Mehr Sicherheit im Cyberspace

Webspecial Fraunhofer-Magazin 2.2022

Die Invasion in die Ukraine zeigt: Gekämpft wird schon lange nicht mehr nur auf dem Schlachtfeld, sondern auch im virtuellen Raum – mit hochprofessionellen Hackerangriffen und gezielter Desinformation. Wie kann Deutschland wehrhafter werden?

Monate bevor Putin seinen Truppen den Marschbefehl gab, begann der Krieg im Internet. Hacker haben die russische Invasion mindestens seit Dezember des vergangenen Jahres vorbereitet. Zu diesem Schluss kommt Prof. Haya Shulman, die die Cyberangriffe auf die ukrainische Infrastruk­tur untersuchte. Shulman leitet die Abteilung »Cy­bersecurity Analytics and Defences« am Fraunho­fer-Institut für Sichere Informationstechnologie SIT in Darmstadt, koordiniert den Forschungsbe­reich »Analytics Based Cybersecurity« am Natio­nalen Forschungszentrum für angewandte Cyber­sicherheit ATHENE und hat einen Lehrstuhl an der Goethe-Universität Frankfurt am Main.

Eine ihrer Erkenntnisse: Die Malware, die da­für gesorgt hat, dass die Systeme des Kommuni­kationssatelliten KA-SAT am Tag des russischen Einmarsches in die Ukraine ausfielen, wurde be­reits vor Monaten eingeschleust. KA-SAT versorgt Kunden in ganz Europa mit Breitbandinternet und wird von der ukrainischen Armee für die Notfall­kommunikation genutzt. »Ziel der Hacker war, die Kommunikation zu unterbinden – und das ist ih­nen auch gelungen.

Einen Monat hat es gedauert, bis der Schaden, zumindest größtenteils, behoben werden konnte«, sagt Shulman. Auch in Deutsch­land und ganz Mitteleuropa blieb der russische Angriff auf KA-SAT nicht ohne Folgen: 5800 Wind­kraftanlagen konnten nicht mehr ferngewartet und -gesteuert werden. Betroffen waren Anlagen an abgelegenen Standorten, die über eine Satel­litenverbindung ans Internet angeschlossen sind. Sie lieferten zwar weiterhin Strom. Technische Probleme ließen sich aber nur noch vor Ort fest­stellen und beheben.

Auch im ukrainischen Eisenbahnsystem wur­de vor der russischen Invasion Schadsoftware in­stalliert. Glücklicherweise wurde sie vor Kriegs­beginn entdeckt und das System bereinigt. »Andernfalls wären die Fluchtmöglichkeiten für die Bevölkerung stark eingeschränkt gewesen«, ist Shulman überzeugt. Sie und ihr Team identifizier­ten außerdem zahlreiche Denial-of-Service-Atta­cken, bei denen Web-Server gezielt mit so vielen Anfragen bombardiert werden, dass das System die Aufgaben nicht mehr bewältigen kann und zu­sammenbricht. Im Visier der Hacker waren unter anderem Telekommunikationsunternehmen, Me­dien und wichtige Regierungsstellen. Offizielle Webseiten waren oft nicht erreichbar, aktuelle In­formationen über das Kriegsgeschehen blieben für weite Teile der Bevölkerung unzugänglich. Auch sogenannte Defacements registrierten Shulman und ihr Team. Dabei imitieren Hacker häufig an­gesteuerte Webseiten. Teilweise war das Ziel Des­information, auf diese Weise kann aber auch Schad­software installiert werden. Ein Klick auf die Fälschung, und ein Ausführprogramm öffnet sich, das Malware auf dem Rechner installiert. Daneben gab es zahlreiche Wiper-Angriffe. Wiper ist Schad­software, die Systeme unbrauchbar macht, indem sie kritische Daten löscht. »Mindestens sieben ver­schiedene Wiper wurden verwendet. Manche wur­den speziell für Endgeräte entwickelt, manche für Server, manche für Netzwerkgeräte. Auch beim KA-SAT-Angriff kam ein Wiper zum Einsatz«, er­klärt Shulman. Das Ziel aller Angriffe: Die Kom­munikation weitgehend unterbinden, Panik und Chaos schüren, das Land insgesamt schwächen. Neu ist diese Art der Kriegsführung im Internet nicht: Die russische Invasion in Georgien 2008 wur­de von sehr ähnlichen Cyberangriffen flankiert.

Erhebliche Schäden durch Hacker-Angriffe

Nach der Annexion der Krim 2014 war die Uk­raine immer wieder Schauplatz heftiger Hacker-Attacken. 2015 legten staatliche oder staatsnahe Gruppen aus Russland Teile des ukrainischen Stromnetzes lahm. 2017 verursachte die Malware NotPetya zuerst in der Ukraine und dann weltweit Schäden in Höhe von mindestens zehn Milliarden US-Dollar. Daraus hat die Ukraine gelernt. In den vergangenen Jahren wurde die Cybersicherheit – auch mit westlicher Hilfe – erheblich verbessert. Daher gelang es, Malware wie die im Eisenbahn­system rechtzeitig zu entdecken und unschädlich zu machen, bevor sie aktiviert werden konnte. »Auch in Deutschland ist es dringend notwendig, die Cybersicherheit von Behörden, Unternehmen und unserer Infrastruktur insgesamt deutlich zu erhöhen«, mahnt Shulman nachdrücklich. Bundes­innenministerin Nancy Faeser geht davon aus, dass bis 2030 mehr als zehn Milliarden Euro in die Ver­besserung der Cybersicherheit investiert werden müssen – vor allem in die Netze des Bundes, über die Ministerien und Behörden kommunizieren.

Das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI) beurteilte die IT-Sicherheits­lage in Deutschland bereits 2021 als »angespannt bis kritisch«. Nicht nur die Anzahl der festgestell­ten Schadprogramm-Varianten sei zeitweise rasant angestiegen und habe mit bis zu 553 000 neuen Varianten pro Tag den höchsten jemals gemesse­ne Wert erreicht. Auch die Qualität der Angriffe habe beträchtlich zugenommen. Das Bundeskri­minalamt (BKA) registrierte im vergangenen Jahr einen neuen Höchstwert von 146 363 erfassten Cyberstraftaten – ein Zuwachs von mehr als zwölf Prozent im Vergleich zu 2020. Die durch die Co­rona-Pandemie beschleunigte Digitalisierung ha­be eine Vielzahl neuer Tatgelegenheiten für Cy­berkriminelle geschaffen. Der Ukraine-Krieg und dabei eingesetzte hybride Angriffsformen haben laut BKA das Potenzial, »als weiterer Katalysator für Cybercrime zu dienen«.

»Dass man davon nichts merkt, heißt ja nicht, dass nichts passiert. Malware kann jahrelang unentdeckt in den Systemen schlummern, immer bereit, loszuschlagen.«

 

Prof. Haya Shulman, Fraunhofer SIT

Shulman und ihre Kolleginnen und Kollegen am Fraunhofer SIT arbeiten eng mit den Behör­den zusammen. Sie befürchten, dass Russland auf den steigenden Druck durch Sanktionen und politische und wirtschaftliche Isolation mit noch mehr Desinformation, Cyberangriffen und -spi­onage antworten wird. Vermutlich seien die At­tacken schon in vollem Gange, glaubt Shulman, und erinnert an die systematische Vorbereitung des Angriffs auf die Ukraine. »Dass man davon nichts merkt, heißt ja nicht, dass nichts passiert. Malware kann jahrelang unentdeckt in den Sys­temen schlummern, immer bereit, loszuschlagen. Cyberspionage findet im Verborgenen statt. Ein erfolgreicher Angriff ist einer, der nicht entdeckt wird – und die Hacker-Gruppen des russischen Militärnachrichtendienstes GRU und des Inlands­geheimdienstes FSB sind äußerst professionell.«
 

