Die Grenze zwischen Nationalstaaten und Cyberkriminalität verschwimmt: Das sind schlechte Nachrichten für CISOs

Von Phil Muncaster • 22 April 2025

Geopolitische Risiken bereiten derzeit allen größere Sorgen. Das liegt vor allem am Chaos in Washington, obwohl sich die globalen Spannungen schon länger verstärken. Das jüngste Weltwirtschaftsforum (WEF) Globaler Risikoberichtbehauptet beispielsweise, dass das Risiko, das „im Jahr 2025 höchstwahrscheinlich zu einer materiellen Krise auf globaler Ebene führen wird“, ein „staatlich motivierter bewaffneter Konflikt“ sei. Dieses Risiko reiht sich neben „Cyber-Unsicherheit“ und „Fehl- und Desinformation“ in die Liste der zehn größten kurzfristigen Risiken ein.

Cybersicherheit wird ein Schlüsselbereich der Großmachtrivalität sein, der die kommenden Jahrzehnte prägen wird. Die damit verbundenen Risiken für CISOs und ihre Organisationen sind jedoch zunehmend schwer zu definieren. Denn die einst klare Grenze zwischen nationalstaatlichen und Cyberkriminalitätsaktivitäten beginnt zu verschwimmen. Sicherheitsverantwortliche müssen sich auf bewährte Branchenpraktiken verlassen, um diese unbekannten Gewässer sicher zu befahren.

Die Regeln ändern sich

Sowohl Microsoft als auch Google Mandiant haben kürzlich die zunehmende Verflechtung nationalstaatlicher Kampagnen mit Cyberkriminalität dokumentiert. In vielerlei Hinsicht ist dies kein neues Phänomen. Die jüngsten Ereignisse verschärfen das Problem jedoch. Google-Berichtsnotizen „Die verstärkte Cyberaktivität nach dem Krieg Russlands in der Ukraine hat gezeigt, dass in Zeiten erhöhter Not der latente Talentpool der Cyberkriminellen bezahlt oder gezwungen werden kann, staatliche Ziele zu unterstützen.“

Dies hat mehrere Aspekte:

1. Nationalstaaten nutzen handelsübliche Tools und Dienste zur Bekämpfung von Cyberkriminalität

Dies bietet Regierungen mehrere Vorteile. Der Einsatz vorgefertigter Cybercrime-Tools ist günstiger als die Entwicklung eigener, maßgeschneiderter Alternativen. Es hilft, den wahren Ursprung oder die Absicht von Angriffen zu verschleiern. Laut Google können solche Tools zudem „kurzfristig und ohne unmittelbare Verbindung zu früheren Operationen einsatzbereit sein“.

Staatlich unterstützte Gruppen kaufen oder mieten möglicherweise Malware und Exploits, Zugangsdaten, Botnet-Infrastruktur, gestohlene Informationen, Erstzugriffe oder andere Angebote, die im Cybercrime-Untergrund leicht zu finden sind. Zum Beispiel:

Microsoft behauptete in Dezember 2024, dass die russische Turla-Gruppe (Secret Blizzard) die mit Cybercrime-Aktivitäten in Verbindung stehende Bot-Malware Amadey nutzte, um ukrainische Militäreinheiten anzugreifen
Im Mai 2024 identifizierte Google eine iranische Gruppe, UNC5203, die die RADTHIEF-Hintertür bei einer Operation nutzte, die auf die israelische Atomforschungsindustrie abzielte.

Die chinesische Gruppe UNC2286 nutzte die STEAMTRAIN-Ransomware und eine mit der DarkSide-Gruppe verbundene Lösegeldforderung, um eine Cyberspionagekampagne zu verbergen, so Google.

