Cyberwar – droht wirklich die IT-Apokalypse?

Russland marschiert in die Ukraine ein, das BSI warnt vor Cyber-Angriffen und Anonymous macht mobil. Kommt jetzt der viel beschworene Cyberwar? Eine Einordnung.

In Pocket speichern vorlesen Druckansicht 164 Kommentare lesen
Virus,Background,Against,The,Evening,Electricity,Pylon,Silhouette

(Bild: vectorfusionart /Shutterstock.com)

Lesezeit: 11 Min.
Inhaltsverzeichnis

Cyberwar – also der digitalisierte Krieg – bedroht uns angesichts unserer Abhängigkeit von IT ganz unmittelbar. Wir haben gelernt, dass Hacker kritische Infrastruktur sabotieren können. Der Schaden wäre dann nicht virtuell, sondern sehr physisch – bis hin zu ganz real toten Menschen. Vor dem inneren Auge bricht die Versorgung mit Trinkwasser zusammen, kollidieren Intercitys, explodieren Atomkraftwerke. Und all das ist durch Russlands kriegerische Aktivitäten deutlich näher gerückt. Immerhin cybert Russland bereits länger an vorderster Front. Doch ist es wirklich realistisch?

Der Begriff Cyberwar ist nicht wirklich fest definiert. Vor allem Medien fassen darunter gerne alle staatlich gesteuerten Angriffsaktivitäten, die irgendwie cybern. Ich persönlich ziehe eine engere Definition vor, die Cyber-Aktivitäten an einen echten Krieg koppelt. Gemäß der bietet Cyberwar im Kriegsfall analog zum Einsatz von Luftwaffe, Marine und Bodentruppen die Möglichkeit, im Cyberspace gegen den Gegner vorzugehen.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Aktuell kümmert er sich vor allem um heise Security Pro.

Das reicht dann von Störung bei Beschaffung, Verteilung und Verarbeitung von Informationen auf dem Schlachtfeld bis hin zur Sabotage gegnerischer Infrastruktur – also etwa dem Lahmlegen der Stromversorgung durch Hackerangriffe. Ob das in einem echten Krieg wirklich ein zentrales Element sein kann, ist umstritten. In der Ukraine jedenfalls spielen angesichts von Bomben, Raketen und Panzern in den Straßen eventuelle Cyber-Aktivitäten keine nennenswerte Rolle.

Natürlich haben alle Staaten im Umfeld ihres Militärs sogenannte Cyber Capabilities aufgebaut. Und meist geht es dabei nicht nur um die Verteidigung der eigenen IT-Infrastruktur, sondern auch um die Offensive. Allerdings steht dabei nicht Kriegsführung im Zentrum. Den Staaten geht es vor allem um Optionen, offensiv im Cyberspace zu agieren und dabei auch ihre Auseinandersetzungen mit anderen Staaten unterhalb der Schwelle eines echten Krieges auszutragen.

Einer der wichtigsten Gründe für die Beliebtheit dieser Cyber-Aktivitäten ist nämlich, dass sich die Verantwortung dafür schwerer zuweisen lässt, als etwa bei einem Raketenangriff, den man zum Abschussort zurückverfolgen kann. Das war wohl eines der Kriterien, warum sich Israel und die USA damals entschieden, eine Uran-Anreicherungsanlage im Iran mit der Schad-Software Stuxnet zu sabotieren. Der ebenfalls diskutierte physische Angriff hätte vermutlich direkt zu einem Krieg geführt, während der Cyber-Schlag quasi aus dem Nichts kam und zumindest damals nicht zuzuordnen war.

Neben Cyber-Sabotage sind die Cyber-Spionage und auch Beeinflussung der Bevölkerung durch Fake-News wesentliche Elemente der geförderten Cyber Capabilities. Manche Experten subsumieren all das bereits unter Cyberwar. Aber damit gäbe es keine scharfe Grenze mehr, an der man den Krieg im Cyberspace vom "Business as Usual" trennen könnte und der "Krieg" wird Teil des Alltags.

Führt England bereits Cyberwar gegen Belgien, weil deren Geheimdienst GCHQ bei dem Telco-Konzern Belgacom eingebrochen ist? Will man ein paar DDoS-Attacken und Defacements, wie sie auch im Rahmen krimineller Aktivitäten täglich vorkommen, tatsächlich schon mit dem dramatischen Attribut "Krieg" versehen? Für mich ist das Sensationalismus, der letztlich Krieg verharmlost.

Einige Staaten wie Nordkorea haben übrigens auch spezielle Abteilungen, die auf die Beschaffung von Devisen spezialisiert sind und groß angelegte Raubzüge im Cyberspace durchführen. Im Allgemeinen sind primär finanziell motivierte Cyber-Aktivitäten wie die Erpressung mit Ransomware jedoch eher im Bereich der organisierten Kriminalität angesiedelt. Diese mafiaähnliche Cybercrime-Szene blüht hauptsächlich im russischsprachigen Raum, wo sie weitgehend unbehelligt von Strafverfolgung gedeihen konnte. Zu den staatlich gelenkten Hacker-Gruppen gibt es zwar Verbindungen, doch im Allgemeinen gehen REvil, Conti und Co ihre eigenen Wege.