Zero-Trust-Sicherheitsarchitekturen

Um hier besser gerüstet zu sein, reicht es nicht, weiterzumachen wie bisher. Schwachstellen zu schließen, Updates regelmäßig aufzuspielen oder gefälschte E-Mails zu blockieren ist nach wie vor wichtig – aber zu wenig, um Cyberangriffe in Zu­kunft zuverlässig abzuwehren. Shulman fordert daher eine grundlegende Umstellung von IT-Sys­temen auf sogenannte Zero-Trust-Sicherheitsarchi­tekturen. Das Prinzip: Niemandem wird vertraut – auch nicht im eigenen Netzwerk. Klassische peri­meterbasierte Konzepte sichern IT-Systeme durch Firewalls und eine geschützte Netzwerkverbin­dung (VPN). Hat der Angreifer diese Schutzmauer erfolgreich überwunden, kann er sich im Netzwerk frei bewegen. Bei Zero-Trust-Modellen ist das an­ders. Jeder Datenzugriff verlangt nach einer neuen Authentifizierung. Der Kreis der Berechtigten soll möglichst klein gehalten werden, um Sicherheits­risiken zu minimieren. Ständig aktualisierte Richt­linien legen fest, welche Nutzer, Dienste, Geräte und Anwendungen interagieren dürfen.

»Sollen die Maßnahmen auf einer Zero-Trust-Strategie beruhen, heißt das, der Datenverkehr und jeder Zugriff wird ständig überwacht.«


Martin Seiffert, Fraunhofer AISEC

Bereits vor dem Ukraine-Krieg ging der Trend deutlich zu Zero-Trust-Systemen. Die USA gehen hier voran: Im Januar wurden alle Bundesbehör­den dazu verpflichtet, bis Ende 2024 Zero-Trust-Sicherheitsarchitekturen umzusetzen. Die jüngs­ten weltpolitischen Entwicklungen könnten den Umstellungsprozess auch in Deutschland erheb­lich beschleunigen. Haya Shulman und ihr Team unterstützen ebenso wie die Kollegen am Fraun­hofer-Institut für Angewandte und Integrierte Si­cherheit AISEC Unternehmen und verschiedene Organisationen dabei, ihre IT sicherer zu machen. Dafür erstellen sie zunächst ein Modell des Ge­samtsystems. »Wir überprüfen: Welche Daten werden zu welchem Zweck zwischen den Kompo­nenten ausgetauscht oder gespeichert? Dann er­mitteln wir Schutzziele, zum Beispiel die Gewähr­leistung der Vertraulichkeit der Daten oder ihre Integrität, also ihre Unveränderlichkeit«, erklärt Martin Seiffert, wissenschaftlicher Mitarbeiter in der Abteilung Secure Systems Engineering am Fraunhofer AISEC. Abschließend analysieren sie, wie leicht es für Angreifer ist, die Schutzziele zu verletzen, und entwickeln Maßnahmen, die den Bedrohungen entgegenwirken.

»Sollen die Maßnahmen auf einer Zero-Trust-Strategie beruhen, heißt das, der Datenverkehr und jeder Zugriff wird ständig überwacht. Dabei muss der Datenschutz immer gewährleistet sein«, so Seiffert. Würde eine Nutzerin zum Beispiel aus Deutschland Daten abrufen und eine Stunde spä­ter aus Panama, erkennt das System, dass etwas nicht plausibel ist. Der Zugriff würde verweigert. Dabei gibt es keine Einschränkungen der Benut­zerfreundlichkeit – die zusätzliche Überprüfung, die vielfältige Kriterien zur Bestätigung der Ver­trauenswürdigkeit abfragt, läuft automatisiert im Hintergrund. Shulman betont: »Hinter Zero Trust steckt ganz viel Technologie. Man muss nicht al­les übernehmen. Wir analysieren das Gesamtsys­tem und beraten die Unternehmen, was indivi­duell sinnvoll ist, umzusetzen.« Generell sei die Umstellung jedoch eine Investition, die sich loh­ne angesichts der enormen Schäden, die durch Cyberangriffe drohen.

