Analyse: Warum die russischen Cybertruppen in der Ukraine gescheitert sind
Hinter der ukrainischen IT-Abwehr wirkt eine mächtige Allianz aus US-Behörden, den großen Internetkonzernen und spezialisierten Abwehrfirmen.
(Bild: Mykola Mazuryk/Shutterstock.com)
Rund um den Jahrestag der russischen Invasion in der Ukraine Ende Februar haben bekannte IT-Sicherheitsfirmen aus dem Westen Zwischenbilanzen der Ereignisse im Cyberraum präsentiert. In einem Punkt sind sich alle einig, nämlich dass noch nie annähernd so viele Cyberattacken auf ein Staatsgebiet zu sehen waren. Bis jetzt sollen es über 4.000 solcher Attacken gewesen sein, also etwa zehn pro Tag ganz unterschiedlicher Qualität. Warum diese Offensiven allesamt als Fehlschläge endeten, darüber besteht schon weniger Einigkeit. Da werden etwa fehlende Koordination mit den Armeeoffensiven genauso wie der Zeitdruck durch das Kriegsgeschehen angeführt. Das waren alles durchaus Faktoren, allein entscheidend waren sie nicht.
Ausgerechnet die auf den ersten Blick unspektakuläre Untersuchung der US-Denkfabrik "Aspen Institute", die vorwiegend organisatorische Abläufe zum Inhalt hat, enthält die schlüssigste Erklärung, warum es in der Ukraine gelang, die als hochüberlegen eingestuften Cybertruppen Russlands so systematisch zu degradieren. Über das Aspen Institute wird seit Kriegsbeginn die Unterstützung für die ukrainischen Cyberabwehr koordiniert.
Sogar die durch spektakuläre Angriffe auf den Deutschen Bundestag im Jahr 2015 und 2017 auf das Deutsche Regierungsnetz berüchtigten Einheiten "Fancy Bear" bzw. "Turla" wurden laufend eingesetzt. Wie alle anderen Gruppen blieben sie aber ohne greifbare Auswirkungen auf das Kriegsgeschehen.
Das "Cyber Defense Assistance Collective" tritt in Aktion
Angesichts der Gefahrenlage in der Ukraine habe man ad-hoc ein "Cyber Defense Assistance Collective" (CDAC) ins Leben gerufen, heißt es einleitend in der Untersuchung. Die Grundprinzipien im CDAC seien "völlige interne Offenheit und vor allem Freiwilligkeit aller Mitwirkenden", ob es nun IT-Sicherheitsfirmen, Internetkonzerne, akademische Forscher oder staatliche Sicherheitsagenturen sind. Mitten in den Kriegsausbruch hinein habe man "als Forum für Hilfsersuchen aus der Ukraine und der Koordination der Unterstützung" begonnen.
"Aufgrund der kriegsbedingten Umstände waren sofort direkte Kontaktaufnahmen der CDAC zu ukrainischen Netzbetreibern unerlässlich", heißt es weiter in dem Bericht. Dann hätten immer mehr ukrainische Organisationen und Firmen um Ressourcen, Lizenzen und Trainingseinheiten für die ebenfalls bereitgestellten Software-Tools angefragt. Dieses operative "Kollektiv" konnte ja auf das geballte Know-how, die Methoden und Software-Tools der IT-Sicherheitsabteilungen der weltgrößten Cloud-Konzerne zurückgreifen. Durch den exorbitanten Datenverkehr in ihren Netzen haben diese Unternehmen tiefen Einblick in aktuell kursierende Malware-Varianten.
Die aber sind die Basis, um die Abwehr von Cyberangriffen zu organisieren. Dazu kam noch das operative Know-how und die Erfahrung einschlägig spezialisierter Cybersicherheitsfirmen wie Mandiant oder Recorded Future. Die hatten während der letzten Jahre immer wieder mit Angriffen genau dieser Gruppen zu tun gehabt, die aktuell in der Ukraine eingesetzt werden.
In Friedenszeiten gefürchtet, im Krieg wirkungslos
Die ukrainische Abwehr hat es also keineswegs mit frisch eingeschulten Cyber-Kadetten zu tun. Zu den Angreifern zählte etwa "Frozenbarents", eine GRU-Einheit, die unter dem Alias "Sandworm" bereits 2014 weltweit für Aufsehen gesorgt hatte. Während des ersten Angriffs Russlands auf die Ukraine hatte Sandworm das deshalb einberufene Gipfeltreffen der NATO-Staaten mit einem mächtigen Zero-Day-Exploit für alle Windows-Systeme angegriffen, zwei Wochen später wurden damit die SCADA-Steuersysteme von Industrieanlagen in den USA attackiert.