Die Zuordnung von Cyber-Angriffen – man spricht dabei von Attribution – klappt bei Cybercrime recht gut. Das liegt natürlich zum guten Teil daran, dass Conti & Co ganz offen zu ihren Aktionen stehen. Bei den staatlich gesteuerten Aktionen hingegen, bei denen ja gerade die Heimlichkeit im Vordergrund steht, ist die Situation schwieriger. Allerdings wurde systematische Attribution in den letzten Jahren deutlich verbessert. So kann man im Rahmen der Analyse der Vorfälle häufig deren Herkunft zumindest grob bestimmen.

Das beginnt bei einer Zuordnung zu einer Gruppierung, bei deren Aktionen immer wieder ähnliche Tools, Infrastruktur und Vorgehensweise zu beobachten sind. Aus den sich ergebenden Mustern kann man häufig dann auch eine regionale Zuordnung vornehmen. Und in einzelnen Fällen gelingt es sogar, einen Cyber-Angriff einer Organisation oder sogar konkreten Personen nachzuweisen.

Die US-Justiz hat offiziell Anklage gegen staatliche Hacker im Auftrag des chinesischen Geheimdienstes erhoben.

Auf Basis dieser technischen Attribution erfolgte dann gelegentlich auch eine durch Politik und Strafverfolgungsbehörden. So macht etwa das BSI die russische Gruppe Sandworm für den 2015 durch Hacker herbeigeführten Blackout in der Ukraine verantwortlich. Die US-Justiz hat sogar offiziell Anklage gegen Mitglieder von Gruppen wie der chinesischen APT 41 erhoben. Attribution ist damit ein wichtiger Baustein, um Eskalation im Cyberspace zu verhindern.

Eine der Neuerungen im Ukraine-Konflikt ist, dass dieser normalerweise zeitraubende Attributions-Vorgang sehr beschleunigt wurde. So erklärten US-Offizielle bereits wenige Tage nach den DDoS-Angriffen auf ukrainische Banken und Regierungsseiten Anfang Februar den russischen Geheimdienst GRU zum Verursacher. Technischer Hintergrund war wohl, dass man den zugehörigen Datenverkehr Infrastruktur zuweisen konnte, die bekanntermaßen der GRU kontrolliert.

Nachdem erste Sanktionen beschlossen sind, werden Stimmen laut, die den Einsatz offensiver Cyber Capabilities gegen Russland fordern. Zum Glück sind das bislang vorwiegend Journalisten sowie politische Hinterbänkler und keine Leute mit Entscheidungskompetenz. Denn ich bin überzeugt, dass das eine denkbar schlechte Idee ist und möchte das auch kurz begründen.

Wir sehen bereits jetzt, wie anfällig unsere digitalisierte Gesellschaft gegen Cybercrime ist. Da kommt es zu Milliardenschäden und kritische Infrastruktur wird lahmgelegt — und das, obwohl da letztlich nur halbstarke Hanswürste ihren Betrügereien nachgehen. Russlands Militärgeheimdienst hingegen hat bekanntermaßen mit die qualifiziertesten Eliteeinheiten in diesem Bereich. Die agieren mehrere Ligen über dem, was Emotet, REvil & Co zustande bringen (im Fußball wäre das Real Madrid verglichen mit Hanaus Kreisklassenkickern).

Staatlich gesteuerte Gruppen haben bereits reihenweise spektakuläre Stunts hingelegt – etwa den SolarWinds-Hack, wo vermutlich der russische Auslandsgeheimdienst es geschafft hat, von Regierungsbehörden bis hin zu Security-Firmen und Großkonzernen alles zu kompromittieren, was Rang und Namen hat. Aber dabei gab es eine rote Linie, die auch staatliche Akteure bisher nicht überschritten haben: So drangen sie zwar teilweise bereits bis an die Schalter von kritischen Systemen vor, haben diesen Zugang aber bisher nicht genutzt, um Infrastruktur zu zerstören oder andere Katastrophen auszulösen.

Aber man stelle sich vor, was passiert, wenn diese Akteure den Auftrag bekommen, im Westen ohne Rücksicht auf Verluste Schaden anzurichten. Da droht tatsächlich ein IT-Super-GAU. Es mag sein, dass NSA, GCHQ &Co noch eine Stufe besser sind als der GRU. Aber der Westen hat viel mehr zu verlieren als Russland – weil Digitalisierung und damit unsere Abhängigkeit von IT deutlich weiter fortgeschritten ist.

