Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Analyse: Cyber-Operationen im Kontext des Russland-Ukraine-Krieges 2022 | Ukraine-Analysen | bpb.de

Ukraine Der Globale Süden und der Krieg (24.11.2023) Analyse: Der Blick aus dem Süden: Lateinamerikanische Perspektiven auf Russlands Angriffskrieg gegen die Ukraine Analyse: Russlands Krieg gegen die Ukraine und Afrika: Warum die Afrikanische Union zwar ambitioniert, aber gespalten ist Analyse: Eine Kritik der zivilisatorischen Kriegsdiplomatie der Ukraine im Globalen Süden Umfragen: Umfragedaten: Der Globale Süden und Russlands Krieg gegen die Ukraine Dokumentation: Abstimmungen in der Generalversammlung der Vereinten Nationen Chronik: 16. bis 27. Oktober 2023 Zwischen Resilienz und Trauma: Mentale Gesundheit (02.11.2023) Analyse: Mentale Gesundheit in Zeiten des Krieges Karte: Angriffe auf die Gesundheitsinfrastruktur der Ukraine Analyse: Den Herausforderungen für die psychische Gesundheit ukrainischer Veteran:innen begegnen Umfragen: Umfragen zur mentalen Gesundheit Statistik: Mentale Gesundheit: Die Ukraine im internationalen Vergleich Chronik: 1. bis 15. Oktober 2023 Ukraine-Krieg in deutschen Medien (05.10.2023) Kommentar: Der Kampf um die Deutungshoheit. Deutsche Medien zu Ukraine, Krim-Annexion und Russlands Rolle im Jahr 2014 Analyse: Die Qualität der Medienberichterstattung über Russlands Krieg gegen die Ukraine Analyse: Russlands Aggression gegenüber der Ukraine in den deutschen Talkshows 2013–2023. Eine empirische Analyse der Studiogäste Chronik: 1. bis 30. September 2023 Ökologische Kriegsfolgen / Kachowka-Staudamm (19.09.2023) Analyse: Die ökologischen Folgen des russischen Angriffskrieges in der Ukraine Analyse: Ökozid: Die katastrophalen Folgen der Zerstörung des Kachowka-Staudamms Dokumentation: Auswahl kriegsbedingter Umweltschäden seit Beginn der großangelegten russischen Invasion bis zur Zerstörung des Kachowka-Staudamms Statistik: Statistiken zu Umweltschäden Zivilgesellschaft / Lokale Selbstverwaltung und Resilienz (14.07.2023) Von der Redaktion: Sommerpause – und eine Ankündigung Analyse: Die neuen Facetten der ukrainischen Zivilgesellschaft Statistik: Entwicklung der ukrainischen Zivilgesellschaft Analyse: Der Beitrag lokaler Selbstverwaltungsbehörden zur demokratischen Resilienz der Ukraine Wissenschaft im Krieg (27.06.2023) Kommentar: Zum Zustand der ukrainischen Wissenschaft in Zeiten des Krieges Kommentar: Ein Brief aus Charkiw: Ein ukrainisches Wissenschaftszentrum in Kriegszeiten Kommentar: Warum die "Russian Studies" im Westen versagt haben, Aufschluss über Russland und die Ukraine zu liefern Kommentar: Mehr Öffentlichkeit wagen. Ein Erfahrungsbericht Statistik: Auswirkungen des Krieges auf Forschung und Wissenschaft der Ukraine Innenpolitik / Eliten (26.05.2023) Analyse: Zwischen Kriegsrecht und Reformen. Die innenpolitische Entwicklung der Ukraine Analyse: Die politischen Eliten der Ukraine im Wandel Statistik: Wandel der politischen Elite in der Ukraine im Vergleich Chronik: 5. April bis 3. Mai 2023 Sprache in Zeiten des Krieges (10.05.2023) Analyse: Die Ukrainer sprechen jetzt hauptsächlich Ukrainisch – sagen sie Analyse: Was motiviert Ukrainer:innen, vermehrt Ukrainisch zu sprechen? Analyse: Surschyk in der Ukraine: zwischen Sprachideologie und Usus Chronik: 08. März bis 4. April 2023 Sozialpolitik (27.04.2023) Analyse: Das Sozialsystem in der Ukraine: Was ist nötig, damit es unter der schweren Last des Krieges besteht? Analyse: Die hohen Kosten des Krieges: Wie Russlands Krieg gegen die Ukraine die Armut verschärft Chronik: 22. Februar bis 7. März 2023 Besatzungsregime / Wiedereingliederung des Donbas (27.03.2023) Analyse: Etablierungsformen russischer Herrschaft in den besetzten Gebieten der Ukraine: Wege und Gesichter der Okkupation Karte: Besetzte Gebiete Dokumentation: Human Rights Watch: Torture, Disappearances in Occupied South. Apparent War Crimes by Russian Forces in Kherson, Zaporizhzhia Regions (Ausschnitt) Dokumentation: War and Annexation. The "People’s Republics" of eastern Ukraine in 2022. Annual Report (Ausschnitt) Dokumentation: Terror, disappearances and mass deportation Dokumentation: Haftbefehl des Internationalen Strafgerichtshofs (ICC) gegen Wladimir Putin wegen der Verschleppung von Kindern aus besetzten ukrainischen Gebieten nach Russland Analyse: Die Wiedereingliederung des Donbas nach dem Krieg: eine gesamtgesellschaftliche Herausforderung Chronik 11. bis 21. Februar 2023 Internationaler Frauentag, Feminismus und Krieg (13.03.2023) Analyse: 8. März, Feminismus und Krieg in der Ukraine: Neue Herausforderungen, neue Möglichkeiten Umfragen: Umfragen zum Internationalen Frauentag Interview: "Der Wiederaufbau braucht einen geschlechtersensiblen Ansatz" Statistik: Kennzahlen und Indizes geschlechterspezifischer Ungleichheit Korruptionsbekämpfung (08.03.2023) Analyse: Der innere Kampf: Korruption und Korruptionsbekämpfung als Hürde und Gradmesser für den EU-Beitritt der Ukraine Dokumentation: Statistiken und Umfragen zu Korruption Analyse: Reformen, Korruption und gesellschaftliches Engagement Chronik: 1. bis 10. Februar 2023 Kriegsentwicklung / Jahrestag der Invasion (23.02.2023) Analyse: Unerwartete Kriegsverläufe Analyse: Die Invasion der Ukraine nach einem Jahr – Ein militärischer Rück- und Ausblick Kommentar: Die Unterstützung der NATO-Alliierten für die Ukraine: Ursachen und Folgen Kommentar: Der Krieg hat die Profile der EU und der USA in der Ukraine gefestigt Kommentar: Wie der Krieg die ukrainische Gesellschaft stabilisiert hat Kommentar: Die existenzielle Frage "Sein oder Nichtsein?" hat die Ukraine klar beantwortet Kommentar: Wie und warum die Ukraine neu aufgebaut werden sollte Kommentar: Der Krieg und die Kirchen Karte: Kriegsgeschehen in der Ukraine (Stand: 18. Februar 2023) Statistik: Verluste an Militärmaterial der russischen und ukrainischen Armee Chronik: 17. bis 31. Januar 2023 Meinungsumfragen im Krieg (15.02.2023) Kommentar: Stimmen die Ergebnisse von Umfragen, die während des Krieges durchgeführt werden? Kommentar: Vier Fragen zu Umfragen während eines umfassenden Krieges am Beispiel von Russlands Krieg gegen die Ukraine Kommentar: Meinungsumfragen in der Ukraine zu Kriegszeiten: Zeigen sie uns das ganze Bild? Kommentar: Meinungsforschung während des Krieges: anstrengend, schwierig, gefährlich, aber interessant Kommentar: Quantitative Meinungsforschung in der Ukraine zu Kriegszeiten: Erfahrungen von Info Sapiens 2022 Kommentar: Meinungsumfragen in der Ukraine unter Kriegsbedingungen Kommentar: Politisches Vertrauen als Faktor des Zusammenhalts im Krieg Kommentar: Welche Argumente überzeugen Deutsche und Dänen, die Ukraine weiterhin zu unterstützen? Dokumentation: Umfragen zum Krieg (Auswahl) Chronik: Chronik 9. bis 16. Januar 2023 Ländliche Gemeinden / Landnutzungsänderung (19.01.2023) Analyse: Ländliche Gemeinden und europäische Integration der Ukraine: Entwicklungspolitische Aspekte Analyse: Monitoring der Landnutzungsänderung in der Ukraine am Beispiel der Region Schytomyr Chronik: 26. September bis 8. Januar 2023 Weitere Angebote der bpb Redaktion

Analyse: Cyber-Operationen im Kontext des Russland-Ukraine-Krieges 2022 Ukraine-Analyse Nr. 267

Matthias Schulze Berlin) Matthias Schulze (Stiftung Wissenschaft und Politik

/ 15 Minuten zu lesen

Vor dem russischen Einmarsch in die Ukraine befürchteten Analyst:innen schwerwiegende Cyber-Angriffe gegen kritische Infrastrukturen. Die Analyse zeigt, warum bislang kaum größere Angriffe verzeichnet wurden.

Der Befehlshaber der Kommunikations- und Cybersicherheitskräfte der Streitkräfte der Ukraine, Generalmajor Jewhen Stepanenko, bei einem Interview. (© picture-alliance, Photoshot)

Zusammenfassung

Im Vorfeld des russischen Einmarsches in der Ukraine befürchteten Analyst:innen schwerwiegende Cyber-Angriffe etwa gegen kritische Infrastrukturen, die so Strom oder Kommunikationsnetze abschalten könnten. Größere destruktive Cyber-Vorfälle sind bisher im Kontext des Krieges nicht eingetreten. Das Cyber-Konfliktbild ist von gezielten Angriffen, Cyber-Spionage und den störenden Tätigkeiten von pro-russischen oder pro-ukrainischen Hacktivist:innen gekennzeichnet. Insgesamt haben diese Angriffe jedoch kaum Effekte im Krieg auf dem Boden und in der Luft. Es werden fünf Gründe für das Ausbleiben schwerwiegenderer Cyber-Angriffe genannt: erstens eine gute Defensive der Ukraine, zweitens eine unklare Datenlage, drittens überzogene Erwartungen an ein "Cyber-Pearl Harbor"-Szenario, viertens staatliche Zurückhaltung und fünftens die hohe wechselseitige Verwundbarkeit.

Lehren aus der Vergangenheit

Im Vorfeld der russischen Invasion in der Ukraine warnten zahlreiche IT-Sicherheitsexpert:innen und Behörden vor großen russischen Cyber-Angriffen auf kritische Infrastrukturen. Die US-amerikanische Cybersecurity and Infrastructure and Security Agency (CISA) forderte etwa am 16. Februar, also eine Woche vor Kriegsbeginn, mit markigen Worten US-amerikanische Unternehmen auf, die "Schilde hochzufahren". IT-Sicherheitspersonal und Administrator:innen sollten besonders wachsam sein. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte seit Anfang des Jahres mehrfach vor russischen Cyber-Angriffen auf kritische Infrastrukturen in Deutschland.

Dafür gab es berechtigte Gründe. Russland hatte in der Vergangenheit eine ganze Bandbreite seiner offensiven Cyber-Fähigkeiten zur Schau gestellt: Dazu gehörten Cyber-Spionage wie etwa der Bundestagshack 2015 oder die weltweite Solar Winds-Kampagne 2020, sogenannte Hack & Leak-Operationen zur Beeinflussung der amerikanischen und französischen Präsidentschaftswahlen 2016 und 2017 oder die Störungen mit Milliardenschäden durch den Ransomware-Wurm Not-Petya im Jahr 2017. Als Königsdisziplin gelten dabei physische Effekte durch Cyber-Angriffe: Russische Angreifer:innen deaktivierten einmal im Jahr 2015 und einmal im Jahr 2016 mit der Crashoverride/Industroyer Schadsoftware für wenige Stunden den Strom in der ukrainischen Hauptstadt Kyjiw. Die Ukraine wird seit der Annexion der Krim 2014 auch als "Testgebiet für Cyber-Warfare" bezeichnet, da sie in den letzten Jahren immer wieder mit Ausfällen durch Cyber-Angriffe zu kämpfen hatte. Mit der Invasion der Ukraine gab es also Grund zur Annahme, dass Cyber-Operationen kriegsbegleitend oder gar als Vergeltung gegen westliche Sanktionen eingesetzt werden könnten. Seit 2018 warnen westliche Behörden wie zum Beispiel der deutsche Verfassungsschutz, dass russische Bedrohungsakteure es zunehmend auch auf westliche kritische Infrastrukturen wie Stromnetze abgesehen haben.

Dahinter steht die vorwiegend westlich geprägte Sorge vor einem großen strategischen Cyber-Krieg, bei dem digitalisierte Länder aus der Ferne heruntergefahren werden und durch Stromausfälle die Wirtschaft und die Zivilgesellschaft komplett zum Erliegen komme. Solch ein "Cyber-Pearl Harbor"-Bedrohungsszenario geistert seit den 1990er Jahren durch westliche sicherheitspolitische Diskurse. Allerdings hat es wenig mit der Realität zu tun.

Vorstellung und Wirklichkeit

Der barbarische Krieg in der Ukraine tobt nun schon über zwei Monate. Derzeit muss allerdings konstatiert werden, dass der große Cyber-Krieg (bisher) ausgeblieben ist. Zu beobachten war schon eine ganze Bandbreite verschiedenster Cyber-Operationen, doch diese haben eher eine geringe bis mittlere Intensität. Physische Schäden, länger anhaltende Ausfälle kritischer Infrastrukturen oder gar Stromausfälle hat es bisher kaum gegeben. Allerdings gab es durchaus Versuche, Substationen des Stromnetzes zu sabotieren, die aber nach öffentlich verfügbaren Informationen abgewehrt werden konnten. Der Chef des britischen Nachrichtendienstes GCHQ fasste in einer Rede die Cyber-Lage wie folgt zusammen: "Während einige Leute nach einem "Cyber-Pearl Harbor" gesucht haben, war es nie unsere Auffassung, dass ein katastrophaler Cyber-Angriff ein zentraler Bestandteil der russischen Cyber-Offensive oder ihrer Militärdoktrin ist." Stattdessen sehe man eine gezielte Kampagne russischer Cyber-Akteure, die ukrainische Regierungs- und Militärsysteme angreifen und stören.

