BSI veröffentlicht Liste von APT- und Cybercrime-Gruppen in Deutschland: Bedrohung für Unternehmen und Organisationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Cyber-Abwehrzentrum CERT-Bund haben eine Liste von APT- und Cybercrime-Gruppen veröffentlicht, deren Aktivitäten in Deutschland beobachtet werden. Diese Gruppen stellen eine reale Bedrohung für Unternehmen und Organisationen in der Region dar.

Die Daten für diese Zusammenstellung stammen hauptsächlich aus Vorfällen, die in den Zuständigkeitsbereich des BSI fallen, insbesondere aus Vorfällen, die mit der IT der öffentlichen Hand in Verbindung stehen. Zusätzlich fließen auch verlässliche Meldungen von externen Partnern in die Liste ein, wie Alexander Härtel und Timo Steffens in einem Pro-Talk mit Mitgliedern von Security Pro erklärten.

Die APT-Liste des BSI enthält alle Tätergruppen, bei denen ein staatlicher Akteur im Hintergrund vermutet wird und die in den letzten zwei Jahren gegen deutsche Ziele aktiv waren. Es gibt auch Angreifer, die Ziele in europäischen Ländern ins Visier nehmen und die möglicherweise ähnliche Angriffe auch in Deutschland durchführen könnten.

Die Liste umfasst sowohl bekannte Akteure wie APT28, auch bekannt als Sofacy und Fancy Bear, die früher in den Bundestag eingedrungen sind, als auch weniger bekannte Gruppen wie Bitter / Hazy Tiger. Die Liste enthält keine Zuordnungen der einzelnen Gruppen zu Staaten oder deren Diensten, obwohl die Bundesregierung bereits öffentlich APT28 dem russischen Militärgeheimdienst GRU zugeordnet hat. Dies liegt wahrscheinlich an den Zuständigkeitsregelungen, da die Zuordnung von Cyberangriffen zu einem Staat in Deutschland nicht vom BSI, sondern von der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) durchgeführt wird. Dennoch hätte das BSI zumindest die offiziell bestätigten Zuordnungen angeben können.

Gleiches gilt für die Liste der aktiven Cybercrime-Gruppen in Deutschland, bei denen den Angreifern hauptsächlich finanzielle Motive zugeschrieben werden. Es ist wichtig zu beachten, dass das BSI hier eine klare Unterscheidung zwischen den Gruppierungen und der von ihnen verwendeten bzw. vertriebenen Software macht. So wird beispielsweise die Gruppe, die die Verschlüsselungs-Software Lockbit entwickelt und verbreitet, als Bitwise Spider bezeichnet. Eine systematische Erfassung ist sinnvoll, da sogenannte Affiliates entweder keine eigene Ransomware-Software besitzen oder zwischen verschiedenen Ransomware-as-a-Service-Anbietern wechseln können. Auf der anderen Seite wird die Zuordnung etwas erschwert, da die meisten Menschen weltweit nur von der Lockbit-Bande oder kurz Lockbit sprechen und daher kaum jemand die richtigen Assoziationen mit Bitwise Spider herstellt.

Die Autoren betonen, dass diese Listen nicht nur theoretischen Wert haben, sondern auch einen konkreten, praktischen Nutzen haben. Die Incident-Response-Teams von CERT-Bund sammeln Informationen zur bekannten Vorgehensweise, einschließlich der Taktiken, Techniken und Verfahren (TTPs), der aufgeführten Tätergruppen. Dies ermöglicht es ihnen, sich gezielt auf zukünftige Vorfälle vorzubereiten und im Ernstfall wertvolle Zeit zu sparen. Auf diese Weise können sie beispielsweise bei einer bekannten Gruppe, die eine Lösegeldforderung stellt, sofort nach den charakteristischen Spuren dieser Bande suchen. Angesichts der großen Anzahl weltweit aktiver Gruppen wäre es ohne eine Fokussierung auf relevante Akteure kaum möglich, dies in solch einer Konsequenz durchzuführen.

Darüber hinaus trägt diese Liste dazu bei, eine realistischere Einschätzung der Bedrohungslage zu ermöglichen und die Priorisierung von Abwehrmaßnahmen angemessen vorzunehmen. In den Medien werden immer wieder beeindruckende Sabotageaktionen der APT-Gruppe Sandworm erwähnt. Es ist wichtig, dass Unternehmen und Organisationen sich der Gefahren bewusst sind und angemessene Maßnahmen ergreifen, um ihre Systeme und Daten zu schützen.

Schlagwörter: Deutschland + BSI + Spider

Wie bewerten Sie den Schreibstil des Artikels?