Erhöhtes Risiko von Cyberattacken und Desinformationskampagnen

Vor dem Hintergrund des Angriffskrieges Russlands gegen die Ukraine sehen die Sicherheitsbehörden der Länder und des Bundes derzeit eine erhöhte Bedrohungslage für Deutschland auf dem Gebiet der Cybersicherheit. Konkrete Hinweise zu Cyberangriffen gegen deutsche Stellen und Einrichtungen liegen bisher zwar nicht vor. Diese Situation kann sich nach Einschätzung des Verfassungsschutzes und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber jederzeit ändern. Der Verfassungsschutz Rheinland-Pfalz hat in Zusammenarbeit mit dem Verfassungsschutzverbund bereits zu Beginn der Ukraine-Krise und am 24. Februar 2022 nach dem Angriff Russlands die relevanten Stellen und Unternehmen in Rheinland-Pfalz, insbesondere die der Kritischen Infrastruktur (KRITIS), frühzeitig informiert und sensibilisiert.

Aktuelle Gefährdungslage erfordert erhöhte Aufmerksamkeit

Der Verfassungsschutz rät zur erhöhten Wachsamkeit und Reaktionsbereitschaft. Die allgemein bekannten Empfehlungen zum sicheren Verhalten im Internet sollten unbedingt befolgt werden. Sofern Mandatsträgerinnen und Mandatsträger sowie Mitarbeiterinnen und Mitarbeiter von Unternehmen, Einrichtungen, Institutionen und Behörden relevante Feststellungen treffen, sollten sie unmittelbar mit den IT-Stellen in ihrer Organisation Kontakt aufnehmen.

Vor dem Hintergrund der aktuellen Lage empfehlen die Verfassungsschutzbehörden der Länder und des Bundes zudem allen Institutionen und Unternehmen, die Sicherheitsvorkehrungen der IT-Infrastrukturen auf den aktuellen Stand zu bringen und sich mit konkreten Notfallplänen vorzubereiten. Darüber hinaus sollten sie die IT-Sicherheitslage aufmerksam verfolgen. Bereits 2021 wurde umfassend über Phishing-Angriffe vor der Bundestagswahl berichtet. Solche Angriffe können als Vorbereitungshandlungen für Einflussoperationen, wie zum Beispiel Desinformationskampagnen, dienen. Momentan stehen abermals private „t-online-E-Mail-Adressen“ im Fokus einer Phishing Kampagne der Cybergruppierung „Ghostwriter“, deren Ziel es ist, Zugangsdaten oder Informationen zu erlangen. Der Verfassungsschutz Rheinland-Pfalz informiert alle Betroffenen, wenn ihnen Hinweise über einen möglichen Angriff vorliegen und bietet seine Beratung im Hinblick auf die notwendigen Maßnahmen an.

Hinweise werden vertraulich behandelt

Der Verfassungsschutz ist bei der Beratung zur Cybersicherheit auf Hinweise möglicher Betroffener angewiesen. Diese können auch vertraulich behandelt werden. Zuständig ist der Verfassungsschutz im Übrigen immer dann, wenn der Verdacht vorliegt, dass ein Angriff staatlich gesteuert oder motiviert ist.

Bereitstellung von technischen Indikatoren (IoC) in der RLP Cloud

Vor dem Hintergrund der Verschärfung des Konflikts empfiehlt der Verfassungsschutz nachdrücklich, Detektions- und Migrationsbemühungen in der IT-Infrastruktur zu verstärken. Um der dynamischen Lageentwicklung Rechnung zu tragen, werden die technischen Indikatoren (IoC) seit dem 24. Februar 2022 in einer landeseigenen Cloud-Lösung sicher bereitgestellt. Sofern KRITIS-Betreiber und Unternehmen noch nicht registriert sind, können sie sich für den Zugang zum tagesaktuellen „Download“ an folgende E-Mail-Adresse wenden: Cybersicherheit(at)mdi.rlp.de

Bei entsprechenden technischen Voraussetzungen besteht auch die Möglichkeit einer automatisierten Synchronisation. Kontaktieren Sie uns über diese Mail-Adresse bei Fragen, Auffälligkeiten oder Warnmeldungen in Ihren Systemen. Gegebenenfalls können wir gemeinsame Maßnahmen zur Detektion und Prävention von Cyberangriffen einleiten.

Neue GHOSTWRITER-Phishingkampagne

Vor dem Hintergrund des Überfalls Russlands auf die Ukraine konstatieren die Sicherheitsbehörden der Länder und des Bundes derzeit eine verschärfte Bedrohungslage für Deutschland. So gibt es aktuell abermals eine Phishingkampagne gegen Personen des öffentlichen Lebens. Sie wird einer als GHOSTWRITER bezeichneten Cybergruppierung, die seit Januar 2021 auch in Deutschland aktiv ist, zugeordnet. GHOSTWRITER verfolgt das Ziel, die Internetidentität von Opfern zu übernehmen. Zu diesem Zweck werden an private E-Mail-Accounts Mails mit der Aufforderung gesendet, die Zugangsdaten einzugeben.

Der Absender nutzt hierbei E-Mail-Adressen der Anbieter T-Online und GMX, um Kontakt aufzunehmen, und fordert die Empfänger aufgrund eines angeblichen Versandes von Spam-E-Mails dazu auf, eine Kontolöschung durch die Eingabe der eigenen Zugangsdaten zu verhindern. Der Nutzer soll dazu dem in der E-Mail enthaltenen Link folgen und gelangt dann zur einer gefälschten, dem Mail-Provider nachempfundenen Internetseite, auf der man seine Zugangsdaten eingeben soll. Im Ergebnis besteht die Gefahr der Kompromittierung der privaten E-Mail-Konten, wodurch sensible und persönliche Daten verändert, oder genutzt werden könnten.

Deshalb beachten Sie beim Erhalt gleichlautender oder anderer verdächtigen Nachrichten folgendes:

Prüfen Sie, ob es sich beim Absender wirklich um eine E-Mail-Adresse Ihres Providers handelt oder sie dieser nur ähnelt.
Überlegen Sie, ob Sie eine E-Mail von Ihrem Anbieter erwarten.
Achten Sie darauf, keine Dateianhänge / Links ungeprüft zu öffnen.
Gibt es im Betreff, der Anrede oder im Nachrichteninhalt Unstimmigkeiten.