Meine Merkliste Geteilte Merkliste

Hybride Bedrohungen im und durch den Cyberraum

Informationen zur politischen Bildung Nr. 353/2022

Hybride Bedrohungen im und durch den Cyberraum

Wolff Heintschel von Heinegg

/ 8 Minuten zu lesen

Der nur auf den ersten Blick schillernde Begriff der "hybriden Bedrohungen" – mitunter ist auch von "hybrider Kriegsführung" die Rede – wird seit einiger Zeit nicht mehr allein im Zusammenhang mit schwer einzuordnenden Maßnahmen nicht staatlicher Akteure verwendet, sondern vornehmlich mit staatlichem oder einem Staat zurechenbaren Verhalten. Zwischenstaatliche hybride Bedrohungen stellen die Internationale Sicherheitspolitik vor neue Herausforderungen.

Was sind "hybride Bedrohungen"?

Wenngleich es an einer allgemein anerkannten Definition des Begriffs "hybride Bedrohungen" fehlt und er mitunter gedankenlos auf recht unterschiedliche Situationen angewendet wird, lässt er sich wie folgt konkretisieren. Unter Bedrohungen lassen sich einem Staat zurechenbare Verhaltensweisen oder Situationen verstehen, die Schäden verursachen, wesentliche Interessen beeinträchtigen oder erhebliche Probleme bereiten können. Es muss sich also nicht notwendigerweise um die Ankündigung oder das unmittelbare Bevorstehen eines rechtswidrigen Verhaltens, etwa eines bewaffneten Angriffs, handeln. "Hybrid" bedeutet, dass die Bedrohungen nicht aus einer einzelnen Verhaltensweise oder einer bestimmten Situation resultieren, sondern aus miteinander im Zusammenhang stehenden Verhaltensweisen oder Situationen. Folglich dürfen diese nicht alleine betrachtet werden, sondern in ihrem Zusammenhang mit anderen, die zusammengenommen oder in ihrem Zusammenwirken als Bedrohung eingeordnet werden können.

Angriffe auf Webanwendungen. (© Akamai, State of the Internet-Sicherheitsbericht (Oktober 2021))

Diese Sichtweise hat sich heute weitgehend durchgesetzt. Hybride Bedrohungen meinen im Kontext zwischenstaatlicher Beziehungen daher den aufeinander abgestimmten Einsatz verschiedener Machtinstrumente, die auf Verwundbarkeiten im gesamten Spektrum gesellschaftlicher Funktionen eines anderen Staates oder einer anderen Staatengruppe abzielen, um so möglichst effektiv zusammenzuwirken. Eine andere Definition ist, hybride Bedrohungen als eine neuartige Bedrohung zu verstehen, die aus dem kombinierten Einsatz militärischer und nicht militärischer Mittel oder Methoden entsteht. Zu diesen Methoden zählen insbesondere Cyberangriffe, Desinformationskampagnen sowie Beeinträchtigungen oder Manipulationen der Informations- und Kommunikationsstruktur. Zusammenfassend zeichnen sich hybride Bedrohungen dadurch aus, dass ein Staat im Wege eines integrierten Ansatzes eine Reihe von offenen oder verdeckten Maßnahmen ergreift oder veranlasst. Dabei verfolgt dieser Staat ein übergeordnetes strategisches Ziel: Er will die in dem Zielstaat bestehenden Verwundbarkeiten im gesellschaftlichen, wirtschaftlichen, politischen, militärischen oder technologischen Bereich ausnutzen, um Unsicherheit oder Instabilität zu verursachen. Einzeln betrachtet verbleiben diese Maßnahmen in der Regel unterhalb der Schwelle einer verbotenen Gewaltanwendung, Intervention oder sonstigen Verletzung der territorialen Integrität und politischen Unabhängigkeit des Zielstaats, sodass – und das ist durchaus gewollt – ihre exakte Zurechenbarkeit mit erheblichen Beweisschwierigkeiten verbunden ist. Erst wenn das die Einzelmaßnahmen verbindende übergeordnete strategische Ziel erkannt wird, ist eine Einordnung als hybride Bedrohung möglich.

