Gefechte an der Cyberfront

Der virtuelle Raum ist längst Teil des Krieges. Damit wird auch die Gefahr von Kollateralschäden größer

  • Joel Schmidt
  • Lesedauer: 5 Min.

Noch bevor russische Truppen am 24. Februar die Ukraine überfallen, ist die Internetversorgung des Landes bereits gestört. Das Satellitennetzwerk Ka-Sat, über das unter anderem Militär und Polizei des Landes versorgt werden, ist ausgefallen und führt zu erheblichen Kommunikationsproblemen innerhalb der ukrainischen Armee. Ohne dass zuvor auch nur ein einzelner Schuss abgegeben wurde. Der Angriff erfolgte im Cyberspace und diente der Vorbereitung des russischen Angriffskrieges.

Neu sei dieses Vorgehen nicht gewesen, sagte Christian Dörr vom Hasso-Plattner-Institut in Potsdam dem »nd«. Russland habe bereits in vergangenen Konflikten regelmäßig »eine hybride Kriegsführung« verfolgt, bei der »kinetische Angriffe durch Cyberangriffe begleitet« wurden, betont der Professor für Cyber Security und Enterprise Security. Auf der Potsdamer Konferenz für Nationale Cybersicherheit machte er kürzlich deutlich, dass sich »die Ukraine die letzten Jahre im Cyberspace eigentlich im Dauerkriegszustand befand«. Als Beispiel führte er die Aktivitäten der Hacker*innengruppe »Sandworm« an, die dem russischen Geheimdienst GRU zugerechnet wird. Während nach der Annektion der Krim und dem anschließenden Waffenstillstand »der kinetische Krieg weitestgehend eingestellt wurde, ging die Auseinandersetzung im Cyberraum in den Jahren danach weiter, mit dem Versuch, die Ukraine gezielt zu schwächen«, so Dörr gegenüber dem »nd«.

Angriffe im Netz

Hacker*innen legen Webseiten lahm, erpressen Lösegeld und löschen Daten. Die drei häufigsten Erscheinungsformen sind DDos-Attacken, der Einsatz von Ransomware und sogenannter Wiper.

  • DDos (Distributed Denial of Service)-Attacken führen dazu, dass Internetauftritte für einen gewissen Zeitraum nicht mehr erreichbar sind. Hacker*innen verschaffen sich für solche Angriffe Zugriff auf 100 bis 1000 ungeschützte Rechner, von denen aus dann gleichzeitig Anfragen an ein Ziel, etwa einen bestimmten Server, gestellt werden. Durch die hohe Anzahl der Anfragen bricht irgendwann die Infrastruktur zusammen und eine Homepage ist nicht mehr zu erreichen. Erst zu Beginn der Woche meldete etwa das litauische Verteidigungsministerium schwere DDos-Attacken auf Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen, zu denen sich die prorussische Hackergruppe »Killnet« bekannte.
  • Ransomware wird in Computersysteme eingespeist, um damit heimlich Nutzerdaten zu verschlüsseln. Betroffene erhalten erst wieder Zugriff auf diese, nachdem sie ein entsprechendes Lösegeld (englisch »ransom«) gezahlt haben. Immer häufiger wird auch mit der Veröffentlichung von Daten gedroht, wenn den Forderungen nicht nachgekommen wird. Viele dieser Angriffe beginnen mit dem sogenannten Social Engineering, der gezielten Manipulation von Mitarbeiter*innen. Der Faktor Mensch gilt noch immer als das einfachste Einfallstor, um an sensible Daten wie Passwörter zu gelangen. Allein der deutschen Wirtschaft sollen laut einer Studie des Branchenverbands Bitkom jährlich 223 Milliarden Euro Schaden durch solche Erpressungsversuche entstehen. Die BBC berichtet, dass im vergangenen Jahr drei Viertel aller weltweiten Ransomware-Lösegelder an Hackergruppen in Russland gingen.
  • Wiper-Angriffe sind rein destruktiver Art. Entsprechende Schadsoftware ist auf Dateien, Back-ups sowie Bootsektoren von Betriebssystemen gerichtet und verfolgt einzig und allein das Ziel, diese dauerhaft zu löschen. Großes Aufsehen erregte im Sommer 2017 der Not-Petya-Trojaner, von dem innerhalb weniger Tage Hunderttausende Windows-Systeme betroffen waren, darunter auch Rechner der Reederei Maersk, des Pharmaunternehmens Merck sowie des Logistikdienstleisters Fedex. Der Trojaner verbreitete sich durch das Update einer ukrainischen Steuersoftware, verursachte Schäden von mehr als zehn Milliarden Dollar und wird der Gruppe Sandworm zugeschrieben. Sowohl im Vorfeld als auch mit Beginn des russischen Angriffskrieges wurde auf ukrainischen Rechnern vermehrt Wiper-Schadsoftware gefunden. jsc

