Interview zu digitalen Angriffen„Die Expertise der Ukraine nicht unterschätzen“

Russland greift zwar in der Ukraine aggressiv an, doch im digitalen Raum scheint nur wenig zu passieren. Das passt nicht ins Bild von Russland als gefürchtetem Akteur in einem potenziellen „Cyber-Krieg“. Ein Gespräch mit Matthias Schulze von der Stiftung Wissenschaft und Politik.

Brennendes Öldepot
Angriffe auf Infrastruktur erfolgen bisher eher konventionell, hier ein brennendes Öldepot in Chernihiv. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Cover-Images

Bundesinnenministerin Nancy Faeser warnt vor einer erhöhten Gefahr sogenannter Cyber-Angriffe. Die Befürchtung: Russland könnte sich für Sanktionen rächen, indem es digitale Infrastruktur angreift. Im Kriegsgeschehen in der Ukraine spielen solche Angriffe bisher kaum ein Rolle. Es ist eigentümlich still um sonst so gefürchtete Hacks aus Russland. Stimmt dieser Eindruck eigentlich? Und woran könnte es liegen?

Darüber haben wir mit Dr. Matthias Schulze geredet. Schulze ist stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik (SWP) und Co-Koordinator des Cyber-Forschungsclusters. Außerdem berichtet und podcastet er auf percepticon.de über Cyber-Konflikte, Desinformation und IT-Sicherheit.

Matthias Schulze
Dr. Matthias Schulze von der SWP. - Alle Rechte vorbehalten SWP

netzpolitik.org: Zwischen Russland und der Ukraine gab es bereits vor Beginn der aktuellen Invasion Eingriffe in digitale Infrastruktur. Seit wann laufen die digitalen Auseinandersetzungen?

Matthias Schulze: Mit der Besetzung der Krim 2014 heizte sich der digitale Konflikt zwischen Russland und der Ukraine an. Da gab es zum Beispiel einen Internet-Shutdown, bei dem von Russland eine Glasfaserleitung gekappt wurde, um die internationale Kommunikation abzuschneiden. So sieht man nicht, was in dem Gebiet vor sich geht und kann damit Narrative und die Deutungshoheit bestimmen.

Seitdem gab es in der Ukraine immer wieder diverse Cyber-Vorfälle: Es gab einen Beeinflussungsversuch der Wahl im Jahr 2014. Dann gab es 2015 einen Angriff auf das Stromkraftwerk, wo in der Ukraine das Licht ausging. Das wurde 2016 noch mal wiederholt mit einer komplexeren Schadsoftware-Variante.

Dann gab es 2017 Not Petya, einen Wurm, der in der Ukraine und darüber hinaus großflächig Systeme verschlüsselt hat. Das hat zu Schäden auf der ganzen Welt geführt. Das sind aber nur Ausschnitte – die Ukraine hat häufiger DDoS-Angriffe erlebt, es wurde immer mal wieder Spionagesoftware entdeckt, es sind wiederholt Dienste ausgefallen. Das begleitet das Land seit 2014.

Akut wurde es Ende letzten Jahres, da wurden die Vorbereitungen für die Wiper-Schadsoftwarewelle getroffen, die wir jetzt sehen. Sie wurde wohl im November und im Dezember letzten Jahres geschrieben und vorbereitet.

netzpolitik.org: Gehen die Aktivitäten im digitalen Raum ausschließlich von Russland aus? Wie steht es um die IT-Kapazitäten in der Ukraine selbst?

Matthias Schulze: Die Ukraine hat über die Jahre hinweg gelernt. Im Land gibt eine große Expertise, die man nicht unterschätzen sollte, auch bei ukrainischen IT-Sicherheitsunternehmen. Man könnte also davon ausgehen, dass die Ukraine die Fähigkeiten hätte, digital zurückzuschlagen. Wir wissen aber nicht, ob sie das tun, denn dafür gibt es keine Sichtbarkeit.

Wir wissen generell wenig über Cyberangriffe gegen Russland, da die russische Regierung das grundsätzlich nicht veröffentlicht. Die russische Regierung macht bisher auch keine öffentliche Attribution. Das heißt, sie zeigt nicht mit dem Finger auf die mutmaßlichen Akteure, wie westliche Staaten das mit IT-Sicherheitsunternehmen zusammen machen.

Insofern ist es eine sehr einseitige Betrachtung: Wir sehen, was im Westen und in der Ukraine passiert. Aber wir sehen nicht viel, was der Westen und eventuell auch ukrainische Hackerinnen und Hacker in Russland tun.

netzpolitik.org: Wie hat sich der digitale Konflikt im direkten zeitlichen Umfeld des Krieges entwickelt?