Hybride Bedrohungen sind fester Bestandteil nationaler Sicherheits- und Verteidigungspolitik. Beispielsweise hat der heutige Chef des Generalstabs der Streitkräfte Russlands General Waleri Gerassimow im Jahr 2013 betont, dass die Wirksamkeit nicht militärischer Mittel zur Erreichung politischer oder strategischer Ziele heute die der traditionellen Mittel und Methoden der Kriegsführung deutlich übersteige. Häufig sei es weitaus wirksamer, unterhalb der Gewaltschwelle zu verbleiben. Stattdessen seien umfassend und koordiniert politische, wirtschaftliche, informationelle, humanitäre und andere nicht militärische Maßnahmen zu ergreifen. Dabei könnten auch das Protestpotenzial der Bevölkerung in den Zielstaaten ausgenutzt werden oder in Ergänzung dazu verdeckte militärische Operationen in Betracht gezogen werden.

Hybride Bedrohungen und technologische Entwicklung

Hybride Bedrohungen in den zwischenstaatlichen Beziehungen sind grundsätzlich nicht neu. Seit jeher haben sich Staaten eines breiten Spektrums wirtschaftlicher, politischer, informationeller und (in der Regel unterhalb der Gewaltschwelle verbleibender) militärischer Maßnahmen mit dem übergeordneten stra-tegischen Ziel bedient, andere Staaten oder Staatengruppen zu destabilisieren, um so Vorteile aus der daraus resultierenden politischen oder militärischen Überlegenheit zu ziehen.

Allerdings darf nicht unberücksichtigt bleiben, wie sehr die Entwicklung der Informations- und Kommunikationstechnologie – vor allem der Cyberraum – neue Möglichkeiten eröffnet und sich die Effizienz hybrider Bedrohungen daher deutlich erhöht hat. Dabei ist zwischen Operationen im und durch den Cyberraum zu unterscheiden. Im Falle von Operationen durch den Cyberraum wirken hybride Bedrohungen in der physischen Welt, etwa indem sie Schäden oder Zerstörungen verursachen. Demgegenüber verbleiben die Wirkungen von Operationen im Cyberraum innerhalb des Cyberraums, was ihre Einordnung naturgemäß zusätzlich erschwert. Zu diesen zählen etwa das Ausspähen oder die Manipulation von systemrelevanten Daten.

Der Cyberraum ist allgegenwärtig. Dies wird in besonderem Maße deutlich, wenn die im Internet verfügbaren Informationen in den Blick genommen werden, die ungeachtet ihres Wahrheitsgehalts und ihres Ursprungs grundsätzlich jederzeit und überall von einer unüberschaubaren Zahl von Nutzerinnen und Nutzern abgerufen und von ihnen weiterverbreitet werden können. So verbreiten sich auch Falschmeldungen nahezu schrankenlos. Selbst wenn solche Falschmeldungen zunächst nur von denen ernstgenommen werden, bei denen sie auf fruchtbaren Boden fallen – beispielsweise indem sie eine vorgefasste Meinung bestätigen –, bleiben sie abrufbar und können im Laufe der Zeit das öffentliche Meinungsbild nachhaltig beeinflussen oder gar prägen.

Besonders wirksam ist die Verbreitung von Falschmeldungen, wenn sie auf einen unkritischen und naiven Adressatenkreis trifft, der ihren Wahrheitsgehalt nicht in Zweifel zieht. Die zahlreichen Falschmeldungen zur Coronavirus-Pandemie führen deutlich vor Augen, wie sehr sich ihre Wirkmächtigkeit durch Nutzung des Internets verstärkt hat. Aber auch die Verbreitung falscher oder bislang unter Verschluss gehaltenerInformationen im Vorfeld von Wahlen haben durchaus das Potenzial, sich auf das Wahlergebnis auszuwirken. So wurde etwa im Zusammenhang mit den US-Präsidentschaftswahlen im Jahr 2016 nicht ausgeschlossen, dass die in sozialen Netzwerken verbreiteten Falschmeldungen über die demokratische Bewerberin Hillary Clinton das Meinungsbild der Wählerschaft beeinflusst haben.