Deshalb wäre der Westen denkbar schlecht beraten, die Konfrontation im Cyberspace zu eskalieren. Und wenn jetzt Anonymous zu Cyber-Angriffen auf Russland aufruft, ist das nicht nur dumm, sondern verantwortungslos. Sie machen damit Menschen zu aktiven Kriegsteilnehmern, die die Konsequenzen ihres Tuns gar nicht abschätzen können. Auch für sich selbst – schließlich machen sie sich zum legitimen Ziel militärischer Einheiten. Aber auch die Folgen dessen, was sie da anrichten. Im besten Fall sind das lediglich bedeutungslose Ärgerlichkeiten, die angesichts der realen, kriegerischen Auseinandersetzung keine Rolle spielen.

Aber man stelle sich vor, dass es einem solchen Hobby-Hacker gelänge, tatsächlich kritische Infrastruktur zu zerstören und damit Menschen zu töten. Russlands Antwort erfolgte wohl ebenfalls im Cyberspace – etwa durch den militärischen Geheimdienst GRU, der sich westliche Kraftwerke vornimmt. Oder durch amoklaufende Cybercrime-Banden, die die Gelegenheit sehen, ihren Nationalismus zu demonstrieren (und sich damit vielleicht weitere Straffreiheit zu erkaufen). Die Conti-Bande hat bereits ihre Solidarität mit Russland bekundet und Aktionen gegen deren Feinde angekündigt.

Wenn Anonymous der Ukraine helfen will, dann sollten sie tatsächliche Hilfsmaßnahmen oder deren Verteidigung unterstützen und nicht einen Cyberwar anzetteln, in dem es nichts zu gewinnen gibt.

Man muss sich allerdings tatsächlich auf eine Situation einstellen, in der Putin selbst Cyber-Angriffe etwa als Antwort auf harte Sanktionen in Erwägung zieht. In diesen Kontext sind auch US-Präsident Bidens Äußerungen einzuordnen, dass russische Cyber-Aktivitäten (gegen die USA) direkt zu physischer Vergeltung führen würden. Mit seiner Aussage

"Wenn wir in einem Krieg, einem echten Krieg mit einer Großmacht enden, dann als Folge eines Cyberangriffs von großer Tragweite"

baut er eine Drohkulisse auf, die genau diese Cyber-Eskalation vermeiden soll. Er hat offenbar kein Interesse daran, diese Eskalationsspirale selbst in Gang zu setzen, sondern will diesen Schritt unbedingt vermeiden.

Und in diesem Kontext sind auch die Warnungen des BSI zu sehen. Die sehen eine erhöhte Gefährdungslage – vorrangig im Bereich kritische Infrastruktur. Das ergibt Sinn: Deutschland, die EU und die NATO müssen nicht nur ihre Verteidigung gegen physische Angriffe stärken, sondern auch die gegen mögliche Cyber-Attacken auf Ziele im Westen.

Ein gewichtiger Punkt, der gegen solche Cyber-Angriffe aus Russland spricht, ist, dass deren wichtigster Vorteil – die Anonymität der Angriffe – im aktuellen Kontext kaum noch zum Tragen kommt. Außerdem laufen Angriffe auf kritische und damit hoffentlich(!) gut gesicherte Infrastruktur nicht mal eben so nebenbei. Sie erfordern monate- manchmal sogar jahrelange, minutiöse Vorbereitungen. Wenn die nicht bereits erfolgt sind, dürfte beim russischen Militär jetzt auch nicht die Muße da sein, das in aller Ruhe anlaufen zu lassen.

Aktuell gibt es noch keine Anzeichen für eine qualitative Eskalation der Cyber-Angriffe durch Russland. Okay, die Frankfurter Rundschau berichtet von gestiegenem Aufkommen der Troll-Postings auf Facebook. Aber das ist nicht das, wovon ich hier rede. Ich meine Angriffe, die die Gesellschaft in ähnlichem Maße schädigen, wie es die Sanktionen mit Russland tun. Und da ist bislang nichts in Sicht.

Allerdings kann man nicht ausschließen, dass das bereits auf Putins To-Do-Liste steht. Deshalb sollten wir uns aktiv auf diese Möglichkeit vorbereiten. In Bezug auf IT-Security bedeutet das auf technischer Ebene nichts wirklich Neues; da ist nicht plötzlich irgendein technisch neues Angriffsszenario vom Himmel gefallen. Das gilt für KRITIS, aber auch für alle anderen Bereiche, in denen IT eine Rolle spielt: Die Gefahren sind bekannt und was man dagegen unternehmen kann, auch. Man müsste es jetzt einfach mal wirklich tun. Also Zweifaktor-Authentifizierung, Least Privilege und so weiter und so fort.

Politiker sollten sich vermehrt Gedanken darüber machen, wie sie die Gefahr einer Eskalation des derzeit lokalen Ukraine-Konflikts in den Cyberspace weiter reduzieren können. Ein zentraler Punkt bei diesen Überlegungen muss unsere tiefgehende Abhängigkeit von digitaler Infrastruktur sein und was destruktive Angriffe auf diese bedeuten würden.

(ju)