Trotzdem: Hundertprozentige Sicherheit wird es auch mit Zero-Trust nicht geben. Haya Shulman setzt sich daher für den Aufbau einer aktiven staat­lichen Cyberabwehr ein – gezielte Maßnahmen, um laufende Cyberangriffe zu stoppen oder An­griffsinfrastrukturen frühzeitig lahmzulegen. Dabei gilt es, Kollateralschäden zu vermeiden: Werden beispielsweise Netze blockiert, können davon auch Unbeteiligte betroffen sein. Nur Ex­perten können die Folgen solcher Abwehrmaß­nahmen im Vorfeld zuverlässig abschätzen. Die Schäden durch den Angriff und die Risiken mög­licher Verteidigungsmaßnahmen müssen sorg­fältig gegeneinander abgewogen werden. Shulman und ihr Team führen Simulationen durch und entwickeln Verfahren, um Angriffe wirkungsvoll zu bekämpfen und dabei Schäden zu minimieren. Eindringlich warnt sie jedoch vor sogenannten »Hackbacks«, mit denen aktive Cyberabwehr oft irrtümlich gleichgesetzt wird. Hackbacks sind di­gitale Vergeltungsschläge, wie sie beispielsweise von russlandnahen Hackgruppen durchgeführt wurden und zu denen auch die Ukraine am Be­ginn des Krieges aufgerufen hat. »Unerfahrene Hacker können im Internet viel Unheil anrichten. Wenn die ganze Welt jetzt anfängt, sich im Cyber­space anzugreifen, kann das schnell unkontrol­lierbar eskalieren.«

Hybride Bedrohung durch Desinformation und Propaganda

Doch Cyberangriffe sind nicht die einzige Gefahr. Die Bedrohung ist hybrid. Desinformationskam­pagnen sollen das Vertrauen in Medien und Poli­tik untergraben und demokratische Gesell­schaften schwächen. Dabei sind Desinformation und Propaganda historisch keine neuen Phäno­mene, wohl aber die Schnelligkeit und Reichweite, mit der sie sich über Webseiten, soziale Medien und Messenger-Dienste verbreiten lassen. Ein interdisziplinäres Forscherteam aus Informati­kern, Medienpsychologen, Journalisten und Ju­risten arbeitet unter Leitung des Fraunhofer SIT seit fünf Jahren an der wirksamen Bekämpfung – zunächst im Projekt DORIAN, aktuell im Nach­folgeprojekt DYNAMO. Eine Herausforderung: die Dynamik des Forschungsfeldes. Desinformations­kampagnen resultieren aus aktuellen politischen Kontroversen. Auf die Flüchtlingskrise 2015/2016 und die Themen Migration, Integration und in­nere Sicherheit folgten Corona und aktuell der Ukraine-Krieg. Dabei verändern sich nicht nur die Akteure, die Desinformation verbreiten, son­dern auch die Verbreitungskanäle. Wurden Fake News vor fünf Jahren noch fast ausschließlich über pseudo-journalistische Webseiten und so­ziale Medien an die Frau oder den Mann gebracht, gewannen im Laufe der Zeit zunehmend Messen­ger-Dienste an Bedeutung.

Um im Kampf gegen die Lügen erfolgreich zu sein, ist ein ganzes Bündel von Maßnahmen not­wendig. Dazu gehören Programme zur Verbesse­rung der Medienkompetenz und politischen Bil­dung, gesetzliche Regulierungen, die Social- Media-Plattformen und Messenger-Dienste stär­ker in die Pflicht nehmen, und die Stärkung von hochwertigen, unabhängigen Medien und inves­tigativem Journalismus. Journalistinnen und Journalisten kommt hier eine Schlüsselrolle zu. Sie sollen die Bevölkerung mit vertrauenswürdi­gen und faktengeprüften Inhalten versorgen und gleichzeitig gegen verbreitete Desinformationen mit fundierten Gegendarstellungen vorgehen – angesichts der täglichen Nachrichtenflut eine Her­kulesaufgabe.

