrichtungen, Denkfabriken und andere Organisationen mit wertvollem geistigem Eigentum und technischen Daten, die andere Organisationen oder Regierungen nutzen könnten, um Wettbewerbsvorteile zu erlangen, sind die häufigsten Ziele von Cyberspionage.

Kampagnen mit einer bestimmten Zielgruppe können auch auf bestimmte Personen abzielen, darunter bekannte Politiker, Führungskräfte aus der Wirtschaft und sogar Prominente.

In der Regel versuchen Cyberspione, Zugang zu den folgenden Quellen zu erhalten:

  • Daten und Aktivitäten im Zusammenhang mit Forschung und Entwicklung
  • Informationen aus akademischen Studien – geistiges Eigentum, wie z. B. Entwürfe für Produkte oder Blaupausen
  • Gehälter, Bonusstrukturen und andere private Finanz- und Ausgabendaten des Unternehmens
  • Eine Liste von Kunden oder Auftraggebern sowie Zahlungsmodalitäten
  • Politische Strategien, Verbindungen und Kommunikation – Geschäftsziele, strategische Pläne und Marketingtechniken
  • Militärische Details

Wie funktioniert die Cyberspionage?

Normalerweise sind Cyberspione so vorsichtig, dass ihre Ziele von dem Spionageangriff nichts mitbekommen. Gelegentlich gelingt ihnen dies jedoch nicht, und die Vorfälle werden öffentlich gemacht. Für Sicherheitsforscher ist dies eine einmalige Chance, den Verlauf des Angriffs zu untersuchen.

Was wissen wir also aus der Forschung über die Funktionsweise der Cyberspionage?

Die Ergebnisse sind wie folgt:

  • Angriffe von Cyberspionen scheinen gut organisiert zu sein und können sich manchmal über Jahre hinziehen.
  • Die Angreifer verschaffen sich unberechtigten Zugang zum System ihres Opfers, indem sie Social Engineering und Phishing einsetzen oder indem sie Sicherheitslücken ausnutzen und das System aktiv hacken. Anschließend installieren sie so genannte Backdoor-Programme, um ständig Zugriff auf das System zu haben.
  • Danach wird häufig eine Untersuchung des Netzwerks durchgeführt. Die Eindringlinge lernen die Konfiguration des Netzes, die verwendeten Softwareversionen usw. kennen. Das Netzwerk wird unter Umständen jahrelang nicht aktualisiert.
  • Es können Jahre vergehen, bevor die eigentliche Spionage beginnt, vielleicht um dem erfolgreichen Einbruch Zeit zu geben, sich zu verkriechen.
  • Doch irgendwann beginnen die Angreifer mit dem Sammeln von Informationen. Sie setzen Technologien zum Sammeln von Daten ein, die nach Word-, PowerPoint-, Excel- und Word-Dateien suchen. Die Backdoor wird anschließend verwendet, um die Daten an die Server der Angreifer zu übermitteln.
  • Manchmal wird neue Malware hinzugefügt, die den Angreifern einen funktionelleren Zugriff auf den PC des Opfers ermöglicht, z. B. das Mitlesen und Aufzeichnen von Tastatureingaben.

Wie bereits erläutert, bekommen die Opfer von all dem in der Regel nichts mit. Und genau das macht Cyberspionage so gefährlich: Weder die Opfer von Cyberspionage noch die nachfolgenden Opfer haben die Möglichkeit, aus ihren Fehlern zu lernen, die Lücken zu schließen und ihre eigenen Abwehrmaßnahmen zu verstärken.

Natürlich gibt es auch den Schaden, der durch interne Wissenslecks entsteht.

Typische Methoden der Cyberspionage

Der Großteil der Cyberspionage wird als fortgeschrittene anhaltende Bedrohung (APT) eingestuft. Eindringlinge nutzen diese ausgeklügelten, anhaltenden Cyberangriffe, um heimlich in ein Netzwerk einzudringen und wichtige Daten über einen längeren Zeitraum zu stehlen.

