Ist der Krieg in der Ukraine auch ein Cyberkrieg?
Russland greift die Ukraine auch digital an. Und wie groß ist die Gefahr für westliche Unternehmen und Infrastrukturen? Ein FAQ zu hybriden Kriegen, DDoS-Attacken, Wiper-Angriffen und der Rolle des russischen Geheimdienstes
Schon vor dem Einmarsch russischer Truppen gab es Angriffe auf ukrainische Infrastrukturen. Welche Rolle spielten diese Angriffe?
Schon seit Monaten und insbesondere kurz vor dem Einmarsch der russischen Truppen in die Ukraine gab es zahlreiche digitale Angriffe auf ukrainische Infrastrukturen – unter anderem so genannte DDoS-Attacken auf Regierungswebseiten und Banken im Januar und Februar, ebenso zwei Wiper-Attacken unter anderem auf regierungsnahe Unternehmen.
Was bedeutet DDoS-Angriff?
DDoS bedeutetet „Distributed Denial of Service“: So genannte DDoS-Attacken sind eher „Angriffe von der Stange“ – man kann diese im Internet kaufen beziehungsweise beauftragen. Kriminelle haben sich dafür auf der Basis meist längst bekannter Sicherheitslücken in Computer eingehackt, bevorzugt in solche, die keine aktuellen Sicherheitsupdates haben oder veraltete Windows-Versionen nutzen, die nicht mehr von Microsoft unterstützt werden. Solche Rechner gibt es unendlich viele, und meist wissen ihre Besitzer:innen nichts davon, dass unbekannte Eindringlinge ihre Computer für ihre Zwecke nutzen.
Die Angreifer können diese Computer gewissermaßen fernsteuern und dafür nutzen, um Schadsoftware zu verschicken oder – wie in diesem Fall – um automatisiert gewisse Internetseiten immer wieder aufzurufen, bis die Infrastruktur zusammenbricht und sie für niemanden mehr erreichbar sind. Sollten russische Staatshacker:innen hinter diesen Angriffen stecken, bleiben sie dabei weit unter ihren Möglichkeiten – was aber nicht heißt, dass sie das nicht tun. Auch in der Vergangenheit hatte unter anderem eine Hackergruppe des russischen Geheimdiensts GRU mittels DDoS-Attacken beispielsweise die Hotline eines Elektrizitätswerks angegriffen, nachdem sie zuvor mit einer Cyberattacke einen Stromausfall verursacht hatten.
Was bedeutet Wiper-Attacke?
Ganz anders sind so genannte Wiper-Attacken. Am Tag vor dem Einmarsch verbreitete sich eine Wiper-Schadsoftware in zahlreichen ukrainischen Systemen, insbesondere auf denen von Unternehmen, die Vertragspartner der ukrainischen Regierung sind. Wiper bedeutet eine Lösch-Attacke: Entsprechende Software löscht Computer und ganze Systeme. Sie lassen sich in der Regel nicht wieder herstellen.
Wie gefährlich sind die Angriffe?
Die nun aktive Wiper-Atttacke war laut Einschätzung von Sicherheitsexpert:innen durchaus ausgefeilt und offenbar besonders gründlich. Die beiden Sicherheitsunternehmen ESET aus der Slowakei sowie Symantec aus den USA fanden die Schadsoftware auf mehr als 100 Systemen ihrer Kund:innen in der Ukraine und offenbar auch in den Nachbarländern Estland und Litauen.
Sicherheitsforscher:innen verglichen den Löschalgorithmus unter anderem mit dem Angriff auf Sony Pictures im Jahr 2014, bei dem innerhalb von wenigen Minuten weltweit ungefähr die Hälfte aller Daten von Sony Pictures gelöscht waren. Dieser Angriff wurde Nordkorea zugeordnet. Im aktuellen Fall ist es sehr wahrscheinlich, dass staatliche russische Akteur:innen hinter dem Angriff stehen – entsprechende Analysen laufen aber noch.
Was hat Russland von solchen Cyberangriffen?
Im Gegensatz zum aktuellen „Hermetic Wiper“-Angriff, wie ESET den Löschangriff im Vorfeld des Einmarsches russischer Truppen nannte, haben die weit weniger ausgefeilten DDoS-Attacken im Januar und Februar aus Sicht von Marina Krotofil, einer deutschen Cybersicherheitsexpertin ukrainischer Herkunft, nur eine geringe Rolle gespielt für die russische Angriffsstrategie: „Sie verfolgten keinen größeren strategischen Zweck als die allgemeine Demoralisierung der Bevölkerung und die Einschüchterung der nationalen Cyberkräfte.“
„Die DDoS-Angriffe verfolgten keinen größeren strategischen Zweck als die allgemeine Demoralisierung der Bevölkerung und die Einschüchterung der nationalen Cyberkräfte.“ Marina Krotofil, Cybersicherheitsexpertin ukrainischer Herkunft
Aus ihrer Sicht seien die Angriffe von russischer Seite aber strategisch nicht besonders schlau: „Die kontinuierlichen Angriffe seit 2014 machen das Land mental und technisch widerstandsfähiger“ – die Ukraine sei viel besser darauf vorbereitet, strategische Operationen zu vereiteln.