 

»Ob es sich bei einer Nachricht tatsächlich um eine Desinformation handelt oder nicht, muss der Mensch entscheiden. Wir identifizieren lediglich verdächtige Meldungen.«


Prof. Martin Steinebach, Fraunhofer SIT

Mit Künstlicher Intelligenz gegen Fake News

Prof. Martin Steinebach und sein Team am Fraunhofer SIT wollen sie dabei mithilfe Künst­licher Intelligenz (KI) unterstützen. Die Informa­tikerinnen und Informatiker entwickeln auto­matisierte Verfahren der Text-, Bild- und zunehmend auch Videoforensik, mit denen sich mögliche Fake News herausfiltern lassen. »Ob es sich bei einer Nachricht tatsächlich um eine Des­information handelt oder nicht, muss der Mensch entscheiden. Wir identifizieren lediglich verdäch­tige Meldungen«, sagt Steinebach. Um Desinfor­mation in Texten zu erkennen, füttern die For­schenden KI-Systeme mit einer großen Menge an Beispieldaten, aus denen die KI selbstständig lernt und Regeln ableitet (»Maschinelles Lernen«). Wel­che das sind, bleibt im Verborgenen. Selbst im Nachhinein lassen sie sich oft nur zum Teil oder gar nicht ermitteln. Sicher ist: Je besser und um­fassender die Trainingsdaten der KI, desto besser das Ergebnis.

Steinebach fordert daher zusammen mit an­deren Wissenschaftlerinnen und Wissenschaft­lern, große Plattformbetreiber wie Facebook oder Twitter dazu zu verpflichten, mit der Forschung zu kooperieren und relevante Daten zur Verfü­gung zu stellen. »Bisher gibt es hier keinerlei Be­reitschaft, unsere Bemühungen blieben erfolg­los.«

Trotzdem gelang es dem Team des Fraunhofer SIT, Desinformation in Texten mit einer hohen Trefferquote von rund 70 Prozent automatisiert zu identifizieren. Steinebach betont: »Für thema­tisch unterschiedliche Desinformationen zum Beispiel über Corona oder den Ukraine-Konflikt muss man natürlich immer wieder neue Netze trainieren. Das lässt sich nicht generalisieren.«

Noch erfolgreicher war das Fraunhofer SIT-Team bei der automatisierten Erkennung von ma­nipulierten oder missbräuchlich verwendeten, aus ihrem ursprünglichen Kontext gerissenen Bildern. Letztere sind in Desinformationen klar dominant. »Wahrscheinlich, weil Bildmanipula­tionen relativ aufwendig sind und meist auch über­flüssig. Ich muss ja nur ein passendes Bild im Web suchen, das geht viel schneller«, vermutet Steine­bach. Inverse Bildersuchen, die Bilder wiederer­kennen können, die bereits in anderen Zusam­menhängen auftauchen, werden zwar heute schon von Google oder TinEye angeboten. Sie stoßen aber schnell an ihre Grenzen, wenn ein anderer Bildausschnitt gewählt, das Bild gespiegelt oder komprimiert wurde. Steinebach und seinem Team ist es gelungen, eine inverse Bildersuche zu ent­wickeln, die sich davon nicht beirren lässt und daher deutlich treffsicherer ist. Die Fehlerraten liegen unter einem Promille. Auch Bildmontagen erkennt das System zuverlässig.

