Bundesamt fürVerfassungsschutz

ElektronischeAngriffe

mit nachrichtendienstlichem Hintergrund

Elektronische Angriffemit nachrichtendienstlichem Hintergrund

1

2

Inhaltsverzeichnis

Gefahren für die moderne Informationsgesellschaft 5

Spionageziel Deutschland 9

Was sind Elektronische Angriffe? 13

Angriffsmethoden 19

Beispiel: G20-Gipfeltreffen 21

Angriffe auf die Wirtschaft 23

Cyber-Sabotage im Bereich NationaleKritische Infrastrukturen 27

Zusammenarbeit im Cyber-Abwehrzentrum 33

Fazit 35

3

4

Gefahren für die moderneInformationsgesellschaftBis vor 20 Jahren dominierten Zeitungen, Radio und Fernsehenneben Telefon, Fax und herkömmlichen Postsendungen unserealltägliche Kommunikation. Anfang der 90er Jahre hielten dannComputer, das Internet, E-Mails, Mobiltelefone und weitereFormen der Digitalisierung Einzug in unser tägliches Leben.

Diese fortwährende digitale Revolution hat die Welt in den ver-gangenen Jahrzehnten rapide gewandelt. Sie verändert das indi-viduelle Kommunikationsverhalten in unserer Gesellschaft undvervielfacht den Umfang an schnell verfügbaren Informationen.

Neben neuen Freiheiten und Bequemlichkeiten entstanden da-bei zugleich neue Abhängigkeiten und Gefährdungen. Die In-formations- und Kommunikationstechnologie schafft neue(Frei-)räume, ist aber gleichzeitig auch vielfältigen Bedrohun-gen ausgesetzt.

Das Bundesamt für Verfassungsschutz (BfV) beobachtet seit ge-raumer Zeit, wie Extremisten und Terroristen die neuen Techno-logien für Ihre Zwecke einsetzen und ihre Agitationsformen undOrganisationskonzepte entsprechend anpassen. Auch für fremdeNachrichtendienste bietet die rasante technische Entwicklungder Informations- und Kommunikationstechnologie vielfältigeMöglichkeiten der Datenausspähung, Datenveränderung undComputersabotage. Der Schutz hochsensibler Informationen so-wie der Schutz Nationaler Kritischer Infrastrukturen sind des-halb im Laufe der vergangenen Jahre zu vorrangigen Aufgabenim Kontext der inneren Sicherheit geworden – schließlich hängtheute nahezu unser gesamtes gesellschaftliches Leben von einerfunktionierenden und verlässlichen IT-Infrastruktur ab.

5

6

Unsere moderne Informationsgesellschaft steht derzeit vor derHerausforderung, auf der einen Seite die erforderliche Balancezwischen Sicherheitsinteressen und Freiheitsrechten einzuhal-ten und auf der anderen Seite den vielfältigen Gefahren, die mitder digitalen Revolution einhergehen, wirkungsvoll und zu-kunftsweisend zu begegnen.

Insbesondere die Spionageabwehr des BfV ist daher gefordertWege zu finden, wie die Sicherheit informationstechnischer Systeme vor Zugriffen durch fremde Nachrichtendienste effek-tiv zu gewährleisten sein wird. Wir sehen uns damit in der Pflicht,rechtswidrige Maßnahmen fremder Dienste auf deutschem Ho-heitsgebiet rechtzeitig zu erkennen und zu unterbinden.

7

8

Spionageziel DeutschlandDie Bundesrepublik Deutschland ist aufgrund ihrer geopoliti-schen Lage, ihrer Rolle in der Europäischen Union und in derNATO sowie als Standort zahlreicher Unternehmen der Spit-zentechnologie für fremde Nachrichtendienste attraktiv. Ihreoffene und pluralistische Gesellschaft erleichtert fremdenMächten die Informationsbeschaffung. Diese erfolgt sowohloffen als auch verdeckt.

Besonders die Nachrichten- und Sicherheitsdienste der Volksre-publik China und der Russischen Föderation entfalten in großemUmfang Spionageaktivitäten gegen Deutschland. Deren Schwer-punkte orientieren sich an den politischen Vorgaben ihrer Regie-rungen.