2. Kooptierung von Cybercrime-Gruppen

Auch Staaten wenden sich persönlich an Cyberkriminelle, um deren Unterstützung zu gewinnen. Dies kann wiederum Kosten senken, interne Mitarbeiter für strategischere Ziele freisetzen und die glaubhafte Abstreitbarkeit verbessern. Dies zeigt sich beispielsweise bei:

Russische FSB-Gruppe Aqua Blizzard welche Laut Microsoft hat das Unternehmen den Zugriff auf 34 kompromittierte ukrainische Geräte an die Cybercrime-Gruppe Storm-0593 zur Nachbearbeitung übergeben.
Die Cybercrime-Bande Cigar (RomCom), die seit 2022 „Spionageoperationen“ gegen die ukrainische Regierung durchführt, sagt Google
Das chinesische private Cybersicherheitsunternehmen i-Soon, das die USA vor kurzem sanktioniert, und führte zwischen 2016 und 23 offenbar Auftrags-Hacking-Operationen für Peking durch, wobei er 10,000 bis 75,000 US-Dollar pro kompromittiertem E-Mail-Postfach verlangte und außerdem Geld mit der Ausbildung staatlicher Strafverfolgungsbehörden verdiente.

3. Staatlichen Hackern die Schwarzarbeit ermöglichen

Es gibt immer mehr Beispiele dafür, dass angeblich staatlich geförderte Gruppen nebenbei Geld verdienen dürfen. Laut Google „ermöglicht dies einer Regierung, direkte Kosten zu decken, die für die Aufrechterhaltung robuster Gruppen anfallen würden“. Beispiele hierfür sind:
Die produktive chinesische Bedrohungsgruppe APT41, die laut Google eine lange Geschichte finanziell motivierter Aktivitäten hat. Dazu gehören Ransomware-Angriffe auf den Videospielsektor und sogar die Diebstahl von COVID-Hilfsgeldern.
Iran-Gruppe UNC757, die letztes Jahr entdeckt wurde, in Zusammenarbeit mit Ransomware-Partnern von NoEscape, RansomHouse und ALPHV.

4. Nationalstaaten verhalten sich wie Cybercrime-Gruppen

Dieser Artikel bezieht sich fast ausschließlich auf Nordkorea, das gezielt Finanz- und Kryptounternehmen um Gelder für seine Atom- und Raketenprogramme bittet. Zuletzt:
Nordkoreanische Staatshacker wurden beschuldigt für den größten Cyber-Raub aller Zeiten, bei dem Kryptowährungen im Wert von 1.5 Milliarden US-Dollar von Bybit gestohlen wurden.
Ein wachsender Trend von Nordkoreanische IT-Arbeiter Es gibt Hinweise darauf, wie westliche Unternehmen dazu gebracht werden, sie einzustellen. Sobald sie vor Ort sind und von zu Hause aus arbeiten, überweisen sie ihre Gehälter nach Pjöngjang. Die Betrüger können zudem privilegierte Zugriffsrechte nutzen, um vertrauliche Informationen zu stehlen und/oder ihre ehemaligen Arbeitgeber nach deren Beendigung zu erpressen. Diese Bedrohung wird zunehmen, da KI die Erstellung überzeugender Fake-Personas erleichtert.

Was CISOs tun können

Diese Trends stellen CISOs vor zahlreiche Herausforderungen.

„Es erschwert die Vorhersage des Angreiferverhaltens und erhöht das Risiko von Kollateralschäden“, warnt Bugcrowd-Gründer Casey Ellis gegenüber ISMS.online. „Ein Ransomware-Angriff könnte beispielsweise zunächst finanziell motiviert erscheinen, später aber geopolitische Absichten offenbaren. CISOs müssen nun ein breiteres Spektrum an Gegnern berücksichtigen, die jeweils unterschiedliche Fähigkeiten, Ressourcen und Ziele haben. Hinzu kommt, dass Cyberkriminelle und staatliche Strafverfolgungsbehörden sehr unterschiedliche Entscheidungen darüber treffen, was sie tun werden oder nicht, was die allgemeine Unvorhersehbarkeit noch verstärkt.“

Ohne klare Zuordnung könnten CISOs in ihrer Reaktion behindert werden, fügt er hinzu.

