Die Cyberangriffe auf die Ukraine haben in den letzten Jahren eine neue Dimension erreicht. Mit zunehmender Intensität und technischer Raffinesse zielen russlandnahe Hackergruppen auf kritische Infrastrukturen ab, um politische und wirtschaftliche Druckmittel zu schaffen. Ein besonders besorgniserregender Fall ist die Zerstörungssoftware PathWiper, die gezielt zur Sabotage von IT-Systemen bei essenziellen Versorgungseinrichtungen eingesetzt wurde. Die Analyse von Sicherheitsexperten, vor allem von Cisco Talos, zeigt, wie diese Malware funktioniert und welche Risiken daraus für die nationale Sicherheit und die Stabilität von Industriestandorten hervorgehen. PathWiper reiht sich ein in die Liste destruktiver Wiper-Malware, die bereits seit Beginn des Krieges gegen die Ukraine verwendet werden, darunter bekannte Vertreter wie HermeticWiper, WhisperGate oder Industroyer2.
Diese Schadsoftware ist speziell darauf ausgelegt, Daten unwiederbringlich zu zerstören und Systeme lahmzulegen, was im Kontext der kritischen Infrastruktur katastrophale Folgen nach sich zieht. Das Ziel von PathWiper ist es, die Master Boot Record (MBR) und das Dateisystem von Festplatten zu beschädigen, wobei die Malware sehr systematisch vorgeht. Anders als manche Vorgänger untersucht PathWiper alle verbundenen Laufwerke und Volumen, katalogisiert gültige Datensätze und überschreibt gezielt Speicherbereiche mit zufälligen Daten, um eine Wiederherstellung zu verhindern. Dabei konzentriert sich die Malware auf NTFS-Systemartefakte wie $MFT, $LogFile und $Boot, die für die Strukturierung und den Zugriff auf gespeicherte Daten essenziell sind. Ein weiteres Merkmal ist die Nutzung legitimer Verwaltungstools durch die Angreifer, um Schadcode im Netzwerk auszuführen.
Durch die Verwendung von administrativen Frameworks, die üblicherweise zur Systemwartung dienen, erschwert PathWiper die frühzeitige Detektion, da die Aktivitäten zunächst als reguläre Verwaltungsoperationen erscheinen. Dieses Vorgehen zeigt die zunehmende Professionalisierung und Täuschungsfähigkeit zeitgenössischer Cyberbedrohungen. Die Hintergründe der Angriffe lassen sich auf russische Geheimdienstgruppen zurückführen, insbesondere auf die vom GRU gesteuerte APT-Gruppe Sandworm. Diese Gruppe ist berüchtigt für ihre destruktiven Cyberattacken auf ukrainische Infrastrukturen seit Anfang 2022. Ihre Taktiken umfassen neben Wiper-Malware auch Spear-Phishing, Exploits und Exploitation von Schwachstellen in industriellen Steuerungssystemen.
Die Schäden, die durch solche Cyberangriffe verursacht werden, gehen über den rein technischen Bereich hinaus. Das Lahmlegen von Kommunikationsnetzen, Energieversorgung oder Verkehrsinfrastrukturen hat direkte Auswirkungen auf die Bevölkerung und kann lebensbedrohliche Situationen erzeugen. Die Ukraine berichtete bereits mehrfach von großflächigen Ausfällen infolge von Cyberangriffen, die dazu genutzt wurden, den gesellschaftlichen Zusammenhalt zu schwächen und die Kriegsführung zu unterstützen. Internationale Sicherheitsbehörden und Experten sehen in der Verbreitung von Malware wie PathWiper einen Beleg für die Eskalation des Cyberkrieges als integralen Bestandteil moderner Konflikte. Die Angriffe sind nicht nur auf die Ukraine beschränkt, sondern dienen auch als Warnsignal für andere Staaten und Unternehmen, ihre IT- und OT-Sicherheitsstrategien dringend anzupassen.
Die Herausforderung besteht darin, dass die Angreifer ihre Methoden ständig weiterentwickeln und legitime Tools missbrauchen, um Spuren zu verwischen. Defensive Maßnahmen müssen daher proaktiv, vielschichtig und auf aktuelle Bedrohungsprofile abgestimmt sein. Besonders wichtig ist die Absicherung von industriellen Steuerungssystemen (ICS) und Netzwerkinfrastrukturen, die bislang häufig unzureichend geschützt sind. Cybersecurity-Teams müssen moderne Erkennungstechnologien nutzen, um verdächtige Aktivitäten frühzeitig zu identifizieren und im Ernstfall schnelle Reaktionsmöglichkeiten gewährleisten. Neben technischen Lösungen ist die Sensibilisierung der Mitarbeitenden ein entscheidender Faktor.
Mitarbeiterschulungen, Awareness-Kampagnen und klare Richtlinien können Schwachstellen minimieren, die durch menschliches Verhalten entstehen. Zudem bedarf es globaler Zusammenarbeit auf politischer und technischer Ebene, um Angriffe zu verhindern, Täter zu identifizieren und gegen sie vorzugehen. Die PathWiper-Exemplare zeigen eindrucksvoll, wie eng Cyber- und Informationskrieg miteinander verflochten sind. Sie verdeutlichen, dass in Zukunft Kriege nicht nur auf dem Schlachtfeld, sondern auch im digitalen Raum ausgetragen werden. Für die Ukraine ist der Schutz der kritischen Infrastruktur eine Überlebensfrage, die durch internationale Unterstützung und den Ausbau eigener Cyberabwehrkapazitäten adressiert werden muss.