Nicht zuletzt rückte die USA als Verbündeter näher an die Ukraine und hilft auch in der digitalen Verteidigung. Das Weiße Haus hat mehrfach angekündigt, die Ukraine bei Cyberangriffen zu unterstützen und auch auf diese zu reagieren. Jeder der Angriffe im Vorfeld wurde intensiv von internationalen Sicherheitsforscher:innen analysiert und diskutiert. Im Gegensatz zu 2014/15. Damals trafen die ersten massiven Angriffe des russischen Geheimdienstes auf das Land und griffen sowohl Medienwebseiten und die Wahlkommission als auch kritische Infrastrukturen wie Kraftwerke an. Dies erregte jedoch damals nur wenig Aufmerksamkeit jenseits ukrainischer Landesgrenzen.
Gab es weitere Hacker-Angriffe seit Kriegsbeginn?
Seit Kriegsbeginn gab es zahlreiche kleinere Vorfälle. Vor allem wächst der Einfluss unabhängiger Gruppen und einzelner Hacktivist:innen, die entweder für die Ukraine oder für Russland Partei ergreifen und mit „Hausmitteln“ einfachere Angriffe wie DDoS-Attacken ausführen – die nichtsdestotrotz Schaden anrichten können.
Einige russische kriminelle Hacker:innen haben gegenüber Medien ganz offen zugegeben, nun für ihre Regierung und gegen die Ukraine zu hacken. Und auch die Ransomware-Gruppe Conti hat dazu aufgerufen, Russland zu unterstützen. Ransomware ist eine Schadsoftware, die Daten oder ganze Systeme sperrt und erst gegen die Zahlung von Lösegeld wieder freigibt. Conti gilt als eine der gefährlichsten Ransomware-Gruppen, da sie offenbar große Kapazitäten und ausgefeilte Angriffsmethoden hat.
Angesichts dieser Entwicklung ist es noch schwieriger als ohnehin zu erkennen, welche Akteur:innen hinter welchem Angriff stecken. Staatliche russische Akteur:innen sind mutmaßlich für die Wiper-Attacken verantwortlich, DdoS-Angriffe hingegen können viele starten.
Welche Rolle spielen die Cyberattacken für Russland seit dem Einmarsch in die Ukraine?
Es muss ganz klar gesagt werden, dass seit dem Einmarsch Cyberattacken naturgemäß zweitrangig sind in der militärischen Strategie. Denn kritische Infrastrukturen lassen sich sehr viel einfacher mit militärischer Wirkung lahmlegen als mit der Tastatur aus der Ferne, wenn die Angreifer bereits physisch und mit schwerem Gerät im Land sind und Luftangriffe fliegen.
„Wir sollten bei der ganzen Debatte um digitale Angriffe nicht vergessen: Es ist Krieg und Menschen sterben da draußen durch Waffengewalt“, sagt Manuel Atug, Sprecher der unabhängigen AG KRITIS. „Der Cyberraum ist ein Nebenschauplatz, da es keinen reinen Cyberkrieg gibt. Aber es wird als Unterstützung im Hybrid Warfare genutzt, für Fakenews und Propaganda ebenso wie für Aufklärung.“
Was bedeutet hybrider Krieg?
Hybrid bedeutet in diesem Fall, beide Welten für Angriffe zu nutzen – die digitale ebenso wie die analoge Welt. Dabei spielen digitale Angriffe vor allem auch im Vorfeld eines Krieges eine wichtige Rolle, betont Atug: „Der Zweck hybrider Kriegsführung ist es, im Vorfeld eines militärischen Eindringens aufzuklären, aber eben auch beispielsweise die Kommunikation des Gegners mit digitalen Attacken lahmzulegen oder den Energiesektor anzugreifen, damit der Gegner schon vor dem Einmarsch geschwächt ist.“
Solche Angriffe benötigen einen langen Vorlauf an Vorbereitung, und das finde vor allem auch in Friedenszeiten statt: „Cyberspionage – auch Aufklärung genannt – wird daher kontinuierlich vorgenommen.“ Er geht davon aus, dass sich staatliche Akteur:innen wie Geheimdienste und Militärs verschiedener Länder auch in den kritischen Infrastrukturen Europas bewegen und diese ausspionieren.