    Für Aufsehen sorgte etwa der Angriff auf das Stromnetz des Landes im Winter 2015, infolgedessen in Teilen Kiews für einige Stunden der Strom ausfiel. Zwei Jahre später richtete die Schadsoftware »NotPetya«, von ukrainischen Rechnern ausgehend, weltweite Schäden im Milliardenbereich an. Beide Aktionen werden der Gruppe »Sandworm« zugeschrieben. Im Fachjargon werden diese Akteur*innen »Advanced Persistent Therat« (APT) genannt. Gemeint sind damit Gruppen, die technisch gut ausgestattet sind und als »fortgeschrittene andauernde Bedrohung« gelten. Christian Dörr beschreibt diese als »Angreifer, die mit hohen Kenntnissen über längere Zeit eine bestimmte Zielsetzung verfolgen und direkt oder indirekt von Nationalstaaten gesteuert werden«. Ihr Einsatz sei ausgerichtet an den geopolitischen Anforderungen des jeweiligen Staates und umfasse »Industriespionage zur Förderung der heimischen Wirtschaft, politische Auskundschaftung und Informationskampagnen zur Beeinflussung politischer Willensbildung, bis hin zu Sabotage«.

    Neben solch staatlich unterstützten Akteur*innen haben längst auch weitere Gruppen das digitale Kampffeld betreten. Hacktivist*innen wie die prorussische Gruppe »Killnet« oder das Kollektiv »Anonymous« zählen sich einer der beiden Kriegsparteien zu, handeln autonom und wollen mit ihren Aktionen das jeweilige Land unterstützen. Genau darin sehen Sicherheitsexpert*innen eine gewisse Gefahr. Im Gegensatz zu staatlichen Akteur*innen brächten von Hacktivist*innen ausgehende Bedrohungen ein ganz anderes Level an Unberechenbarkeit mit sich.

    Ein Beispiel dafür ist etwa die Cyberattacke auf die deutsche Tochtergesellschaft des russischen Ölkonzerns Rosneft vor wenigen Monaten. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), machte dafür das Kollektiv »Anonymous« verantwortlich. Der Konzern sei als vermeintliches russisches Ziel angegriffen worden, obwohl es sich bei dem Unternehmen um einen Teil der kritischen Infrastruktur der Bundesrepublik handelt. Auf der Potsdamer Konferenz sprach er davon, dass es in diesem Zusammenhang beinahe zu einer massiven Störung der Mineralöl-Verteilung im Großraum Berlin und Brandenburg gekommen sei. Dem »Spiegel« teilten deutsche »Anonymous«-Aktivist*innen mit, sie seien erst nach zwei Wochen in den Rosneft-Systemen aufgeflogen. Auch betonten sie, kritische Infrastruktur sei durch ihr Handeln nicht in Gefahr gewesen.

