BSI und BND warnen 22.05.2025, 14:30 Uhr

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Vor verstärkten Angriffen durch Hacker des russischen Militärgeheimdienstes auf westliche Logistik- und Technologieunternehmen warnen jetzt der Bundesnachrichtendienst (BND), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) gemeinsam mit internationalen Partnern. Auch Deutschland ist betroffen.

Der BND und das BSI warnen gemeinsam mit internationalen Partnern vor Hackern des russischen Geheimdienstes. Foto: picture alliance / NurPhoto Jakub Porzycki

Der BND und das BSI warnen gemeinsam mit internationalen Partnern vor Hackern des russischen Geheimdienstes.

Foto: picture alliance / NurPhoto Jakub Porzycki

Die Attacken richten sich dem Sicherheitsbericht zufolge insbesondere gegen Unternehmen, die an der Durchführung von Hilfslieferungen an die Ukraine beteiligt sind. Dutzende von Einrichtungen, darunter Regierungsorganisationen und private bzw. kommerzielle Akteure in praktisch allen Verkehrsbereichen – in der Luft, auf See und auf der Schiene –, wurden bereits angegriffen.

Dabei nehmen die Hacker des russischen Militärgeheimdienstes GRU und die dazugehörige Cybergruppierung APT28 gezielt Einrichtungen aus bestimmten Branchen in Nato-Mitgliedstaaten, der Ukraine und internationalen Organisationen ins Visier. Neben der Verteidigungsindustrie zählen dazu Transport- und Verkehrsknotenpunkte wie Häfen und Flughäfen sowie der Seeverkehr, das Flugverkehrsmanagement und IT-Dienstleistungen.

Inhaltsverzeichnis

Russische Hacker nutzen unterschiedliche Angriffsmethoden

Für ihre Angriffe nutzen die Hacker ein breites Spektrum an Methoden. Im Jahr 2023 wurden deutsche Ziele insbesondere unter Ausnutzung einer kritischen Sicherheitslücke in Microsoft Outlook sowie mittels Spear-Phishing-E-Mails attackiert. Bei diesen Phishing-Mails, die in der Regel in der Sprache des Ziels formuliert sind, versuchen die Angreifer ihre Opfer mit berufsbezogenen Themen oder der Aussicht auf vermeintlich attraktiven „Erwachsenen-Content“ auf manipulierte Webseiten zu locken. 2024 verlagerte sich der Schwerpunkt der Angriffe auf Brute-Force-Methoden, bei denen Passwörter und Zugangsdaten durch automatisierte Versuchsmuster ermittelt werden sollen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
GEA-Firmenlogo
IT Application Consultant Masterdata (f/m/d) GEA
Düsseldorf Zum Job 
GEA-Firmenlogo
Business Application Consultant Consolidation (f/m/d) GEA
Düsseldorf Zum Job 
GEA-Firmenlogo
IT Application Consultant BI (f/m/d) GEA
Düsseldorf Zum Job 
VIAVI Solutions GmbH-Firmenlogo
Graduate Rotational Program - Entwicklungsingenieur (FPGA / KI) (w/m/d) VIAVI Solutions GmbH
Eningen unter Achalm Zum Job 
OCS Optical Control Systems GmbH-Firmenlogo
Entwicklungsingenieure (m/w/d) für die Bildverarbeitung & Softwareentwicklung OCS Optical Control Systems GmbH
Witten Zum Job 
DNV-Firmenlogo
(Senior) Consultant for Digital System Operation (f/m/d) DNV
Dresden, Schönefeld Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professorin | Professor (m/w/d) für das Lehrgebiet Robotik THD - Technische Hochschule Deggendorf
Cham Zum Job 
Hochschule Düsseldorf University of Applied Sciences-Firmenlogo
Professur (W2) "Wirtschaftsinformatik und Datenbanken mit dem Schwerpunkt IT-Venture-Design, Digital Enterprise und innovativer Lehre in Makerspace-Settings" Hochschule Düsseldorf University of Applied Sciences
Düsseldorf Zum Job 
FRITZ!-Firmenlogo
Entwicklungsingenieur für Produktionstestsysteme (w/m/d) FRITZ!
Berlin Zum Job 
DB InfraGO AG-Firmenlogo
Teilprojektleiter:in Ausrüstungstechnik (w/m/d) DB InfraGO AG
Hamburg Zum Job 

So manipulierten Angreifer beispielsweise die Berechtigungen für Postfächer, um eine dauerhafte E-Mail-Erfassung bei kompromittierten Logistikunternehmen einzurichten. Nachdem sie sich ersten Zugriff auf das Netzwerk verschafft hatten, versuchten die Hacker, gezielt weitere Konten zu kompromittieren, die Zugang zu sensiblen Informationen über logistische Abläufe und Lieferungen in die Ukraine boten. Diese Konten enthielten geheime Informationen über Absender, Abfahrtsorte und Bestimmungsorte. In mindestens einem dokumentierten Fall setzten die Akteure auch Voice-Phishing ein, um sich durch Vortäuschung einer IT-Identität Zugang zu privilegierten Nutzerkonten zu verschaffen.

