Krieg in der Ukraine
Cyberangriffe aus dem Kreml

Der Angriff auf die Ukraine hat mit einem Cyberangriff begonnen. Und im weiteren Konflikt könnten auch westliche Länder Opfer solcher Attacken werden.

Schon im Januar waren mehrere Internetseiten der ukrainischen Regierung massiv attackiert worden. Vorübergehend konnten die Webseiten von Außen-, Katastrophen- und Forschungsministerium nicht aufgerufen werden. Die Cyberattacke schreckte auch die westlichen Partnerstaaten der Ukraine auf, die NATO sagte Kiew eine verstärkte Zusammenarbeit bei der Internetsicherheit zu.

Doch die Attacken sind nicht neu. Bereits in der Vergangenheit führte Russland verheerende Cyberangriffe auf die Ukraine durch. So legten russische Hacker im Jahr 2015 einen Teil des Stromnetzes lahm, sodass eine Viertelmillion Ukrainer mitten im Winter ohne Strom waren. Im Jahr 2017 schaltete ein russischer Malware-Angriff die Systeme der ukrainischen Regierung und des Privatsektors ab. Diese Angriffe schreckten auch die westlichen Partner auf, die Nato sagte Kiew eine verstärkte Zusammenarbeit bei der Internetsicherheit zu. 

Der Begriff „Cyberkrieg“ ist irreführend: Die Fachwelt hält es derzeit für unrealistisch, Krieg mit rein digitalen Mitteln wie durch Cyberangriffe auf Kommunikation, Infrastruktur und Kriegsgerät zu gewinnen. Experten sprechen von einem Trilemma: Kein Cyberangriff kann gleichzeitig gezielt, wirkungsmächtig und schnell durchgeführt werden. Wenn er eine dieser Eigenschaften hat, leiden die anderen beiden. Zudem können Cyber-Einheiten in der Regel nicht schnell genug auf das oft unübersichtliche Kampfgeschehen reagieren.

Dennoch sind Cyberfähigkeiten ein wachsender Faktor, um konventionelle Kriegsführung zu unterstützen und Konflikte zu beeinflussen.

Mehr zum Thema Cyberattacken und Cyberkrieg

• Was tun bei einem Cyberangriff?
• Cyberangriffe und Störfälle häufen sich
• Debatte über Cyberwaffen für die Bundeswehr
• Wie US-Präsident Biden einen Cyberkrieg zu verhindern sucht
• Wie Algorithmen die geostratische Lage verändern

Cyberfähigkeiten kommen mit unterschiedlichen Zielen zum Einsatz.

• Cyberspionage: Dazu gehört das Abfischen von Kommunikation und Daten.
• Cybersabotage: digitale Angriffe auf Infrastruktur wie Kraftwerke, auf Kommunikation von Militär oder Regierung oder die Militärtechnologie des Gegners
• „PsyOps“: Desinformation oder digitale Maßnahmen zur psychologischen Kriegsführung rund um Militärkonflikte.

2016 wurde die Schadsoftware „Agent-X“ auf den Smartphones ukrainischer Artilleristen gefunden. Die Software war in einer App für die Zielführung von Haubitzen versteckt. Sie ermöglichte es, die Geodaten der Stellungen weiterzuleiten und diese Information militärisch auszunutzen.

Die Schadsoftware „NotPetya“ aus dem Jahr 2017 ist ein Beispiel für Cybersabotage. Über das Update einer Buchhaltungssoftware wurde sie auf zahlreichen ukrainischen Rechnern installiert. Bei „NotPetya“ handelt es sich um einen so genannten „Wiper“, ein Programm, das Festplatten und Server löscht. Der Schaden wird in Schätzungen auf etwa 0,5 Prozent des ukrainischen Bruttoinlandsprodukts beziffert.

Fachleute vermuten die Gruppe Sandworm hinter der „NotPetya“. Sie soll dem russischen Geheimdienst FSB nahestehen. Ob Russland damit operative Ziele erreichen konnte oder es sich nicht sogar um einen Hackerunfall handelte, ist umstritten: Der Computerwurm löschte auch Daten in Systemen zahlreicher internationaler Firmen, inklusive denen des russischen Ölkonzerns Rosneft, an dem der russische Staat beteiligt ist. Die wahrscheinlich ungewollte Verbreitung zeigt die ungeplanten Kollateralschaden, die große Cyberoperationen anrichten können.

Die Gruppe „Sandworm“ wird auch für einen Cyberangriff auf das Stromnetz der Ukraine im Winter 2015/2016 verantwortlich gemacht. Damals fielen in Teilen Kiews für einige Stunden der Strom aus.

