Volt Typhoon im Fokus: In einer gemeinsamen Warnung des Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und des Federal Bureau of Investigation (FBI) wird aufgedeckt, dass staatlich geförderte Cyberakteure der Volksrepublik China (PRC) kritische Infrastrukturen in den USA angreifen.
Die Gruppe, bekannt als „Volt Typhoon“, hat IT-Umgebungen mehrerer kritischer Infrastruktureinrichtungen kompromittiert – hauptsächlich in den Bereichen Kommunikation, Energie, Transportsysteme sowie Wasser- und Abwassersysteme.
Was wurde entdeckt?
Die Angreifer nutzen „Living off the Land“ (LOTL)-Techniken und starke operationale Sicherheit, um langfristig unentdeckt zu bleiben. In einigen Fällen wurde beobachtet, dass Volt Typhoon-Akteure Zugang zu einigen Opfer-IT-Umgebungen für mindestens fünf Jahre aufrechterhalten haben. Ihr Fokus liegt auf der Vorpositionierung in IT-Netzwerken, um laterale Bewegungen zu OT-Anlagen zu ermöglichen und Funktionen zu stören.
Wie agiert Volt Typhoon?
Die Akteure führen umfangreiche Voraufklärungen durch, passen ihre Taktiken, Techniken und Verfahren (TTPs) an die Umgebung des Opfers an und widmen sich kontinuierlich der Aufrechterhaltung von Persistenz und dem Verständnis der Zielumgebung. Zu den beobachteten TTPs gehören u.a. Aufklärung, Ressourcenentwicklung, anfänglicher Zugriff, Ausführung, Persistenz, Verteidigungsevasion, Zugriff auf Anmeldeinformationen, seitliche Bewegung, Sammlung und Exfiltration.
Empfehlungen zur Erkennung und Jagd
Die Autoritäten empfehlen, Best Practices zur Erkennung von LOTL-Aktivitäten anzuwenden, Anwendungssicherheits- und Systemereignisprotokolle zu überprüfen, OT-Systemprotokolle zu überwachen und zu prüfen, Logins auf unmögliche Reisen zu überprüfen sowie Standardverzeichnisse auf ungewöhnliche Dateien zu überprüfen.
Sofortige Gegenmaßnahmen
Organisationen sollten ihre Netzwerke vom Internet trennen, Anmeldeinformationen für privilegierte und nicht privilegierte Konten zurücksetzen, Netzwerkgerätekonfigurationen überprüfen, den Vorfall melden und Best Practices für Identitäts- und Zugriffskontrolle in Cloud- oder Hybridumgebungen anwenden.
Schlussfolgerungen
Diese Warnung betont die Wichtigkeit einer umfassenden Cybersicherheitsstrategie und einer kontinuierlichen Überprüfung und Aktualisierung von Sicherheitsmaßnahmen. Die Kompromittierung kritischer Infrastrukturen stellt ein erhebliches Risiko dar, und es ist entscheidend, dass Organisationen vorbereitet sind, auf solche Bedrohungen zu reagieren. Eine enge Zusammenarbeit mit Sicherheitsbehörden und die Einhaltung empfohlener Sicherheitspraktiken sind essentiell, um sich vor derartigen Angriffen zu schützen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
