BSI und BND warnen 22.05.2025, 14:30 Uhr

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Vor verstärkten Angriffen durch Hacker des russischen Militärgeheimdienstes auf westliche Logistik- und Technologieunternehmen warnen jetzt der Bundesnachrichtendienst (BND), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) gemeinsam mit internationalen Partnern. Auch Deutschland ist betroffen.

Der BND und das BSI warnen gemeinsam mit internationalen Partnern vor Hackern des russischen Geheimdienstes. Foto: picture alliance / NurPhoto Jakub Porzycki

Der BND und das BSI warnen gemeinsam mit internationalen Partnern vor Hackern des russischen Geheimdienstes.

Foto: picture alliance / NurPhoto Jakub Porzycki

Die Attacken richten sich dem Sicherheitsbericht zufolge insbesondere gegen Unternehmen, die an der Durchführung von Hilfslieferungen an die Ukraine beteiligt sind. Dutzende von Einrichtungen, darunter Regierungsorganisationen und private bzw. kommerzielle Akteure in praktisch allen Verkehrsbereichen – in der Luft, auf See und auf der Schiene –, wurden bereits angegriffen.

Dabei nehmen die Hacker des russischen Militärgeheimdienstes GRU und die dazugehörige Cybergruppierung APT28 gezielt Einrichtungen aus bestimmten Branchen in Nato-Mitgliedstaaten, der Ukraine und internationalen Organisationen ins Visier. Neben der Verteidigungsindustrie zählen dazu Transport- und Verkehrsknotenpunkte wie Häfen und Flughäfen sowie der Seeverkehr, das Flugverkehrsmanagement und IT-Dienstleistungen.

Inhaltsverzeichnis

Russische Hacker nutzen unterschiedliche Angriffsmethoden

Für ihre Angriffe nutzen die Hacker ein breites Spektrum an Methoden. Im Jahr 2023 wurden deutsche Ziele insbesondere unter Ausnutzung einer kritischen Sicherheitslücke in Microsoft Outlook sowie mittels Spear-Phishing-E-Mails attackiert. Bei diesen Phishing-Mails, die in der Regel in der Sprache des Ziels formuliert sind, versuchen die Angreifer ihre Opfer mit berufsbezogenen Themen oder der Aussicht auf vermeintlich attraktiven „Erwachsenen-Content“ auf manipulierte Webseiten zu locken. 2024 verlagerte sich der Schwerpunkt der Angriffe auf Brute-Force-Methoden, bei denen Passwörter und Zugangsdaten durch automatisierte Versuchsmuster ermittelt werden sollen.

Top Stellenangebote

Zur Jobbörse
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Fachingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
DFS Deutsche Flugsicherung-Firmenlogo
Produktmanager (w/m/d) für Systementwicklung iCAS DFS Deutsche Flugsicherung
Langen bei Frankfurt Zum Job 
WBS TRAINING AG-Firmenlogo
Schweißlehrer:in für WIG, MIG/MAG und E-Hand (m/w/d) WBS TRAINING AG
Dresden Zum Job 
M.E. SCHUPP Industriekeramik GmbH-Firmenlogo
Projektingenieur/in - Technische Projektierung / Presales Engineering (m/w/d) mit Schwerpunkt keramische Hochtemperatur-Isolationstechnik M.E. SCHUPP Industriekeramik GmbH
Aachen Zum Job 
TenneT TSO-Firmenlogo
Parametrierer Stationsleittechnik (m/w/d) TenneT TSO
Audorf, Stockelsdorf Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur (w/m/d) für die Projektleitung von Lärmschutz- und Brückenbauwerken Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
Max Bögl Bauservice GmbH & Co. KG-Firmenlogo
Automatisierungstechniker (m/w/d) im Bereich Sondermaschinenbau Max Bögl Bauservice GmbH & Co. KG
Sengenthal bei Neumarkt in der Oberpfalz Zum Job 
Jungheinrich Aktiengesellschaft-Firmenlogo
Tech Lead (m/w/d) Electric Powertrain / Elektromotoren Jungheinrich Aktiengesellschaft
Norderstedt Zum Job 
GOLDBECK West GmbH-Firmenlogo
Architekt / Bauingenieur als Sales Manager (m/w/d) für schlüsselfertige Gewerbeimmobilien GOLDBECK West GmbH
Hürth Zum Job 
Gemeinnützige Gesellschaft der Franziskanerinnen zu Olpe mbH (GFO)-Firmenlogo
Bauingenieur oder Projektmanager (m/w/d) Bau & Technik Gemeinnützige Gesellschaft der Franziskanerinnen zu Olpe mbH (GFO)
Dinslaken, Troisdorf, Hilden, Olpe, Bonn, Langenfeld Zum Job 
Schleifring GmbH-Firmenlogo
Arbeitsvorbereiter Fertigungssteuerung (m/w/d) Schleifring GmbH
Fürstenfeldbruck Zum Job 
Allbau Managementgesellschaft mbH-Firmenlogo
Projektleiter (m/w/d) Serielle Sanierung & GU-Projekte Allbau Managementgesellschaft mbH
Essen Zum Job 
Fraunhofer-Institut für Angewandte Festkörperphysik IAF-Firmenlogo
Projektleitung - Neubau Reinraum (all genders) Fraunhofer-Institut für Angewandte Festkörperphysik IAF
Freiburg im Breisgau Zum Job 
TenneT TSO-Firmenlogo
OT Security Engineer (m/w/d) TenneT TSO
Audorf, Stockelsdorf Zum Job 
Schmoll Maschinen GmbH-Firmenlogo
Konstruktionsingenieur / Maschinenbautechniker (m/w/d) Schwerpunkt Maschinen- & Anlagenbau Schmoll Maschinen GmbH
Rödermark Zum Job 
Immobilien Management Essen GmbH (IME)-Firmenlogo
(Senior) Projektkoordinator (m/w/d) Hochbau & Stadtentwicklung Immobilien Management Essen GmbH (IME)
Essen Zum Job 
Allbau Managementgesellschaft mbH-Firmenlogo
Projektentwickler (m/w/d) Immobilien Allbau Managementgesellschaft mbH
Essen Zum Job 
RINGSPANN GmbH-Firmenlogo
Vertriebsingenieur (m/w/d) als Produkt-Account-Manager Antriebskomponenten/Bremsen RINGSPANN GmbH
Bad Homburg Zum Job 
Crawford & Company (Deutschland) GmbH-Firmenlogo
Technical Expert / Sachverständiger (w/m/d) Bereich Global Technical Services Crawford & Company (Deutschland) GmbH
verschiedene Einsatzorte Zum Job 

So manipulierten Angreifer beispielsweise die Berechtigungen für Postfächer, um eine dauerhafte E-Mail-Erfassung bei kompromittierten Logistikunternehmen einzurichten. Nachdem sie sich ersten Zugriff auf das Netzwerk verschafft hatten, versuchten die Hacker, gezielt weitere Konten zu kompromittieren, die Zugang zu sensiblen Informationen über logistische Abläufe und Lieferungen in die Ukraine boten. Diese Konten enthielten geheime Informationen über Absender, Abfahrtsorte und Bestimmungsorte. In mindestens einem dokumentierten Fall setzten die Akteure auch Voice-Phishing ein, um sich durch Vortäuschung einer IT-Identität Zugang zu privilegierten Nutzerkonten zu verschaffen.

Ein zentrales taktisches Element der GRU-Cyberkampagnen besteht in der bewussten Tarnung durch die Nutzung legitimer Dienste, vertrauter Protokolle und Infrastrukturen in geografischer Nähe zum Ziel. Die Angriffe zeichnen sich häufig durch lange Infiltrationsphasen aus. Dabei erfolgt die Datenexfiltration absichtlich in zeitlich großen Abständen, um nicht aufzufallen. Dadurch war es den Angreifern möglich, über längere Zeiträume hinweg sensible Informationen zu sammeln, ohne entdeckt zu werden.

