Krieg in der Ukraine: Was ist mit Russlands Cyberwar?
Als Russland am 24. Februar 2022 in die Ukraine einmarschiert ist, rechneten viele Sicherheitsanalysten mit einem noch nie da gewesenen Ausmaß an Cyberangriffen. Schließlich hatte Russland in der Vergangenheit Länder und Institutionen bereits digital attackiert. Auch die Ukraine.
Stunden vor dem Einmarsch beispielsweise kursierte eine Art Malware namens Wiper auf den Computersystemen der ukrainischen Regierung und beschädigte Daten. Anfang März 2022 wiederum hatte ein massiver DDoS-Angriff (Distributed Denial of Service), der weithin russischen Tätern zugeschrieben wird, ukrainische Bankwebsites mit Daten überflutet und sie unzugänglich gemacht.
Trotz der zahlreichen Cyberangriffe sind die kritischen Infrastrukturen der Ukraine – Telefon-, Internet-, Strom- und Gesundheitssysteme – weitgehend intakt. Inwiefern die digitale Kriegsführung in diesem Konflikt bedeutsam ist und was Forschende überrascht hat, ist in den wichtigsten Fragen und Antworten erklärt.
Warum haben Analysten erwartet, dass Cyberwarfare für Russlands Angriffskrieg wichtig ist?
Russland hat in seinen jüngsten Konflikten Cyberangriffe eingesetzt, unter anderem bei der Invasion Georgiens im Jahr 2008 und der Krim im Jahr 2014. Seitdem ist die Ukraine zu einem Übungsplatz für russische Cyberoperationen geworden, sagt Lauren Zabierek, Spezialistin für Cybersicherheit in internationalen Konflikten an der Harvard Kennedy School in Cambridge, Massachusetts. In den Jahren 2015 und 2016 legten Angriffe, die Russland zugeschrieben wurden, die ukrainische Stromversorgung für mehrere Stunden lahm.
Russland sei in der Lage, mit Hilfe der Cyberkriegsführung die Kommunikation, die Organisation und die Versorgung des Gegners zu stören, sagt Trey Herr, ein Forscher für Cybersicherheitspolitik beim Atlantic Council, einem Thinktank in Washington D. C. Daher wären viele davon ausgegangen, dass die Regierung diese Taktik auch im Ukraine-Krieg anwenden würde.
Warum also führt Russland den Cyberkrieg nicht wie erwartet?
Eine Theorie besagt, dass die Entscheidung, in die Ukraine einzumarschieren, auf höchster Ebene getroffen wurde. Als der Plan Menschen erreichte, die weiter unten in der Befehlskette stehen, sei es demnach zu spät gewesen, um nennenswerte Cyberangriffe einzusetzen, erkärt Herr. Es könne Monate dauern, sie zu organisieren.
Zudem seien Cyberwaffen zwar billiger als Stiefel auf dem Boden, aber immer noch kostspielig, sagt Mariarosaria Taddeo, Philosophin für die Ethik digitaler Technologien am Oxford Internet Institute, Großbritannien. Cyberangriffe seien eine Machtdemonstration, richten Schaden an, ohne in einen konventionellen Krieg verwickelt zu sein, und ließen sich kaum mit Sicherheit den Verantwortlichen zuordnen.
Was bedeutet DDoS, Wiper & Co?
DDoS
So genannte DDos (Distributed Denial of Service)-Attacken sind eher Angriffe von der Stange: Man kann sie im Internet kaufen beziehungsweise beauftragen. Kriminelle haben sich dafür unter anderem auf der Basis meist längst bekannter Sicherheitslücken in Computer eingehackt, die keine Sicherheitsupdates haben oder veraltete Windows-Versionen nutzen, die nicht mehr von Microsoft unterstützt werden. Davon gibt es unendlich viele, und meist wissen ihre Besitzer nichts davon, dass unbekannte Eindringlinge ihre Computer für ihre Zwecke nutzen. Die Angreifer können diese Computer gewissermaßen fernsteuern und dafür nutzen, um Schadsoftware zu verschicken oder um automatisiert gewisse Internetseiten immer wieder aufzurufen, bis die Infrastruktur zusammenbricht und sie für niemanden mehr erreichbar sind.
Wiper
Am Tag vor dem Einmarsch verbreitete sich eine so genannte Wiper-Schadsoftware in zahlreichen ukrainischen Systemen, insbesondere auf denen von Unternehmen, die Vertragspartner der ukrainischen Regierung sind – und diese ist laut Einschätzung von Fachleuten durchaus ausgefeilt. Wiper bedeutet eine Löschattacke: Entsprechende Software löscht Computer und ganze Systeme, so dass sie nicht mehr nutzbar sind.
Ransomware
Ransomwaregruppen sind Cyberkriminelle, die in Computer und Systeme eindringen und die darauf befindlichen Daten verschlüsseln. Sie fordern ein Lösegeld (=Ransom) für den Entschlüsselungscode. Inzwischen werden die Attacken häufig damit kombiniert, dass die betroffenen Unternehmen auch mit der Drohung erpresst werden, ihre Daten zu veröffentlichen. Solche Angriffe nehmen in letzter Zeit zu.
Und noch etwas ist zu bedenken: Wenn Russlands Führer überzeugt waren, die Ukraine schnell einnehmen zu können, war es sinnvoll, Teile der ukrainischen Infrastruktur zu erhalten, anstatt sie zu zerstören und wieder aufzubauen, sagt Zhanna Malekos Smith, Systemingenieurin am Center for Strategic and International Studies, einem Thinktank in Washington D. C. Russland könnte zudem einige Netzwerke wie das Telekommunikationssystem der Ukraine genutzt haben, um an Informationen zu gelangen, fügt sie hinzu.
