Sonntag, 05. Februar 2023

Digitaler Ernstfall
Was tun bei einem Cyberangriff?

Stromausfälle, lahmgelegte Verwaltungen, kein Telefon oder Internet: Ein digitaler Angriff kann gravierende Folgen haben. Wie in einer solchen Situation zu reagieren ist, darüber wurde vor dem Hintergrund der Russland-Ukraine-Krise auf Münchner Cyber Sicherheitskonferenz (MCSC) debattiert.

Informationen von Peter Welchering | 18.02.2022

Eine Hackersoftware ist auf einem Laptop geöffnet.
Cyber-Attacken gelten als Bestandteil einer sogenannten hybriden Kriegsführung (picture alliance / Silas Stein)
Die Attacke erfolgt inmitten der aktuellen Krise mit dem russischen Truppenaufmarsch an der Grenze zur Ukraine: Der Cyberangriff auf das Verteidigungsministerium und zwei wichtige staatliche Banken sei der schwerste gewesen, den die Ukraine je erlebt habe, gab die Regierung in Kiew bekannt - und verwies auf Russland als möglichen Urheber.
Schon im Januar waren mehrere Internetseiten der ukrainischen Regierung massiv attackiert worden. Vorübergehend konnten die Webseiten von Außen-, Katastrophen- und Forschungsministerium nicht aufgerufen werden, auf derjenigen des Außenministeriums war in ukrainischer, russischer und polnischer Sprache zu lesen: "Habt Angst und rechnet mit dem Schlimmsten". Die Cyberattacke schreckte auch die westlichen Partnerstaaten der Ukraine auf, die NATO sagte Kiew eine verstärkte Zusammenarbeit bei der Internetsicherheit zu.
Cyberattacken wie diese gelten als Bestandteil einer sogenannten hybriden Kriegsführung. Diese war ein zentrales Thema auf der 8. Münchner Cyber Sicherheitskonferenz (MCSC), die traditionsgemäß am Tag vor dem Beginn der Münchner Sicherheitskonferenz stattfand. Internationale IT-Sicherheitsexperten, Politikwissenschaftler und Vertreter angrenzender Disziplinen diskutierten unter dem Eindruck der aktuellen Russland-Ukraine-Krise auch die zivil-militärische Zusammenarbeit im Fall von Cyberangriffen.


Was geschah bei den jüngsten Cyberangriffen in der Ukraine? 

Nach den Cyberangriffen Mitte Februar gab es Probleme mit Online-Zahlungen und der Kontenverwaltung über Finanz-Apps sowohl von Privatbanken als auch der Staatsbank der Ukraine. Hinzu kamen Ransomware-Attacken, also Angriffe mit Erpressungssoftware, auf Server des ukrainischen staatlichen Notdienstes kamen hinzu.
Laut Victor Zhora, einem Sprecher des ukrainischen Verteidigungsministeriums, konnten die Attacken rasch isoliert und dadurch die meisten Schäden relativ kurzfristig beseitigt werden: Die Server des staatlichen Notdienstes waren einige Stunden nach der Ransomware-Attacke wieder hochgefahren.
Zhora führte das als Beleg für die gute zivil-militärische Zusammenarbeit in der Ukraine an. Zum Vergleich: Bei vergleichbaren Angriffen in Deutschland waren Verwaltungen einige Wochen außer Gefecht gesetzt.

Mehr zum Thema Cyberattacken und Cyberkrieg


Wie gelang es der Ukraine, die Schäden rasch zu beseitigen?

Dafür werden im Wesentlichen zwei Gründe angeführt: ein extrem gutes Backup-Management und mehrfach geübte Krisenreaktion. Wenn es nach der Verschlüsselung eines System mit einer Erpressungssoftware möglich ist, auf ein Backup vom Vortrag zurückzugreifen, ist das System rasch wieder einsatzfähig. Allerdings muss das Backup vom Vortag frei von Schadsoftware sein. Dies erfordert die gründliche Zusammenarbeit der Mitarbeiter und das Ineinandergreifen vieler Prozesse. Zudem müssen diese Abläufe eingeübt werden. In der Ukraine hat dies intensiv in Zusammenarbeit von zivilen und militärischen Stellen geschehen.

Welche Vorteile hat eine zivil-militärische Zusammenarbeit im Bereich IT-Sicherheit?

Das wird sehr unterschiedlich beurteilt. Jaak Tarien, der Direktor des NATO Cyber Defence Centers in der estnischen Hauptstadt Tallinn verspricht sich von einer Kooperation mit zivilen Stellen vor allem, Entlastung für militärische Ressourcen. Diese könnten dann genutzt werden, um die digitale Angriffsfähigkeiten der NATO zu verbessern. Für ein solches Vorgehen warb Tarien auf der Münchner Cyber Security Conference. Die meisten Sicherheitspolitiker und -experten erhoffen sich durch eine zivil-militärische Zusammenarbeit im Bereich IT-Sicherheit in erster Linie eine schnellere Beseitigung der Schäden nach einem digitalen Angriff. Wie eine solche Kooperation von zivilen Stellen und militärischen Einheiten NATO-weit umgesetzt werden könnte, darüber wird unter anderem auch auf der Münchner Sicherheitskonferenz debattiert.

Wie ist die zivil-militärische Zusammenarbeit im Bereich IT-Sicherheit in Deutschland organisiert?

Nach Cyberattacken auf staatliche Stellen wird auch immer wieder die Bundeswehr im Rahmen der Amtshilfe angefordert. So hat es beispielsweise der Landkreis Anhalt-Bitterfeld nach einem Angriff mit Erpressersoftware getan. Seit längerem wird jedoch diskutiert, ob diese Art militärischer Nothilfe nach digitalen Angriffen nicht besser von einem zivilen Cyber-Hilfswerk übernommen werden sollte. Als Vorbild wird das Technische Hilfswerk (THW) genannt, das in Katastrophenfällen zum Einsatz kommt.
Die Befürworter eines solchen Cyber-Hilfswerks lehnen eine zivil-militärische Zusammenarbeit ab. Sie argumentieren, dass die Zivilgesellschaft die Abwehr und Beseitigung von Schäden durch Cyberangriffe besser organisieren könne. Vor dem Hintergrund des Ukraine-Konflikts wird auch der Aspekt der Sicherheit für das Personal angeführt: Die IT-Experten, die im Rahmen der zivil-militärischen Zusammenarbeit eingesetzt werden, hätten im Falle einer militärischen Auseinandersetzung Kombattantenstatus, würde also wie Militärangehörige behandelt. Das heißt, auf diese Mitarbeiter könnte geschossen werden, sie könnten in Kriegsgefangenschaft geraten.
THW-Einsatzkräfte dagegen haben Nicht-Kombattantenstatus, das heißt, sie werden wie Mitarbeiter des Roten Kreuzes als humanitäre Hilfskräfte behandelt. Diesen Status fordern Vertreter der Zivilgesellschaft auch für ein mögliches Cyber-Hilfswerk.