Spionage via IP-Kameras

Neben dem Zugriff auf digitale Netzwerke nutzten die Hacker auch physische Überwachungskomponenten, etwa durch den unautorisierten Zugriff auf internetverbundene Kameras. Diese Kameras, die sich häufig in der Nähe von Grenzübergängen, militärischen Einrichtungen oder Bahnhöfen befinden, wurden eingesetzt, um den Materialfluss in Richtung Ukraine zu beobachten. Zusätzlich wurden auch öffentlich zugängliche kommunale Dienste wie Verkehrskameras missbraucht, um Bewegungen von Militärgütern und Hilfslieferungen zu verfolgen.

Laut einem Bericht der US-amerikanischen Cyberbehörde Cisa wurde insbesondere die russische GRU-Einheit 26165 dabei beobachtet, wie sie gezielt Akteure entlang der logistischen Kette ins Visier nahm. Dies umfasste sowohl staatliche als auch privatwirtschaftliche Organisationen in Europa und Nordamerika. Die Angreifer versuchten, durch kombinierte Operationen aus Phishing, Exploits und Überwachung möglichst frühzeitig Kenntnis über geplante Transporte und Lieferungen zu erlangen und gegebenenfalls auch die operative Durchführung zu behindern.

Was plant der russische Militärgeheimdienst?

„Der russische Militärgeheimdienst hat ein offensichtliches Interesse daran, den Materialfluss in die Ukraine nachzuverfolgen“, erklärt John Hultquist, Chief Analyst der Google Threat Intelligence Group. Seiner Einschätzung nach sollte sich jeder, der in diesen Prozess involviert ist, als potenzielles Ziel betrachten. „Über das Interesse hinaus, Unterstützung für das Schlachtfeld zu identifizieren, besteht auch ein Interesse daran, diese Unterstützung entweder durch physische oder durch Cyber-Mittel zu stören“, so Hultquist weiter. Er hält es für möglich, dass die aktuellen Vorfälle Vorboten weiterer ernsthafter Maßnahmen sein könnten.

Auch Energieversorgung gefährdet

Darüber hinaus weitet sich das russische Cyberinteresse zunehmend auch auf andere kritische Infrastrukturen wie den Energiesektor aus. Laut einem aktuellen Positionspapier des BSI sind neben dem Wandel hin zu dezentralen, digitalisierten Energieerzeugungs- und -verteilungssystemen auch intelligente Netze und digitale Steuerungssysteme sowie die stark steigende Komplexität der vernetzten Systeme herausfordernd und somit mit neuen Risiken verbunden. Der Energiesektor gilt demnach als hochattraktives Ziel für staatlich gesteuerte Sabotage- und Spionageaktionen, zumal Ausfälle hier unmittelbare wirtschaftliche und gesellschaftliche Folgen nach sich ziehen könnten.

Die Behörden rufen betroffene Unternehmen dringend dazu auf, ihre Sicherheitsarchitekturen zu überprüfen, mit aktuellen Sicherheitspatches zu versorgen und präventive Maßnahmen zu ergreifen. Unternehmen, die im Umfeld von Lieferketten, Transport, Energie oder digitaler Infrastruktur tätig sind, sollten sich laut Cisa und BSI darauf einstellen, langfristig Teil eines hybriden Konflikts zu sein, in dem Cybersicherheit eine zentrale Rolle spielt.

Ein Beitrag von:

  • Elke von Rekowski

    Chefredakteurin der VDI energie + umwelt und freie Redakteurin der VDI nachrichten sowie Ingenieur.de, unter anderem für die Themen Elektronik und Telekommunikation. Als langjährige Technikjournalistin arbeitete sie für verschiedene Branchenmagazine und Fachzeitschriften. Außerdem ist sie Mit-Gründerin einer E-Health Nachrichtenplattform.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Gefährliche Störsignale

Wie Jamming und Spoofing kritische Infrastruktur bedrohen
Videokamera
TÜV warnt vor Hackerattacken

Smarte Videoüberwachung fürs Haus mit Sicherheitslücken
Internet of Things
IT-Sicherheit

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit
Cyber-Sicherheit
Interview

Wie CIOs in Zeiten der Unsicherheit ihre Unternehmen voranbringen

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos