Die Cyber-Söldner kommen: Es ist Zeit, Ihre Führungskräfte vor neugierigen Blicken zu schützen

Von Phil Muncaster • 7 November 2023

Bereits Mitte September meldete die staatliche US-Sicherheitsbehörde CISA bestellt alle Bundesbehörden sollen zwei Zero-Day-Schwachstellen in OS-, iPadOS- und macOS-Geräten schließen. Dies waren nur die neuesten, noch nie zuvor entdeckten Softwarefehler, die zur Verbreitung der berüchtigten Pegasus-Spyware ausgenutzt wurden – deren Entwickler, die NSO Group, im Mittelpunkt mehrerer Klagen steht.

Das israelische Unternehmen ist eines von vielen kommerziellen Spyware-Unternehmen, die von westlichen Regierungen und Technologieunternehmen als „Cyber-Söldner“ bezeichnet werden. Sie und eine eher undurchsichtige Gruppe angeheuerter Hacker stellen eine wachsende Bedrohung für Unternehmen jeder Größe und Branche dar – sie erleichtern Industriespionage, Regierungsschnüffelei und andere schändliche Aktivitäten.

Wenn sogar das Telefon von Jeff Bezos von diesen Gruppen gehackt werden kann, ist es an der Zeit, die Bedrohung ernst zu nehmen.

Wer sind die Cyber-Söldner?

Cyber-Söldner ist ein Begriff, der von verschiedenen Parteien unterschiedlich verwendet wird. Im Großen und Ganzen können wir es in zwei Arten von Bedrohungsakteuren unterteilen:

Kommerzielle Spyware-Hersteller: Diese Firmen agieren in einer rechtlichen Grauzone und behaupten, Spyware und Exploits nur für legitime Strafverfolgungs- und Informationsbeschaffungszwecke an Regierungen zu verkaufen. In Wirklichkeit richten sich ihre Instrumente häufig gegen Journalisten, Dissidenten, Menschenrechtsaktivisten und andere Gegner meist autokratischer Regime. Citizen Lab entdeckte die beiden oben genannten Zero-Days am Telefon eines Mitarbeiters einer in Washington ansässigen zivilgesellschaftlichen Organisation.

Beispiele für diese Firmen sind NSO Group, Circles, Intellexa, Cytrox und BellTroX InfoTech Services.

Hacker zum Anheuern: Dabei handelt es sich offensichtlich um kriminelle Gruppen, die nicht den Anspruch erheben, als halblegitime kommerzielle Organisationen zu agieren. Allerdings wird ihre Arbeit mit Kunden, wie bei kommerziellen Spyware-Herstellern, streng vertraulich behandelt. Obwohl sie sich auch an Journalisten, Aktivisten und andere Personen mit hohem Risiko richten, können solche Gruppen ihre Dienste auch für Industriespionage anbieten, was es ansonsten seriösen Organisationen ermöglicht, eine plausible Leugnung aufrechtzuerhalten.

Zu den Gruppen gehören die Decepticons, Dark Basin und Void Balaur.

In beiden Fällen vermuteten Cyber-Söldnergruppen Verbindungen zu verschiedenen Geheimdiensten. Drei ehemalige US-Geheimdienstoffiziere wurden im Jahr 2021 aufgedeckt für die Arbeit als Hacker für die Regierung der Vereinigten Arabischen Emirate und anschließend verklagt neben dem kommerziellen Spyware-Hersteller DarkMatter. Intellexa soll von einem ehemaligen israelischen Spion geleitet werden. Und ein separates Bericht aufgedeckt eine „einzigartige und kurzlebige Verbindung“ zwischen der von Void Balaur genutzten Angriffsinfrastruktur und dem russischen Föderalen Schutzdienst (FSO).

Wie funktionieren Angriffe?

Auftragshackern steht eine große Bandbreite an Techniken, Taktiken und Verfahren (TTPs) zur Verfügung. Aber wie die meisten Bedrohungsakteure werden sie sich, sofern sie dazu in der Lage sind, für den schnellsten und einfachsten Weg entscheiden, um ihre Ziele zu erreichen. Das könnte bedeuten, dass Malware mit Phishing- und Informationsdiebstahl und deren Haupttools ihre Opfer kompromittiert und legitime Tools wie PowerShell für Aktivitäten nach dem Einbruch verwendet wird. Sie können kommerzielle E-Mail-, Social- und Messaging-Konten sowie deren Unternehmensäquivalente und Back-End-IT-Systeme ins Visier nehmen.

„Die größte Bedrohung, die diese Söldnergruppen darstellen, besteht darin, dass ihnen das Ziel egal ist. Für den richtigen Geldbetrag führen Söldner per Definition einen Vertrag auf Kosten jeglicher Ethik aus. Dadurch geraten kritische Infrastrukturen, das Gesundheitswesen und andere wichtige Sektoren ins Fadenkreuz der Frage, wer jemals bereit ist zu zahlen“, sagt Morgan Wright, Chef-Sicherheitsberater von SentinelOne, gegenüber ISMS.online.

