• Startseite
  • Digital
  • Ukraine: Hackerangriff auf Regierungs-Websites – was ist passiert?

Der Ukraine-Hack erklärt: Wenn Websites mit Graffiti besprüht werden

  • „Habt Angst und rechnet mit dem Schlimmsten“ stand am Morgen auf zahlreichen Websites der ukrainischen Regierung.
  • Hacker hatten damit gedroht, die Daten von Bürgerinnen und Bürgern abzugreifen und zu veröffentlichen.
  • Tatsächlich ist der Angriff wohl deutlich harmloser – und rein technisch wohl nicht mehr als ein Dummejungenstreich.
|
Anzeige
Anzeige

Hannover. Die Websites mehrerer ukrainischer Ministerien sind in der Nacht lahmgelegt worden. Der Grund: Hacker hatten sich an den Seiten zu schaffen gemacht und dort gleichzeitig eine Drohbotschaft abgesetzt: Alle Daten von Bürgerinnen und Bürgern sollten veröffentlicht werden – „habt Angst und rechnet mit dem Schlimmsten“, war auf einigen Seiten zu lesen.

Wie konnte das passieren? Und was genau ist da eigentlich passiert?

Digitales Graffiti sprühen

Tatsächlich ist die Lage noch reichlich unübersichtlich – völlig unklar ist zum Beispiel, wer hinter den Angriffen steckt. Vieles spricht jedoch dafür, dass der Angriff nicht so dramatisch ist wie von den Angreifern behauptet. Die ukrainische Regierung teilte mit, es seien keine Daten abgeflossen – und auch die Art und Weise der Angriffe spricht nicht für eine ernsthafte Gefahr.

Für den IT-Experten Manuel Atug sieht der Angriff – zumindest aus rein technischer Sicht – aus wie ein Dummejungenstreich. Als wären sogenannte „Scriptkiddies“ am Werk gewesen, wie man in der Branche laut Atug gern zu sagen pflege. Atug ist Mitglied im Chaos Computer Club und Gründer der Kritis, einer unabhängigen Arbeitsgruppe für kritische Infrastrukturen.

Anzeige

Bei den Angriffen habe es sich laut Atug wahrscheinlich um sogenannte „Defacements“ gehandelt, wie er dem RedaktionsNetzwerk Deutschland (RND) erklärt. Damit werden Websites wortwörtlich verunstaltet, oder anders gesagt: digital mit Graffiti eingesprüht. Wer etwa am Morgen die Seite des ukrainischen Außenministeriums aufrufen wollte, wurde von einer schwarzen Internetseite mit grauer Schrift begrüßt, auf der die Drohungen zu lesen waren.

Anzeige

Phishing-Attacken und Sicherheitslücken

Technisch sind solche Veränderungen leicht möglich, wenn die Angreifer die Zugangsdaten zur Website bekommen, wie Atug erklärt. Das wäre etwa über eine Phishing-Attacke möglich: Ein Mitarbeiter oder eine Mitarbeiterin klickt auf einen betrügerischen Link in einer Mail und gibt dann die Zugangsdaten ein – schon haben die Angreifer Zugriff auf den Computer des Mitarbeiters und später auch auf die Website.

Video
US-Regierung liegen Informationen über russische Agenten in der Ukraine vor
1:21 min
Nach Angaben der US-Regierungssprecherin Psaki lägen Informationen vor, dass ausgebildete Agenten im Osten der Ukraine aktiv werden könnten.  © Reuters

Diesen Vorgang hält Atug allerdings für unwahrscheinlich: „Wenn ich als staatlicher Akteur oder Cyberkrimineller erst mal auf den Systemen der Mitarbeiter verschiedener Behörden gleichzeitig bin und fiese Dinge tun kann, dann mache ich nicht nur ein bisschen Quatsch auf der Website.“ Dass tatsächlich Daten von Bürgerinnen und Bürgern abgegriffen wurden, glaubt Atug nicht.