Ein zentrales taktisches Element der GRU-Cyberkampagnen besteht in der bewussten Tarnung durch die Nutzung legitimer Dienste, vertrauter Protokolle und Infrastrukturen in geografischer Nähe zum Ziel. Die Angriffe zeichnen sich häufig durch lange Infiltrationsphasen aus. Dabei erfolgt die Datenexfiltration absichtlich in zeitlich großen Abständen, um nicht aufzufallen. Dadurch war es den Angreifern möglich, über längere Zeiträume hinweg sensible Informationen zu sammeln, ohne entdeckt zu werden.

Spionage via IP-Kameras

Neben dem Zugriff auf digitale Netzwerke nutzten die Hacker auch physische Überwachungskomponenten, etwa durch den unautorisierten Zugriff auf internetverbundene Kameras. Diese Kameras, die sich häufig in der Nähe von Grenzübergängen, militärischen Einrichtungen oder Bahnhöfen befinden, wurden eingesetzt, um den Materialfluss in Richtung Ukraine zu beobachten. Zusätzlich wurden auch öffentlich zugängliche kommunale Dienste wie Verkehrskameras missbraucht, um Bewegungen von Militärgütern und Hilfslieferungen zu verfolgen.

Laut einem Bericht der US-amerikanischen Cyberbehörde Cisa wurde insbesondere die russische GRU-Einheit 26165 dabei beobachtet, wie sie gezielt Akteure entlang der logistischen Kette ins Visier nahm. Dies umfasste sowohl staatliche als auch privatwirtschaftliche Organisationen in Europa und Nordamerika. Die Angreifer versuchten, durch kombinierte Operationen aus Phishing, Exploits und Überwachung möglichst frühzeitig Kenntnis über geplante Transporte und Lieferungen zu erlangen und gegebenenfalls auch die operative Durchführung zu behindern.

Was plant der russische Militärgeheimdienst?

„Der russische Militärgeheimdienst hat ein offensichtliches Interesse daran, den Materialfluss in die Ukraine nachzuverfolgen“, erklärt John Hultquist, Chief Analyst der Google Threat Intelligence Group. Seiner Einschätzung nach sollte sich jeder, der in diesen Prozess involviert ist, als potenzielles Ziel betrachten. „Über das Interesse hinaus, Unterstützung für das Schlachtfeld zu identifizieren, besteht auch ein Interesse daran, diese Unterstützung entweder durch physische oder durch Cyber-Mittel zu stören“, so Hultquist weiter. Er hält es für möglich, dass die aktuellen Vorfälle Vorboten weiterer ernsthafter Maßnahmen sein könnten.

Auch Energieversorgung gefährdet

Darüber hinaus weitet sich das russische Cyberinteresse zunehmend auch auf andere kritische Infrastrukturen wie den Energiesektor aus. Laut einem aktuellen Positionspapier des BSI sind neben dem Wandel hin zu dezentralen, digitalisierten Energieerzeugungs- und -verteilungssystemen auch intelligente Netze und digitale Steuerungssysteme sowie die stark steigende Komplexität der vernetzten Systeme herausfordernd und somit mit neuen Risiken verbunden. Der Energiesektor gilt demnach als hochattraktives Ziel für staatlich gesteuerte Sabotage- und Spionageaktionen, zumal Ausfälle hier unmittelbare wirtschaftliche und gesellschaftliche Folgen nach sich ziehen könnten.

Die Behörden rufen betroffene Unternehmen dringend dazu auf, ihre Sicherheitsarchitekturen zu überprüfen, mit aktuellen Sicherheitspatches zu versorgen und präventive Maßnahmen zu ergreifen. Unternehmen, die im Umfeld von Lieferketten, Transport, Energie oder digitaler Infrastruktur tätig sind, sollten sich laut Cisa und BSI darauf einstellen, langfristig Teil eines hybriden Konflikts zu sein, in dem Cybersicherheit eine zentrale Rolle spielt.

Ein Beitrag von:

  • Elke von Rekowski

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Videokamera
TÜV warnt vor Hackerattacken

Smarte Videoüberwachung fürs Haus mit Sicherheitslücken
Internet of Things
IT-Sicherheit

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit
Cyber-Sicherheit
Interview

Wie CIOs in Zeiten der Unsicherheit ihre Unternehmen voranbringen
Ein interdisziplinäres Forschungsteam verknüpft EEG-Messungen von Entwicklerinnen und Entwicklern mit der Unsicherheit großer Sprachmodelle – und zeigt: Mensch und KI stolpern über dieselben verwirrenden Code-Muster.
Stolperfalle in der IT

Verwirrender Programmcode: KI und Mensch reagieren gleich

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos