Krieg in der Ukraine: Wenig Cyber im befürchteten Cyberkrieg
Das Wort »cyber« fällt schnell, wenn es um den Krieg in der Ukraine geht. Nicht ohne Grund: Das Hackerkollektiv Anonymous hat Russland den Cyberkrieg erklärt, während eine der größten russischen Ransomwaregruppen ihrerseits ausgerufen hat, nun digital für ihr Land zu kämpfen. Bereits vor dem Einmarsch der Truppen in die Ukraine gab es Angriffe auf ukrainische Infrastrukturen, unter anderem in Form so genannter DDoS und Wiper-Attacken (siehe Infokasten). Und auch, wenn noch schwer zu sagen ist, wer dahintersteckt, vermuten viele russische Staatshacker hinter den teils ausgefeilten Wiper-Attacken, die noch dazu sehr gezielt ukrainische Behörden und regierungsnahe Unternehmen trafen.
Was bedeutet DDoS, Wiper & Co?
DDoS
So genannte DDos (Distributed Denial of Service)-Attacken sind eher Angriffe von der Stange: Man kann sie im Internet kaufen beziehungsweise beauftragen. Kriminelle haben sich dafür unter anderem auf der Basis meist längst bekannter Sicherheitslücken in Computer eingehackt, die keine Sicherheitsupdates haben oder veraltete Windows-Versionen nutzen, die nicht mehr von Microsoft unterstützt werden. Davon gibt es unendlich viele, und meist wissen ihre Besitzer nichts davon, dass unbekannte Eindringlinge ihre Computer für ihre Zwecke nutzen. Die Angreifer können diese Computer gewissermaßen fernsteuern und dafür nutzen, um Schadsoftware zu verschicken oder – wie in diesem Fall – um automatisiert gewisse Internetseiten immer wieder aufzurufen, bis die Infrastruktur zusammenbricht und sie für niemanden mehr erreichbar sind.
Wiper
Am Tag vor dem Einmarsch verbreitete sich eine so genannte Wiper-Schadsoftware in zahlreichen ukrainischen Systemen, insbesondere auf denen von Unternehmen, die Vertragspartner der ukrainischen Regierung sind – und diese ist laut Einschätzung von Fachleuten durchaus ausgefeilt. Wiper bedeutet eine Löschattacke: Entsprechende Software löscht Computer und ganze Systeme, so dass diese nicht mehr nutzbar sind.
Ransomware
Ransomwaregruppen sind Cyberkriminelle, die in Computer und Systeme eindringen und die darauf befindlichen Daten verschlüsseln. Sie fordern ein Lösegeld (=Ransom) für den Entschlüsselungscode. Inzwischen werden die Attacken häufig damit kombiniert, dass die betroffenen Unternehmen auch mit der Drohung erpresst werden, ihre Daten zu veröffentlichen. Solche Angriffe nehmen in letzter Zeit zu.
Sowohl die Dimension als auch die Hintergründe der Angriffe im digitalen Raum seien gerade noch schwer absehbar, sagt Matthias Schulze, stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik in einem vom Science Media Center organisierten Pressegespräch: »Es ist noch sehr früh, um generelle Schlüsse zu ziehen«, noch liege »der Nebel des Krieges« über vielem. Der Krieg führe auch dazu, dass Informationen schwerer zu durchdringen und vor allem auch schwer zu überprüfen sind.
»Der große Cyberkrieg, wie ihn einige befürchtet haben, hat noch nicht stattgefunden«
Matthias Schulze, Experte für Sicherheitspolitik
Gemeinsam mit seinen Kollegen hat Schulze im Zusammenhang mit dem Krieg bereits rund 150 so genannte »Incidents« gesammelt und versucht zu verifizieren. Diese beinhalten digitale Angriffe verschiedenster Art, von den zahlreichen DDoS-Angriffen auf Websites beider Seiten über die Löschangriffe bis hin zu gezielter Verbreitung von Fehlinformationen. »Der große Cyberkrieg, wie ihn einige befürchtet haben, hat noch nicht stattgefunden«, so sein Zwischenfazit, »aber die Lage spitzt sich zu.«
Allerdings sei es wichtig, nicht zu vergessen, dass im aktuellen Krieg Menschen durch Waffengewalt sterben und Infrastrukturen eher durch physische Gewalt denn durch digitale Angriffe zerstört werden. Oder anders gesagt: Wenn Truppen bereits im Land sind, ist es einfacher und naheliegender, Infrastrukturen durch Bomben und Panzer zu zerstören als durch Computerviren. Sicherheitsforscherinnen machen immer wieder darauf aufmerksam, dass so genannte cyberphysische Angriffe komplex sind und häufig in einem Stadium scheitern, in dem sie noch gar nicht bemerkt werden.
In einem bewaffneten Konflikt spielen eher der psychologische Impact von digitalen Angriffen sowie Spionagemöglichkeiten eine Rolle, betont Schulze. Eine gefährlichere Dimension sieht er in den Aktionen so genannter Hacktivisten, also Gruppen und Privatpersonen, die nun ihrerseits auf digitaler Ebene in den Konflikt eingreifen: Sein Institut beobachtet rund 30 Hackergruppen auf beiden Seiten des Konflikts, darunter klassische Kriminelle wie Ransomwaregruppen, »die wahllos Ziele angreifen«. Zumindest bei einer der Gruppen, Conti, gibt es aus geleakten Chatverläufen Hinweise darauf, dass diese mit dem russischen Geheimdienst FSB im Austausch steht. Zudem hat die ukrainische Regierung eine »IT Army of Ukraine« für Freiwillige ins Leben gerufen, die über den Messenger Telegram koordiniert wird und inzwischen 270 000 Mitglieder umfasst. Die freiwilligen Cyberkrieger legen vor allem russische Websites lahm, unter anderem die einer großen russischen Bank sowie Regierungswebsites.
Bringt der Hacktivismus den Krieg zur Eskalation?
Schulze fürchtet, dass der Krieg durch solche Aktionen ebenso wie durch den Aufruf von Anonymous weiter eskaliert. So habe eine Gruppe mutmaßlich belarussischer Hacktivisten den dortigen Zugverkehr gestört, um die Verlegung von Truppen zu beeinträchtigen. Das falle bereits in den Bereich kritischer Infrastrukturen, warnt Schulze: Die Frage sei, wie das von Russland interpretiert werde. »Vermutlich als vom Westen gesteuerte Aktion ausländischer Agenten.«
Dabei sei Russland selbst durchaus potent, wenn es um Cyberangriffe geht, sagt Thorsten Holz, Leiter der Forschungsgruppe zu systemnaher IT-Sicherheitsforschung am Helmholtz-Zentrum für Informationssicherheit (CISPA). Noch sei zwar nicht belegt, dass die Angriffe vor dem Einmarsch auf das Konto russischer Behörden gehen, auch wenn unter anderem deren Ziele darauf hindeuteten. Anders als die DDoS-Angriffe seien die Wiper-Attacken ausgefeilter und durchaus »von längerer Hand vorbereitet« gewesen: So wurden diese offenbar bereits im Dezember erstellt. »Die Vorbereitungen laufen also schon längere Zeit.«
»Bisher sehen wir nur relativ einfache Arten von Angriffen«
Thorsten Holz, Sicherheitsforscher
Gerade Wiper-Angriffe habe es in der Vergangenheit schon in größerem Umfang gegeben. Holz fürchtet, dass mit der Politisierung der kriminellen Gruppen Russlands, die bisher vor allem durch Ransomware-Attacken aufgefallen sind, die Angriffe zerstörerischer werden könnten. Und auch der russische Staat sei zu mehr fähig, als bislang zu sehen sei: »In der Ukraine wurden in der Vergangenheit schon kritische Infrastrukturen angegriffen«, sagt er. Holz spielt unter anderem auf die Angriffe auf Elektrizitätswerke 2015 und 2016 an, die jeweils für umfangreiche wenn auch zeitlich überschaubare Stromausfälle sorgten. Auch die so genannte NotPetya-Attacke, die auch Daten vieler westlicher Unternehmen löschte, war verheerend. Solche Dimensionen gebe es bislang nicht, betont Holz: »Bisher sehen wir nur relativ einfache Arten von Angriffen.«
Allerdings werden immer wieder Befürchtungen laut, dass Putin sich als Rache für die Sanktionen nun auf kritische Infrastrukturen im Westen konzentrieren könnte. Wie sicher sind unsere Kraftwerke? »Die Vergangenheit hat gezeigt, dass es schwierig ist, kritische Infrastrukturen zu schützen«, räumt Holz ein, »diese sind potentiell verwundbar.« Allerdings vermutet er nicht, dass das in den kommenden Tagen passieren wird. Dies wäre eine Eskalation, die damit ein NATO-Land in den Konflikt einbezieht. Und auch wenn er keine Garantie für die Sicherheit kritischer Infrastrukturen in Deutschland geben will, so habe es in den vergangenen Jahren einige wichtige Schutzmaßnahmen gegeben: Es existiert eine Meldepflicht für entsprechende Vorfälle und auch Auflagen für die Betreiber, ihre Kraftwerke nach dem Stand der Technik zu schützen. »Aber wir können nie die komplette Sicherheit voraussetzen«, warnt Holz.
