Prosec-Gründer

Tim Schuhgart und Immanuel Bär (von links nach rechts) wollen russischen Hackern die Arbeit erschweren.

Düsseldorf Russische Hackergruppen wie Killnet haben in den vergangenen Wochen immer wieder Unternehmen und Behörden im Nato-Raum sabotiert. Aktuell steht Litauen im Visier. Für Tim Schuhgart und Immanuel Bär kommt das nicht überraschend. Die Gründer des IT-Sicherheitsspezialisten Prosec haben mit ihrem Team einen Scanner entwickelt, der die Foren von russischen Hackergruppen wie Killnet überwacht.

Mehrere Tausend Hacktivisten – also Hacker mit politischen Zielen – koordinieren sich in Chatgruppen und geben dabei ihre Ziele preis. Der Angriff auf Litauen, so die Unternehmer, habe sich seit Tagen abgezeichnet.

Prosec hofft, dass sich derartige Aggressionen eindämmen lassen. „Unser Ziel ist, dass sich die Unternehmen schützen können – auch wenn das nicht zu 100 Prozent funktionieren wird“, sagt Geschäftsführer Schuhgart.

Gleichzeitig gehe es darum, Killnet die Plattform zu nehmen: Wenn die Kommunikation in der breiten Öffentlichkeit bekannt wird, muss sich die Gruppe neu organisieren. Und das kostet Zeit.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Nach dem Einmarsch Russlands in die Ukraine warnten IT-Sicherheitsexperten vor massiven Cyberangriffen aus dem Osten. Eine zentral gesteuerte Kampagne gebe es zwar nicht, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), diese Woche. Trotzdem habe sich die Lage weiter verschlechtert.

Dazu trägt Killnet bei: In der lose organisierten Gruppe verabreden sich mehrere Tausend prorussische Aktivisten dazu, die Websites von Organisationen lahmzulegen. Experten sprechen von „Distributed Denial of Service“–Angriffen, kurz DDOS. Mit dieser Methode sabotierten die Putin-Fans Anfang Mai zwischenzeitlich die Portale mehrerer deutscher Behörden und Ministerien.

Russische Hacker im Visier

Viele russische Hackergruppen versuchen aktuell, westliche Infrastruktur lahmzulegen.

(Foto: imago images/ITAR-TASS)

DDOS-Angriffe gelten unter IT-Experten als vergleichsweise harmlos, mancher spricht von „digitalen Sitzstreiks“. Die Abwehr sei eine Basismaßnahme der IT-Sicherheit, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) – Dienstleister wie Akamai, Cloudflare und andere dienen als Puffer. Die Vorfälle zeigen allerdings: Längst nicht alle Organisationen kümmern sich darum.

>> Lesen Sie auch: Vier Gründe, warum Unternehmen russische Hacker fürchten sollten

Die IT-Spezialisten von Prosec befassten sich erstmals vor einigen Monaten mit Killnet, als sich eine Regierungsstelle nach der russischen Gruppe erkundigte. Und sie stellten fest, dass sie die Kommunikation der Hacktivisten in den Foren mitlesen konnten. Bald entstand die Idee, diese Analyse zu automatisieren.

Heute scannt das System einschlägige Kommunikationskanäle, über die sich russische Hacker austauschen, und extrahiert automatisch potenzielle Angriffsziele – samt Nachrichtentext, Webadresse und Zeitstempel. Über ein Portal von Prosec kann jeder auf diese Informationen zugreifen. Und, falls nötig, handeln.

Liste gibt Einblick in russische Befindlichkeiten

Die aktuelle Liste gibt Einblicke in russische Befindlichkeiten. So scheinen die Hacktivisten verstärkt Ziele in Norwegen anzuvisieren – die Heimat von Nato-Generalsekretär Jens Stoltenberg, den man als „Feind Nummer eins“ bezeichnet.

„Guten Morgen Norwegen! Alle Truppen in die Schlacht!“, heißt es in Aufrufen, die diversen norwegischen Institutionen gelten, darunter Polizei und Arbeitsaufsichtsbehörde.

An Hybris mangelt es Killnet nicht. Die Gruppe behauptet zum Beispiel in ihrer Kommunikation, dass sie mit ihren Angriffen die Politik von Litauen beeinflusst habe. Das berichtet der IT-Sicherheitsdienstleister Check Point. Der baltische Staat blockiert derzeit den Transit von Russland in die Exklave Kaliningrad – Medienberichten zufolge wirkt die EU auf ein Aussetzen hin.

Das Unternehmen hatte 2021 laut Handelsregister rund 2,5 Millionen Euro Umsatz erwirtschaftet. Die beiden Gründer bauen das Geschäft derzeit kräftig aus, die Mitarbeiterzahl ist innerhalb weniger Jahre auf 70 gewachsen. Die beiden Prosec-Gründer betonen, dass sie den Scanner nicht kommerziell betreiben wollen – das Kerngeschäft der Firma seien Sicherheitstests und Beratung.

Sie sind aber bereit, die Software weiterzuentwickeln, wenn es ausreichend konkrete Anfragen gibt: „Wir machen es umsonst, und dann muss es sich auch lohnen“, sagt Schughart.

Die Nutzung des Scanners steige, berichten die Prosec-Gründer. Damit das System für alle Unternehmen nutzbar wird, ist jedoch noch Arbeit nötig. So müssen die IT-Sicherheitsleute bislang selbst nachschauen, ob ihre Organisation ins Visier der Hacker geraten ist.

Eine Anbindung an Überwachungssysteme, im Fachjargon SIEM genannt, würde diesen Schritt überflüssig machen. Es gebe bereits Beispiele, wo das geschehen sei, sagt Bär. Auch eine Alarmfunktion sei denkbar. Der Co-Geschäftsführer betont: „Es sollte im Interesse der Wirtschaft sein, über die Früherkennung nachzudenken.“

Mehr: Der unsichtbare Krieg: Globale Hackerbanden bedrohen Deutschland