APT-Angriffe sind sorgfältig durchdacht und darauf ausgelegt, eine bestimmte Organisation zu infiltrieren. Sie zielen darauf ab, sich den aktuellen Sicherheitsmaßnahmen dauerhaft zu entziehen.

APT-Angriffe erfordern mehr Anpassung und Geschick bei der Ausführung als herkömmliche Angriffe. Bei den Akteuren handelt es sich in der Regel um gut ausgerüstete, erfahrene Banden von Cyberkriminellen, die es auf besonders wohlhabende Unternehmen und Organisationen abgesehen haben.

Vor dem Angriff werden viel Zeit und Ressourcen für die Erforschung von Schwachstellen aufgewendet.

Die meisten Cyberspionage-Angriffe beinhalten auch eine Art von Social Engineering, um die Zielperson zu einer bestimmten Handlung oder zur Weitergabe von Informationen zu bewegen, die den Angriff voranbringen.

Diese Techniken nutzen häufig menschliche Emotionen wie Begeisterung, Neugier, Empathie oder Angst aus, um impulsives Verhalten zu erzeugen.

Sie werden von Cyberkriminellen eingesetzt, um die Opfer dazu zu verleiten, persönliche Informationen preiszugeben, auf schädliche Links zu klicken, Malware herunterzuladen oder Lösegeld zu zahlen.

Andere typische Angriffsmethoden sind:

  1. Watering Hole: Um eine Person zu kompromittieren, können bösartige Akteure echte Websites, die das Opfer oder Personen, die mit dem Angriffsziel verbunden sind, üblicherweise besuchen, mit Malware infizieren.
  2. Spearphishing: Ein Hacker wendet sich mit gefälschten E-Mails, SMS und Anrufen an bestimmte Personen, um an wichtige Informationen oder Anmeldedaten zu gelangen.
  3. Zero-Day-Exploits: Cyberkriminelle nutzen einen bekannten Softwarefehler oder eine Schwachstelle aus, bevor das IT-Personal oder der Softwareentwickler des Kunden sie bemerkt und behebt.
  4. Insider-Bedrohungen oder böswillige Insider: Ein Bedrohungsakteur überredet einen Mitarbeiter oder Auftragnehmer, Informationen weiterzugeben oder zu verkaufen oder unbefugten Benutzern Zugang zum System zu gewähren.

Zunahme von Cyberangriffen

Die Zahl der Cyberspionage-Angriffe nimmt im digitalen Zeitalter ständig zu. Dafür gibt es zahlreiche Ursachen:

  1. Die Anonymität des Internets macht es schwieriger, die Täter aufzuspüren und vor Gericht zu stellen.
  2. Im Falle eines erfolgreichen Angriffs besteht ein umfassender und schneller Zugriff auf riesige Datenmengen.
  3. Für die Täter sind Cyberangriffe eine kostengünstige Methode, die sie in Echtzeit und mit hinreichender Erfolgswahrscheinlichkeit einsetzen können.

Cyberspionage-Angriffe sind besonders schädlich, weil sie häufig unentdeckt bleiben oder erst im Nachhinein aufgedeckt werden. So erstellen die Angreifer beispielsweise schädliche E-Mails, die den Zielen oder Interessen der Opfer entsprechen, um keinen Verdacht zu erregen.

Häufig werden typische Trojaner-E-Mails verwendet. In manchen Fällen wird durch das Öffnen des Anhangs automatisch ein gefährliches Programm gestartet, das darin enthalten ist.

Cyberspione vernichten die Wirtschaft in Milliardenhöhe

Im Bereich der digitalen Wirtschaftsspionage werden Daten entlang der gesamten Wertschöpfungskette ausgespäht. Das beginnt bei der Produktidee, geht über Forschung, Entwicklung, Beschaffung und Produktion und gipfelt in der Produktvermarktung.

Der deutschen Wirtschaft entsteht durch Cyberspionage ein jährlicher Schaden von mindestens 50 Milliarden Euro, wenn nicht mehr.

