Hannover. Die Websites mehrerer ukrainischer Ministerien sind in der Nacht lahmgelegt worden. Der Grund: Hacker hatten sich an den Seiten zu schaffen gemacht und dort gleichzeitig eine Drohbotschaft abgesetzt: Alle Daten von Bürgerinnen und Bürgern sollten veröffentlicht werden – „habt Angst und rechnet mit dem Schlimmsten“, war auf einigen Seiten zu lesen.

Wie konnte das passieren? Und was genau ist da eigentlich passiert?

Mehr zum Thema

 

„Erwartet Schlimmeres“: Cyberattacke trifft Websites der ukrainischen Regierung – die hat Russland in Verdacht

 

„Wir warten auf eine Antwort“: Russland verlangt Klarheit von Nato

Digitales Graffiti sprühen

Tatsächlich ist die Lage noch reichlich unübersichtlich – völlig unklar ist zum Beispiel, wer hinter den Angriffen steckt. Vieles spricht jedoch dafür, dass der Angriff nicht so dramatisch ist wie von den Angreifern behauptet. Die ukrainische Regierung teilte mit, es seien keine Daten abgeflossen – und auch die Art und Weise der Angriffe spricht nicht für eine ernsthafte Gefahr.

Für den IT-Experten Manuel Atug sieht der Angriff – zumindest aus rein technischer Sicht – aus wie ein Dummejungenstreich. Als wären sogenannte „Scriptkiddies“ am Werk gewesen, wie man in der Branche laut Atug gern zu sagen pflege. Atug ist Mitglied im Chaos Computer Club und Gründer der Kritis, einer unabhängigen Arbeitsgruppe für kritische Infrastrukturen.

Bei den Angriffen habe es sich laut Atug wahrscheinlich um sogenannte „Defacements“ gehandelt, wie er dem RedaktionsNetzwerk Deutschland (RND) erklärt. Damit werden Websites wortwörtlich verunstaltet, oder anders gesagt: digital mit Graffiti eingesprüht. Wer etwa am Morgen die Seite des ukrainischen Außenministeriums aufrufen wollte, wurde von einer schwarzen Internetseite mit grauer Schrift begrüßt, auf der die Drohungen zu lesen waren.

Phishing-Attacken und Sicherheitslücken

Technisch sind solche Veränderungen leicht möglich, wenn die Angreifer die Zugangsdaten zur Website bekommen, wie Atug erklärt. Das wäre etwa über eine Phishing-Attacke möglich: Ein Mitarbeiter oder eine Mitarbeiterin klickt auf einen betrügerischen Link in einer Mail und gibt dann die Zugangsdaten ein – schon haben die Angreifer Zugriff auf den Computer des Mitarbeiters und später auch auf die Website.

Diesen Vorgang hält Atug allerdings für unwahrscheinlich: „Wenn ich als staatlicher Akteur oder Cyberkrimineller erst mal auf den Systemen der Mitarbeiter verschiedener Behörden gleichzeitig bin und fiese Dinge tun kann, dann mache ich nicht nur ein bisschen Quatsch auf der Website.“ Dass tatsächlich Daten von Bürgerinnen und Bürgern abgegriffen wurden, glaubt Atug nicht.

Wahrscheinlicher sei, dass es eine Sicherheitslücke in den sogenannten Content-Management-Systemen (CMS) der Websites oder den Webservern selber gab – also die Systeme, mit denen die Websites gesteuert werden. „Diese können vor allem dann ausgenutzt werden, wenn die Systeme nicht regelmäßig aktualisiert und abgesichert werden“, sagt Atug. Der Angreifer könne dort einbrechen, müsse nur noch schauen, wo die Startseite einer Website liegt und könne diese dann mit seinen eigenen Inhalten überschreiben.

Mehr zum Thema

 

Ukraine-Konflikt: Russland hält erneut Manöver ab

Ein Zugang für alle Seiten?

Atug vermutet, dass die Angreifer vermutlich viel Zeit und kriminelle Energie darauf verwendet haben, solche Sicherheitslücken ausfindig zu machen, um schließlich in die Systeme einzudringen. Das würde auch erklären, warum gleich mehrere Websites der Behörden lahmgelegt wurden.

Eine andere Möglichkeit: Es gibt für sämtliche Regierungswebsites einen zentralen Zugang. „Das ist natürlich rein spekulativ“, sagt Atug – aber durchaus möglich. In Deutschland etwa werde als CMS für diverse Bundesbehörden der sogenannte „Government Site Builder“ genutzt. Erhalte jemand darauf Zugriff, könne auch das schwerwiegende Folgen haben.

Neben den sogenannten „Defacements“ soll es in der Nacht auch sogenannte DoS- oder DDoS-Angriffe auf einige Websites gegeben haben. Bei ersterem werden von Angreifern mehr Anfragen an eine Website gesendet, als diese bearbeiten kann. Bei letzterem senden viele unterschiedliche Quellen Anfragen, oftmals von Rechnern aus aller Welt, die ein kriminelles Botnetz bilden. Die Folge ist immer dieselbe: Die Websites können nicht mehr aufgerufen werden.

Harmlos aber teuer

Beide Attacken, sowohl das „Defacement“ als auch die DoS- oder DDoS-Attacken, seien zwar weitestgehend harmlos – könnten aber schnell hohe Kosten verursachen, wie Atug erklärt. Bei letzterem müssten die Abfragen herausgefiltert werden, die nicht legitim sind, um die Websites wieder ans Laufen zu bringen. Dies würden oft Dienstleister übernehmen, oftmals zu hohen Preisen. Zudem handele es sich um ein Katz- und Mausspiel zwischen den Technikern und den Angreifern, die ihre Taktik natürlich auch anpassen könnten.

Bei den „Defacements“ müssten die alten Websites aus einem Backup wiederherstellt werden – außerdem müsse herausgefunden werden, wie die Angreifer überhaupt auf die Systeme zugreifen konnten.

Mehr zum Thema

 

Kiews Bürgermeister Klitschko erwartet deutsche Hilfe für Ukraine – und keine Angst vor Putin

 

Ukraine-Krise: US-Regierung und Verbündete sind „auf jede Eventualität vorbereitet“

„Defacements“ sind nicht neu

Derartige Attacken sind derweil nichts Ungewöhnliches und auch nicht neu. 2020 beispielsweise hatten pro-iranische Hacker amerikanische Regierungswebsites nach genau demselben Muster verunstaltet. Und schon 2011 hatte das Hacker-Kollektiv Anonymous mit einem sogenannten „Defacement“ zu Beginn des Bürgerkriegs die syrische Regierungswebsite lahmgelegt, ein Jahr später traf es britische Websites.

Der Angriff auf ukrainische Seiten erfolgt derweil zu einem Zeitpunkt erhöhter Spannungen mit Russland. Schon in der Vergangenheit war es immer wieder zu derartigen Angriffen bekommen. Ob Russland aber tatsächlich hinter den aktuellen Angriffen steckt, ist unklar: Es sei noch zu früh für Schlussfolgerungen, sagte der ukrainische Außenamtssprecher Nikolenko der Nachrichtenagentur AP.