„Am stärksten gefährdet sind diejenigen Menschen und Organisationen, die am wenigsten tun, um sich zu schützen. Mitarbeiter setzen sich selbst einem Risiko aus, wenn sie auf Websites wie LinkedIn oder verschiedenen Social-Media-Plattformen zu oft Informationen über sich preisgeben.“

Aufdeckung der Spyware-Bedrohung

Bei kommerziellen Unternehmen kann TTPS jedoch deutlich ausgefeilter sein. Zero-Day-Schwachstellen werden sorgfältig untersucht und zielen häufig auf Apple-Geräte mit Zero-Click-Angriffen ab, mit denen der Benutzer nicht einmal interagieren muss, um infiziert zu werden. Dann wird Spyware eingesetzt, um auf die Nachrichten, E-Mails, Fotos, Anmeldungen, Adressbücher, App-Nutzung, Standortdaten sowie das Mikrofon und die Kamera des Geräts zuzugreifen.

Der Corelight-Cybersicherheitsspezialist Matt Ellison beschreibt die Gruppen hinter solchen Bedrohungen als „das Aussehen und Verhalten eines skrupellosen Waffenhändlers“. Niemand in einer Organisation ist sicher, obwohl leitende Angestellte aufgrund ihres Einflusses und Zugangs ein natürliches Ziel zu sein scheinen.

„Das kann variieren und hängt von der Rolle, der Organisation und dem Ziel des Kunden des Cyber-Söldners ab“, sagt Ellison gegenüber ISMS.online. „Es handelt sich definitiv um eine zusätzliche Bedrohungsebene, die über die typischen Cyber-Bedrohungen hinausgeht, denen die meisten kommerziellen Organisationen ausgesetzt sind.“

Die USA schlagen zurück

Glücklicherweise hat die US-Regierung kürzlich ihre Haltung deutlich geändert und mehrere kommerzielle Spyware-Hersteller zu einer „Entitätsliste“ hinzugefügt –einschließlich Candiru, NSO Group, Intellexa und Cytrox. Dies wird es für diese Firmen auf dem Papier schwieriger machen, Komponenten von US-Unternehmen zu kaufen. Eine Präsidialverordnung soll außerdem verhindern, dass die Bundesregierung Spyware kauft, die ausländische Nationen zum Ausspionieren von Aktivisten und Dissidenten eingesetzt haben. Dies sollte die kommerziellen Möglichkeiten für solche Entwickler verringern.

Die USA versuchen auch, andere Regierungen zur Übernahme zu bewegen eine ähnlich harte Linie. Die Tech-Branche hat sich zusammengeschlossen um die Aktivitäten von Cyber-Söldnern einzudämmen, denen nicht nur die Menschenrechte am Herzen liegen, sondern auch die Anhäufung von Schwachstellen, die die digitale Welt letztendlich zu einem macht gefährlicherer Ort.

Ein ISMS und darüber hinaus

Aber was können Unternehmen in der Zwischenzeit tun, um die Bedrohung für ihre Führungskräfte und kritische IT-/Datenressourcen zu mindern? Ein Informationssicherheits-Managementsystem (ISMS) kann eine gute Sicherheitsgrundlage bieten und dabei helfen, viele der von Hackern eingesetzten Techniken zur Kompromittierung von Zielen abzuschwächen. Allerdings warnt Wright von SentinelOne vor Selbstzufriedenheit.

„Nichts ist eine Garantie gegen Kompromittierung. „Das Erkennen von Schwachstellen und politischen Problemen ist der Beginn einer Reise zu einer robusten Cybersicherheitsfähigkeit“, argumentiert er. „Compliance trägt dazu bei, das Bewusstsein für die großen Dinge aufrechtzuerhalten.“

Unternehmen müssen außerdem über die Grundlagen hinausgehen, wenn sie komplexere kommerzielle Spyware-Angriffe abwehren wollen, die Zero-Day-Schwachstellen ausnutzen.

„Die Natur dieser Tools und die Art und Weise, wie sie verwendet und eingesetzt werden, bedeuten in der Regel, dass sie wesentlich schwieriger zu erkennen sind als durchschnittliche Malware oder Ransomware“, sagt Ellison von Corelight. „Wenn Sie in einer Organisation tätig sind, die mit größerer Wahrscheinlichkeit durch diese Tools gefährdet ist, ist es wichtig, sie innerhalb des Rahmens, den Sie zur Absicherung Ihrer Organisation verwenden, separat anzugehen.“

Kaspersky erklärt dass Benutzer darin geschult werden sollten, die Warnzeichen von Spyware zu erkennen: schnell entladener Akku und möglicherweise hoher Datenverbrauch. Weitere Schritte zur Eindämmung der Bedrohung umfassen regelmäßige Patches für das Betriebssystem des Geräts und anderer Software, Multi-Faktor-Authentifizierung (MFA), Geräte-Anti-Malware und tägliche Neustarts. Auf iOS-Geräten wird Benutzern mit hohem Risiko dringend empfohlen, iMessage und FaceTime zu deaktivieren. Bei den oben in diesem Artikel genannten Angriffen hilft auch der Lockdown-Modus.

Doch sogar Kaspersky wurde kompromittiert durch eine ausgeklügelte Spyware-Operation. Unternehmen müssen das Risiko so gut wie möglich managen, ihre Pläne zur Reaktion auf Vorfälle regelmäßig umsetzen und Cyber-Söldner in ihre Bedrohungsprofile einbeziehen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Internet-Sicherheit 3 December 2025

Was das Gesetz zur Cybersicherheit und Resilienz für kritische Infrastrukturen bedeutet

Es hat lange gedauert. Bereits in der Thronrede 2024 wurde das Gesetz zur Cybersicherheit und Resilienz (CSRB) angekündigt und ist nun endlich verabschiedet…

Phil Muncaster