Hierzu gehört auch der gesetzliche bzw. staatliche Auftrag, dieeigene Volkswirtschaft mit Informationen zu unterstützen, dieauf nachrichtendienstlichem Wege beschafft wurden.

Die Nachhaltigkeit und globale Ausrichtung, mit denen diesemutmaßlichen Angreifer Informationen zu erlangen versu-chen, sind dabei durch deutliche Anzeichen einer strategischenAufklärung gekennzeichnet.

Bei der Spionage gegen Deutschland bilden die „klassischen“Spionagemittel, wie z.B. der Einsatz menschlicher Quellen, nachwie vor eine wichtige nachrichtendienstliche Handlungsopti-on. Dies belegte zuletzt die im Jahr 2013 erfolgte Verurteilung ei-nes Ehepaars zu mehrjährigen Haftstrafen. Beide Ehepartnerwaren unter Verwendung einer falschen Identität über mehr alszwanzig Jahre für einen russischen Auslandsnachrichtendiensttätig gewesen.

9

10

Daneben gewinnen aber auch technische Aufklärungsmaßnah-men stetig an Bedeutung. Unbestritten ist außerdem, dass ne-ben China und Russland auch Nachrichtendienste andererStaaten über die erforderlichen Ressourcen verfügen, um derar-tige technische Informationsgewinnungsmaßnahmen vomAusland aus gegen deutsche Ziele ausführen zu können.

11

12

Was sind ElektronischeAngriffe?Seit 2005 werden auf breiter Basis durchgeführte, zielgerichteteElektronische Angriffe gegen Bundesbehörden, Politik undWirtschaftsunternehmen festgestellt, die weiterhin ein qualita-tiv hohes Niveau erreichen und eine hohe Gefährdung für dieInformationssicherheit in diesen Bereichen bedeuten.

Die von uns über Jahre beobachtete hohe Zahl anspruchsvollerSpionageangriffe alleine auf deutsche Bundesbehörden belegtdie erhebliche Bedrohung für die Sicherheit deutscher IT-Syste-me. Von besonderem Interesse für die Angreifer sind dabei vorallem die Bereiche Außen- und Sicherheitspolitik, Finanzen so-wie Militär und Rüstung.

In Deutschland obliegt die Aufklärung sicherheitsgefährdenderoder geheimdienstlicher Tätigkeiten für eine fremde Macht denVerfassungsschutzbehörden. Dabei ist das BfV im deutschenSicherheitsgefüge auch zuständig für

• die Abwehr von Elektronischen Angriffen durch fremdeNachrichtendienste gegen Ziele im Inland und gegendeutsche diplomatische Auslandsvertretungen,

• die Abwehr von Elektronischen Angriffen durch Extre-misten und Terroristen gegen Ziele im Inland und gegendeutsche diplomatische Auslandsvertretungen.

Unter dem Begriff Elektronische Angriffe sind gemeinhin ge-zielt durchgeführte Maßnahmen mit und gegen IT-Infrastruk-turen zu verstehen. Neben der Informationsbeschaffung fallendarunter jedoch auch Aktivitäten, die zur Schädigung bzw. Sa-botage dieser Systeme geeignet sind.

13

14

Dazu gehören

• das Ausspähen, Kopieren oder Verändern von Daten,

• die Übernahme fremder elektronischer Identitäten,

• der Missbrauch oder die Sabotage fremder IT-Infra-strukturen sowie

• die Übernahme von computergesteuerten netzgebun-denen Produktions- und Steuereinrichtungen.

Die Angriffe können dabei erfolgen:

• von außen über Computernetzwerke(wie z.B. das Internet)

oder

• durch einen direkten, nicht netzgebundenen Zugriff aufeinen Rechner(z.B. mittels manipulierter Hardwarekomponenten).

Elektronische Angriffe haben sich in den letzten Jahren als zusätz-liche wichtige Methode der Informationsgewinnung fremderNachrichtendienste etabliert. Die Gründe hierfür sind vielfältig:

• Elektronische Angriffe sind ein effektives und von denbetroffenen Stellen nur schwer aufzuklärendes Mittelzur Informationsbeschaffung, bei dem insbesondere diesich bietende Anonymität des Internets eine Identifizie-rung und Verfolgung der Täter extrem erschwert.

• Solche Angriffe sind überdies kostengünstig, sie sind inRealzeit durchzuführen und sie besitzen eine hohe Er-folgswahrscheinlichkeit.

15

16

In Deutschland und gegen deutsche Ziele festgestellte nach-richten-dienstlich gesteuerte Elektronische Angriffe beinhalten– im Vergleich zu durch Extremisten und Terroristen verübteElektronische Angriffe wie z.B. Defacements oder DDoS-Atta-cken – das aktuell deutlich größere Gefährdungspotenzial. Sieunterscheiden sich erheblich in Quantität und Qualität sowiehinsichtlich der den Tätern zur Verfügung stehenden personel-len und finanziellen Ressourcen.

Fremde Nachrichtendienste sind in erster Linie an Informatio-nen interessiert, die bei staatlichen Institutionen abgeschöpftwerden können. Die anhaltenden Elektronischen Angriffe mitmutmaßlich nachrichtendienstlichem Hintergrund gegenBundesbehörden verdeutlichen den hohen Stellenwert dieserMethodik.

Die Dauer einzelner Angriffsoperationen und die globale Aus-richtung bei der Auswahl von Themen und Opfern weisen dabeideutlich auf strategische staatliche Ausforschungsaktivitätenhin.

17

18

AngriffsmethodenDie Dunkelziffer nicht erkannter Elektronischer Angriffe istweiterhin als hoch einzuschätzen, da die Methoden zunehmendausgeklügelter werden. Die Angreifer entwickeln die eingesetz-ten Schadprogramme permanent fort und steigern damit dieEffektivität derartiger Angriffe.

Selbst aktuelle Virenschutzprogramme sind nicht in derLage, derartige Schadsoftware zu erkennen!

Elektronische Angriffe sind nicht zuletzt deswegen so gefähr-lich (und „erfolgreich“), weil sie selbst von Opfern mit einemausgeprägten Sicherheitsbewusstsein häufig nicht erkanntwerden. So weisen Schadmails in der Regel ein gutes „Social En-gineering“ auf, d.h. sie sind so gestaltet, dass sie zu den Interes-sen- bzw. Aufgabengebieten der Opfer passen und dadurch zu-nächst keinen Argwohn erregen. Zudem werden die Absende-radressen solcher E-Mails derart gefälscht, dass sie scheinbarvon einem dem Opfer bekannten Absender stammen.

Neben der klassischen Trojaner-E-Mail, bei der das Schadpro-gramm zumeist im Anhang eingebunden ist und erst durch des-sen Öffnen aktiviert wird, werden mittlerweile weitere, sehrausgefeilte und kaum erkennbare Angriffsmethoden ange-wandt. Hierzu gehören z.B. sogenannte Drive-By-Infektionen:Die Angreifer erstellen dabei Webseiten mit einer entsprechen-den Schadfunktion oder hacken und manipulieren bestehendeInternetpräsenzen. Die ausgewählten Opfer werden gezielt miteiner E-Mail angesprochen und dazu verleitet, über einen Linkdie infizierten Webseiten aufzurufen. Zudem werden z.B. alsWerbeträger verteilte Datenträger (USB-Sticks, Flashkarten,CDs usw.) zum Einschleusen von Schadsoftware genutzt.

19

20

Derartige Attacken häufensich regelmäßig im Zusam-menhang mit bedeutendenwirtschafts- und finanzpoli-tischen Treffen. So wurdenwie in den Jahren zuvor auch2013 Angriffe im Rahmen desG20-Gipfeltreffens am 5. und6. September 2013 in St. Pe-tersburg (Russland) festge-stellt. Neben mehreren Bun-desministerien war u.a. derBankensektor betroffen. Ingeschickt gestalteten E-Mailsan hochrangige Entschei-dungsträger und deren un-mittelbare Mitarbeiter wurdeeine Kommunikation derChefunterhändler der betei-ligten Regierungen vorge-täuscht. Damit wurde ver-sucht, die Empfänger zu ver-leiten, den Schadanhang arg-los zu öffnen und so eineInfektion der Systeme auszu-lösen.

21

Die auf diesem Wege erlang-ten Informationen hättendem Angreifer theoretisch er-laubt, die Entscheidungendieses Gremiums zu Fragender internationalen Finanz-und Wirtschaftspolitik, derEnergie-, Klima- und Ent-wicklungspolitik sowie zurKorruptionsbekämpfung be-reits im Vorfeld abzuschätzenund entsprechend darauf zureagieren.

Derartige Informationen ste-hen ganz besonders im Aufklä-rungsinteresse fremder Nach-richtendienste. Aufgrund derMerkmale und bestehenderParallelen zu anderen Angrif-fen auf das deutsche Regie-rungsnetz wird der Ursprungdieser Attacken im Jahr 2013entsprechenden Stellen inChina zugeordnet.

Beispiel: G20-Gipfeltreffen

22

Angriffe auf die WirtschaftNeben der Integrität der staatlichen IT-Systeme ist insbesonde-re der Schutz der IT-Sicherheit in der Wirtschaft ein vordringli-ches Ziel des BfV.

Es liegt auf der Hand, dass elektronische Spionageangriffe nichtnur im Bereich der Behörden, sondern gerade auch im Bereichder Wirtschaft und Forschung ein probates Tatmittel darstellen.

Häufig greifen die potentiell Betroffenen vor allem aus wirt-schaftlichen Erwägungen auf Standard-IT-Komponenten zu-rück und bieten auf diese Weise Angreifern Verwundbarkeiten.Nicht zuletzt sorgt auch der zunehmende Einsatz mobiler End-geräte (Smartphones, Tablet-PCs) mit Zugang zum Firmennetzfür neue Einfallstore.

Erfolgreiche Spionageangriffe – sei es mit herkömmlichen Me-thoden der Informationsgewinnung oder mit ElektronischenAngriffen – können immense volkswirtschaftliche Schädenverursachen, wenn aus Forschungseinrichtungen und privatenUnternehmen geistiges Eigentum abfließt. Elektronische An-griffe aller Tätergruppen zusammengenommen generieren inder deutschen Wirtschaft bereits jetzt einen auf mehrere Milli-arden Euro geschätzten finanziellen Schaden.

Hauptsächlich sind Unternehmen mit den SchwerpunktenRüstung, Automobile, Luft- und Raumfahrt sowie Satelliten-technik betroffen. Ferner stehen Technologieunternehmen undindustrienahe Forschungsinstitute im Fokus.

Im Gegensatz zu den Angriffen auf Bundesbehörden sind Elektro-nische Angriffe auf die Wirtschaft von den Sicherheitsbehördenwegen der dortigen dezentralen IT-Strukturen, auf die staatlicheStellen keinen Zugriff haben, nur schwer zu detektieren.

23

24

Hinzu kommt, dass Unternehmen nur selten aus eigener Initia-tive heraus auf Sicherheitsbehörden zugehen, um relevante IT-Vorfälle zu melden.

• Wir wissen um die Ängste der Unternehmen vorPrestigeverlust und Umsatzeinbußen, wenn einerfolgreicher Spionage- oder Sabotageangriff andie Öffentlichkeit gelangt.

• Wir können jedoch Beratung bieten, auch ohne dieentsprechenden Vorfälle zur Anzeige bringen zumüssen.

• Wir können ihnen zudem kompetente Ansprech-partner anderer deutscher Sicherheitsbehördenvermitteln.

Vertraulichkeit ist dabei eines unsererobersten Handlungsgebote!

25

26

Cyber-Sabotageim Bereich NationaleKritische InfrastrukturenWenn von Elektronischen Angriffen die Rede ist, meint diesnicht alleine eine gezielte Informationsbeschaffung auf elek-tronischem Wege. Ein erhebliches Bedrohungspotential für dieinnere Sicherheit bergen auch gezielt insbesondere gegen diesogenannten Nationalen Kritischen Infrastrukturen ausgeführ-te elektronische Sabotageakte.

Bei Elektronischen Angriffen verwendete Schadprogramme zurInformationsabschöpfung – also Spionageprogramme – könnenprinzipiell auch zu Sabotagezwecken eingesetzt werden. Hat einAngreifer erst einmal Zugriff auf ein IT-System erlangt, kann erdort ungehindert eine Vielzahl an Aktionen durchführen, da-runter auch solche gegen dessen Integrität und Verfügbarkeit.

Zu den Nationalen Kritischen Infrastrukturen eines Landes ge-hören Organisationen und Einrichtungen von zentraler Bedeu-tung für das staatliche Gemeinwesen, bei deren Ausfall oder Be-einträchtigung nachhaltig wirkende Versorgungsengpässe, er-hebliche Störungen der öffentlichen Sicherheit oder anderedramatische Folgen eintreten würden.

Es handelt sich also um Einrichtungen, auf die wir elementar an-gewiesen sind, Einrichtungen, welche die Lebensfähigkeit unse-rer modernen Gesellschaft sicherstellen.

Beispielsweise dürfte eine längerfristige Lahmlegung von Kraft-werken, Krankenhäusern, Bahnhöfen oder Flughäfen ein er-hebliches Chaos verursachen.

27

28

Als sogenannte Kritis-Sektoren gelten demnach

• Energie,

• Informationstechnik und Telekommunikation,

• Transport und Verkehr,

• Gesundheit,

• Wasser,

• Ernährung,

• Finanz- und Versicherungswesen,

• Staat und Verwaltung,

• Medien und Kultur.

Eine unmittelbare Gefährdung für Nationale Kritische Infra-strukturen in Deutschland durch Extremisten, Terroristen oderfremde Nachrichtendienste ist bislang nicht belegbar. Es gibtkeine Anhaltspunkte dafür, dass Extremisten und Terroristenbereits über das notwendige IT-Verständnis und die personel-len sowie finanziellen Ressourcen verfügen, um Angriffe aufkomplexe IT-Systeme – so diese denn entsprechend geschütztsind – zu verüben. Derartige Angriffe sind aktuell vielmehr mi-litärischen Dienststellen und Nachrichtendiensten fremderStaaten zuzutrauen.

29

30

In der Gesamtschau ergibt sich somit, dass eine Gefährdungdurch staatsterroristische elektronische Sabotageakte momen-tan eher als abstrakt zu bezeichnen ist.

Bei dieser Einschätzung handelt es sich allerdings nur um eineMomentaufnahme. Es bleiben politische und militärische Un-wägbarkeiten sowie die Bemühungen von extremistischen bzw.terroristischen Gruppen, sich entsprechendes Know-how anzu-eignen, die es unabdingbar machen, das Risiko von Cybersabo-tage als eine wichtige Aufgabe in den Fokus der sicherheitspoli-tischen Agenda zu rücken.

Angesichts des außerordentlichen Schadenspotenzials, das der-artige Angriffe in sich tragen, werden wir in dieser Hinsichtnoch größere Sensibilität und Wachsamkeit als bisher entfalten.

Zu berücksichtigen ist ferner, dass sich Angriffe auf IT-Infra-strukturen anderer Länder aufgrund der immer weiter fort-schreitenden internationalen Vernetzung der IT-Systemedurchaus auch auf Deutschland auswirken können.

Entsprechend ernst nimmt das BfV als Inlandsnachrichten-dienst seine Aufgabe als Frühwarnsystem in unserer Gesell-schaft. Den Angreifern voraus zu sein, ihre Ziele und Vorgehens-weisen zu kennen, in Zusammenarbeit mit nationalen und in-ternationalen Sicherheitsbehörden die Ausführung von Elek-tronischen Angriffen zu verhindern oder mindestens die Folgeneines schwerwiegenden Sabotageaktes zu verringern, ist des-halb eine unserer vordringlichsten Aufgaben.

31

32

Zusammenarbeit imCyber-AbwehrzentrumEinhergehend mit dem gestiegenen Einsatz Elektronischer An-griffe wachsen auch die Anforderungen an die Sicherheitsbe-hörden.

Am 23. Februar 2011 wurde vom Bundeskabinett die vom Bun-desministerium des Innern erarbeitete „Cyber-Sicherheitsstra-tegie für Deutschland“ verabschiedet. Ihr Ziel ist ein bessererSchutz der IT-Infrastrukturen sowie der Informations- undKommunikationstechnik in Deutschland.

Einen wesentlichen Baustein dieser Strategie bildet das im April2011 in Bonn eingerichtete Nationale Cyber-Abwehrzentrum(Cyber-AZ). Die mitwirkenden Behörden, darunter auch das BfV,arbeiten dort unter Federführung des Bundesamtes für Sicher-heit in der Informationstechnik und unter Beibehaltung ihrerZuständigkeiten, Aufgaben und Vorschriftenlage bereits seit überdrei Jahren vertrauensvoll und gewinnbringend zusammen.

Ziel des Cyber-AZ ist die Optimierung der operativen Zusam-menarbeit staatlicher Stellen sowie die bessere Koordinierungvon Schutz- und Abwehrmaßnahmen gegen potentielle Cyber-Attacken.

Das Cyber-AZ ist dabei vor allem als Informationsdrehscheibezwischen den beteiligten Behörden zu verstehen. Dort erfolgtein zeitnaher und unkomplizierter Informationsaustausch, deres erlaubt, schnell und abgestimmt auf einen IT-Sicherheitsvor-fall zu reagieren. Gerade bei Elektronischen Angriffen, derenBearbeitung die Zuständigkeit mehrerer Sicherheitsbehördenberührt, zeigt sich insbesondere im täglichen Austausch die im-mense Bedeutung einer engen Zusammenarbeit.

33

34

FazitAufgrund der vielfältigen Bedrohungen durch ElektronischeAngriffe sind bei dieser Thematik nicht nur die Behörden in derPflicht. Wir können unser Gemeinwesen nur dann nachhaltigschützen, wenn Staat und Wirtschaft der steigenden Bedrohungin diesem Bereich in enger und zugleich vertrauensvoller Ko-operation begegnen. Sicherheitsbehörden wie der Verfassungs-schutz können die Wirtschaft dabei diskret und ohne jeglichesfinanzielles Interesse beraten.

Die entscheidende Rolle des Verfassungsschutzes besteht in die-sem Zusammenhang vor allem darin, eine präzise Einschätzungder Gefahren durch Elektronische Angriffe zu geben, erfolgteAngriffe zu analysieren, zuzuordnen und schließlich die Ergeb-nisse dieser Analysen für die präventive Gefahrenabwehr nutz-bar zu machen.

Nur verlässliche Aussagen über die Intensität einer Gefahr unddie Zuordnung von Taten zu einem Akteur ermöglichen einerechtliche Einordnung und damit die (folge-)richtige politischeEntscheidung. Bei uns laufen dazu Erkenntnisse aus vielfältigeneigenen und fremden Informationsquellen wie menschlichenQuellen, Schadsoftwareerkennungssystemen, Aufkommen ausder Fernmeldeaufklärung und anderen Arten der nachrichten-dienstlichen Informationsgewinnung zusammen.

Erst in der bewertenden Gesamtschau ermöglichen all diese Mel-dungen dem BfV und seinen Partnern präzise und belastbareAussagen über Täter, ihre Ziele und Vorgehensweisen zu treffen.

35

Impressum

HerausgeberBundesamt für VerfassungsschutzÖffentlichkeitsarbeitMerianstraße 10050765 Kölnoeffentlichkeitsarbeit@bfv.bund.dewww.verfassungsschutz.deTel.: +49 (0) 221/792-0Fax: +49 (0) 221/792-2915

Gestaltung und DruckBundesamt für VerfassungsschutzPrint- und MedienCenter

Bildnachweis© Production Pering - Fotolia.com© pressmaster - Fotolia.com© Nmedia - Fotolia.com© VRD - Fotolia.com© Konstantin Yolshin - Fotolia.com© Login - Fotolia.com© Victoria - Fotolia.com© Sergey Nivens - Fotolia.com© seen - Fotolia.com© Claireliot - Fotolia.com© industrieblick - Fotolia.com© peshkova - Fotolia.com© mmmx - Fotolia.com© FotolEdhar - Fotolia.com

StandMai 2014

Diese Broschüre ist Teil der Öffentlichkeitsarbeit des Bundesamtes für Verfas-sungsschutz. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.Sie darf weder von Parteien noch von Wahlwerbern und Wahlhelfern währendeines Wahlkampfes zum Zwecke der Wahlwerbung verwandt werden.

Weitere Informationen zum Verfassungsschutz finden Sie hier:

www.verfassungsschutz.de