"Frozenlake" daneben ist weit besser als "APT28" alias "Fancy Bear" bekannt. Diese ebenfalls der GRU zugeschriebenen Akteure hatten 2015 die IT-Systeme des Deutschen Bundestags infiltriert und den Sicherheitstechnikern wochenlang ein wildes Match geliefert. Am Ende musste die gesamte IT-Infrastruktur des Bundestags ausgetauscht werden. Ebenso bekannt ist die Spionagetruppe "Turla" alias "Ouroboros", weil sie laufend Botschaften und Ministerien rund um die Welt ausspioniert hat. 2017 war Turla erst nach Monaten ungestörter Spionage im Deutschen Regierungsnetz entdeckt worden und hatte sich von dort nur schwer verdrängen lassen.
Im Krieg konnten diese in Friedenszeiten gefürchteten Truppen angesichts der konzertierten westlichen Abwehrkräfte keine merkbare Wirkung entfalten. Ebenso finden sich in keiner der Analysen Hinweise auf gezielte Cyberattacken gegen Steuerungsanlagen von Energiewirtschaft und Industrie. Auch das zu Kriegsbeginn vielbeschworene Cyberarmageddon fiel schlichtweg aus.
Wegen Erfolgs verlängert
Das Gros all dieser Angriffe machte "Nachrichtenaufklärung" aus, das sind operative Spionageaktionen, gefolgt von "Informationsoperationen". Darunter fallen etwa die Verbreitung von Falschnachrichten oder "Psychologische Operationen" (Psy-Ops), um den Widerstandswillen der ukrainischen Armee zu schwächen. Von Sandworm und einer weiteren Gruppe gingen die Serien von "Wiper"-Attacken auf die IT-Logistik der ukrainischen Streitkräfte aus. Die Auswirkungen dieser Zerstörungsangriffe auf die Kampfkraft der ukrainischen Armee waren marginal, denn die Attacken prallten immer häufiger an den durch die technischen Sicherheitsmechanismen des Aspen-Kollektivs "gehärteten" Netzen ab.
Das war von Anfang an das erklärte Ziel dieser konzertierten Aktion von US-Behörden, Internetkonzernen und auf Cyberabwehr spezialisierten IT-Sicherheitsfirmen. Sie muss so gut gelaufen sein, dass die Cybersicherheitsberater des Aspen Institute vorschlagen, eine solche Cyberabwehr permanent in Bereitschaft zu halten.
"Aus der geopolitischen Lage und der Tatsache, dass so viele Staaten über keine adäquaten Ressourcen zur Cyberabwehr verfügen, ist zu schließen, dass das nicht der letzte Vorfall gewesen ist, bei dem der private Sektor und westliche Regierungen bedrängten Staaten mit Cyberunterstützung beispringen müssen."
Wie die Chancen auf Verlängerung stehen
Angesichts des Erfolgs dieses Kollektivs stehen die Chancen dafür gar nicht schlecht. Zudem haben alle in der Ukraine Beteiligten ein erhebliches Interesse daran, die Wirkungsmacht der Cybertruppen Russlands möglichst stark zu degradieren. Was die US-Behörden angeht, so ist das selbsterklärend: Sie sind ein Gegner, den es kleinzuhalten gilt. Für die Internetkonzerne sind diese schwer berechenbaren Akteure ein maßgeblicher Störfaktor bei der Abwicklung ihres Kerngeschäfts, zumal "Fancy Bear" & Co. in einer Wechselbeziehung mit den Syndikaten russischer Malware-Gangster agieren. Für hochspezialisierte Sicherheitsfirmen wie Mandiant oder Recorded Future wiederum ist der Krieg Russlands gegen die Ukraine überhaupt die allererste Gelegenheit, ihre Services unter den schwierigen Bedingungen eines realen Kriegsgeschehens zu demonstrieren.
Metakritiken und zweckdienliche Hinweise an den Autor können über dieses Formular sicher verschlüsselt eingeworfen werden.
(mho)