Ukraine: Die Ruhe vor dem Cyberkrieg
Seit Jahren warnen Staaten, Militärbündnisse wie die Nato und Strategen weltweit vor den Gefahren eines Krieges mit Mitteln der IT. Auch in Deutschland wird davor gewarnt , dass kritische Infrastruktur wie das Strom- oder Wassernetz über das Internet angegriffen und ausgeschaltet werden könnte. Die Bundesregierung rüstet sich gegen solche Angriffe.
Viele Deutsche unterstützen diese Art der Kriegsführung sogar und finden sogenannte Hackbacks legitim . Doch im Fall des russischen Angriffskriegs auf die Ukraine bleibt dieser digitale Krieg aus - auf beiden Seiten. Stattdessen tobt ein anderer digitaler Krieg.
Dass es durchaus möglich ist, die kritische Infrastruktur in der Ukraine auszuknipsen und damit das Land von lebenswichtigen Ressourcen abzuschneiden, wurde in den letzten Jahren eindrücklich demonstriert: Nach einem Malware-Angriff auf drei ukrainische Stromversorger waren im Dezember 2015 rund 225.000 Haushalte in der Region Iwano-Frankiwsk drei bis sechs Stunden ohne Strom.
Ein Jahr später wurden Verteilungsstationen in Pivnichna, nahe der Hauptstadt Kiew, mit einer Malware angegriffen . Diesmal dauerte der Stromausfall jedoch nur wenige Minuten. Das Vorgehen glich weitgehend dem der ersten Attacke.
Die Schadsoftware Triton, auch Tritis genannt, hat es ebenfalls auf kritische Infrastrukturen abgesehen und nistet sich in deren Sicherheitsprozessen ein. Mit ihr könnten kritische Zustände in den Anlagen ausgelöst werden , erklärte die Sicherheitsfirma Fireeye in einer Analyse. Eine Anlage könnte physisch beschädigt und so lebensgefährliche Unfälle verursacht werden. Hinter den Angriffen und der Schadsoftware wird Russland vermutet, auch wenn eine Zuordnung von Hacker- und Malware-Angriffen immer kompliziert ist.
Webseiten statt Strom ausknipsen
Zwar zeigen allein die genannten Beispiele, dass die Möglichkeit von Angriffen auf kritische Infrastruktur im Raum steht - immerhin wurden solche Angriffe bereits mehrfach durchgeführt. Vor und zu Beginn dieses Krieges wurde aber stattdessen vor allem mit DDoS-Attacken und Wipern gearbeitet.
Erstere nehmen Webseiten durch massenhafte Angriffe vom Netz, letztere funktionieren ähnlich wie Ransomware und haben es auf die Daten auf den betroffenen Rechnern abgesehen. Diese werden entweder verschlüsselt oder direkt gelöscht. Im Unterschied zu Ransomware geht es jedoch nicht darum, ein Lösegeld für die Daten zu erpressen, sondern schlicht um Zerstörung.
Die Wiper-Angriffe scheinen gezielt auf ukrainische Organisationen zu erfolgen, teils auch auf deren Zulieferer in EU-Staaten. Doch dass Wiper-Angriffe auch ganz andere Dimensionen annehmen können, zeigt ein ebenfalls ursprünglich auf die Ukraine durchgeführter Angriff mit Notpetya . Dieser verbreitete sich anfangs vor allem über die ukrainische Buchhaltungssoftware Medoc. Allerdings nutzte Notpetya auch weit verbreitete Sicherheitslücken und legte so auch außerhalb der Ukraine tausende Unternehmen lahm.
Ukraine mobilisiert für den Cyberwar
Die Ukraine will sich gegen solche Angriffe verteidigen und sucht mangels eigener Einheiten aktiv nach Freiwilligen, die sich an einem Cyberkrieg beteiligen könnten . Einige Ransomware-Gangs dürften durchaus das Potenzial für Offensivschläge gegen russische Infrastruktur haben.
Doch derartige Angriffe bleiben bis auf das Satellitennetzwerk KA-Sat bisher weitgehend aus. Das dürfte nicht zuletzt in kriegstaktischen Überlegungen wie der Vermeidung ziviler Opfer begründet liegen. Angesichts des seit Jahren allseits heraufbeschworenen Bedrohungspotenzials sowie der wohl tatsächlich verfügbaren Fähigkeiten beider Konfliktparteien dazu ist das Ausbleiben der Angriffe nun dennoch überraschend.