    Wie schnell es bei Cyberattacken zu Kollateralschäden kommen kann, verdeutlicht auch der Angriff auf das Satellitennetzwerk Ka-Sat im Vorfeld des russischen Überfalls. So war in Deutschland etwa kurzzeitig die Fernwartung von mindestens 3000 Windkrafträdern außer Funktion gesetzt, da sie über dasselbe Netzwerk mit dem Internet verbunden waren.

    Ein großflächiger Blackout infolge eines Cyberangriffs auf kritische Infrastruktur gehört demnach längst nicht mehr ins Reich der Science-Fiction. So verweist Christian Dörr auf den vermutlich von den USA und Israel entwickelten Computerwurm »Stuxnet«, der 2010 zum Einsatz kam, »um das iranische Atomprogramm zu verzögern, indem es die industriellen Atomanlagen sabotiert hat«. Im Jahr 2018, so Dörr weiter, »führte ein Cyberangriff auf eine Öl-Raffinerie in Saudi Arabien knapp an einer Katastrophe vorbei, der darauf ausgelegt war, die Fabrik mit einer Explosion zu zerstören.«

    Aktuell sei es an der Cyberfront dennoch verhältnismäßig ruhig, sagt der Experte. Auch wenn »Russland klar die Fähigkeiten hat«, sei ein groß angelegter Cyberangriff auf die Ukraine bislang ausgeblieben. Gründe hierfür seien unter anderem, dass das Land in den vergangenen Jahren viel in die Cyberabwehr investiert habe und auch von den USA in diesem Bereich defensive Unterstützung erhalte. Eine weitere Vermutung sei, »dass Russland die Infrastruktur selbst im Rahmen der Kriegsführung braucht und deswegen nicht zerstört«.

    Sind wir Zeug*innen eines Cyberkrieges? Nein, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheit an der Universität Bremen dem »nd«. Die Ukraine befinde sich »in einem Krieg gegen Russland, der mit Cyberwaffen und konventionellen Mitteln geführt wird«. Die rechtliche Bewertung orientiere sich vor allem an den Maßstäben des Völkerrechts, denen zufolge ein Krieg im juristischen Sinne »den bewaffneten Kampf zwischen zwei Staaten und den Eintritt eines Kriegszustandes« zur Voraussetzung habe. Dazu zähle auch »eine völkerrechtliche Zuordenbarkeit der Akteure«.

    Bei Cyberangriffen sei die Attribution, also die eindeutige Zuschreibung einer Attacke, jedoch »technisch höchst schwierig und nicht immer zweifelsfrei möglich«. Zudem müsse für das Vorliegen eines Cyberkrieges »der feindliche Cyberangriff von derartiger Intensität sein, dass er in seinen Auswirkungen einem konventionellen Militärschlag gleichkommt.« Und was ist mit der Nato? Da Cyberattacken nach wie vor nur eine Begleiterscheinung der hybriden Kriegsführung darstellen, hält Kipker die Wahrscheinlichkeit des Bündnisfalls »allein durch Angriffe im Cyberspace für verschwindend gering«.

    Abonniere das »nd«
    Linkssein ist kompliziert.
    Wir behalten den Überblick!

    Mit unserem Digital-Aktionsabo kannst Du alle Ausgaben von »nd« digital (nd.App oder nd.Epaper) für wenig Geld zu Hause oder unterwegs lesen.
    Jetzt abonnieren!

    Linken, unabhängigen Journalismus stärken!

    Mehr und mehr Menschen lesen digital und sehr gern kostenfrei. Wir stehen mit unserem freiwilligen Bezahlmodell dafür ein, dass uns auch diejenigen lesen können, deren Einkommen für ein Abonnement nicht ausreicht. Damit wir weiterhin Journalismus mit dem Anspruch machen können, marginalisierte Stimmen zu Wort kommen zu lassen, Themen zu recherchieren, die in den großen bürgerlichen Medien nicht vor- oder zu kurz kommen, und aktuelle Themen aus linker Perspektive zu beleuchten, brauchen wir eure Unterstützung.

    Hilf mit bei einer solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl.

    Unterstützen über:
    • PayPal