Sicherheitsbehörden schlagen Alarm
Die meisten Bürger in Deutschland machen sich kaum Gedanken über ihre Router oder Smart-TVs – bis diese nicht mehr funktionieren. Doch genau diese Geräte rücken nun in den Fokus internationaler Sicherheitsbehörden. In einer gemeinsamen Warnung von über einem Dutzend Diensten, darunter der Bundesnachrichtendienst (BND), das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI), wird vor staatlichen chinesischen Hackergruppierungen gewarnt. Diese nutzen seit Jahren zunehmend private internetfähige Geräte, um ihre Spuren zu verwischen.
Wie die Angriffe ablaufen
Die Angriffe folgen einem zweistufigen Schema: Zunächst kompromittieren die Angreifer veraltete oder schlecht geschützte Router, WLAN-Verstärker, Smart-TVs und Überwachungskameras. Anschließend schließen sie diese zu riesigen Botnetzen zusammen. Diese Botnetze dienen dann als Tarnung für internationale Hacking-Feldzüge, wodurch Ermittlern die Spurensuche erschwert wird. Die chinesischen Gruppen setzen diese Verschleierungsnetzwerke laut der Warnung inzwischen „strategisch“ und „in großem Stil“ ein. Federführend herausgegeben wurde die Warnung vom britischen National Cyber Security Centre (NCSC), einem Teil des Abhörgeheimdienstes GCHQ.
Betroffene Geräte und Hersteller
Die Behörden haben keine vollständige Liste betroffener Geräte veröffentlicht. Die englischsprachige Warnung vom Donnerstag ist als allgemeiner Appell zu verstehen, Geräte stets auf dem neuesten Stand zu halten. Konkret genannt werden lediglich Router von Netgear sowie Cisco-Router, die das „Lebensende“ erreicht haben und keine Software-Updates mehr erhalten. Grundsätzlich gilt: Ob das eigene Gerät betroffen ist, lässt sich auf den Herstellerseiten prüfen, wo Updates angeboten werden. Sind keine Updates verfügbar, sollte ein Austausch erwogen werden. Das NCSC verweist auf seine „Best Practice“-Hinweise in englischer Sprache. Das Bundesamt für Verfassungsschutz hatte vor drei Jahren über Schutzmaßnahmen für Endkunden berichtet.
Angriffe auf deutsche Ziele
Die deutschen Behörden betonen, dass staatlich geförderte chinesische Cyberakteure ihre Taktiken umfassend geändert haben. Sie versuchen, über Verschleierungsnetzwerke in fremde IT-Netzwerke einzudringen. Die Botnetze werden kontinuierlich verändert und aktualisiert und können von verschiedenen Akteuren genutzt werden. Bereits erfolgreich war ein Angriff auf das Bundesamt für Kartographie und Geodäsie, das Satelliten- und Geodaten für Sicherheitsbehörden aufbereitet. Dieser Vorfall hatte ein diplomatisches Nachspiel: Das Auswärtige Amt bestellte den chinesischen Botschafter ein und verurteilte den Cyberangriff auf das Schärfste. Teilweise stammten die gekaperten Heimgeräte aus Europa und Deutschland.
Flax Typhoon und Volt Typhoon
Die chinesische Gruppierung „Flax Typhoon“, der groß angelegte Spionageoperationen und Angriffe auf kritische Infrastrukturen zugeschrieben werden, nutzte ebenfalls gekaperte IoT-Geräte, auch in Deutschland. Bei der spektakulären Operation „Volt Typhoon“ gelang es der Gruppe, tief in kritische Infrastrukturen in den USA einzudringen und dort jahrelang unentdeckt zu bleiben. US-Behörden waren alarmiert, da es sich nicht um klassische Spionage handelte, sondern um gezielte Vorbereitung für koordinierte Sabotage – etwa im Fall einer Aggression gegen Taiwan. „Volt Typhoon“ verschleierte seine Aktivitäten mit dem sogenannten KV Botnet, das hauptsächlich aus veralteten Cisco- und Netgear-Routern bestand.
Weitere Maßnahmen und Warnungen
Die Warnungen vor missbräuchlich genutzten Heimgeräten häufen sich. Anfang des Monats wurde vor russischen Staatshackern gewarnt, die veraltete TP-Link Router und WLAN-Verstärker missbrauchten. Die US-Aufsichtsbehörde FCC verbot im März den Import von im Ausland hergestellten Routern, da diese ein „unannehmbares Risiko für die nationale Sicherheit“ darstellten. Nutzer sollten daher regelmäßig Updates durchführen und veraltete Geräte ersetzen, um nicht Teil eines Botnetzes zu werden.