Ein weiteres Charakteristikum des Cyberraums ist die Anonymität. Ungeachtet, ob es um Falschmeldungen oder bösartige Cyberangriffe geht, der Ursprung bleibt häufig im Verborgenen oder lässt sich, wenn überhaupt, nur unter großem Aufwand identifizieren. So ist es Staaten möglich, eine Vielzahl von Maßnahmen zu ergreifen, ohne dass diese ihnen zugerechnet werden können. Selbst wenn der Ursprung einer bösartigen Cyberoperation geografisch verortet werden kann, ist es häufig ausreichend, jegliche Beteiligung schlicht zu leugnen. Zudem nutzen Regierungen und andere Staatsorgane häufig sogenannte Trolle und andere private Akteure oder lassen diese gewähren. Deren Maßnahmen sind dem Staat nur in seltenen Ausnahmefällen eindeutig zuzurechnen. Auch ist es umso schwieriger, ihren Zusammenhang mit anderen Maßnahmen als auch mit einem übergeordneten strategischen Ziel festzustellen, sie also als Bestandteile einer hybriden Bedrohung einzuordnen.

Des Weiteren spielt den Verantwortlichen hybrider Bedrohungen in die Hände, dass der Aufbau des Cyberraums und der Einsatz moderner Informations- und Kommunikationstechnologie in einer im Nachhinein betrachtet bemerkenswerten Euphorie und Naivität erfolgten. Im Mittelpunkt stand das Streben nach einer immer weiter wachsenden Vernetzung und einer Erhöhung des Datenflusses, sodass Sicherheitsaspekte weitgehend ausgeblendet blieben. Die Abhängigkeit von Wirtschaft, Verwaltung, Regierung und Sicherheitsorganen, einschließlich der Streitkräfte, aber auch des privaten Bereichs von der modernen Informations- und Kommunikationstechnologie hat daher zu neuen Verwundbarkeiten geführt und damit die Wirksamkeit hybrider Bedrohungen merklich verstärkt. Die folgenden Beispiele verdeutlichen, welche weitreichenden Wirkungen Cyber-Operationen erzeugen können, ohne dass sie notwendigerweise besonders ausgeklügelt sind oder einembestimmten Staat zugerechnet werden können:

  • Im Jahr 2015 war die Arbeitsfähigkeit des Deutschen Bundestages durch einen sogenannten Hackerangriff nachhaltig beeinträchtigt. Erst nach einem Austausch der gesamten Informations- und Kommunikationsinfrastruktur konnte ein weiteres Ausspähen der Abgeordneten und anderer Politikerinnen und Politiker – vermutlich durch den russischen Militärgeheimdienst GRU – ausgeschlossen werden.

  • Ebenfalls 2015 sollen mutmaßlich russische Hacker eine türkische Pipeline zur Explosion gebracht haben. Im Jahr 2021 wurde die größte Pipeline der USA durch einen Cyberangriff lahmgelegt, was zur Ausrufung eines regionalen Notstands führte.

  • 2017 legte ein Angriff mit einer Erpressersoftware (ransomware) eine der weltweit größten Reedereien lahm. Das hatte eine Unterbrechung internationaler Lieferketten und einen Schaden von mehreren hundert Millionen US-Dollar zur Folge.

  • Wiederum 2017 wurde über das Internet die Falschmeldung verbreitet, in Litauen stationierte Soldaten der Bundeswehr hätten eine junge Frau vergewaltigt. Ziel war es, die litauische Bevölkerung zu veranlassen, die Stationierung deutscher Streitkräfte abzulehnen.

  • Sowohl im Jahr 2015 als auch im Jahr 2022 hatten Cyber-angriffe gegen das ukrainische Stromnetz zu einem weiträumigen Zusammenbruch der Elektrizitätsversorgung geführt. Zudem kam es 2022 auch zu Cyberangriffen auf das ukrainische Verteidigungsministerium und zwei Staatsbanken. Die Webseiten der Banken waren nicht mehr zugänglich, zudem war das bargeldlose Zahlen vorübergehend nicht möglich.

  • Im Jahr 2021 hatte ein Cyberangriff den Ausfall der Benzinversorgung im Iran zur Folge.

Derartige Cyber-Operationen sind als solche oder im Zusam-menwirken mit anderen Maßnahmen geeignet, sehr wirksam zu sein, und darauf gerichtet, in den Zielstaaten Instabilität und Verunsicherung zu erzeugen. Die Zielstaaten stehen ihrerseits vor dem Problem, sie weder einem bestimmten Staat zurechnen noch als Bestandteil einer hybriden Bedrohung einordnen zu können. Die jüngsten Ereignisse in der Ukraine haben zudem gezeigt, dass eine schrittweise Verstärkung hybrider Bedrohungen gegen einen anderen Staat letztlich in eine offene Anwendung militärischer Gewalt münden kann. Die unterhalb der Gewaltschwelle verbleibenden Maßnahmen der Russischen Föderation, wie etwa die Cyberangriffe gegen das ukrainische Verteidigungsministerium und ukrainische Banken sowie Meldungen über ukrainische Angriffe gegen die Zivilbevölkerung in den von den Separatisten kontrollierten Gebieten, dienten einem übergeordneten strategischen Ziel. Nach einer Destabilisierung der Lage in der Ukraine und der Verdeckung der eigenen Absichten sollten zumindest Teile der Ukraine unter russische Kontrolle gebracht werden.

QuellentextUnsichtbare Gegner

[…] Russlands Staatshacker waren schon vor dem Überfall auf die Ukraine am 24. Februar berüchtigt, sie gelten als besonders professionell und aggressiv, und gerade "weiche Ziele" wie Stadtwerke lassen sich heute auch ohne Panzerfäuste und schweres Gerät angreifen. Das ist viel einfacher und billiger. Eine saudische Ölraffinerie, ein Staudamm in den USA, eine iranische Atomanlage und, ja, Stromwerke in der Ukraine wurden schon von Hackern geknackt. […]

[…] Seit Beginn des Krieges prasseln auf Deutschland, aber auch auf andere Nato-Länder digitale Attacken ein. Am 31. März zum Beispiel entdeckten Techniker des Windturbinenherstellers Nordex aus Hamburg, dass Hacker dort eingedrungen waren. Die Computer wurden heruntergefahren, um zu verhindern, dass die Einbrecher tiefer vordringen.

Am 11. April traf es die Deutsche Windtechnik AG in Bremen, die Verbindung zu 2000 Turbinen musste für drei Tage gekappt werden. Sicher ist es kein Zufall, dass ausgerechnet Windfirmen ins Visier geraten, wenn das Land mitten im Schwenk auf erneuerbare Energien steckt.

Und, natürlich, wahr ist auch: Die Webseiten des Verteidigungsministeriums, des Bundestags, der Bundespolizei und auch des SPD-Abgeordneten und Bundeskanzlers Olaf Scholz persönlich wurden attackiert, manche zeitweise lahmgelegt. Eine prorussische Hacker-Gruppe namens Killnet bekannte sich stolz dazu, die Seiten durch ein Trommelfeuer von Anfragen – eine sogenannte DDoS-Attacke – in die Knie gezwungen zu haben. […]

[…] Es herrscht ein "abstrakt erhöhtes Risiko von Cyberangriffen gegen deutsche Stellen", betont die Bundesregierung. […] Und trotzdem, fügte die Regierung […] hinzu: "Bisher konnte weder quantitativ noch qualitativ ein signifikant erhöhtes Aufkommen an russischen staatlichen Stellen zugeschriebenen Cyberangriffen auf Deutschland festgestellt werden."

