Cybersicherheitslage im Zusammenhang mit dem russischen Angriff auf die Ukraine

In Anbetracht des russischen Angriffskrieges gegen die Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit in Deutschland.

Nach Einschätzung des BSI ist die Gefährdungslage im Cyberraum so hoch wie nie (siehe dazu auch den jährlichen BSI-Bericht "Die Lage der IT-Sicherheit in Deutschland"). Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Das BSI als die Cybersicherheitsbehörde des Bundes steht zur Bewertung der IT-Sicherheitslage fortwährend in engem Austausch mit dem Bundesministerium des Innern und für Heimat sowie zahlreichen nationalen und internationalen Partnerbehörden. Alle Informationen zur Lage mit Bezug zur Informationssicherheit laufen zudem im Nationalen Cyber-Abwehrzentrum in Bonn zusammen und werden dort ausgewertet.

Lageentwicklung

Das zuletzt veröffentlichte Update gilt bis Erscheinen eines weiteren.

UPDATE vom 30. März 2024

Nach wie vor stellt das BSI eine erhöhte Cyberbedrohungslage für Deutschland im Kontext des russischen Angriffskrieges gegen die Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft. Vor dem Überfall Russlands auf die Ukraine waren Angreifergruppen, die Russland zugeordnet werden, in Deutschland insbesondere mit Cyberspionage und finanziell motivierten Ransomware-Angriffen aktiv. Seit dem russischen Angriffskrieg auf die Ukraine hat sich das Spektrum der Bedrohungslage erweitert: Stark angestiegen ist die Zahl von DDoS-Angriffen durch pro-russische Hacktivisten, die aber meist keine nachhaltigen Schäden verursachen.

Vor dem Hintergrund des Superwahljahres in Deutschland ist mit weiteren Cyberangriffsformen zu rechnen. Dazu gehören beispielsweise Propaganda- bzw. Desinformations-Kampagnen mit dem Ziel, die Bevölkerung zu verunsichern. Darüber hinaus stellen Hack-und-Leak-Operationen eine ernsthafte Gefahr für demokratische Wahlen dar, wie sie ausländische Partner-Behörden des BSI in der Vergangenheit bereits russischen Angreifergruppen zugeschrieben haben. Das grundsätzliche Vorgehen umfasst hierbei das Veröffentlichen („Leak“) von Informationen, die zuvor mittels eines Cyberangriffs („Hack“) erbeutet wurden. Dabei können die veröffentlichten Informationen zusätzlich manipuliert oder gefälscht sein. Zielsetzung der Angreifer ist es, das Vertrauen der Wähler in den Staat und die demokratischen Parteien zu untergraben und die öffentliche Meinung zu beeinflussen. Das Erbeuten von Informationen erfolgt hierbei über das Kompromittieren von E-Mail-Konten, Accounts in Sozialen Medien oder anderen privaten Kommunikationskanälen. Hierzu werden insbesondere Phishing-E-Mails eingesetzt.

Die IT-Sicherheitslage bleibt weiterhin dynamisch und kann sich jederzeit ändern. Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur - demnach Anlagen zur Versorgung der Allgemeinheit - potenzielles Ziel von Angriffen sein können. Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen, wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

UPDATE vom 28. August 2023

Durch den russischen Angriffskrieg gegen die Ukraine entstand erstmalig die Situation, dass ein Staat mit ausgeprägten Cyberfähigkeiten in einem bewaffneten Konflikt mit einem anderen entwickelten, digitalisierten Staat steht. Zu beobachten war in diesem Zusammenhang international eine große Spannbreite an Phänomenen im Cyberraum, nämlich Cyberspionage, Hacktivismus, Desinformation samt Veröffentlichen gestohlener Daten, sowie Cybersabotage. Deutschland stand jedoch offenbar nicht im Hauptfokus, jedenfalls zeigte sich hier nicht die gesamte Spannbreite der Phänomene.

Am häufigsten sind in diesem Zusammenhang DDoS-Angriffe gegen Behörden und Unternehmen. Diese erfolgen meist punktuell und anlassbezogen abhängig vom aktuellen Medien- und Politikgeschehen. Dementsprechend sind die meisten dieser DDoS-Angriffe von kurzer Dauer und hinterlassen keine nachhaltigen Schäden. Kosten resultieren weniger aus den eigentlichen technischen Angriffen als aus der begleitenden Öffentlichkeitsarbeit der Hacktivisten. Die hacktivistischen Gruppen kündigen immer wieder massive Angriffe an, denen dann aber oftmals keine - oder nur deutlich weniger wirksame - Angriffe folgen. Dennoch führen diese Ankündigungen bei IT-Sicherheitsbeauftragten und IT-Sicherheitsteams zu Aufwänden und damit Kosten.

Im den Bereich Außenpolitik sind Angriffsversuche zur Informationsbeschaffung zu beobachten.

UPDATE vom 27. Januar 2023

Am 25. und 26. Januar 2023 hat das BSI eine DDoS-Kampagne gegen ausgewählte Ziele in Deutschland beobachtet. Dabei handelte es sich um DDoS-Angriffe insbesondere auf Websites von Flughäfen. Auch einzelne Ziele im Finanzsektor waren betroffen. In der Folge waren einige Websites der angegriffenen Unternehmen zeitweise nicht erreichbar. Hinweise auf direkte Auswirkungen auf die jeweilige Dienstleistung liegen dem BSI nicht vor und sind nach Einschätzung des BSI bei Ergreifen üblicher Schutzmaßnahmen gegen DDoS-Angriffe auch nicht zu erwarten.

Auch Websites der Bundes- und Landesverwaltung wurden im Rahmen dieser Kampagne angegriffen. Diese Angriffe konnten größtenteils abgewehrt werden und sind ohne gravierende Auswirkungen geblieben. Die Angriffe waren von der russischen Hackergruppierung Killnet angekündigt worden.

Schon seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfü.gige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

Daneben ist es seit Beginn des Angriffs Russlands auf die Ukraine in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dabei handelte es sich u.a. um Kollateralschäden aus Cyberaktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen.

UPDATE vom 3. August 2022

Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft (siehe dazu auch den BSI-Bericht "Die Lage der IT-Sicherheit in Deutschland 2021"). Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Weitere Informationen zur Bedrohungslage sowie konkrete Hinweise zur Umsetzung von Cybersicherheitsmaßnahmen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dabei handelte es sich u.a. um Kollateralschäden aus Cyberaktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen.

Seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

Trotz der wenigen konkreten Vorfälle kann sich die Lage jederzeit ändern.

Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur - demnach Anlagen zur Versorgung der Allgemeinheit - potenzielles Ziel von Angriffen sein können.

Durch die bestehenden Abhängigkeiten von Energieimporten kommt den Branchen Strom, Gas und Mineralöl aktuell eine außergewöhnliche Relevanz zu. Der Sektor Energie stellt somit aktuell ein besonders attraktives Angriffsziel für Cyberattacken dar.

Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen, wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

UPDATE vom 12. Mai 2022

Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland fest. Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Weitere Informationen zur Bedrohungslage sowie konkrete Hinweise zur Umsetzung von Cybersicherheitsmaßnahmen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu einzelnen zusätzlichen IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten.

Insbesondere DDoS-Angriffe waren jüngst zu verzeichnen unter anderem auch auf Ziele in Deutschland. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen.

Daneben hat es Cyberangriffe auf Unternehmen und Einrichtungen gegeben, die weiterhin Geschäftsbeziehungen mit Russland unterhalten.

Das BSI weist zudem darauf hin, dass Angriffe auf IT-Systeme wie das Hacking von Webseiten oder die Beteiligung an DDoS-Angriffen verboten sind und ein erhebliches Gefährdungspotential aufweisen. Gründe hierfür sind unter anderem nicht vorhersehbare Folgewirkungen von Cyberangriffen jeder Art, etwa bezüglich bestehender Abhängigkeiten der angegriffenen Systeme. Darüber hinaus sind Vergeltungsmaßnahmen genauso denkbar wie mögliche Phishing-Versuche im Zusammenhang mit Beteiligungsaufrufen.

Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen wiederholt sensibilisiert, gezielt informiert und ruft erneut zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

UPDATE vom 4. März 2022

In Anbetracht der Situation in der Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit.

Weiterhin erkennt das BSI eine abstrakt erhöhte Bedrohungslage für Deutschland. Für das BSI ist aber aktuell keine akute unmittelbare Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich. Diese Bewertung kann sich nach Einschätzung des BSI jederzeit ändern.

Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Weitere Informationen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des russischen Angriffs auf die Ukraine ist es in Deutschland zu wenigen unzusammenhängenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten.

Weiterhin berichten mehrere Medien zu erhöhten Aktivitäten von sogenannten Trollen, bspw. in den Kommentarspalten ihrer Webseiten oder in den zugehörigen Social-Media-Auftritten.

Erste Phishing-Mails mit Bezug zum Ukraine-Krieg sind nun auch auf Deutsch im Umlauf. Dabei treten Vorschussbetrügereien auf, bei denen die Mail-Empfänger z.B. gebeten werden, vermeintlichen Opfern des Krieges Geld für die Flucht zu überweisen. Daneben ist auch klassisches Phishing, das mit reißerischer Berichterstattung die Mail-Empfänger zum Klicken zum Beispiel auf einen "Weiterlesen"-Button verleiten soll. Auch Scam-Mails, die betrügerische Spendenaufrufe verbreiten, sind in Umlauf. Bei den aktuellen Phishing-Mails wird demnach der Krieg gegen die Ukraine zu kriminellen Zwecken genutzt. Nach Einschätzung des BSI dürfte das Aufkommen an Phishing-Mails auch im deutschsprachigen Raum weiter zunehmen.

Das BSI weist zudem darauf hin, dass Angriffe auf IT-Systeme wie das Hacking von Webseiten oder die Beteiligung an DDoS-Angriffen verboten sind und ein erhebliches Gefährdungspotential aufweisen. Gründe hierfür sind u.a. nicht vorhersehbare Folgewirkungen von Cyberangriffen jeder Art, etwa bezüglich bestehender Abhängigkeiten der angegriffenen Systeme. Darüber hinaus sind Vergeltungsmaßnahmen genauso denkbar wie mögliche Phishing-Versuche im Zusammenhang mit Beteiligungsaufrufen.

Das BSI als die Cybersicherheitsbehörde des Bundes steht fortwährend in engem Austausch mit dem Bundesministerium des Innern und für Heimat sowie zahlreichen nationalen und internationalen Partnerbehörden.

STAND vom 25. Februar 2022

Das BSI hat seinen Eigenschutz und seine Krisenreaktion gestärkt und hat dazu das Nationale IT-Krisenreaktionszentrum aktiviert. Darüber hinaus hat das BSI auch seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen sensibilisiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen.

Das BSI erkennt derzeit eine erhöhte Bedrohungslage für Deutschland. Allerdings ist aktuell keine akute Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich. Diese Situation kann sich nach Einschätzung des BSI jederzeit ändern.