Cyber-Angreifer: BSI benennt aktive Tätergruppen

Je eine Liste der in Deutschland aktiven staatlichen Akteure und der Cybercrime-Gruppierungen hilft dabei, Bedrohungsmeldungen besser einzuordnen.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

(Bild: Photon photo/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

BSI / CERT-Bund haben Listen mit APT- und Cybercrime-Gruppierungen veröffentlicht, deren Aktivitäten sie tatsächlich in Deutschland beobachten, und beschreiben deren Schwerpunkte. Es handelt sich dabei also um Akteure, die für hiesige Unternehmen und Organisationen eine reale Bedrohung darstellen.

Die dazu verwendeten Daten stammen primär aus Vorfällen im Bereich der eigenen Zuständigkeit, also insbesondere aus Vorfällen mit Bezug zur IT der öffentlichen Hand. Aber auch verlässliche Meldungen externer Partner fließen in die Zusammenstellung ein, erklärten die Autoren dieser Listen, Alexander Härtel und Timo Steffens in einem Pro-Talk mit Mitgliedern von heise security Pro.

Die APT-Liste des BSI enthält alle Tätergruppen, bei denen im Hintergrund ein staatlicher Akteur vermutet wird und die in den jüngsten zwei Jahren "gegen Ziele in Deutschland aktiv waren". Hinzu kommen auch Angreifer auf Ziele im europäischen Ausland, "die so oder auf ähnliche Weise auch in Deutschland hätten angegriffen werden können". In der Liste finden sich alte Bekannte wie APT28 aka Sofacy und Fancy Bear, die damals in den Bundestag eingebrochen sind, aber auch eher unbekannte Akteure wie "Bitter / Hazy Tiger".

Zuordnungen der einzelnen Gruppen zu Staaten oder gar deren Diensten führt die Liste nicht auf, obwohl die Bundesregierung etwa APT28 bereits öffentlich dem russischen Militärgeheimdienst GRU zugeschrieben hat. Das dürfte vor allem den Regelungen für Zuständigkeiten geschuldet sein. Denn die Attribution von Cyberangriffen zu einem Staat obliegt in Deutschland nicht dem BSI, sondern der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV). Trotzdem hätte sich das BSI ruhig trauen können, wenigstens die von offizieller Seite bestätigten Assoziationen aufzuführen.

Analoges gilt auch für die Liste der aktiven Crime-Gruppen in Deutschland, nur dass hier den Angreifern vor allem finanzielle Motive zugeschrieben werden. Zu beachten ist, dass das BSI hier strikt zwischen den Gruppierungen und der eingesetzten beziehungsweise vertriebenen Software unterscheidet. So heißt die Gruppe, die die Verschlüsselungs-Software Lockbit entwickelt und vertreibt, dort dann "Bitwise Spider". Das ist einerseits für eine systematische Erfassung sinnvoll, weil sogenannte Affiliates gar keine eigene Ransomware-Software haben oder zwischen der verschiedener Ransomware-as-a-Service-Anbieter wechseln. Andererseits erschwert es die Zuordnung etwas, weil eben fast alle Welt nur von der Lockbit-Bande beziehungsweise kurz Lockbit redet und deshalb kaum jemand mit "Bitwise Spider" die richtigen Assoziationen verbindet.

Diese Listen haben keineswegs nur theoretischen, sondern ganz konkreten, praktischen Nutzen, betonen ihre Autoren. Zu den dort aufgeführten Tätergruppen sammeln etwa die Incident-Response-Teams von CERT-Bund systematisch Informationen zur bekannten Vorgehensweise – deren Taktiken, Techniken und Procedures (TTPs) –, um sich gezielt auf weitere Vorfälle vorzubereiten und im Ernstfall kostbare Zeit zu sparen. So können sie etwa beim Vorliegen einer Lösegeldforderung einer bekannten Gruppe sofort nach den typischen Hinterlassenschaften dieser Bande suchen. Angesichts der Vielzahl der weltweit aktiven Gruppen wäre das in dieser Konsequenz ohne eine Beschränkung auf relevante Akteure kaum möglich.

Außerdem hilft diese Liste, eine realistischere Bedrohungslage zu erstellen und Abwehrmaßnahmen angemessen zu priorisieren. So finden sich in den Medien etwa immer wieder spektakuläre Sabotage-Aktionen der APT-Gruppe Sandworm. In der BSI-Liste tauchte sie zunächst gar nicht auf, weil es in den vergangenen zwei Jahren keine bestätigten Angriffe von Sandworm in Deutschland gegeben habe. Im Pro-Talk von heise security einigten sich die Diskutanten jedoch darauf, dass angesichts des Fortdauerns des Kriegs in der Ukraine von dieser Gruppe trotzdem eine latente Bedrohung ausgehe, woraufhin Sandworm jetzt in der Sektion "unter Beobachtung" aufgeführt wird.

Falls Sie auch an solchen Pro-Talks zu aktuellen Themen interessiert sein sollten, werfen Sie gerne einen Blick auf heise Security Pro:

(ju)