In den vergangenen Tagen und Wochen wurden ukrainische Regierungs-, Bank- und Nachrichtenseiten mehrmals mit DDoS-Attacken („Distributed Denial-of-Service“-Angriffe) lahmgelegt. Auch verschiedene Ministerien und das Verteidigungsministerium war Ziel der Angriffe. Bei diesen Angriffen dringen keine Hacker ins System ein, sondern Seiten werden mit Anfragen geflutet, bis die Server zusammenbrechen. Dabei geht es darum, die Kommunikation nachhaltig zu stören. Zudem hatten anonyme Hacker die Startseiten verunstaltet und behauptet alle persönlichen Daten der Ukrainer gestohlen zu haben.

DDoS-Attacken werden inzwischen eher zur psychologischen Kriegsführung gerechnet. Sie sollen die Verwundbarkeit der digitalen Infrastruktur und den eigenen digitalen Einflussbereich markieren. Zudem können sie die Bevölkerung verunsichern - zum Beispiel, wenn Online-Banking nicht möglich ist oder Bürger und Bürgerinnen sich nicht auf einheimischen Nachrichtenseiten über die aktuelle Lage informieren können.

In den vergangenen Tagen berichteten ukrainische IT-Sicherheitsforscher, dass sie auf Hunderten ukrainischer Rechner eine neue Löschsoftware vom Typ „Wiper“ entdeckt hätten. Die Attacke sei möglicherweise schon vor zwei Monaten vorbereitet worden, so das IT-Sicherheitsunternehmen ESET. Wer die Cyberattacken verantwortet, war unklar. Auch war nicht klar, ob Daten gelöscht wurden. Das Schadprogramm konnte mittels einer gefälschten Signatur an den Virenscannern vorbeigeschleust werden.

Bereits 2008 hatte Russland im Konflikt mit Georgien flankierend Hackerangriffe genutzt. Das Land gilt seit längerem als Heimat mehrerer aktiver Hackergruppen, die teilweise auch andere Regierungen ausspioniert haben sollen. Die Gruppen tragen Namen wie DarkHalo, Turla, Fancy Bear und werden teilweise direkt oder indirekt den Geheimdiensten zugerechnet.

Auch die organisierte Cyberkriminalität hat ihren Hauptstandort in Russland und bietet Online-Erpressung mittels der Verschlüsselung von Computern sogar als Dienstleistung an. Zuletzt gab es auf höchster Ebene diplomatische Gespräche zwischen den USA und Russland, weil Moskau die Cyberbanden-Kriminalität bislang in der Regel duldete.

Auch die Ukraine hat einen starken IT-Sektor. Offizielle betonen, dass man spätestens seit 2014, besonders aber nach dem NotPetya-Angriff 2017 ein starkes Bewusstsein für die digitale Verteidigung entwickelt habe. Dazu gehört es, Angriffe abzuwehren und Systeme gegen das Absaugen von Daten zu sichern, aber auch die schnelle Wiederherstellung von IT-Netzwerken nach einem Angriff.

Die Ukraine steht in der Cybersicherheit im Austausch mit anderen Ländern, vor allem Großbritannien und den USA. Die USA haben selbst großangelegte Hacking-Kapazitäten und eine eigene Cyberstrategie entwickelt, die auch „aktive Maßnahmen“ einschließt. In der US-Politik wird offen darüber diskutiert, diese Cyberkapazitäten nun als Vergeltung gegen Russland einzusetzen.

In der Regel bekennen sich Länder nicht zu solchen Cyberaktionen, der Nachweis konkreter Urheber ist deshalb oft schwierig. Dadurch liegt das Feld in einer völkerrechtlichen Grauzone.

Deutschland hat der Ukraine im Januar Hilfe durch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) angeboten. Eine Hilfe durch das Kommando Cyber- und Informationsraum der Bundeswehr müsste wie eine reguläre Mission der Bundeswehr mandatiert werden und gilt deshalb als ausgeschlossen.

Durch die Teilnahme an Sanktionen könnte Deutschland ebenfalls verstärktes Ziel von Hackerangriffen werden. SPD-Innenministerin Nancy Faeser hatte dazu erklärt, man habe „die Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren und relevante Stellen sensibilisiert.“

Deutsche Institutionen und Unternehmen gelten in Sachen Cybersicherheit als verwundbar, wie diverse Ransomware-Angriffe gezeigt haben. Der IT-Branchenverband Bitkom schätzt den jährlichen Gesamtschaden durch digitalen Diebstahl, Erpressung und Sabotage auf 223 Milliarden Euro. Experten kritisieren, dass weiterhin zu wenig in die IT-Sicherheit investiert werde.