Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit CERT-Bund Listen der aktivsten Cyber-Angreifer veröffentlicht. Diese Listen sollen Unternehmen und Organisationen helfen, Bedrohungen besser einzuordnen und ihre Abwehrmaßnahmen gezielt zu verbessern. Was bedeutet das für die Cybersicherheit in Deutschland? Hier ein sachlicher, aber humorvoller Blick auf die Fakten.

Wer tummelt sich in den Schatten der Cyberwelt?

Das BSI hat die aktivsten staatlichen Akteure und Cybercrime-Gruppierungen benannt, deren Aktivitäten in Deutschland beobachtet wurden. Diese Listen basieren auf Daten aus Vorfällen im öffentlichen Sektor sowie auf zuverlässigen Berichten externer Partner. Die Autoren der Listen, Alexander Härtel und Timo Steffens, haben diese Informationen in einem Gespräch mit Mitgliedern von heise security Pro offengelegt.

Staatliche Akteure: Die APT-Liste

Die APT-Liste (Advanced Persistent Threat) enthält Gruppen, die von staatlichen Akteuren unterstützt werden. Zu den berüchtigten Namen gehören APT28, auch bekannt als Sofacy oder Fancy Bear, die einst in den Bundestag eingebrochen sind, und weniger bekannte Gruppen wie „Bitter / Hazy Tiger“. Obwohl die Liste keine direkten Zuordnungen zu Staaten macht, ist bekannt, dass APT28 dem russischen Militärgeheimdienst GRU zugeschrieben wird. Die Zuständigkeit für solche Zuschreibungen liegt jedoch beim Bundesamt für Verfassungsschutz (BfV).

Cybercrime-Gruppierungen: Die Gangster der digitalen Unterwelt

Neben den staatlichen Akteuren listet das BSI auch Cybercrime-Gruppierungen auf, die vor allem finanzielle Motive haben. Ein Beispiel ist die Gruppe hinter der Ransomware Lockbit, die vom BSI als „Bitwise Spider“ bezeichnet wird. Diese systematische Erfassung hilft, Angriffe besser einzuordnen, auch wenn es für Außenstehende manchmal verwirrend sein kann.

Praktischer Nutzen der Listen

Die Autoren betonen den konkreten Nutzen dieser Listen. Sie helfen Incident-Response-Teams, sich besser auf Vorfälle vorzubereiten, indem sie Informationen zu den Taktiken, Techniken und Verfahren (TTPs) der Tätergruppen sammeln. So können sie im Ernstfall schnell reagieren und typische Spuren der Angreifer identifizieren. Außerdem ermöglichen die Listen eine realistischere Einschätzung der Bedrohungslage und eine Priorisierung von Abwehrmaßnahmen.

Beispiel Sandworm: Eine latent lauernde Gefahr

Ein interessantes Beispiel ist die APT-Gruppe Sandworm, die durch spektakuläre Sabotage-Aktionen bekannt wurde. Obwohl sie in den letzten zwei Jahren keine bestätigten Angriffe in Deutschland verübt hat, wurde sie aufgrund des fortdauernden Ukraine-Kriegs in die Kategorie „unter Beobachtung“ aufgenommen. So bleibt man wachsam und vorbereitet, selbst wenn keine aktuellen Angriffe bekannt sind.

Fazit: Wissen ist Macht – auch in der Cyberabwehr

Die Veröffentlichung dieser Listen zeigt, dass das BSI und CERT-Bund bestrebt sind, die Cybersicherheit in Deutschland zu stärken. Durch gezielte Informationen und klare Zuordnungen können Unternehmen und Organisationen besser auf Bedrohungen reagieren und ihre Abwehrmaßnahmen optimieren. Es bleibt zu hoffen, dass diese Transparenz einen positiven Effekt auf die allgemeine Sicherheitslage hat – denn wie heißt es so schön? „Vorbereitung ist der beste Schutz gegen böse Überraschungen.“

Mit Humor und Sachlichkeit bleibt festzuhalten: Die Cyber-Gangster mögen sich in den Schatten bewegen, aber das BSI hat die Taschenlampen ausgepackt.

4o