Russische Hackingangriffe und IT-Sicherheit: Eine wachsende Bedrohung für Unternehmen

Stellen Sie sich vor: Es ist ein ganz normaler Arbeitstag, als plötzlich alle Computer in Ihrem Unternehmen einfrieren. Auf den Bildschirmen erscheint eine Nachricht: "Ihre Daten wurden verschlüsselt. Zahlen Sie, oder Sie verlieren alles." Was wie ein Alptraum klingt, ist für viele Unternehmen bittere Realität geworden.

Im Juni 2024 traf es den bekannten Softwareanbieter TeamViewer. Russische Hacker drangen in das interne IT-System ein und verursachten einen Kurssturz der Aktie. Dieser Vorfall ist kein Einzelfall, sondern Teil einer besorgniserregenden Entwicklung: Staatlich unterstützte Hackergruppen, insbesondere aus Russland, intensivieren ihre Angriffe auf Unternehmen und Institutionen weltweit.  

Die Bedrohung durch russische Hackinggruppen hat in den letzten Jahren dramatisch zugenommen. Eine der aktivsten und gefährlichsten Gruppen ist APT29, auch bekannt als Cozy Bear, Midnight Blizzard oder Nobelium. Expert:innen gehen davon aus, dass diese Gruppe im Auftrag des russischen Auslandsgeheimdienstes SWR operiert. Ihre Angriffe zeichnen sich durch hochentwickelte Techniken und hartnäckige Vorgehensweisen aus, die oft auf langfristige Spionage und Datendiebstahl abzielen.

In jüngster Zeit hat APT29 mehrere aufsehenerregende Angriffe durchgeführt, die die globale IT-Sicherheitslandschaft erschüttert haben. Besonders besorgniserregend ist, dass selbst große Technologieunternehmen wie Microsoft, Hewlett Packard Enterprise (HPE) und TeamViewer, die eigentlich über fortschrittliche Sicherheitsmaßnahmen verfügen sollten, Opfer dieser Angriffe wurden. Diese Vorfälle unterstreichen, wie zunehmend ausgeklügelt und hartnäckig russische Angriffe sind, und zeigen, dass kein Unternehmen, unabhängig von seiner Größe oder seinem technologischen Niveau, immun gegen solche Bedrohungen ist. 

Im Juni 2024 wurde das renommierte Softwareunternehmen TeamViewer Opfer eines schwerwiegenden Cyberangriffs. Die Attacke, die von der russischen Hackinggruppe APT29 durchgeführt wurde, zielte auf das interne IT-System des Unternehmens ab. Der Angriff hatte folgende Auswirkungen:

1. Die Gruppe nutzte die Anmeldedaten eines Mitarbeiterkontos, um in das Unternehmensnetzwerk einzudringen.
2. Personenbezogene Daten der Mitarbeitenden, einschließlich Namen, Kontaktinformationen und verschlüsselte Passwörter, wurden kopiert.
3. Der Vorfall führte zu einem Kurssturz der TeamViewer-Aktie.

TeamViewer betonte, dass weder die Produktumgebung noch Daten von Kund:innen betroffen waren. Das Unternehmen arbeitete eng mit Microsoft zusammen, um den Vorfall zu untersuchen und zusätzliche Sicherheitsmaßnahmen zu implementieren.

Ende November 2023 glückte der Hackergruppe APT29 ein Password-Spraying-Angriff. Ein Password-Spraying-Angriff ist eine Methode, bei der Angreifende versuchen, mit einer begrenzten Anzahl häufig verwendeter Passwörter auf viele verschiedene Konten zuzugreifen, um die Wahrscheinlichkeit zu erhöhen, ein schwaches Passwort zu finden und gleichzeitig Kontosperrungen zu vermeiden. So hat sich APT29 Zugang zu einem alten, nicht produktiven Test-Tenant-Konto bei Microsoft verschafft.

Durch diesen Zugang konnten die Angreifenden auf einen kleinen Prozentsatz der Unternehmens-E-Mail-Konten von Microsoft zugreifen, darunter auch solche von Führungskräften und Mitarbeitenden der Bereiche Cybersicherheit und Recht.

Der Angriff wurde erst im Januar 2024 entdeckt, was bedeutet, dass APT29 etwa anderthalb Monate lang Zugriff auf die E-Mail-Postfächer hatte. Microsoft betonte, dass der Angriff nicht auf eine Schwachstelle in ihren Produkten zurückzuführen sei und dass keine Daten von Kund:innen, Quellcodes oder produktive Systeme betroffen waren. 

