Derzeit sind alle Augen auf die Lage in der Ukraine gerichtet: der Konflikt spitzt sich zu und droht auszuufern. Im Rahmen seiner modernen Angriffs-Strategie dringt Russland dabei in die digitale Welt vor, ein zumindest paralleler Cyberkrieg ist denkbar.
Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro:
Russland gilt als Land, welches Cyberkriminalität nicht verfolgt und die Tatsache, dass hier seit Januar mehrere Cyberkriminelle verhaftet wurden, überraschte zunächst. Politisch bewegen wir uns damit allerdings auf einem Minenfeld. Denn: Die Verhaftungen können – als Zeichen des guten Willens - zur Entspannung der Ukraine-Krise beitragen. Sie können aber bei einer Verschärfung der Krise ebenso als Vorbereitung von staatlich unterstützter Piraterie und wirtschaftlicher Kriegsführung dienen.
Mitte Januar wurden einige Protagonisten der Ransomware-Gruppierung REvil durch Moskau verhaftet. Sicherheitsforscher stellten mit Genugtuung fest, dass dies zu Ängsten und Verwirrung innerhalb der Cyberkriminellen-Szene führte. Viele fürchteten mit Russland einen sicheren Hafen zu verlieren. Aber Ransomware-Akteure sind, wie einst die Freibeuter der Meere, nur ein Spielball der Politik.
Dass im Speziellen REvil festgesetzt wurde, darf als deutliches Zeichen zu verstehen sein. Die Gruppe stand seinerzeit hinter dem Angriff auf die Colonial Pipeline in den USA – die einzige Attacke auf eine kritische Infrastruktur, die eine mehr als deutliche politische Reaktion auslöste. Damit gibt Moskau potenziellen Nachahmungstätern ein Zeichen, das von westlichen Beobachtern auch als Entgegenkommen gewertet wurde.
In einem eskalierenden Konflikt mit der Ukraine, wie wir ihn momentan beobachten, käme es für Russland aus verschiedenen Gründen ungelegen, wenn Cyberkriminelle kritische Infrastrukturen im Westen angreifen und damit automatisch auch den eigenen politischen Handlungsspielraum einschränken.
Zwei Arten der Cyberkriegsführung
Formen der Cyberkriegsführung, wie Cyberspionage, Desinformationskampagnen oder disruptive Attacken auf kritische Infrastrukturen oder Serversysteme eines Landes kann nur verstehen, wer sich mit dem Wesen von Cyberwaffen auseinandersetzt. Mit kleineren Aktionen lassen sich begrenzte Auswirkungen erzielen – das beobachten wir schon seit über zehn Jahren.
Dadurch, dass es nicht möglich ist den Urheber und dessen Motivation zweifelsfrei zu erfassen, handelt es sich um politische Waffen, die so lange wirken, wie sie in der Lage sind, Menschen zu verängstigen. Größere Vorfälle, die auf kritische Infrastrukturen oder ganze IT-Systeme eines Landes abzielen sind hingegen für staatliche Täter nur extrem schwer kontrollierbar – und damit als Kriegswaffe eigentlich ungeeignet.
Als Beispiel dient NotPetya von 2017. Diese Attacke stellte sich mit großer Wahrscheinlichkeit als getarnter staatlicher Cyberangriff heraus, weil die Technik der Verbreitung und der angerichtete Schaden enorm fortschrittlich waren.
Ganz im Gegensatz zum Ransomware-Anteil, der so unterentwickelt war, dass von einem Ablenkungsmanöver ausgegangen werden kann im Gegensatz zu einem monetären Motiv. Die Ukraine galt dabei als Hauptopfer, aber auch europäische, amerikanische und russische Unternehmen waren von NotPetya betroffen. Denn ähnlich atomarer, biologischer und chemischer Waffen lassen sich digitale Waffen in ihrer Wirkung nicht einschränken.
In einer vernetzten Welt treffen sie jeden. Wer sie in einem Konflikt als Waffe einsetzt, muss damit rechnen, auch nicht teilnehmende Nationen sowie früher oder später sich selbst zu treffen. Versucht man als Täter dagegen die Waffe kontrolliert einzusetzen, braucht man Personal um sie in ihrer Wirkung zu „betreuen“.
Hierzu sind Spezialisten gefragt, um etwa pro ins Visier genommenem Unternehmen Erfolge sicherzustellen. Die Anzahl der möglichen Opfer ist durch diesen hohen Aufwand an Ressourcen automatisch begrenzt.
Deeskalation statt Hackback
Bisherige Vorfälle wie Stuxnet, ein im Jahr 2010 aufgedeckter und effektiver Computerwurm, oder NotPetya haben bewiesen: es ist möglich, mit gezielten Aktionen enorme Schäden anzurichten. Ein Kriegsgegner könnte Waffen wie diese einsetzen, um in einem eskalierenden Konflikt einer anderen Nation massive Probleme zu bereiten – mit Konsequenzen für weitere Staaten.
Denn ebenso wie der Einsatz einer Atombombe hätte eine unkontrollierte digitale Eskalation der Krise zwischen Russland und der Ukraine auch Auswirkungen auf Deutschland, Europa und die ganze Welt.
Da die Folgen aber wesentlich milder sind als die einer atomaren Bedrohung, könnte dieses Szenario für militärische „Falken“ weniger abschreckend wirken. Umso wichtiger ist es, die diplomatische Konfliktlösung in den Vordergrund zu stellen. Tatsächlich kann davon ausgegangen werden, dass heute jedes Land über Mittel verfügt, nicht allein defensiv zu reagieren.
So ist auch die Bundesregierung zumindest im Besitz der notwendigen Technik für einen Hackback, um bei Attacken zurückschlagen zu können. Cyberkriegsführung ist in manchen Nationen mittlerweile fest etabliert und Angriffe kommen demzufolge strategisch zum Einsatz.
In der Regel sind staatliche Täter jedoch mehr daran interessiert, durch Cyberattacken die öffentliche Wahrnehmung zu manipulieren oder Ablenkungsmanöver zu inszenieren, anstatt dauerhafte, weitgreifende Störungen – zum Beispiel kritischer Infrastrukturen – zu verursachen.
Die psychologische Wirkung überwiegt an dieser Stelle. Wirklich erfolgreiche Cyberangriffe erzeugen nur punktuelle und schwer einzuschätzende Schäden, die bestenfalls den Weg für einen konventionellen Schlag ebnen, ihn aber nicht ersetzen.