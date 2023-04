Vor rund zwei Wochen fielen Websites des Deutschen Roten Kreuzes (DRK) aus. Unbekannte hatten den gemeinnützigen Verein mit einer DDoS-Attacke angegriffen, wie aus einem Tweet des Ablegers in Sachsen hervorgeht. Und der Angriff war spezifisch auf die humanitäre Organisation ausgerichtet. Laut dem Security-Spezialisten Günter Born wurden gezielt die Webserver des DRK attackiert. Noch am selben Tag fand sich auf Twitter ein Stelleninserat für einen IT-Administrator, der unter anderem die Systeme des Roten Kreuzes in Deutschland überwachen soll.

Es war bloss der jüngste Vorfall in einer ganzen Reihe von Attacken auf humanitäre Organisationen. In der instabilen geopolitischen Lage und angesichts des boomenden Cybercrime-Sektors geraten auch diese zunehmend ins Visier von kriminellen und politisch motivierten Hackern. Wie in den meisten Fällen weiss man bis heute nicht, wer das Deutsche Rote Kreuz attackiert hat. Das Genfer Cyberpeace Institute schreibt, dass von 157 analysierten Angriffen auf NGO nur gerade 12 einem bestimmten Akteur zugeordnet werden konnten.

Beobachter vermuten indes, dass Russland seine Cyberkriegsführung verändert hat. So waren jüngst auch weitere Hilfsorganisationen, die teils ausschliesslich in der Ukraine tätig sind, ins Fadenkreuz geraten, wie der 'Spiegel' kürzlich berichtete.

Der verheerende Angriff von 2022

Cyberoperationen während eines bewaffneten Konflikts würden den Grundsätzen des humanitären Völkerrechts unterliegen - sie fänden in keiner "Grauzone" statt, heisst es auf der Website des IKRK, deren Organisationen durch die Genfer Konvention geschützt sind. Die zunehmenden Attacken drohen aber, den internationalen Konsens zu untergraben, auch wenn unparteiische, humanitäre Hilfe in Kriegssituationen als Ziele von Angriffen tabu sein müssten. Das teilte das Internationale Rote Kreuz im Frühling 2022 mit. Kurz zuvor war der bislang schlimmste Cyberangriff auf die Organisation entdeckt worden.

Angreifer waren damals in die Systeme des Internationalen Roten Kreuzes (IKRK) eingedrungen und hatten Daten von über 515'000 Personen erbeutet, darunter auch sensible Informationen zu besonders schutzbedürftigen Menschen aus 60 Ländern. Vom Angriff betroffen waren Daten der Central Tracing Agency (CTA), die in zwei Datenbanken liegen. Der Angriff setze diese zusätzlichen Bedrohungen aus, schrieb das IKRK in einer Mitteilung.

Das Tracing-System soll helfen, Familien wieder zusammenzuführen, die in Kriegen und Katastrophen auseinandergerissen werden. Dafür benötigt das Rote Kreuz sensible Daten zur Identifikation und Suche von vermissten Personen. Die Informationen waren in der 2022 gehackten Datenbank abgelegt und konnten dort durchsucht werden. Sie sind auch für Kriegsparteien und autoritäre Regimes von grossem Interesse und müssen darum besonders geschützt werden. Nicht nur können mit den Informationen Personen identifiziert werden, Akteure können sich auf deren Grundlage auch als Mitarbeitende des Roten Kreuzes ausgeben.

Der CTA-Dienst kommt auch im Ukraine-Konflikt zum Einsatz. Dafür sammelt das IKRK Informationen über Militärangehörige und Zivilisten, die dem Feind in die Hände gefallen sind, getötet wurden oder vermisst werden. Von Kriegsbeginn bis im letzten November wurden bereits 42'000 Anfragen an die Agentur gerichtet, die über 9000-mal Angaben bereitstellen konnte. Die Zahlen nennt das IKRK auf Anfrage von inside-it.ch und betont: Das System in der Ukraine werde separat betrieben und sei nicht vom Hack im Jahr 2022 betroffen gewesen.

Wer steckt hinter dem Angriff?

Der Angriff auf das IKRK konnte bislang keinem Akteur zugeordnet werden. Klar ist aber: Das Rote Kreuz war kein Zufallsopfer einer kriminellen Bande. Die ausgeklügelte Malware für den Angriff war zum Teil gezielt entwickelt worden, um auf den Servern des IKRK ausgeführt zu werden. Diese stehen beim Genfer RZ-Betreibers Safe Host, in dessen Rechenzentren neben Daten von UNO-Organisationen auch die sensiblen Daten des Roten Kreuzes gelagert werden. Es gelang den Akteuren, rund 70 Tage unentdeckt im System des IKRK zu bleiben. Der eigentliche Angriff hatte bereits am 9. November 2021 stattgefunden.

Eine solche Attacke braucht enorme Ressourcen. Die Angreifer haben laut Analysten zudem fortgeschrittene Funktionen in ihre Software eingebaut, die die Anti-Malware-Tools austrickste und die Entdeckung sowie die nachträgliche Untersuchung erschwerte. Sowohl technische Details als auch die Stille im Darkweb weisen auf einen Akteur mit grossen Ressourcen und politischer Motivation hin. Aufgrund der schwerwiegenden Folgen und des delikaten Opfers schossen umgehend Spekulationen ins Kraut. Das IKRK erklärt auf Anfrage lediglich, man wolle nicht über die Urheber spekulieren, es sei aber keine Lösegeldforderung eingetroffen.

Das Rote Kreuz in der Bredouille

Die Schweigsamkeit des IKRK ist nachvollziehbar. Die Organisation steckt in der Bredouille: Massimo Marelli, der höchste Datenschützer der Organisation, hatte in einem Paper nach der Attacke auf das CTA den globalen Kampf um Einfluss und Dominanz verurteilt. Das IKRK muss sich in diesem Konflikt strikt neutral verhalten, will es seine Aufgaben als humanitäre Organisation wahrnehmen. Darum beherbergt die Organisation zum Beispiel ihre physischen Standorte nie nahe an Militärbasen, auch wenn diese Schutz versprechen könnten. Im digitalen Raum soll dieselbe klare Unterscheidbarkeit gelten, darum wurde im letzten Herbst ein Cyberlabel lanciert, das IT-Systeme der humanitären Organisation kennzeichnen soll.

Ob das viel nützt, ist fraglich: Die Organisation ist auf IT-Produkte von grossen Firmen angewiesen, oftmals aus den USA. Damit liegen die Daten auf einem IT-System eines Anbieters, der unter einer bestimmten nationalen Rechtsordnung steht. Zudem werden die Daten des IKRKs auch gefährdet, wenn Lücken in den Systemen bekannt werden. Im Angriff von 2022 war eine Schwachstelle in einem Single-Sign-On-Tool ausgenutzt worden, die seit Juli 2021 bekannt war. IKRK-Datenschützer Marelli hält in einem Beitrag fest: Bei Angriffen auf die Lieferkette bestehe zudem das Risiko, Opfer eines Kollateralschadens zu werden oder attackiert zu werden, weil das eigentliche Ziel dieselbe digitale Supply Chain nutzt.

Und die Auswirkungen eines Angriffs können immens sein. Das System zur Familienzusammenführung wurde erst im Juni, also 5 Monate nach der Entdeckung des Angriffs, wieder hochgefahren. Das IKRK fürchtete nicht nur, dass die Kriminellen noch im System stecken könnten, sondern auch, dass Daten manipuliert worden sind. Für die Suche nach vermissten Personen und die Zusammenführung von Familien musste auf einfache Excel-Tabellen zurückgegriffen werden.