[…] Die russischen Cyber-Waffen liegen bereit, die Kämpfer sind gut trainiert, die Schlachtpläne vielfach einstudiert. Auch in Deutschland haben russische Hacker-Gruppen schon mehrmals erfolgreich zugeschlagen. Besonders mit zwei großen Hacker-Gruppen liefert der deutsche Staat sich seit Jahren ein Katz-und-Maus-Spiel […]: Bär und Schlange.

Der Bär, das sind wahrscheinlich gut hundert russische Software-Spezialisten […]. Hochaggressiv, hochintelligent, es ist ein Projekt des russischen Militärgeheimdienstes GRU. Von westlichen IT-Firmen und Geheimdiensten ist diese Truppe "fancy bear" getauft worden. Der "schicke Bär". Das hat mit einem Code zu tun, den diese Gruppe anfangs verwendet hat.

Klingt fast niedlich, aber niedlich ist an dieser Gruppe nichts. 2015 sind sie in den Bundestag eingebrochen und mit 16 Gigabyte Beute davongezogen. […] Was mögen das für Menschen sein, diese unsichtbaren Gegner? Wie arbeiten sie? […] Und warum hört man nach Jahren der Auseinandersetzungen ausgerechnet jetzt, im Krieg, so wenig von ihnen? […]

Womöglich ist da was zusammengebrochen, vielleicht sind Ressourcen kollabiert, über die Russland bisher verfügt hat. Vielleicht sind da Cyber-Kriminelle aus neutralen Ländern, die bislang für Geld mitgemacht haben, aber jetzt angesichts der Schreckensbilder aus der Ukraine sagen: Bis hierhin und nicht weiter. […]

Oder liegt es vielleicht gar nicht an den Russen, dass ihre Cyber-Attacken gerade nicht so richtig einschlagen? Liegt es eher an den Deutschen? "Daran muss man auch denken", sagt der deutsche [Geheimdienst-]Agent: Die hiesige Cyber-Verteidigung habe dazugelernt aus ihren schmerzhaften Erfahrungen in den vergangenen Jahren. […]

Aber so ganz darauf vertrauen möchte man auch nicht. Der Agent sagt: Man sehe das an der Schlange – "Snake". Das ist eine Hacker-Gruppe des russischen Staates, die einen ganz anderen Stil pflegt als der Bär. Ihr Markenzeichen ist Raffinesse, Schläue. Das absolut lautlose Anschleichen. Die Hacker verschaffen sich Zutritt zu ihrem Ziel, legen sich dann teils jahrelang auf die Lauer, bevor sie auf Kommando aufwachen und plötzlich wie aus dem Nichts zuschlagen können.

Attacken wie jene von "Snake" haben "eine hohe Komplexität", sagt der Agent, damit ist es ihnen zum Beispiel im Jahr 2018 gelungen, in das besonders gesicherte Kommunikationsnetz des deutschen Außen- und Verteidigungsministeriums einzudringen. Mit einer List: Erst verseuchten die Hacker einen Fortbildungskurs für Mitarbeiter des Auswärtigen Amtes, 17 Beamte klickten leichtsinnig auf E-Mail-Anhänge.

Dann ließen die Russen ihre Schadsoftware monatelang unauffällig das Netzwerk auskundschaften, wie kleine digitale Spione. Zum Einsatz gerufen wurden sie erst nach gut einem Jahr, und zwar auf äußerst diskrete Weise. Damit die deutsche Spionageabwehr nicht misstrauisch wurde, schickten die Hacker ihren Weckruf bestens getarnt: als private Liebesnachricht, verschickt vom Konto der Lebensgefährtin eines Außenamt-Mannes.

Man könne nicht ausschließen, sagt ein anderer Experte, dass noch weitere Einheiten der Snake-Gruppe unentdeckt im 50 000 bis 60 000 Rechner umspannenden deutschen Regierungsnetz zurückgeblieben seien, schlummernd. Vielleicht warten auch sie auf Liebesgrüße, die sie aufwecken. Und das heißt: Vielleicht ist die momentane Ruhe nur die Ruhe vor einem Sturm. […]

Jannis Brühl und Ronen Steinke, "Putins unsichtbare Krieger", in: Süddeutsche Zeitung vom 20. Mai 2022

Wie hybriden Bedrohungen begegnen?