»Die Vergangenheit hat gezeigt, dass es schwierig ist, kritische Infrastrukturen zu schützen«
Thorsten Holz, Sicherheitsforscher
Eine weitere wichtige Frage ist, ob und wann Deutschland nach dem Völkerrecht zurückschlagen könnte und mit welchen Mitteln, sollten beispielsweise kritische Infrastrukturen gezielt von Russland angegriffen werden. Der Begriff »Krieg« setzt völkerrechtlich einen bewaffneten Kampf beziehungsweise den Eintritt eines Kriegszustands etwa in Form einer Kriegserklärung voraus, erklärt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Cyberangriffe müssten eine »Erheblichkeitsschwelle« überschreiten, damit sie als Krieg gelten, und erst dann dürfe die Bundeswehr – die ja eigens ein Cyberkommando hat – tätig werden: »Das setzt voraus, dass der Verteidigungsfall eingetreten ist. Offensivmaßnahmen der Bundeswehr unabhängig davon sind völkerrechtswidrig.«
Anders sieht es aus, wenn Privatpersonen und Hackerkollektive auf eigene Initiative tätig werden, betont Kipker: Diese können per Definition keinen Krieg erklären. »Es handelt sich also eher um eine Art von Cybercrime.« Solange sich Deutschland nicht in einem Krieg mit Russland befinde, sei die rein defensive Verteidigung gegen Cyberbedrohungen eine Frage der inneren Sicherheit.
Das Problem der Attribution im Cyberwar
Die Definition eines Cyberwars dürfte dann im Fall der Fälle aber ein Problem sein: Schließlich weisen Fachleute immer wieder darauf hin, dass die Frage der Attribution komplex ist. Gerade ausgefeilte Cyberangriffe – wie sie üblicherweise von staatlichen Akteuren ausgehen – sind auch häufig gut verschleiert. Die meisten Sicherheitsforschenden weigern sich, Angriffe einzelnen Nationen zuzuordnen, weil für eine zweifelsfreie Zuordnung weitere Hinweise nötig sind, beispielsweise klassischer geheimdienstlicher Natur. Um sich mit jemandem in einem Krieg zu befinden, muss man aber wissen, um welches Land es sich handelt.
Das zweifelsfrei herauszubekommen, kann Jahre dauern: US-Behörden haben inzwischen sechs Mitarbeiter des russischen Geheimdienstes GRU für eine Reihe von Cyberattacken angeklagt, darunter NotPetya und auch die Angriffe auf die Elektrizitätswerke in der Ukraine. Die Anklage ist von Oktober 2020 – fünf Jahre nach den ersten Angriffen. Dann ist es auch zu spät, in einem Cyberkrieg zurückzuschlagen.
»Angriffe auf kritische Infrastrukturen in der Vergangenheit waren zwar stark genug, um weh zu tun, aber zu schwach, um als Kriegserklärung zu gelten«
Matthias Schulze, Experte für Sicherheitspolitik
Doch die Angreifer des russischen Geheimdienstes scheinen Gegenreaktionen auf einen Cyberwar bereits einzupreisen: indem sie versuchen, mit ihren Angriffen unter der Schwelle der Kriegsdefinition des Völkerrechts zu bleiben. »Das war das Playbook in der Vergangenheit«, erklärt Schulze, also die bisherige Strategie: Angriffe auf kritische Infrastrukturen seien zwar stark genug gewesen, »um weh zu tun, aber zu schwach, um als Kriegserklärung zu gelten«.
Noch sieht er wenig Grund zur Sorge, dass sich das in naher Zukunft ändert und massive Attacken westliche Infrastrukturen lahmlegen – zumal das bisherige Vorgehen der russischen Seite bei digitalen Angriffen rund um den aktuellen Krieg Schwächen zeige. Insbesondere wenn es darum gehe, Aktivitäten von Bodentruppen mit digitalen Manövern zu koordinieren, was größere Effekte erzielen würde als das unkoordinierte Nebeneinanderher. »Das könnte sich ändern«, warnt Schulze, denn es sei auch eine Frage der Zeit und der Vorbereitung. Dass russische staatliche Akteure zu mehr fähig sind, haben sie schließlich in der Vergangenheit gezeigt. Wieso diese Kapazitäten derzeit nicht zum Zuge kommen, ist offen.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.