Den Hacktivisten in die Karten geschaut

Erneut ist die Anzahl an Meldungen über Cybervorfälle beim Nationalen Zentrum für Cybersicherheit (NCSC) angestiegen. Im ersten Halbjahr 2023 erhielt die Behörde insgesamt 19'048 Meldungen, wie aus ihrem Halbjahresbericht hervorgeht. Das sind rund 2000 Meldungen mehr als im Vergleich zur Vorjahresperiode.

40 Prozent mehr Phishing-Meldungen

Am häufigsten handelte es sich um Meldungen zu verschiedenen Betrugsformen. Rund 30 Prozent davon sind Drohmails – so genannte Fake Extortions. Meist werde das Opfer dieser Drohmails einer angeblich begangenen Straftat beschuldigt. Diese Drohungen würden vermeintlich im Namen von in- und ausländischen Behörden versendet, wobei im letzten Halbjahr auch immer häufiger der Name des schweizerischen NCSC missbraucht worden sei, präzisiert die Behörde. Das NCSC warnte in der Vergangenheit etwa vor englischsprachigen Betrügereien oder vor Drohmails mit Logo der Schweizerischen Kriminalprävention.

Den zweiten Platz der meistgemeldeten Vorfälle belegt Phishing, wie das NCSC weiter schreibt. Hier gab es einen Anstieg von 40 Prozent, sodass Meldungen zu Phishing insgesamt einen Fünftel aller eingegangener Meldungen ausmachten. Als Hauptgrund für den Anstieg nennt das NCSC eine ausgedehnte Phishing-Kampagne gegen SwissPass-Kunden, die sich fast über das gesamte erste Halbjahr 2023 hingezogen habe. Allgemein sei bei den Phishing-Versuchen festzustellen, dass diese aufwändiger gestaltet würden und die Angreifer neue Methoden der Verschleierung des Phishing-Links ausprobierten. Auch vor diesen ausgeklügelteren Phishing-Versuchen warnte das NCSC in einem seiner Wochenrückblicke bereits.

Xplain ist nur Nebenthema

Bei den gemeldeten Ransomwareangriffen verzeichnete das NCSC zwar einen leichten Rückgang (von 76 auf 64 Meldungen). Genauer aufgeschlüsselt, ging jedoch nur die Anzahl Meldungen von Privatpersonen zurück (vom 27 auf 8 Fällen), während sie bei Unternehmen von 49 auf 56 Meldungen leicht zunahm.

Nur wenig Platz räumt das NCSC im Bericht dem Cyberangriff auf den Schweizer Hoster Xplain und dessen Folgen ein. Da in diesem Zusammenhang aktuell eine Administrativuntersuchung laufe, gehe man in dieser Ausgabe nicht detailliert auf den Vorfall ein, erklärt NCSC-Chef Florian Schütz im Vorwort. Man habe sich jedoch für möglichst transparente Kommunikation entschieden, merkt er an und ergänzt: "Wer transparent kommuniziert, setzt sich automatisch auch Kritik aus. Auch werden legitime Fragen gestellt und diese wollen wir auch nach Abschluss aller Untersuchungen beantworten. Solche Analysen brauchen jedoch Zeit, und vorschnelle Schlüsse zu ziehen wäre nicht zielführend."

Mit DDoS-Angriffen für Aufmerksamkeit sorgen

Im Themenschwerpunkt des aktuellen Halbjahresberichts beleuchtet das NCSC den Hacktivismus, also Cyberkriminalität in Zusammenhang mit Politisch relevanten Ereignissen. Bei der Bundesverwaltung gab es im 1. Halbjahr 2023 zwei prominente solche Angriffe, wie das NCSC ausführt. Beide Male handelte es sich um so genannte DDoS-Attacken (Distributed Denial of Service = Verweigerung des Dienstes). Zuerst erfolgte ein solcher Angriff im Nachgang zu einem Entscheid des Ständerats in Zusammenhang mit dem Kriegsmaterialgesetz. Dies mit dem Ziel, die Website der Parlamentsdienste zu überlasten und somit für Nutzende unzugänglich zu machen. Beim zweiten Angriff war die Ankündigung einer Online-Rede des ukrainischen Präsidenten, Wolodymyr Selenskyj, vor der Bundesversammlung der Auslöser. Betroffen von den Angriffen waren nicht nur öffentliche Verwaltungen, sondern auch mehrere Schweizer Unternehmen.

Eigentlich, merkt Schütz an, seien DDoS-Angriffe etwas Alltägliches. Dass gerade diese Angriffe für so viel Aufsehen sorgten, sei von den dahinterstehenden Kriminellen gewollt. Ihr Ziel sei es, damit die mediale und somit die öffentliche Aufmerksamkeit zu gewinnen. "Bei den Angreifern handelte es sich um prorussische Hacktivisten, welche mit ihrer Aktion ihre politischen Ansichten kundtun und den Eindruck vermitteln wollen, dass jederzeit mit einem russischen Grossangriff im Cyberraum zu rechnen sei", erklärt Schütz und kritisiert: "Wenn Medien und Cyberexperten dieses Narrativ aufnehmen, tragen sie dazu bei, dass die Hacktivisten – die nach heutigem Kenntnisstand auf eigene Initiative handeln – ihre Ziele erreichen."

Wie sich prorussische Hacktivisten Organisieren, lesen Sie hier.

Im Halbjahresbericht schildert das NCSC weitere mögliche Angriffsmethoden von Hacktivisten:

• Als Defacement (englisch für Verunstaltung) wird die Veränderung einer Webseite durch einen Cyberangriff bezeichnet. Vergleichbar sei das mit dem Sprayen von Graffiti an eine Hauswand oder Mauer in der realen Welt, erklärt das NCSC. Meistens werde ausschliesslich die Homepage visuell verändert mit dem Ziel, eine politische oder ideologische Botschaft zu verbreiten.

• Mit "Hack and Leak"-Operationen dringen Hacktivisten in IT-Systeme ein, um dort gespeicherte Daten zu beschaffen und diese anschliessend zu veröffentlichen. Insbesondere suchen sie nach diskreditierendem oder belastendem Material, um dies im Original oder in verfälschter Form auf Plattformen wie Wikileaks oder DDoSecrets, in sozialen Netzwerken, oder auf Seiten im Darkweb öffentlichkeitswirksam zu publizieren. Je nach Ideologie und erbeuteten Daten stellten Hacktivisten die Informationen auch investigativen Journalistinnen und Journalisten zur detaillierten Auswertung zu und veröffentlichen sie nicht selbst, merkt das NCSC an.

• Die wohl gefährlichste Art und Weise, wie Hacktivisten versuchen, ihren Anliegen Aufmerksamkeit zu verschaffen, sind Sabotageversuche an produktiven Systemen. Obwohl in den meisten Fällen mehr zu den Auswirkungen behauptet werde, als tatsächlich auf Cyberaktivitäten von Hacktivisten zurückzuführen wäre, verdiene diese Art der Bedrohung durchaus Beachtung, heisst es im Bericht.

Auch im unlängst aufgeflammten Israel-Konflikt mischen hacktivisten mit. Wie sie dies tun, erfahren Sie hier.