Allerdings heißt das nicht, dass in dem Krieg Russlands gegen die Ukraine keine Cybermitteln genutzt würden, nur sind sie bisher deutlich weniger modern und offensiv als erwartet. Es sind Strategien, die aus vielen vergangenen Konflikten bekannt sind: ein Informationskrieg einerseits und das Eingreifen mehr oder weniger unbeteiligter Dritter andererseits.
Informationskrieg in der Ukraine
So werden für Propaganda die vorhandenen technischen Mittel genutzt, inzwischen insbesondere Social-Media-Plattformen oder der in der Ukraine wie auch in Russland beliebte Messenger Telegram. Viele der darüber verbreiteten Informationen sind allein wegen der Schnelligkeit dieser Medien für die allermeisten Konsumenten kaum oder gar nicht verifizierbar.
Bereits im Jahr 2016 hatten wir in einer Analyse geschrieben, dass der Cyberwar als Informationskrieg begonnen hat. Auch im aktuellen Krieg gegen die Ukraine zeigt sich, dass der Kampf um die Bilder oder Texte digital weiter wirkt. Allerdings arbeitet hier nicht nur die staatliche Propaganda auf Hochtouren, auch die Bevölkerung hat daran ihren Anteil. Die Schnelligkeit und weite Verbreitungsmöglichkeit von Informationen wird seit Tagen immer intensiver genutzt.
Social-Media-Dienste wie Facebook, Twitter, aber auch der tschechische Domainverwalter Cz.nic versuchen, der Informationsflut Herr zu werden. Letzterer blockiert in einem "außergewöhnlichen Schritt" mehrere russische Webseiten, die Falschinformationen verbreitet haben sollen. Die Konzerne Meta und Alphabet gehen gegen Russia Today vor oder schränken ihre Angebote ein, wie bei Google Maps .
Hacker greifen ein
Das bleibt auch außerhalb der unmittelbar beteiligten Staaten nicht unbeobachtet. Einige Hacker starten Aktionen, die aus ihrer Sicht Solidarität bezeugen sollen und greifen so aktiv in das Geschehen ein. So hatte der mutmaßliche Anführer der Ransomware-Gruppe Conti seine Unterstützung für Russland bekundet, kurz darauf veröffentlichte jedoch ein offenbar ukrainisches Mitglied der Gruppe sämtliche interne Chats des vergangenen Jahres, wie The Record berichtet(öffnet im neuen Fenster) .
Darüber hinaus hat das lose organisierte Anonymous-Kollektiv einen Cyberkrieg gegen Russland angekündigt(öffnet im neuen Fenster) und beansprucht mehrere, teils wohl auch erfolgreiche DDoS-Angriffe für sich. So sollen einige Webseiten des russischen Staates zwischenzeitlich nicht mehr benutzbar gewesen sein. Es wird dazu aufgerufen, weitere Infrastruktur wie Banken und APIs zu blockieren, es werden Datenbanken der angegriffenen Systeme veröffentlicht(öffnet im neuen Fenster) und selbst Fernsehübertragungen wollen die Beteiligten gehackt haben(öffnet im neuen Fenster) .
Derweil rufen ukrainische Offizielle wie der Vize-Premier des Landes(öffnet im neuen Fenster) , dazu auf, sich der IT ARMY of Ukraine anzuschließen. Über den gleichnamigen Telegram-Channel(öffnet im neuen Fenster) sollen entsprechende Aktionen koordiniert werden. Das richtet sich offenbar auch an Außenstehende, wie beispielsweise die Anonymous-Hacker.
Dass vermeintlich unbeteiligte Hacker in Konflikte eingreifen und dies mit ihren Mittel versuchen, ist nicht neu und im Prinzip das Selbstverständnis der Anonymous-Hacktivisten - die bereits im Zuge der Annexion der Krim durch Russland aktiv waren und russische Webseiten gehackt haben.
Der von vielen befürchtete und von einigen gar geforderte Cyberkrieg ist das alles aber nicht - zumindest noch nicht. Sollten sich die Aktivitäten weiter hochschaukeln, könnte der großangelegte Cyberkrieg aber doch noch kommen. Die Fähigkeiten dazu dürften jedenfalls vorhanden sein.