Sie dort zu finden sei nicht einfach: „Staatliche Akteure haben das Ziel, lange unentdeckt zu bleiben und spionieren zu können“, sagt er. „Im Krieg werden diese Zugänge dann für offensive Angriffe mit cyber-physischen Auswirkungen eingesetzt.“ Aus seiner Sicht sollte das verboten werden: „Es ist eine ernsthafte Bedrohung für die Zivilbevölkerung und ein erhebliches Risiko für die Aufrechterhaltung kritischer Infrastrukturen.“
„Kritische Infrastrukturen für digitale Angriffe auszuspionieren ist eine ernsthafte Bedrohung für die Zivilbevölkerung und ein erhebliches Risiko für die Aufrechterhaltung kritischer Infrastrukturen.“ Manuel Atug, Sprecher der unabhängigen AG KRITIS
Die russischen Aktivitäten seien allerdings nur bedingt einzigartig, betont Marina Krotofil: „Viele Nationen bauen gerade ihre Kapazitäten für digitale Angriffe aus.“ So wie auch in der analogen Welt Waffen und Kapazitäten bereit gehalten werden für den Fall eines Krieges. „Aber es gibt viele Faktoren, die eine Rolle spielen bei der Entscheidung, ob und wann diese Waffen eingesetzt werden.“
Gab es schon länger Cyber-Angriffe von Russland auf die Ukraine?
„Schon ab 2014 wurde die Ukraine der Spielplatz für russische Cyberangriffe, “ sagt der ukrainische Sicherheitsexperte Oleksii Yasinskyi im Interview, der die verheerende NotPetya-Attacke 2017 im Auftrag seines Arbeitgebers, dem Sicherheitsunternehmen ISSP, analysierte. Aber NotPetya war nur der Höhepunkt einer Welle von Angriffen, die bereits 2014 starteten. Damals drangen die Angreifer unter anderem in die Systeme des größten Medienunternehmens Starlight Media ein und versuchten, Daten zu löschen sowie in das System der Wahlkommission der Ukraine. Nach einigen kleineren und größeren Attacken folgten 2015 und 2016 Angriffe auf das ukrainische Stromnetz, die jeweils Stromausfälle von einigen Stunden zur Folge hatten. „Die Angreifer hätten einen weit größeren Schaden anrichten können“, sagt Yasinskyi: Vor allem der Angriff 2016 gilt als sehr ausgefeilt, eine automatische Schadsoftware, die tief in die Steuersysteme einer Anlage eingedrungen war. „Es war offenbar eine Übung“, so Yasinskyi.
Einigen ist wohl noch die NotPetya-Attacke im Sommer 2017 auf ukrainische Systeme in Erinnerung, die auch viele westliche Unternehmen traf und weltweit einen Milliardenschaden anrichtete: Die Schadsoftware war als Ransomware „verkleidet“ – gab also vor, dass eine Zahlung von Lösegeld zur Entschlüsselung der Daten führt, stellte sich aber schließlich als Wiper heraus: Die Daten waren unwiederbringlich gelöscht. Die Schadsoftware verbreitete sich mit dem Update einer ukrainischen Steuersoftware und traf deshalb auch westliche Unternehmen, die mit der Ukraine Geschäftsverbindungen pflegten.
Es gilt als erwiesen, dass hinter diesem Angriff der russische Geheimdienst steckt. US-Behörden haben inzwischen sechs Mitarbeiter der russischen Geheimdiensts GRU für eine Reihe von Cyberattacken angeklagt, unter anderem für jene auf die Elektrizitätswerke sowie für den NotPetya-Angriff.
Sowohl nach dem Angriff auf das Stromnetz 2016 als auch nach der Attacke 2017 sah Yasinskyi bei einer genaueren Analyse des Schadcodes, dass die Angreifer digitale Hintertüren eingebaut hatten in die ukrainischen Systeme. Solche „Sleeper Agents“, wie Yasinskyi sie nennt, hat er schon öfter gesehen: Angreifer versuchen auch nach einer erfolgreichen Attacke unentdeckt im System zu bleiben, als unauffälliger Schläfer. In gut versteckten Dateien, die kaum zu finden sind. Sie wollen einen Fuß in der Tür behalten für Spionage und künftige Attacken. Die Strategie der Angreifer ist in der Regel erfolgreich, sagt Yasinskyi: „Die Wahrheit ist: Du bekommst einen Angreifer nicht los in deinem System.“
Der russische Geheimdienst hat vermutlich also Hintertüren in einige ukrainischen Systemen. Das zeigt sich auch in der aktuellen Wiper-Attacke „Hermetic Wiper“: Sicherheitsforscher:innen stellten fest, dass diese nicht nur seit Monaten geplant und entwickelt worden war (Spuren im Code ließen sich bis Dezember 2021 zurückführen), sondern auch, dass die Angreifer:innen offenbar bereits länger in den Systemen waren.
Sind auch andere Länder gefährdet, Ziel von russischen Cyber-Angriffen zu werden?