Insbesondere demokratische Rechtsstaaten können sich schwerlich auf den Pfad begeben, den beispielsweise die Volksrepublik China geht, indem die chinesische Bevölkerung einer Orwellschen Kontrolle unterworfen sowie weitgehend vor missliebigen Informationen abgeschottet oder am Zugang zum Internet gehindert wird. Daher verbleiben allein die im Rahmen einer regelbasierten internationalen Ordnung akzeptierten Reaktionen auf hybride Bedrohungen.

Diese setzen zunächst eine merkliche Verbesserung der Fähigkeiten im Bereich der Cyberforensik und der internationalen Zusammenarbeit voraus. Nur so wird es möglich sein, Cyberoperationen einem anderen Staat zuzurechnen, gegen den dann eine Vielzahl von Gegenmaßnahmen ergriffen werden können. Zusätzlich zu dem in Tallinn seit 2008 bestehenden NATO Cooperative Cyber Defence Centre of Excellence haben elf NATO- und EU-Mitgliedstaaten mit der Errichtung des European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE), das in Helsinki im Oktober 2017 eingeweiht worden ist, einen weiteren wichtigen und richtigen Schritt in diese Richtung unternommen. Freilich könnte die Zusammenarbeit noch verbessert werden, indem technisches und operatives Wissen bereitgestellt wird und die Technologieunternehmen noch besser einbezogen werden.

Des Weiteren ist es, obgleich es sich nahezu um einen allzustrapazierten Allgemeinplatz handelt, unumgänglich, die Resilienz, also die Widerstandsfähigkeit, der Informations- und Kommunikationstechnologie zu verbessern. Dazu ist es nötig, auch den menschlichen Faktor in den Blick zu nehmen, denn der beste technische Schutz reicht nicht aus, wenn die Nutzerinnen und Nutzer – ob im privaten, wirtschaftlichen oder öffentlichen Bereich – sich der Gefahren im und durch den Cyberraum nicht hinreichend bewusst sind.

Schließlich bleiben politische Entscheidungsträgerinnen und -träger aufgerufen, hybride Bedrohungen im und durch den Cyberraum, die gegen die öffentliche oder private Cyberinfrastruktur gerichtet sind, möglichst eindeutig und entschlossen – auch völkerrechtlich – einzuordnen. Eine bösartige Cyberoperation muss nicht notwendig als ein das Selbstverteidigungsrecht auslösender bewaffneter Angriff eingeordnet werden, um eine wirksame und vom Völkerrecht gedeckte Reaktion zu ermöglichen (mithin durch Anwendung militärischer Gewalt). In der Regel ist dies ohnehin nicht möglich, da es ja gerade ein Wesensmerkmal hybrider Bedrohungen ist, möglichst lange unterhalb der Schwelle eine Gewaltanwendung oder eines bewaffneten Angriffs zu verbleiben. Vielmehr sollten Cyber-Operationen, die materielle Schäden in der physischen Welt verursachen oder wesentliche staatliche Funktionen beeinträchtigen, als unzulässige Verletzungen der territorialen Integrität oder der Souveränität benannt werden. Dies würde den Zielstaaten ein breites Spektrum an Gegenmaßnahmen eröffnen, die Wirtschaftssanktionen, aber auch schädigende Cyberoperationen gegen den verantwortlichen Staat umfassen können. Dazu bedarf es aber des erforderlichen politischen Willens.

Prof. Dr. Wolff Heintschel von Heinegg ist Inhaber des Lehrstuhls für Öffentliches Recht, insbesondere Völkerrecht, Europarecht und ausländisches Verfassungsrecht an der Europa-Universität Viadrina, Frankfurt (Oder). Seine Schwerpunkte sind das Recht der interna­tionalen und der europäischen Sicherheit sowie das Einsatzrecht.