Nun ist herausgekommen, dass doch nicht nur interne, sondern auch Daten von Kund:innen betroffen waren. Betroffene Kund:innen erhielten somit erst Monate später detaillierte Informationen über das Ausmaß des Angriffs, was die Vertrauensbasis erheblich erschütterte.

Am 12. Dezember 2023 wurde HPE darüber informiert, dass sie Ziel eines Cyberangriffs geworden waren. Die Untersuchungen ergaben, dass die Angreifenden bereits seit Mai 2023 Zugriff auf einen kleinen Prozentsatz der internen E-Mail-Konten hatten. Besonders besorgniserregend ist, dass die betroffenen Postfächer Mitarbeitenden aus sensiblen Unternehmensbereichen wie Cybersecurity, Go-to-Market und verschiedenen Geschäftssegmenten gehörten.

HPE geht davon aus, dass ebenfalls die Hackinggruppe APT29 für diesen Angriff verantwortlich ist. Diese Gruppe wird mit dem russischen Staat in Verbindung gebracht und war auch für den berüchtigten SolarWinds-Angriff im Jahr 2020 verantwortlich. 

Ein weiterer wichtiger Aspekt in der Diskussion um russische Cybersicherheitsbedrohungen ist das Verbot der Kaspersky-Software in den USA. Dieses Verbot unterstreicht die wachsenden geopolitischen Spannungen im Bereich der Cybersicherheit:

• Ab Juli 2024 darf die Antivirensoftware von Kaspersky in den USA nicht mehr verkauft werden. Dieses Verbot wurde von US-Behörden erlassen und betrifft sowohl den öffentlichen als auch den privaten Sektor.
• Der Hauptgrund für das Verbot ist die russische Herkunft der Software. Kaspersky wurde vom russischen Staatsbürger Jewgeni Kasperski gegründet, was Bedenken hinsichtlich möglicher Verbindungen zur russischen Regierung aufwirft.
• US-Behörden sehen in der Verwendung von Kaspersky-Produkten ein potenzielles Sicherheitsrisiko. Es wird befürchtet, dass die Software als Einfallstor für russische Spionageaktivitäten genutzt werden könnte.
• Dieses Verbot hat weitreichende Auswirkungen auf den Markt für Cybersicherheitslösungen und zeigt, wie geopolitische Faktoren zunehmend Einfluss auf technologische Entscheidungen nehmen. 

Angesichts der zunehmenden Bedrohung durch russische Hackinggruppen und andere Cyberkriminelle ist es für Unternehmen unerlässlich, ihre Sicherheitsmaßnahmen zu verstärken. Hier sind einige wichtige technische und organisatorische Maßnahmen, die Unternehmen ergreifen sollten:

1. Implementierung von Multi-Faktor-Authentisierung (MFA): Wie der Microsoft-Vorfall zeigt, ist eine starke Authentisierung entscheidend. MFA sollte für alle Konten, insbesondere für privilegierte Zugänge, aktiviert werden.
2. Regelmäßige Überprüfung von Passwörtern: Unternehmen sollten eine strikte Passwortrichtlinie durchsetzen, um das Risiko von Password-Spraying-Angriffen zu minimieren.
3. Segmentierung des Netzwerks: Wie TeamViewer es praktiziert, sollten Unternehmen eine strikte Trennung zwischen verschiedenen IT-Umgebungen (z. B. Unternehmens-IT, Produktionsumgebung, Daten von Kund:innen) implementieren.
4. Einsatz von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS): Diese Systeme können verdächtige Aktivitäten frühzeitig erkennen und automatisch darauf reagieren.
5. Nutzung von Sicherheitssoftware und regelmäßige Updates: Es ist unerlässlich, stets die neuesten Versionen von Sicherheitssoftware zu verwenden und regelmäßige Updates durchzuführen, um bekannte Schwachstellen zu schließen. Dies gilt auch für alle Betriebssysteme und Anwendungen. 

1. Schulungen und Sensibilisierung der Mitarbeitenden: Regelmäßige Schulungen zur Cybersicherheit können Mitarbeitende für potenzielle Bedrohungen sensibilisieren und das Risiko menschlicher Fehler reduzieren.
2. Entwicklung und Implementierung von Incident-Response-Plänen: Wie die Reaktionen von TeamViewer und Microsoft zeigen, ist eine schnelle und effektive Reaktion auf Sicherheitsvorfälle entscheidend.
3. Regelmäßige Sicherheitsüberprüfungen und Penetrationstests: Diese Tests können Schwachstellen aufdecken, bevor sie von Angreifern ausgenutzt werden.
4. Zusammenarbeit mit externen Sicherheitsunternehmen: Wie TeamViewer und HPE gezeigt haben, kann die Zusammenarbeit mit spezialisierten Sicherheitsunternehmen bei der Bewältigung von Sicherheitsvorfällen sehr hilfreich sein. 

Die Bedrohung durch russische Hackinggruppen wie APT29 ist real und betrifft Unternehmen weltweit. Die jüngsten Angriffe auf TeamViewer, Microsoft und Hewlett Packard Enterprise zeigen, dass selbst große Technologieunternehmen mit fortschrittlichen Sicherheitsmaßnahmen nicht immun sind. Diese Vorfälle unterstreichen die Notwendigkeit, kontinuierlich in Cybersicherheit zu investieren und proaktive Maßnahmen zu ergreifen.

Zusätzlich zeigt das Verbot der Kaspersky-Software in den USA, dass geopolitische Faktoren eine immer größere Rolle in der Cybersicherheitslandschaft spielen. Unternehmen müssen nicht nur technische, sondern auch geopolitische Risiken berücksichtigen, wenn sie ihre Sicherheitsstrategien entwickeln. Letztendlich erfordert Cybersicherheit eine kontinuierliche Wachsamkeit und Anpassung an sich ständig weiterentwickelnde Bedrohungen. 

Cohen, Zachary, Sean Lyngaas und Jennifer Hansler (2024): „Biden administration bans Americans from using Russian-made cybersecurity software over national security concerns”, CNN 21. Juni 2024, https://edition.cnn.com/2024/06/20/politics/biden-administration-bans-kaspersky-software/index.html, letzter Zugriff am 23. Juli 2024.

Hegemann, Lisa (2024): „Warum die USA Kaspersky-Software verbannen“, Zeit Online, 21. Juni 2024, https://www.zeit.de/digital/datenschutz/2024-06/kaspersky-software-verbot-usa-russland-cybersicherheit, letzter Zugriff am 23. Juli 2024.

Kaspersky (2024): „Stellungnahme Kaspersky zur Entscheidung des US-Handelsministeriums“, 21. Juni 2024, https://www.kaspersky.de/about/press-releases/2024_stellungnahme-kaspersky-zur-entscheidung-des-us-handelsministeriums, letzter Zugriff am 23. Juli 2024.

Kunz, Christopher Dr. (2024): „TeamViewer-Angriff: Untersuchung abgeschlossen, Nutzer sind nicht betroffen“, heise online, 05. Juli 2024, https://www.heise.de/news/TeamViewer-Angriff-Untersuchung-abgeschlossen-Nutzer-sind-nicht-betroffen-9790568.html, letzter Zugriff am 23. Juli 2024.

Richey, Daniel (2024): „Cyberangriff auf TeamViewer“, IT-Administrator, 28. Juni 2024, https://www.it-administrator.de/Cyberangriff-auf-TeamViewer, letzter Zugriff am 23. Juli 2024.

Stöckel, Marc (2024): „Cyberangriff triff populäre Fernwartungssoftware“, golem.de 28. Juni 2024, https://www.golem.de/news/teamviewer-gehackt-cyberangriff-trifft-populaere-fernwartungssoftware-2406-186526.html, letzter Zugriff am 23. Juli 2024.

Stöckel, Marc (2024): „Ein weiterer IT-Konzern beklagt Abfluss interner E-Mails“, golem.de, 25. Januar 2024, https://www.golem.de/news/hp-enterprise-ein-weiterer-it-konzern-beklagt-abfluss-interner-e-mails-2401-181526.html, letzter Zugriff am 23. Juli 2024.

Stöckel, Marc (2024): „Hacker konnten wochenlang interne E-Mails abgreifen“, golem.de, 20. Januar 2024, https://www.golem.de/news/cyberangriff-auf-microsoft-hacker-konnten-wochenlang-interne-e-mails-abgreifen-2401-181375.html, letzter Zugriff am 23. Juli 2024.

TeamViewer (2024): „TeamViewer-Update zu IT-Sicherheit“, 04. Juli 2024, https://www.teamviewer.com/de/resources/trust-center/statement/, letzter Zugriff am 23. Juli 2024.

WirschaftsWoche (2024): „Cyberangriff auf Teamviewer: Verdacht führt nach Russland“, 01. Juli 2024, https://www.wiwo.de/unternehmen/it/fernsteuerungs-software-cyberangriff-auf-teamviewer-verdacht-fuehrt-nach-russland/29872918.html, letzter Zugriff am 23. Juli 2024.