Navigation und Service

Prepositioning

Differenzierung des Begriffs Prepositioning

Ein Begriff, der vor einigen Jahren in allgemeinen Medien noch wenig geläufig war und eher im militär-akademischen Bereich diskutiert wurde, ist das Prepositioning. Im engeren Sinne ist damit das Platzieren von Backdoors in Friedenszeiten gemeint. Diese können anschließend im Konfliktfall für Sabotage verwendet werden. So kann ein Angreifer zu einem für ihn günstigen Zeitpunkt eine Schadwirkung erzeugen, ohne das Ziel unter Zeitdruck kompromittieren zu müssen. Außerdem werden dadurch beim Angreifer weniger offensive Cyber-Kapazitäten durch "Initial Access"-Operationen gebunden.
Seit dem russischen Angriffskrieg auf die Ukraine wird inzwischen häufiger über die Gefahr von Prepositioning in westlichen Netzen, besonders in Kritischen Infrastrukturen gesprochen.[1, 2] In diesem Jahr warnten amerikanische Behörden und Sicherheitsfirmen - laut Berichten - vor chinesischem Prepositioning in US-Netzen.

Berichte über Prepositioning im Ausland

Der Sachverhalt, der in den Medien am meisten Beachtung fand, wurde von einem Sicherheitsteam der Firma Microsoft in einem Blogbeitrag beschrieben. Laut Microsoft betreibt die vermutlich chinesische Gruppe VoltTyphoon sowohl in US-Militäranlagen auf Guam im Westpazifik, als auch in den USA Prepositioning in Militär- und KRITIS-Anlagen.[1] Später warnte ein Vertreter der US-Behörde CISA nach einem Washington Post-Artikel vor Prepositioning in amerikanischen Kritischen Infrastrukturen durch dieselbe Gruppe (unter dem alternativen Namen Vanguard Panda[2]).

Auch westeuropäische Behörden greifen Prepositioning als mögliche Bedrohung auf.[3]

Aus den Berichten geht hervor, dass in den als Prepositioning bezeichneten Fällen noch keine Sabotage-Malware nachgeladen wurde, und nur in einer sehr geringen Zahl von Fällen eine Ausbreitung in ein ICS/OT-Netz beobachtet wurde. Das BSI bewertet die Vorfälle daher auf Basis der vorliegenden Berichte - wenn es sich dabei tatsächlich um Prepositioning handelt - um sehr frühe Phasen[4] der sogenannten Cyberkillchain[6]. Das BSI muss sich bei dieser Einschätzung mangels eigener Zuständigkeit und Sicht auf fundierte Berichte von Partnern und Dienstleistern stützen.

Herausforderung bei der Bewertung der Intention

Aus reiner IT-Sicherheits-Sicht (ohne Erkenntnisse aus anderen Quellen) ist die Intention, mit der Backdoors platziert werden, häufig schwer zu bestimmen. Die Intention ist entscheidend zur Beantwortung der Frage, ob es sich tatsächlich um Prepositioning handelt. Rein opportunistisches Sammeln von Zugängen – beispielsweise wenn durch die Existenz einer neuen Schwachstelle plötzlich temporär viele verwundbare Systeme existieren – ist im engeren Sinne kein Prepositioning. Die gesammelten Zugänge könnten für Spionage verwendet, oder in Untergrundforen verkauft werden. Selbst wenn sich die Täter später opportunistisch entscheiden sollten, die Zugänge für Sabotage zu verwenden, ist aus Sicht des BSI für die Verwendung des Begriffs Prepositioning die initiale Intention entscheidend.

Im Oktober 2024 beobachtete das BSI beispielsweise Angriffsversuche der Gruppe Sandworm, die auch bei deutschen Zielen versucht hat, Zugangsdaten zu sammeln. Während es sich dabei um Vorbereitungshandlungen für Prepositioning gehandelt haben könnte, ist es grundsätzlich möglich, dass die Intention stattdessen reine Informationsbeschaffung in dem angegriffenen Sektor war.

Differenzierte Nutzung des Begriffs "Prepositioning"

Das BSI empfiehlt, den Begriff "Prepositioning" sehr differenziert zu verwenden. Eine ausufernde Benutzung des Begriff „Prepositioning“ kann zu einer ungenauen Interpretation der Bedrohungslage führen, die der Angreiferseite deutlich aggressivere Intentionen oder Optionen unterstellt als dies unter Umständen der Fall ist.