Zabiereks führende Hypothese ist, dass Russland sich zurückhält, um eine Eskalation oder Spillover-Effekte über die Ukraine hinaus zu vermeiden, die eine Reaktion des Westens auslösen könnten. Cyberangriffe können sich leicht verbreiten. Im Jahr 2017 brachten mit Russland verbundene Hacker NotPetya auf den Markt, eine Malware, die auf Finanzsoftware abzielt, die von Unternehmen in der Ukraine genutzt wird. Da die Malware jedoch eine weit verbreitete Sicherheitslücke nutzte, konnte sie sich weltweit verbreiten und den Zugriff auf fast alle Datensätze von Unternehmen wie dem dänischen Schifffahrtsriesen Maersk zerstören und weltweit Schäden in Höhe von 10 Milliarden US-Dollar anrichten, umgerechnet rund 9 Milliarden Euro. Und am 24. Februar 2022 unterbrach ein Angriff auf den europäischen Satellitenbetreiber Viasat den Internetzugang in der Ukraine und legte Tausende deutscher Windkraftanlagen lahm, die über Viasat kommunizieren.
Könnte der Cyberwar eskalieren?
Russland könnte aggressivere Cyberwaffen in Reserve halten, sagt Malekos Smith. Wenn der Bodenkrieg nicht wie geplant verläuft und die Finanzsanktionen wirken, könnte Russland seine Cyberangriffe verstärken, sagt sie. Womöglich wolle die russische Regierung dann auch westlichen Länder gezielt schaden, indem man beispielsweise Unternehmen und Finanzmärkte ins Visier nimmt, sagt sie.
Gesundheitssysteme und Stromnetze könnten angreifbar sein. Im Jahr 2021 legten nicht staatliche Hacker, möglicherweise aus Russland, mit Hilfe von Ransomware die US-Ölpipeline Colonial tagelang lahm. »Das ist die Art von Angriff, die wir erwarten können – ein Angriff, der ausreicht, um die Infrastruktur für eine Weile lahmzulegen und Störungen zu verursachen«, sagt Taddeo. Am 12. Februar 2022, also vor der Invasion, warnte die US-Behörde für Cybersicherheit und -infrastruktur die Unternehmen, sich auf Cyberangriffe vorzubereiten.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik hatte Mitte März 2022 zwischenzeitlich vor dem russischen Unternehmen Kaspersky gewarnt. Doch wie berechtigt es war, die IT-Sicherheitssoftware der Firma als unsicher zu bezeichnen, ist weiterhin unklar.
Wie wahrscheinlich sind digitale Angriffe außerhalb der Ukraine?
Nicht staatliche Akteure, die sich beiden Seiten des Cyberkonflikts angeschlossen haben, könnten die Situation verschlimmern. Eine russische Hackergruppe namens Conti erklärte, sie werde Vergeltung für Cyberbedrohungen gegen die russische Regierung üben. Inzwischen verfolgen das internationale Hackerkollektiv Anonymous und eine »IT-Armee« von Zivilisten russische Ziele. Und eine proukrainische Gruppe, die sich »Belarussische Cyber-Partisanen« nennt, behauptete, das Zugsystem in Belarus – das den Krieg gegen Russland unterstützt hat – gehackt zu haben, um die Regierung an der Verlegung russischer Truppen zu hindern. Diese Behauptung wurde jedoch nicht gründlich überprüft.
Viele Angriffe zielen darauf ab, russische Regierungswebsites zu verunstalten oder zu blockieren – leichte Ziele in der Cyberwelt. Aber sie erhöhen das Risiko, dass sich der Cyberkrieg ausweitet, sagt Taddeo. »Es kann problematisch sein, das falsche Objekt anzugreifen oder eine unverhältnismäßige Operation durchzuführen«, erklärt sie. Herr pflichtet ihr bei: Selbstjustizler würden die Auswirkungen möglicherweise falsch einschätzen, ihre Aktionen könnten Vergeltungsmaßnahmen nach sich ziehen.
Was ist das Worst-Case-Szenario?
Bislang betrachten viele Analysten Cyberangriffe eher als Spionage oder Sabotage denn als Kriegshandlungen. Zwar könnte Russland versuchen, die vom Westen verhängten Sanktionen zu rächen. Doch Angriffe auf einen Staudamm oder ein Atomkraftwerk gelten als unwahrscheinlich, sagt Malekos Smith, weil damit eine Grenze überschritten wäre: Die Staaten hätten das Recht, sich selbst zu verteidigen. »Das haben wir noch nicht erlebt, und ich hoffe, dass wir es auch nicht erleben werden«, sagt Taddeo.
Laut dem National Cyber Power Index des Belfer Centers, an dem Zabierek arbeitet, sind Russlands Cyberfähigkeiten niedriger eingestuft als die der Vereinigten Staaten, Chinas und des Vereinigten Königreichs. Deutschland hingegen soll weniger gut vorbereitet sein. Eine Cyberoperation könnte Artikel 5 des Vertrags der NATO auslösen, der besagt, dass ein Angriff auf ein Mitgliedsland als Angriff auf alle angesehen wird. In diesem Fall wäre Russland an sämtlichen Fronten unterlegen, sagt Zabierek.
Schreiben Sie uns!