Matthias Schulze: Das offensichtlichste waren DDoS-Angriffe auf ukrainische Seiten. Die sind aber nicht überraschend, das kam bereits im Georgien-Konflikt 2008 vor. Solche DDoS-Vorfälle sollen vor allem ein Signal senden: Angst schüren, psychologische Effekte auslösen, Stärke demonstrieren, Drohen durch Taten und nicht nur durch Worte.

Dann gibt es die Wiper-Schadsoftware, von der mittlerweile drei Varianten bekannt sind. Wir wissen nicht genau, wie viele und welche Systeme betroffen sind. Die IT-Unternehmen halten sich sehr bedeckt, auch um keine taktischen Informationen herauszugeben. Was man soweit sieht: Die Software verbreitet sich und löscht Daten. Mehrere Regierungstellen in der Ukraine waren betroffen, wir wissen aber nicht genau, welche.

Woher kommt die Zurückhaltung Russlands im digitalen Raum?

netzpolitik.org: Angesichts der Vorgeschichte mit den Stromausfällen 2017 und der immer wieder berichteten Bedrohung durch Russland wirken die aktuell beobachteten Aktionen eher zurückhaltend. Stimmt dieser Eindruck?

Matthias Schulze: Viele IT-Sicherheitsexperten und Unternehmen weltweit hatten größere Erwartungen und mindestens eine taktische Begleitung im Digitalen erwartet, also Cyber-Operationen plus konventioneller Angriff. Dass beispielsweise Radarsysteme ausgeschaltet oder militärische Kommandostellen gestört werden, um den konventionellen Einmarsch zu ermöglichen.

Das zweite, was man erwartet hat, ist eine Welle von Desinformation und strategischer Beeinflussung. Das haben wir im Kleinen auch gesehen. Es gab ein paar versuchte False-Flag-Operationen, bei denen gefakte Videos über Telegram verteilt wurden, um einen Kriegsgrund zu schaffen. Aber auch das passierte nicht in der großen Breite, die man vielleicht angenommen hätte.

Das dritte, was man befürchtet hatte, waren Angriffe auf kritische Infrastruktur oder einen Internet-Shutdown, um die Kommunikation in der Ukraine zu stören.

Wie ein Puzzle

netzpolitik.org: Davon ist wenig passiert. Welche Erklärung könnte es für diese vermeintliche Zurückhaltung geben?

Matthias Schulze: Zunächst könnte man auch fragen: Warum haben wir das überhaupt erwartet? Wir haben zum einen eine westliche Sichtweise und sind im IT-Bereich sehr verwundbar. Deswegen macht uns das auch viel Angst. Zum anderen verdienen IT-Unternehmen damit Geld, wenn es Bedrohungen gibt, gegen die sie ihre Produkte verkaufen können.

Warum bisher recht wenig passiert ist, ist wie ein Puzzle. Wir wissen es nicht genau, aber es gibt einige Hypothesen. Es könnte beispielsweise sein, dass Russland selbst gar nicht größer im Digitalen eskalieren wollte. Denn größere Angriffe, vor allem gegen Kritische Infrastruktur, richten sich immer auch gegen die Bevölkerung. Wenn man aber ein Land einnehmen will, dann ist es nicht gut, wenn man die Zivilbevölkerung unnötig gegen sich aufbringt.

Deswegen war die Hypothese, dass Russland mit einem schnellen Einmarsch gerechnet hat, mit einem Enthauptungsschlag gegen die Regierung in Kiew – und das deshalb nicht getan hat.

„Die Situation könnte sich ändern“

Jetzt scheint sich die Situation ändern und in einen Belagerungskrieg umzuwandeln. Das heißt, es könnte passieren, dass man dann auch Angriffe gegen Kritische Infrastrukturen sieht – es muss aber auch nicht.

Ein zweites Argument für Russlands Zurückhaltung könnte sein, dass es selbst von ukrainischer IT-Infrastruktur abhängig ist. Es gibt Anzeichen, dass russische militärische Kommunikation über ukrainische Netze läuft. Wenn das stimmt, dann wäre es natürlich blöd, wenn man das Internet ausschaltet und selber nicht mehr kommunizieren kann.

Dann gibt es noch die Vermutung, dass die Invasion schlichtweg schlecht geplant war und die Paranoia zwischen den russischen Nachrichtendiensten sehr groß ist. Die russischen Nachrichtendienste FSB, GRU und SVR stehen in einem Wettbewerb zueinander, misstrauen sich und buhlen um die Gunst von Putin – sie reden aber nicht miteinander. Es kann also sein, dass schlichtweg nicht genug Zeit war, einen komplexen Angriff gegen kritische Infrastruktur vorzubereiten.

Dazu passen Hinweise, gefangene Soldatinnen und Soldaten hätten berichtet, bis zum Abend vor dem Angriff gar nicht zu wissen, dass sie in der Ukraine angreifen sollen. Sondern dachten, sie seien bei einer militärischen Übung. Das kann auch ukrainische Propaganda sein, daher muss man diese Information vorsichtig betrachten.

Es kann aber auch sein, dass wir einfach nicht sehen, was passiert. Oder dass noch etwas passieren wird. Aber dann stellt sich auch die Frage, ob es sich für Russland noch lohnt, Kraftwerke digital anzugreifen, wenn man sie auch konventionell in der Hand hat und ganz analog ausschalten kann.
Vielleicht ist also die Erkenntnis auch, dass Cyber-Fähigkeiten für diesen Krieg gar nicht gut geeignet sind, sondern dass man vieles, was man an Effekten hervorrufen kann, auch genauso gut mit konventionellen Fähigkeiten herstellen kann.

„Vorsichtig mit Begriffen umgehen“

netzpolitik.org: Wie kann man überhaupt einordnen, ob eine Information zu einem Cyberangriff verlässlich oder relevant ist?

Matthias Schulze: Zunächst einmal würde ich alle Medienschaffenden da draußen aufrufen, vorsichtig mit dem Begriff „Cyberangriff“ umzugehen. Nicht alles davon ist schädlich und nicht alles davon ist ernsthaft. DDoS-Angriffe etwa sind meist nicht mehr als eine Störung. Wenn man jetzt liest „Die russische Staatsbank wurde mit DDoS angegriffen“, heißt das nicht viel. Was wurde denn da angegriffen? Die Website? Die ist wahrscheinlich zu vernachlässigen. Nicht zu vernachlässigen wäre es, wenn Finanz- und Buchungssysteme betroffen sind.

Die meisten DDoS-Angriffe, die wir sehen, richten sich gegen öffentlich sichtbare Seiten. Das kann man damit vergleichen, dass jemand einen Stein in ein Schaufenster wirft. Die Scheibe ist kaputt, aber der Laden kann trotzdem weiterlaufen.

Ich würde Aktivistinnen und Aktivisten raten: Bitte beteiligt euch da nicht dran! Zum einen sind das illegale Handlungen. Und es kann sein, dass Russland das in den falschen Hals bekommt und als konzertierte Aktion des Westens interpretiert oder darstellt. Am Ende könnte Russland es auch als Legitimation für Gegenschläge nutzen. Das kann Eskalation antreiben.

Bei allen Meldungen müssen wir beachten: Wir befinden uns im Nebel des Krieges. Wir wissen nicht so richtig, was passiert. Vieles ist Propaganda. Der westliche Diskurs in unseren Social-Media-Umgebungen ist ein komplett anderer als der in Russland, weil die Russen ihr Internet ja weitgehend abgekoppelt haben und massiv Zensur hochgefahren haben. Bei uns kommen hingegen in erster Linie die ukrainischen Narrative und Berichte an.

Wir haben momentan eine sehr schiefe Sichtbarkeit und ich rate dringend dazu, alles sehr vorsichtig zu betrachten. Es wird die große Aufgabe der Zukunft sein, alles auseinanderzudröseln und zu analysieren, was stimmte und was nicht.

1 Ergänzungen

  1. Albanien bricht mit sofortiger Wirkung die diplomatischen Beziehung zum Iran ab. Das kündigte Albaniens Ministerpräsident Edi Rama an. Er begründete die Entscheidung damit, dass es „unwiderlegbare Beweise“ dafür gebe, dass der Iran hinter massiven Cyberangriffen auf das NATO-Land stecke. Am 15. Juli dieses Jahres waren in Albanien zahlreiche Internetseiten von Regierungen und Behörden wegen eines Cyberangriffs zeitweilig nicht erreichbar gewesen.

    Das gesamte Botschaftspersonal des Irans müsse Albanien binnen 24 Stunden verlassen, sagte Rama weiter. Man habe auch die NATO-Partner und andere befreundete Staaten darüber informiert.

    Quelle: https://www.tagesschau.de/ausland/europa/albanien-iran-cyberangriff-101.html

    Angesichts des ausgebliebenen Schadens eine ungewöhnliche Reaktion. War der Event nur ein (willkommener?) Anlass für ein „Spiel über Bande“? Ohne einem der beteiligten Länder zu nahe treten zu wollen, aber die Beziehung Albanien-Iran zählt wohl eher zu den verzichtbaren, was man von den jeweiligen Hegemonen NATO und Russland nicht behaupten sollte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.