Wahrscheinlicher sei, dass es eine Sicherheitslücke in den sogenannten Content-Management-Systemen (CMS) der Websites oder den Webservern selber gab – also die Systeme, mit denen die Websites gesteuert werden. „Diese können vor allem dann ausgenutzt werden, wenn die Systeme nicht regelmäßig aktualisiert und abgesichert werden“, sagt Atug. Der Angreifer könne dort einbrechen, müsse nur noch schauen, wo die Startseite einer Website liegt und könne diese dann mit seinen eigenen Inhalten überschreiben.

Ein Zugang für alle Seiten?

Atug vermutet, dass die Angreifer vermutlich viel Zeit und kriminelle Energie darauf verwendet haben, solche Sicherheitslücken ausfindig zu machen, um schließlich in die Systeme einzudringen. Das würde auch erklären, warum gleich mehrere Websites der Behörden lahmgelegt wurden.

Eine andere Möglichkeit: Es gibt für sämtliche Regierungswebsites einen zentralen Zugang. „Das ist natürlich rein spekulativ“, sagt Atug – aber durchaus möglich. In Deutschland etwa werde als CMS für diverse Bundesbehörden der sogenannte „Government Site Builder“ genutzt. Erhalte jemand darauf Zugriff, könne auch das schwerwiegende Folgen haben.

Neben den sogenannten „Defacements“ soll es in der Nacht auch sogenannte DoS- oder DDoS-Angriffe auf einige Websites gegeben haben. Bei ersterem werden von Angreifern mehr Anfragen an eine Website gesendet, als diese bearbeiten kann. Bei letzterem senden viele unterschiedliche Quellen Anfragen, oftmals von Rechnern aus aller Welt, die ein kriminelles Botnetz bilden. Die Folge ist immer dieselbe: Die Websites können nicht mehr aufgerufen werden.

Der Tag Was heute wichtig ist. Lesen Sie den RND-Newsletter "Der Tag".

Harmlos aber teuer

Anzeige

Beide Attacken, sowohl das „Defacement“ als auch die DoS- oder DDoS-Attacken, seien zwar weitestgehend harmlos – könnten aber schnell hohe Kosten verursachen, wie Atug erklärt. Bei letzterem müssten die Abfragen herausgefiltert werden, die nicht legitim sind, um die Websites wieder ans Laufen zu bringen. Dies würden oft Dienstleister übernehmen, oftmals zu hohen Preisen. Zudem handele es sich um ein Katz- und Mausspiel zwischen den Technikern und den Angreifern, die ihre Taktik natürlich auch anpassen könnten.

Bei den „Defacements“ müssten die alten Websites aus einem Backup wiederherstellt werden – außerdem müsse herausgefunden werden, wie die Angreifer überhaupt auf die Systeme zugreifen konnten.

„Defacements“ sind nicht neu

Derartige Attacken sind derweil nichts Ungewöhnliches und auch nicht neu. 2020 beispielsweise hatten pro-iranische Hacker amerikanische Regierungswebsites nach genau demselben Muster verunstaltet. Und schon 2011 hatte das Hacker-Kollektiv Anonymous mit einem sogenannten „Defacement“ zu Beginn des Bürgerkriegs die syrische Regierungswebsite lahmgelegt, ein Jahr später traf es britische Websites.

Der Angriff auf ukrainische Seiten erfolgt derweil zu einem Zeitpunkt erhöhter Spannungen mit Russland. Schon in der Vergangenheit war es immer wieder zu derartigen Angriffen bekommen. Ob Russland aber tatsächlich hinter den aktuellen Angriffen steckt, ist unklar: Es sei noch zu früh für Schlussfolgerungen, sagte der ukrainische Außenamtssprecher Nikolenko der Nachrichtenagentur AP.

  • Laden Sie jetzt die RND-App herunter, aktivieren Sie Updates und wir benachrichtigen Sie laufend bei neuen Entwicklungen.

    Hier herunterladen