Was unternimmt der Staat, um Cyberspionage-Angriffe zu verhindern? Die Hauptaufgabe der Spionageabwehr besteht darin, nachrichtendienstlich motivierte Cyberangriffe zu erkennen, zu analysieren und Maßnahmen zu ergreifen, um potenzielle Opfer vor der Bedrohung zu warnen.

Zu diesem Zweck arbeiten verschiedene Bundesbehörden zusammen, und seit 2011 gibt es sogar ein Nationales Cyber-Abwehrzentrum (Cyber-AZ). Darüber hinaus hat das Bundesinnenministerium die „Initiative Wirtschaftsschutz“ ins Leben gerufen, die vor allem kleine und mittlere Unternehmen vor Spionage schützen soll.

Die Auswirkungen von Cyberspionage auf die Welt

Ein wachsendes Sicherheitsproblem ist die Cyberspionage, insbesondere wenn sie von staatlichen Akteuren ausgeht.

Aufgrund fehlender Auslieferungsabkommen zwischen den Staaten und der Schwierigkeit, internationale Gesetze durchzusetzen, können die meisten Kriminellen trotz zahlreicher Anklagen und Gesetze, die solche Aktivitäten unterbinden sollen, weiterhin frei agieren.

Aufgrund dieses Umstands und der zunehmenden Raffinesse von Cyberkriminellen und Hackern besteht die Gefahr eines koordinierten und ausgeklügelten Angriffs, der eine Reihe von modernen Dienstleistungen beeinträchtigen könnte, darunter die Stromversorgung, das Funktionieren der Finanzmärkte und wichtige Wahlen.

Ein weltweiter Cyberkrieg?

Die staatlich geförderte Cyberspionage ist trotz aller Versuche weiterhin äußerst schädlich. Denn: Es werden in der Tat beträchtliche finanzielle Mittel für vielversprechende Angriffe auf lukrative oder aus anderen Gründen wichtige Ziele bereitgestellt und eingesetzt.

Es gibt einen florierenden Schwarzmarkt für Schwachstellen in Software (MS Office, Adobe Reader, Adobe Flash usw.) und Betriebssystemen (Windows, Linux, iOS usw.), die gekauft und für Cyberspionage-Angriffe genutzt werden können.

Inzwischen ist sogar von einem globalen Wirtschaftskrieg im digitalen Raum die Rede. Nachdem sich die Fronten zwischen Russland, China und den USA seit Jahren verhärtet haben, interessiert sich sogar die UNO für das Thema und hat einen Ausschuss für Sicherheit im Cyberspace eingerichtet.

Das weltweite Bemühen, staatliches Hacking zu kontrollieren, ist in eine Sackgasse geraten.

Strafen für Cyberspionage

Obwohl zahlreiche Staaten Strafanzeige wegen Cyberspionage erstattet haben, betreffen die schwerwiegendsten Fälle in der Regel ausländische Akteure in Ländern, die nicht zur Auslieferung verpflichtet sind.

Infolgedessen haben die Strafverfolgungsbehörden kaum die Möglichkeit, Cyberkriminelle strafrechtlich zu verfolgen, insbesondere solche, die ihren Sitz im Ausland haben.

Der Ermittlungsaufwand, der erforderlich ist, um Cyberspionagevorwürfe zu stützen, kann jedoch auch als Grundlage für Strafen gegen andere Staaten oder internationale Unternehmen dienen.

So ist beispielsweise das US-Finanzministerium befugt, auf der Grundlage von Ermittlungsdaten aus Anklagen Wirtschaftssanktionen gegen ein Unternehmen zu verhängen, das bekanntermaßen an Cyberspionageaktivitäten beteiligt war.

Aufdeckung, Prävention und Vermeidung von Cyberspionage

Cyber-Angreifer und Cyber-Spione werden immer raffinierter, so dass es ihnen möglich ist, viele etablierte Cybersicherheitsinstrumente und -systeme zu umgehen. Auch wenn diese Bedrohungsakteure häufig hochqualifiziert sind und Zugang zu ausgefeilten Tools haben, ist es nicht unmöglich, sich gegen diese Angriffe zu schützen.