Deepfakes – eine neue mächtige Waffe im Informationskrieg

Im Unterschied zur Flüchtlingskrise oder Corona-Pandemie, spielen beim Ukraine-Krieg erstmals auch Deepfakes, also mithilfe von KI manipulierte Videos, in Desinformationskampagnen eine Rolle. Hohe Bekanntheit erreichte ein Deepfake, in dem der ukrainische Präsident Wolodymyr Selenskyi die Kapitulation erklärt und die ukrainischen Truppen auffordert, die Waffen niederzulegen. Gekontert wurde es mit einem Deepfake, in dem der russische Präsident Wladimir Putin zum Frieden aufruft. Steinebach kommentiert: »Die waren noch nicht besonders gut gemacht. Beim Putin-Deepfake konnte man beispielsweise mit bloßem Auge erkennen, dass die Lippen immer wieder in die gleiche starre Ausgangsposition ge­bracht wurden, wenn er nicht sprach.« Er ist sich jedoch sicher, dass die Deepfakes im Laufe der Zeit zunehmend besser werden. Eine automatisierte Erkennung sei auch hier technisch möglich. Ent­larvend sind vor allem Spuren, die der Deepfake-Algorithmus im Video hinterlässt.

Teamwork ist gefragt

»Ich bin insgesamt begeistert davon, wie viel die Informatiker möglich machen«, sagt Prof. Kata­rina Bader. Die Kommunikationswissenschaftle­rin und Journalistin, die an der Hochschule der Medien in Stuttgart Online-Journalismus, jour­nalistische Darstellungsformen und Recherche lehrt, ist von Anfang an im interdisziplinären Forschungsteam dabei. Die entwickelten Tools seien wichtig, um den Redaktionen, die gerade in Zeiten von Krieg und Krisen unter Zeitdruck arbeiten, eine schnelle Überprüfung der Nach­richten zu ermöglichen. »Mit dem Ukraine-Krieg haben Desinformationen stark zugenommen. Der Informationskrieg tobt im Internet«, bestätigt Bader. »Videos spielen eine wichtige Rolle, ins­besondere sogenannte Augenzeugenvideos. Ich bin mir sicher, dass auch immer mehr Deepfakes in den Redaktionen ankommen werden.« Neben einer automatisierten Erkennung hofft sie auf ein digitales Wasserzeichen, wie es das Fraunhofer SIT-Team bereits entwickelt hat und mit dem die Unversehrtheit und Echtheit von Videos in Zu­kunft standardmäßig sichergestellt werden könn­te. »Das wäre eine enorme Erleichterung für die journalistische Arbeit«, so Bader. Die bereitgestell­ten Tools zur Fake-News-Erkennung müssten von den Informatikern kontinuierlich überarbeitet und aktualisiert werden, die Journalisten einen souveränen Umgang damit lernen und ein Ver­ständnis für technische Manipulationsmöglich­keiten entwickeln. »In einer Zeit, in der die Wahr­heit auf so vielen Ebenen und mit so vielen neuen Methoden angegriffen wird«, betont Bader, »wird die Zusammenarbeit immer wichtiger.«

Wenn Quantencomputer angreifen

Prof. Daniel Loebenberger, Fraunhofer AISEC
© Fraunhofer AISEC
Prof. Daniel Loebenberger, Fraunhofer AISEC

Verschlüsselungsverfahren sichern heute Bankzugänge, Ausweisdokumente, Smartcards und viele vertrauliche Informationen. Diese Sicherheit basiert auf Annahmen über die Schwierigkeit mathematischer Probleme. Doch was, wenn Quantencomputer diese Probleme bald in kürzester Zeit knacken könnten?

mehr Info

Contact Press / Media

Cornelia Reitz

Nationales Forschungs­zentrum für angewandte Cyber­sicher­heit ATHENE | Geschäftsstelle | Referentin Kommunikation

Fraunhofer-Institut für Sichere Informationstechnologie SIT
Rheinstrasse 75
64295 Darmstadt

Telefon +49 6151 869-368

Contact Press / Media

Oliver Küch

Marketing und PR

Fraunhofer-Institut für Sichere Informationstechnologie SIT
Rheinstrasse 75
64295 Darmstadt

Telefon +49 6151 869-213

Contact Press / Media

Tobias Steinhäußer

PR & Marketing

Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC
Lichtenbergstr. 11
85748 Garching b. München

Telefon +49 89 3229986-170