Angesichts des Einmarsches in die Ukraine wird das russische Militär im Land eher seine Möglichkeiten vor Ort und aus dem Luftraum nutzen, um kritische Infrastrukturen in der Ukraine anzugreifen, als weiterhin Cyberattacken zu fahren.
Von daher stehen wohl eher westliche Infrastrukturen im Fokus russischer Angriffe. Putin hat mit markigen Worten angekündigt, jedem Angriff mit Konsequenzen zu begegnen, die seine Gegner „in ihrer Geschichte noch nie erlebt haben.“ Wer auch immer sich in die russischen Verhältnisse einmische, müsse mit entsprechenden Konsequenzen rechnen. „Es kann dadurch auch zu Ausfällen oder Einschränkungen bei kritischen Infrastrukturen wie beispielsweise Strom und Wasser kommen“, sagt Atug. Er verweist aber darauf, dass solche Angriffe hoch komplex sind und nicht trivial umzusetzen.
Hat Russland auch andere Länder bereits mit Cyberattacken angegriffen?
Der russische Staat hat einiges an Erfahrung mit Cyber-Attacken: So legten Angreifer:innen unter anderem im Sommer 2017 die Sicherheitssysteme einer petrochemischen Anlage in Saudi-Arabien lahm – offenbar mit dem Ziel, einen sicherheitsrelevanten Vorfall zu erzeugen, bei dem beispielsweise unbemerkt giftige Gase hätten austreten können, die für die Menschen in der Umgebung lebensgefährlich sind und auch zu einer Explosion hätten führen können. „Das war das erste Mal, das mit einer automatischen Schadsoftware bewusst Menschenleben in Gefahr gebracht wurden“, sagt Marina Krotofil. Später wurde der Angriff von internationalen Sicherheitsforscher:innen unter anderem des US-Unternehmens Fireeye bis zu einem staatlichen russischen Institut zurück verfolgt. Das US Justizministerium hat Mitarbeiter des Geheimdienstes GRU dafür verantwortlich gemacht.
Das US-Sicherheitsunternehmen Dragos bezeichnet die Gruppe hinter dem Angriff als die „mit Abstand gefährlichste öffentlich bekannte Bedrohung“ und betont, beobachtet zu haben, wie sie neue Ziele in den USA und Europa ausspioniert habe. Auch Krotofil sieht immer wieder Spuren der Gruppe bei ihren Analysen in den Netzwerken kritischer Infrastrukturen, auch in Europa – ist aber weniger alarmiert als Dragos: „Das ist völlig normal, alle Angreifer scannen das Internet immerzu.“ Jedes Unternehmen sehe diese Versuche auf den internetseitigen Servern. Das sage aber nichts darüber aus, welche Anlagen tatsächlich angegriffen werden oder wo Hacker:innen bereits weiter gekommen sind.
Wie groß ist die Gefahr auch für deutsche Unternehmen?
Selbst wenn Hacker:innen kritische Infrastrukturen angreifen: „Das heißt nicht, dass sie es schaffen, tatsächlich die Kontrollsysteme zu erreichen“, sagt Krotofil, „denn das ist ein sehr langer, sehr aufwendiger Weg ohne Garantie auf Erfolg.“ Wer es wirklich versucht und entsprechende Mittel und Kapazitäten hat, hat aber Chancen es zu schaffen.
Sie sieht den Angriff in Saudi-Arabien und die weiteren Aktivitäten der Hackergruppe des russischen Geheimdienst von daher als ein besorgniserregendes Zeichen: Das sei eine bewusste und weitreichende Entscheidung Russlands, in den Cyberwar zu investieren. Dass die Angreifer auf der Suche nach neuen Zielen sind, heiße zwar nicht, dass der nächste lebensgefährliche Angriff bereits vor der Tür steht – „aber sie bauen sich damit ein dauerhaftes Fundament für künftige Zwecke.“
Nicht immer sind die Systeme, die am Ende getroffen werden, zudem die, die ursprünglich im Fokus der Hacker-Angriffe standen. So verbreitet sich auf Twitter aktuell eine Meldung, laut der ein großangelegter Angriff westliche Windkraftanlagen stört – das könnte aber mit dem Ausfall eines Satellitennetzwerks zu tun haben, das mutmaßlich von einem Cyberangriff getroffen wurde.
Es sind zudem nicht nur staatliche Akteur:innen, die kritische Infrastrukturen angreifen, warnt Atug: „Ransomware-Tätergruppen zeigen aber in jüngster Vergangenheit immer wieder, dass es eben auch schlecht aufgestellte kritische Infrastrukturen gibt.“ Von daher sollten spätestens jetzt alle Unternehmen erneut überprüfen, ob ihre Software auf dem neuesten Stand ist und mögliche Einfallstore geschlossen sind.