Um Organisationen dabei zu helfen, ein besseres Verständnis für die Bedrohungsakteure, ihre Angriffsmethoden und die von ihnen häufig angewandten Verfahren zu erlangen, stehen eine Reihe von Cybersicherheits- und Informationslösungen zur Verfügung.

  1. Anbieter von Dienstleistungen: Es ist von entscheidender Bedeutung, mit einem erstklassigen Cybersicherheitsunternehmen zusammenzuarbeiten. Unternehmen benötigen möglicherweise Unterstützung, um auf einen ausgeklügelten Cyberangriff zu reagieren, wenn das Unerwartete eintritt.
  2. Sensorabdeckung: Nur was man sehen kann, kann man auch aufhalten. Die Elemente, die den Sicherheitsverantwortlichen einen Gesamtüberblick über die gesamte Umgebung bieten, sollten von den Unternehmen implementiert werden, um sicherzustellen, dass es keine Lücken gibt, die Bedrohungsakteure ausnutzen können.
  3. Berichte zur Bedrohungsanalyse vermitteln ein klares Bild von den Aktionen der Bedrohungsakteure und den von ihnen eingesetzten Methoden und Tools. Die Überwachung von Malware-Familien, die Verfolgung von Kampagnen und die Erstellung von Profilen von Bedrohungsakteuren werden durch Bedrohungsanalysen erleichtert. In der heutigen Zeit ist es wichtiger denn je, den Kontext eines Angriffs zu kennen. Das bloße Wissen, dass ein Angriff stattgefunden hat, reicht nicht aus. Bedrohungsdaten sind in dieser Situation unerlässlich.
  4. Technische Daten: Verwenden Sie zur Datenanreicherung in einem SIEM-System (Security Information and Event Management) technische Daten, wie z. B. Kompromittierungsindikatoren. Dadurch wird Ihre Informationsbasis für die Ereigniskorrelation erweitert, und Sie sind möglicherweise in der Lage, Netzwerkereignisse zu erkennen, die Ihnen sonst entgangen wären. Das Situationsbewusstsein wird durch die Implementierung vertrauenswürdiger Anzeichen für eine Gefährdung über mehrere Sicherheitssysteme hinweg erheblich verbessert.
  5. Bedrohungsjagd: Es ist wichtiger denn je, zu verstehen, dass die Abhängigkeit eines Unternehmens von der Technologie ihre Grenzen hat. Für viele Unternehmen ist es von entscheidender Bedeutung, die bereits vorhandenen Cybersecurity-Technologien durch eine von Menschen geführte Bedrohungsjagd rund um die Uhr zu ergänzen.

Cyberspionage: Fazit und Zukunftsprognose

Cyberangriffe sind heute ein wesentlicher Bestandteil nachrichtendienstlicher Spionagetechniken. Das digitale Zeitalter schafft auch neue Möglichkeiten und Wege der Spionage, was die Spionageabwehr vor neue Schwierigkeiten stellt.

Seit 2005 gibt es Berichte über gezielte Cyberangriffe auf Politiker, Unternehmen und die Bundesregierung. Diese finden auf einem hochtechnologischen Niveau statt und gefährden die Informationssicherheit dort erheblich.

Für ausländische Nachrichtendienste sind elektronische Angriffe zu einem wichtigen Mittel der Informationsbeschaffung geworden, das als Ergänzung zu den aus menschlichen Quellen gewonnenen Informationen dient. Sie haben eine hohe Erfolgswahrscheinlichkeit, sind kostengünstig und können sofort durchgeführt werden.

Es bestehen keine nennenswerten politischen oder kriminellen Bedrohungen. Dieses Thema wird mit zunehmender Vernetzung und wachsender Abhängigkeit von IT-Infrastrukturen noch viel brisanter werden.

Um die Sicherheitspolitik kooperativ an den Fortschritt anpassen zu können, wird es daher für betroffene Unternehmen weiterhin besonders wichtig sein, Spionagefälle oder Verdachtsmomente an die Sicherheitsbehörden zu melden.