Der Chef der amerikanischen National Security Agency (NSA) und der United States Cyber Command (USCYBERCOM) Paul M. Nakasone vertrat in einer Kongressanhörung im März eine ähnliche Position. Man habe bisher nur drei bis vier bemerkenswerte russische Cyber-Angriffe gesehen. Er bezog sich dabei auf eine Serie sogenannter Wiper-Attacken gegen ukrainische Behörden, die Daten exfiltriert und gelöscht hatten. Wiper-Schadsoftware löscht Daten auf Systemen und macht so einzelne Rechner bzw. ganze Netzwerke unbrauchbar. Damit wurde die Arbeit ukrainischer Behörden und somit die Reaktionsfähigkeit auf eine Invasion massiv gestört. Das genaue Ausmaß der gelöschten Daten und betroffenen Ministerien ist bisher unklar. Aber der Einsatz von fünf verschiedenen Wiper-Generationen spricht dafür, dass man hier auf größtmögliche Reichweite setzte. Wiper sind in Cyber-Konflikten eher selten. Normalerweise gibt es nur wenige Vorfälle pro Jahr, da diese Schadsoftwarevariante als sehr aggressiv gilt. Auch wenn genaue Analysen und Attribution zum Teil noch ausstehen, ist anzunehmen, dass diese Schadsoftware-Varianten verschiedenen russischen Bedrohungsakteuren zugeschrieben werden können.

Bemerkenswert ist zudem der Hack von KA-SAT Sattelitenmodems der amerikanischen Firma Viasat. Die Modems von Internet-of-Things-Geräten wie Windturbinen erhielten am 24. Februar, also am Tag der Invasion, manipulierte Steuerungsbefehle, was zum Abbruch der Sattelitenverbindung führte, wobei die Turbinen selbst noch funktionierten. Die Kompromittierung erfolgte laut Viasat über eine gekaperte VPN-Verbindung einer Bodenstation und durch einen Wiper (AcidRain), der die Modems löschte. Da der Ausfall insbesondere die Region in Südosteuropa betraf und auch das ukrainische Militär über KA-Sat kommuniziert, liegt ein Zusammenhang mit dem Krieg nahe. Tausende Windkraftanlagen in Europa waren das Kollateralopfer von diesem Cyber-Angriff, darunter auch Anlagen des deutschen Betreibers Enercon. Viasat hat über 27.000 Kunden weltweit, so dass die Dunkelziffer der Betroffenen sicher noch höher ist. Westliche Nachrichtendienste gehen mittlerweile davon aus, dass das Ziel dieser Cyber-Angriffe die Störung der militärischen Kommunikation (Command & Control) der Ukraine war, um einen russischen Einmarsch zu erleichtern. Einiges spricht dafür, dass dies zumindest in den Anfangstagen des Krieges bis zu einem gewissen Grad erfolgreich war.

Neben destruktiven Wiper Angriffen betreibt Russland auch vermehrt Cyber-Spionage. Am 7. März meldete Googles Threat Analysis Group, dass sie vermehrte Aktivität von Phishing und Spionagekampagnen von APT28 (Russland) und Ghostwriter/UNC1151 sehen (vermutlich Belarus). Advanced Persistent Threats (APT) beschreiben Angriffskampagnen, die sich über lange Zeit auf wenige Ziele konzentrieren, um dauerhaften Zugriff zu erhalten. Meist sind dies staatliche Cyber-Operationen mit dem Ziel der Spionage oder der Sabotage von Systemen. APT sind im Vorgehen komplexer und kompetenter als etwa Cyber-Kriminelle oder Hacktivist:innen und sind deswegen gefährlicher. Auch die russische IT-Sicherheitsfirma Kaspersky meldete am 10. März, dass man seit Anfang Februar eine erhöhte Aktivität von Command & Control (C2) Infrastruktur der APT Gamaredon sehe. Gamaredon (auch Primitive Bear genannt) wird dem russischen Geheimdienst FSB zugeschrieben. Cyber-Angreifer steuern ihre Schadsoftware über eine derartige C2-Infrastruktur aus der Ferne und nutzen die Systeme auch zur automatisierten Verbreitung von Phishing-Mails und für andere Komponenten von Cyber-Operationen.

Zwei Wochen später wurde berichtet, dass die vermutlich russische APT Sandworm mittels ASUS-Routern ein neues Botnet (genannt Cyclops Blink) aufbaute, vermutlich ebenfalls als C2-Infrastruktur für eine neue Angriffswelle. Sandworm wird dem russischen Militärgeheimdienst G(R)U zugeschrieben und griff in der Vergangenheit auch westliche Ziele an. Dies kulminierte schließlich in der Warnung von US-Präsident Joe Biden am 21. März, dass man "aktuelle Informationen" habe, dass Russland Optionen für Cyber-Angriffe gegen den Westen prüfe. Am 31. März tauchte schließlich ein Bericht in ungarischen Medien auf, welcher von einer umfassenden Kompromittierung des ungarischen Außenministeriums durch russische Spionagekampagnen sprach. Diese Kompromittierung gehe teils Jahre zurück, da es Ungarn aufgrund fehlender Kompetenzen und politischem Willen nicht gelang, die Angreifer permanent aus den Netzwerken zu werfen. Ungarische Insider berichten von erhöhter Aktivität der Angreifer im Januar. Sie hätten über das ukrainische Außenministerium Fernzugriff auf sensible Datenkanäle der EU und NATO bekommen, während zeitgleich diverse NATO- und EU-Krisenkonferenzen im Hinblick auf den bevorstehenden Krieg in der Ukraine tagten.

Diese gezielteren Aktivitäten russischer Nachrichtendienste entsprechen ungefähr dem, was man auch in der Vergangenheit, etwa mit Hacks gegen diverse Außenministerien (darunter auch das deutsche), beobachten konnte. Diese Angriffe sind eher leise und auf wenige Ziele fokussiert, aber dafür auf dauerhaften Zugang ausgelegt. Nur dadurch lassen sich wertvolle nachrichtendienstliche Informationen extrahieren. Da Russland Informationen über die westliche Positionierung innerhalb der EU und NATO, etwa bei der Unterstützung von Sanktionen oder Waffenlieferungen sucht, ist Cyber-Spionage das Mittel der Wahl. Das Ziel dürfte mittel- bis langfristig sein, Keile zwischen die westlichen Staaten zu treiben, um die Sanktionen oder die Militärhilfe der Ukraine zurückzufahren. Darin dürfte der größte Wert von Cyber-Spionage im Kontext des Krieges in der Ukraine liegen.

Cyber-Scharmützel

Neben verborgener staatlicher Aktivität ist die digitale Dimension des Ukraine-Krieges von einer Vielzahl kleinerer Scharmützel zwischen pro-russischen und pro-ukrainischen Hacktivist:innen gekennzeichnet. Weltweit schlossen sich IT-Expert:innen und Hacker:innen dem ukrainischen Aufruf zur Bildung einer IT-Army an. Mittlerweile haben sich um die 70 Hacktivist:innengruppen, von GhostSec, Anonymous, Network Battalion 65, aber auch Cyberkriminelle wie Ransomware-Gruppen auf die ukrainische Seite geschlagen. Es gibt aber auch Gruppen, die Russland unterstützen wie Conti, KillDisk oder Xaknet, die bereits Cyber-Angriffe auf westliche Ziele gestartet haben. Der Begriff Hacktivist beschreibt den losen Zusammenhang global verteilter Hacker:innen, die sich ad hoc für gemeinsame Aktivitäten verbünden, aber nicht zentral gesteuert werden.

Ein Großteil ihrer Aktivität ist insbesondere durch zahlreiche Distributed Denial of Service-Angriffe (DDoS) gekennzeichnet. Immer wieder werden russische Websites wie vom Kreml, von Ministerien, Botschaften, von Geheimdiensten wie dem FSB, Banken, aber auch russischen Staatsmedien temporär überlastet. DDoS-Angriffe dauern meist nur kurz an und sind reversibel. Sie werden auch immer wieder gegen ukrainische Internetdienstanbieter (ISP) gerichtet, was teilweise zu partiellen Konnektivitätsverlusten in einzelnen Regionen führt. Daneben gibt es auch zahlreiche Website-Defacement-Angriffe, bei denen Anti-Kriegsbotschaften und die berühmte "Guy Fawkes"-Maske auf Websites platziert werden.

Daneben wenden Hacktivist:innen eine Hack & Leak-Strategie gegen Russland an. In Netzwerke und Server von Ministerien, Behörden und Unternehmen wird eingebrochen, deren Daten gestohlen und zum Download zur Verfügung gestellt. Hacktivist:innen behaupten unter anderem in die folgenden Institutionen eingebrochen zu sein: die russische Zentralbank, die russische Weltraumbehörde, Gazprom, Rosneft Deutschland (das BKA ermittelt), Transneft, die Medienregulationsanstalt Roskomnadzor, Rüstungsunternehmen wie Rostec, Tetraedr und Kronshtadt, Nuklearforschungsinstitute sowie Medien. Diese Leaks beinhalten auch wertvolle strategische Informationen: so wurden die Namen und Dienstnummern von den über 120.000 russischen Soldat:innen in der Ukraine veröffentlicht. Zudem wurden detaillierte Informationen über 620 Agenten des russischen Geheimdienstes FSB veröffentlicht. Diese Daten sind für westliche und weitere Nachrichtendienste ein Fundus und dürften allesamt übersetzt und ausgewertet werden, um nachrichtendienstliche Vorteile zu erlangen. Ein Beispiel hierfür ist die Enttarnung von Geheimdienstagenten durch die Korrelation von Handydaten und Essensbestellungen bei Lieferdiensten durch die NGO Bellingcat.

Daneben gibt es noch eine ganze Reihe von Hacks mit diversen Zielen, etwa um die russische Internetzensur zu umgehen und der russischen Bevölkerung ein anderes Bild des Krieges zu zeigen. Ziel solcher "Informationsoperationen" ist es, die Informationshoheit der Staatspropaganda in Russland zu durchbrechen. So hackte Anonymous mit dem Internet verbundene Drucker, um Anti-Kriegsflugblätter zu drucken. Überwachungskameras wurden gehackt und in ihre Videofeeds Anti-Kriegsbotschaften eingebettet. Das russischsprachige soziale Netzwerk VK wurde angeblich gehackt, um ähnliche Informationen zu verbreiten. Vieles lässt sich nur schwer verifizieren. Zur Umgehung von Staatspropaganda in Russland werden zudem auch andere Mittel genutzt wie zum Beispiel Email-Spam an russische Email-Adressen, SMS- und WhatsApp-Spam über ein eigens von Hacktivist:innen entwickeltes Tool, sowie klassische Anrufe bei russischen Telefonnummern, um vom Krieg zu berichten. Es gibt zudem Berichte, dass Live-Streams von russischen Fernsehsendern gehackt wurden, um pro-ukrainische Botschaften zu zeigen. Wie erfolgreich diese Initiativen sind, ist schwer abzuschätzen.

Es gibt zudem erste Berichte, dass auch Ransomware eingesetzt wird. Ransomware verschlüsselt Daten auf Zielsystemen und macht sie für ihre Besitzer:innen unbrauchbar. Ransomware ist ein weitverbreitetes Mittel von Cyber-Kriminellen, um Lösegeld zur Wiederfreigabe der verschlüsselten Daten zu erpressen. Die Systeme der russischen Firma Miratorg, einem der größten Fleischproduzenten des Landes, wurden angeblich verschlüsselt, ohne dass eine Lösegeldzahlung abgesetzt wurde. Zudem behauptete die "Belarussian Cyber Guerilla", das Logistiknetzwerk der belarusischen Eisenbahn mit Ransomware lahmgelegt zu haben, um die Verlegung russischer Truppen in Belarus zu verhindern. Allerdings gab es auch physische Sabotageakte entlang der belarusischen Eisenbahnlinien, so dass unklar ist, ob Schadsoftware oder brennende Kabelschächte die Ausfälle auslösten. Diverse Ransomware-Gruppen, darunter Stormous oder auch Conti sind auf russischer Seite in den Konflikt eingestiegen. Conti behauptet etwa für einen Ransomware-Angriff auf das deutsche Windenergieunternehmen Nordex im April 2022 verantwortlich zu sein. Conti war in der Vergangenheit für über 800 Ransomware-Vorfälle weltweit verantwortlich, die meisten in den USA. Die Gruppe wurde aber selbst Opfer eines Datenlecks: einer ihrer Mitarbeitenden war Ukrainer und veröffentlichte große Teile der internen Jabber-Kommunikation der Gruppe, aus der Kontakte zum russischen FSB sowie diverse Managementprobleme sichtbar wurden. Dieses Datenleck allein erlaubt einen einmaligen Einblick in das verborgene Geschäftstreiben von Cyber-Kriminellen.

Zusammenfassend kann man sagen, dass all diese Vorfälle eher kleinere Störungen sind, eine recht unkoordinierte Taktik der tausend Nadelstiche. Sie beeinflussen die Ereignisse am Boden nicht wirklich. Allerdings können die zahlreichen Datenlecks mittel- bis langfristig Russland schaden. Die schiere Summe der veröffentlichten Daten dürften ein Fundus für Nachrichtendienste weltweit darstellen und seltene Einblicke in das Innenleben des geheimniskrämerischen russischen Staates geben. Für sich genommen erzielt die Vielzahl der Vorfälle aber kaum militärische Effekte und beeinflusst Geschehnisse auf dem physischen Schlachtfeld kaum.

Erklärungsversuche

In der akademischen Community entbrannte eine Diskussion hinsichtlich der Frage, wie diese Befunde einzuordnen sind. Warum ist der große Cyber-Krieg ausgeblieben? Warum gab es bisher keine größeren Stromausfälle? Es gibt eine Reihe konkurrierender Hypothesen.

Erstens scheint plausibel, dass die ukrainische Cyber-Abwehr sehr erfolgreich arbeitet und bisher das Schlimmste verhindern konnte. So konnte das ukrainische Computer Emergency Response Team (CERT) am 8. April einen Stromausfall verhindern, indem eine Schadsoftware namens Industroyer2 rechtzeitig identifiziert und unschädlich gemacht wurde. Industroyer2 basiert auf einer Schadsoftware, die bereits 2016 in Kyjiw kurz den Strom ausschaltete. Ukrainische Cyber-Spezialist:innen studierten diesen Angriff intensiv und lernten daraus, was letztlich sinnvoll für die Vorbereitung gewesen sein dürfte. Die Ukraine gilt seit 2014 als "Testgebiet für Cyber-Krieg" und hat seitdem, wohl wie kein zweites Land auf der Welt, praktische Erfahrung in der Abwehr von Cyber-Angriffen machen können. Zudem erhält die ukrainische Cyber-Abwehr schlagkräftige Unterstützung von weltweiten IT-Sicherheitsunternehmen wie ESET und Microsoft, welche ihre Informationen zu laufenden Angriffskampagnen mit der Ukraine teilen. Auch die USA und die NATO (über das Cyber-Kompetenzzentrum in Tallinn) teilen sogenannte "threat intelligence" (taktische Informationen zu laufenden Operationen) mit der Ukraine, um besser gegen laufende Angriffe gewappnet zu sein.

Zweitens ist anzunehmen, dass wir das wahre Ausmaß der bisherigen Cyber-Angriffe durch den "Nebel des Krieges" nicht wahrnehmen können. Russland kommuniziert in der Regel eigene Cyber-Operationen bzw. Cyber-Vorfälle im eigenen Land nicht. Außerdem gibt es, anders als in westlichen Ländern, auch keine Berichtspflichten für Unternehmen. Insofern ist es möglich, dass größere Cyber-Sicherheitsvorfälle im Hintergrund stattfanden und bisher nicht öffentlich wurden.

Eine dritte Hypothese, die insbesondere in der akademischen Cyber-Konfliktforschung vertreten wird, ist, dass die Erwartung eines desaströsen Cyber-Angriffs schlichtweg auf einer Fehlcharakterisierung von "Cyber War" in westlichen Ländern basiert. In der akademischen Literatur wird schon lange der Mythos entzaubert, dass Cyber-Angriffe eine Revolution der Kriegsführung bedeuten. Das hypothetische "Cyber-Pearl Harbor"-Szenario, ein Industrieland aus der Ferne auszuschalten, hat wenig mit der operativen Wirklichkeit von Cyber-Operationen zu tun. Cyber-Angriffe unterliegen zahlreichen Einschränkungen wie langen Vorbereitungszeiten, einer gewissen Fehlerrate sowie der Ungewissheit von Effekten. Generell ist es sehr schwierig und zeit- und ressourcenintensiv, physische Effekte wie einen landesweiten Stromausfall auszulösen. Deswegen sind derartige, hochintensive Cyber-Angriffe extrem selten. Die Charakteristika von Cyber-Vorfällen haben trotz ihres militärischen "Framings" als "Cyber-Angriff" wenig mit Krieg zu tun. Krieg ist durch massive Gewalt, Tod und Zerstörung gekennzeichnet. Die meisten Cyber-Angriffe sind in ihren Effekten weitaus niedrigschwelliger und vor allem reversibel. Temporäre Störungen etwa durch Ransomware oder DDoS Angriffe, Cyber-Kriminalität, Hack & Leak-Operationen und Spionage bestimmen das Cyber-Konfliktbild. Und dies repräsentiert auch die Mehrzahl der dokumentierten Cyber-Vorfälle um den Ukrainekrieg.

Die vierte Hypothese leitet sich daraus ab: Es ist schwierig, mit Cyber-Angriffen physische Effekte hervorzurufen. Einfacher ist es, dies mit konventionellen Mitteln zu tun. Da Russland ohnehin mit konventionellen Truppen in der Ukraine präsent ist, können Strom oder Internetausfälle auch einfach durch Raketenbeschuss oder das Kappen von Leitungen hervorgerufen werden. Das ist einfacher, billiger und schneller. Aber vor allem ist die Erfolgswahrscheinlichkeit verglichen mit einer Cyber-Operation höher. Insofern argumentieren einige Forschende, dass Cyber-Operationen im Kontext eines Bodenkrieges eher ungeeignet sind. Stattdessen eignen sie sich weitaus besser für den Wettbewerb zwischen Nachrichtendiensten. Cyber-Operationen haben viel mehr Ähnlichkeiten mit dem subversiven Vorgehen von Geheimdiensten, das etwa auf die verborgene Beschaffung von Information und die subversive Beeinflussung von Diskursen in anderen Gesellschaften durch sogenannte "aktive Maßnahmen" abzielt. Dies ist im Übrigen auch die primäre Charakterisierung von Cyber-Aktivitäten in autoritären Regimen wie China und Russland: Dort wird nicht von Cyber-Krieg gesprochen, sondern vom übergeordneten Konzept des Informationskrieges. Cyber-Operationen sind darin nur eine Subkategorie und damit nur ein Werkzeug von vielen, was dem Ziel der Informationsüberlegenheit und Kontrolle dienen soll.