Das BSI wird daher in seinen eigenen Berichten den Begriff "Prepositioning" nuanciert benutzen. Wenn die Art der Kompromittierung und die Intention der Angreifer unterschieden wird, ergibt sich folgende Matrix. Das BSI verwendet nur für das mittlere und das rechte Feld in der zweiten Zeile den Begriff "Prepositioning". In diesen Fällen handelt es sich um Kompromittierungen, die geplant durchgeführt wurden, um ein Schadprogramm so lange unentdeckt im Netz zu halten, bis es in einem Konfliktfall für Sabotage genutzt werden kann. Bis dahin werden die Zugänge nicht für andere Zwecke genutzt.

Art der Komprimitierung
IntentionZugangsdatenBackdoor für AccessSabotage-Malware
Vielfältige NutzungFälle in 2021 in der UkraineFälle in 2021 in der UkraineKeine Fälle bekannt
Sabotage geplantLaut öffentlichen Quellen VoltTyphoon bei mehreren US-Zielen im Jahr 2023

Laut Sicherheitsunternehmen RedEcho in Indien

Laut Sicherheitsunternehmen VoltTyphoon in den USA

Keine Fälle bekannt

Tabelle 1: Unterschiedliche Arten von Access Collection vs. Prepositioning, inkl. möglichen Beispiel-Fällen

Cyberraum als Teil der Gesamt-Bedrohungslage

Aus Sicht des BSI existiert der Cyberraum nicht losgelöst von Phänomen im realweltlichen Raum. Die Cyberbedrohungslage spiegelt die geostrategische Lage und ist von ihr abhängig. Die Wahrscheinlichkeit von Prepositioning wird besonders von geostrategischen Aspekten bestimmt. Die Cyberbedrohungslage in Deutschland kann sich daher von der im Ausland unterscheiden. Vor diesem Hintergrund beobachtet das BSI auch Entwicklungen außerhalb des Cyberraums, wie z. B. physische Sabotage und bewertet die Konsequenzen für die Bedrohungslage im deutschen Cyberraum. Laut öffentlichen Berichten[5] wurden in Deutschland potenzielle Saboteure verhaftet. Es ist grundsätzlich nicht auszuschließen, dass Vorbereitungen von physischen Sabotageoperationen auch mit Vorbereitungen für offensive Cyberoperationen einhergehen.

Maßnahmen des BSI

Das BSI geht bei Meldungen und Detektionen von Kompromittierungen auch der Möglichkeit des Prepositioning nach. Dabei sind proaktive Meldungen von Auffälligkeiten an das BSI essenziell. Für Betreiber von Kritischen Infrastrukturen besteht eine Meldepflicht für Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können. Bei unklarer Intention eines Angriffs regt das BSI freiwillige Meldungen an. Betroffene außerhalb der Kritischen Infrastrukturen können Sicherheitsvorfälle freiwillig melden.[7]

In begründeten Fällen kann das BSI bei während der Untersuchung von IT-Sicherheitsvorfällen bei der Analyse unterstützen.

Darüber hinaus trackt das BSI kontinuierlich und proaktiv Angriffsmethoden und -ressourcen von relevanten Angreifergruppen.

Quellenangaben

[1] Microsoft Security, "Volt Typhoon targets US critical infrastructure with living-off-the-land techniques", https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/, 24.05.2023

[2] Washington Post, "China’s cyber army is invading critical U.S. services", https://www.washingtonpost.com/technology/2023/12/11/china-hacking-hawaii-pacific-taiwan-conflict/, 11.12.2023

[3] ANSSI "Cyber Threat Overview 2023", https://www.cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-002/, 27.02.2024

[4] Dragos, "VOLTZITE Espionage Operations Targeting U.S. Critical Systems", https://hub.dragos.com/hubfs/116-Datasheets/Dragos_IntelBrief_VOLTZITE_FINAL.pdf, Februar 2024

[5] Spiegel Online, "Mutmaßliche russische Saboteure in Bayern verhaftet", https://www.spiegel.de/politik/deutschland/generalbundesanwalt-ermittelt-zwei-mutmassliche-russische-saboteure-in-bayern-verhaftet-a-0115bebd-195a-41fb-83be-da8d642045cd, 18.04.2024

[6] Lockheed Martin, "Cyber Kill Chain", https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[7] Bundesamt für Sicherheit in der Informationstechnik, "IT-Sicherheitsvorfall, https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/IT-Sicherheitsvorfall/it-sicherheitsvorfall_node.html