„Eine konsequente Cybersicherheitshygiene – wie die Identifizierung von Vermögenswerten, Schwachstellenmanagement und die Planung von Incident-Response-Maßnahmen – bleibt grundlegend. Wenn Sie jedoch wissen, wer Sie angreift, können Sie Ihre Abwehrmaßnahmen verbessern“, argumentiert Ellis.

Beispielsweise könnte eine staatlich geförderte Bedrohung geistiges Eigentum ins Visier nehmen, während eine cyberkriminelle Gruppe auf finanziellen Gewinn aus ist. Die Attributionsstrategie dient auch der Zusammenarbeit mit Strafverfolgungsbehörden und Geheimdiensten und trägt dazu bei, systemische Probleme wie die Schaffung sicherer Rückzugsorte für Angreifer anzugehen.

Wenn CISOs verstehen, wer sie angreift und warum, können sie eine wirksame Antwort erarbeiten, erklärt Heath Renfrow, CISO von Fenix24, gegenüber ISMS.online.

„Bei Cyberkriminellen sollte der Fokus auf einer schnellen Eindämmung, Ausrottung und Stärkung der Abwehrmaßnahmen liegen, um wiederholte Angriffe zu verhindern. Bei staatlichen Akteuren können die Reaktionsmaßnahmen jedoch erweiterte Überwachung, Spionageabwehr und die Koordination mit Regierungsbehörden erfordern“, erklärt er. „Hybride Bedrohungen erfordern eine mehrschichtige Verteidigung – eine Kombination aus Zero Trust, Echtzeit-Bedrohungsinformationen und Strategien zur Resilienz nach Vorfällen.“

Gleichzeitig werden KI und Automatisierung für CISOs angesichts der sich weiterentwickelnden Bedrohungen immer wichtiger, argumentiert Chad Cragle, CISO von Deepwatch.

„KI-gesteuerte Bedrohungserkennung und automatisierte Reaktion helfen Sicherheitsteams, sich gegen schnell und massenhaft agierende Gegner zu behaupten. Letztendlich müssen Sicherheitsstrategien bedrohungsunabhängig und anpassungsfähig sein“, erklärt er gegenüber ISMS.online.

Da die Grenzen zwischen Cyberkriminalität und nationalstaatlichen Aktivitäten immer mehr verschwimmen, werden starre, isolierte Sicherheitsprogramme kaum Schritt halten können. Unternehmen, die auf Resilienz, Anpassungsfähigkeit und informationsgestützte Verteidigung setzen, sind am besten aufgestellt, um Risiken zu minimieren – unabhängig davon, wer hinter dem Angriff steckt.

Sicherheitsverantwortliche, die Standards wie ISO 27001 befolgen, werden es leichter haben, diese Best Practices umzusetzen. Und sie tun gut daran, dies zu tun. Ein scheinbare Entspannung Die Beziehungen zwischen den USA und Russland werden die Bedrohungslage langfristig wahrscheinlich nicht verändern. Es ist besser, jetzt schon für eine komplexere, undurchsichtigere und gefährlichere Zukunft vorzusorgen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 11 November 2025

Was die Deloitte-Australien-Saga über die Risiken des Managements von KI-Bannern aussagt

Was die Deloitte-Australia-Saga über die Risiken des KI-Managements aussagt

Generative KI (GenAI) hat seit ihrem Auftauchen Ende 2022 in der Branche für Furore gesorgt. Nun tritt sie in eine Phase ein, die Gartner als … bezeichnet.

Phil Muncaster

Internet-Sicherheit 6 November 2025

Die NCSC sagt: „Es ist Zeit zu handeln“, aber wie soll das Banner aussehen?

Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief eines Wirtschaftsführers am Anfang eines Regierungsberichts zur Cybersicherheit zu sehen. Vor allem von jemandem, dessen Unternehmen j...

Phil Muncaster

Internet-Sicherheit 16 October 2025

Was ein npm-Angriff über die Risiken von Open-Source-Software aussagt

Die Geschichte der Open-Source-Sicherheit ist voll von Beispielen katastrophaler Fehler und Beinaheunfälle. Eine Anfang des Jahres entdeckte Krypto-Malware-Kampagne...

Phil Muncaster