Eine fünfte Hypothese ist, dass die wechselseitige Interdependenz von vernetzten Systemen über das Internet zu Zurückhaltung auf staatlicher Seite führt. Staaten schrecken vor destruktiven Cyber-Angriffen mit langanhaltenden Schäden zurück, weil sie selbst abhängig und verwundbar sind. Die meisten Staaten nutzen ähnliche Hard- und Software (zum Beispiel Windows-Betriebssysteme, Android- oder iPhone-Smartphones oder Open-Source-Bibliotheken in Webservern). Es werden immer wieder Schwachstellen veröffentlicht, die ein Großteil aller mit dem Internet verbundenen Systeme betreffen, wie etwa Heartbleed (2014) oder Log4J (2021). Darüber sind alle Staaten, die entsprechende Software nutzen, gleichermaßen angreifbar. Wenn Russland kritische Infrastrukturen im Ausland mit einer Schadsoftware angreift, die zum Beispiel die Log4J-Schwachstelle ausnutzt, ist zu befürchten, dass etwa die USA in Russland Ähnliches tun könnten. Russland beschwerte sich in der Vergangenheit, dass das United States Cyber Command in russischer kritischer Infrastruktur aktiv ist. Auch Russlands Bemühungen im Bereich der IT souverän zu werden und somit auf westliche Dienste zu verzichten, sind in diesem Licht zu interpretieren. Es existiert also bei destruktiven Cyber-Angriffen hoher Intensität eine Art Gleichgewicht des Schreckens, zumindest zwischen der NATO und Russland.

Zudem ist es nicht unwahrscheinlich, dass ein schwerwiegender Cyber-Angriff gegen westliche Staaten rechtlich als "bewaffneter Angriff" interpretiert werden könnte und den NATO-Verteidigungsfall nach Artikel 5 auslöst. Das dürfte nicht in Russlands Interesse sein. Zurückhaltung wird auch durch die schwere Kontrollierbarkeit von Cyber-Angriffen befördert: Ein außer Kontrolle geratener Angriff könnte auch Drittparteien in den Konflikt ziehen. Die Effekte von Cyber-Angriffen gegen weitverbreitete Systeme sind mitunter schwer zu kontrollieren und können wie ein Bumerang wirken, der ungeplante Kaskadeneffekte auch in eigenen Systemen auslöst. Der russische Not-Petya-Angriff löschte weltweit Daten, darunter auch russischer Firmen, obwohl er sich ursprünglich gegen ukrainische Systeme gerichtet hatte. Im konkreten Falle von Russlands Krieg gegen die Ukraine gibt es Evidenz für diese Interdependenzthese: Es gibt etwa Hinweise, dass die russische Militärkommunikation teils unverschlüsselt über öffentliche Netze wie das Internet oder auch das Mobilfunknetz läuft. Wenn Russland diese Dienste per Cyber-Angriff ausschalten würde, könnte es selbst nicht mehr kommunizieren.

Fazit

Der brutale Krieg in der Ukraine tobt nun schon seit mehr als zwei Monaten. Insofern ist es zu früh für weitreichende Schlussfolgerungen. Cyber-Operationen sind letztlich Werkzeuge staatlichen Handelns, die an politische Ziele angepasst werden müssen. Ändert sich der Fokus und das Ziel des Krieges, so ist auch eine Veränderung in der Nutzung von Cyber-Operationen wahrscheinlich. Vieles deutete darauf hin, dass Russland einen kurzen Enthauptungsfeldzug plante und dass folglich Cyber-Operationen auf dieses Ziel hin angepasst wurden. Darauf deutet die koordinierte, taktische Verwendung von Wipern in der Frühphase des Krieges hin. Ändert sich das Kriegsziel zu einem langwierigen und strategischen Zermürbungskrieg, der sich auch gegen Zivilist:innen wendet, dann dürften auch Cyber-Operationen vermehrt diesem Zweck folgen. Insofern sind größere, strategische Cyber-Operationen etwa gegen Stromnetze in der Ukraine nicht mehr auszuschließen. Es gibt zudem vermehrt Hinweise, dass Russland auch Cyber-Operationen gegen den Westen ausweitet, etwa gegen kritische Infrastrukturen im Energiesektor wie Windenergie-Betreiber. Wenn Deutschland und Europa die Abhängigkeit vom russischen Gas mithilfe von Windenergie reduzieren wollen, dann dürften diese Industrien somit auch in den Fokus russischer Attacken geraten. Auch die amerikanische Cyber-Behörde CISA (Cybersecurity and Infrastructure Security Agency) warnte jüngst erneut, dass sich russische Hacker:innen für industrielle Steuerungsanlagen im Bereich Energieversorgung interessieren und dafür Schadsoftware entwickeln. Insofern ist es wahrscheinlich, dass sich der Westen auf einen länger anhaltenden Cyber-Konflikt mit Russland einstellen muss und dass das vormals ukrainische Testlabor von Cyber-Aktivitäten nun auch auf westliche Staaten ausgeweitet wird.

Stand: 25. April 2022

Lesetipps

  • David Sanger (2018) The perfect weapon, War, sabotage, and fear in the cyber age, New York, Melbourne, London, Crown Publishers; Scribe.

  • Andy Greenberg (2019) Sandworm, A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers, New York, Doubleday, 2019.

  • Lennart Maschmeyer (2021) "The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations”, International Security, Vol. 46, No. 2, 2021, 51–90.

Fussnoten

Weitere Inhalte

Dr. Matthias Schulze ist der stellvertretende Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik. Er forscht zu Cyber-Konflikten, Spionage und Cyber-Kriminalität. Er betreibt einen Blog und Podcast zum Thema unter www.percepticon.de.