Interview zu digitalen Angriffen„Die Expertise der Ukraine nicht unterschätzen“

Russland greift zwar in der Ukraine aggressiv an, doch im digitalen Raum scheint nur wenig zu passieren. Das passt nicht ins Bild von Russland als gefürchtetem Akteur in einem potenziellen „Cyber-Krieg“. Ein Gespräch mit Matthias Schulze von der Stiftung Wissenschaft und Politik.

Brennendes Öldepot
Angriffe auf Infrastruktur erfolgen bisher eher konventionell, hier ein brennendes Öldepot in Chernihiv. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Cover-Images

Bundesinnenministerin Nancy Faeser warnt vor einer erhöhten Gefahr sogenannter Cyber-Angriffe. Die Befürchtung: Russland könnte sich für Sanktionen rächen, indem es digitale Infrastruktur angreift. Im Kriegsgeschehen in der Ukraine spielen solche Angriffe bisher kaum ein Rolle. Es ist eigentümlich still um sonst so gefürchtete Hacks aus Russland. Stimmt dieser Eindruck eigentlich? Und woran könnte es liegen?

Darüber haben wir mit Dr. Matthias Schulze geredet. Schulze ist stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik (SWP) und Co-Koordinator des Cyber-Forschungsclusters. Außerdem berichtet und podcastet er auf percepticon.de über Cyber-Konflikte, Desinformation und IT-Sicherheit.

Matthias Schulze
Dr. Matthias Schulze von der SWP. - Alle Rechte vorbehalten SWP

netzpolitik.org: Zwischen Russland und der Ukraine gab es bereits vor Beginn der aktuellen Invasion Eingriffe in digitale Infrastruktur. Seit wann laufen die digitalen Auseinandersetzungen?

Matthias Schulze: Mit der Besetzung der Krim 2014 heizte sich der digitale Konflikt zwischen Russland und der Ukraine an. Da gab es zum Beispiel einen Internet-Shutdown, bei dem von Russland eine Glasfaserleitung gekappt wurde, um die internationale Kommunikation abzuschneiden. So sieht man nicht, was in dem Gebiet vor sich geht und kann damit Narrative und die Deutungshoheit bestimmen.

Seitdem gab es in der Ukraine immer wieder diverse Cyber-Vorfälle: Es gab einen Beeinflussungsversuch der Wahl im Jahr 2014. Dann gab es 2015 einen Angriff auf das Stromkraftwerk, wo in der Ukraine das Licht ausging. Das wurde 2016 noch mal wiederholt mit einer komplexeren Schadsoftware-Variante.

Dann gab es 2017 Not Petya, einen Wurm, der in der Ukraine und darüber hinaus großflächig Systeme verschlüsselt hat. Das hat zu Schäden auf der ganzen Welt geführt. Das sind aber nur Ausschnitte – die Ukraine hat häufiger DDoS-Angriffe erlebt, es wurde immer mal wieder Spionagesoftware entdeckt, es sind wiederholt Dienste ausgefallen. Das begleitet das Land seit 2014.

Akut wurde es Ende letzten Jahres, da wurden die Vorbereitungen für die Wiper-Schadsoftwarewelle getroffen, die wir jetzt sehen. Sie wurde wohl im November und im Dezember letzten Jahres geschrieben und vorbereitet.

netzpolitik.org: Gehen die Aktivitäten im digitalen Raum ausschließlich von Russland aus? Wie steht es um die IT-Kapazitäten in der Ukraine selbst?

Matthias Schulze: Die Ukraine hat über die Jahre hinweg gelernt. Im Land gibt eine große Expertise, die man nicht unterschätzen sollte, auch bei ukrainischen IT-Sicherheitsunternehmen. Man könnte also davon ausgehen, dass die Ukraine die Fähigkeiten hätte, digital zurückzuschlagen. Wir wissen aber nicht, ob sie das tun, denn dafür gibt es keine Sichtbarkeit.

Wir wissen generell wenig über Cyberangriffe gegen Russland, da die russische Regierung das grundsätzlich nicht veröffentlicht. Die russische Regierung macht bisher auch keine öffentliche Attribution. Das heißt, sie zeigt nicht mit dem Finger auf die mutmaßlichen Akteure, wie westliche Staaten das mit IT-Sicherheitsunternehmen zusammen machen.

Insofern ist es eine sehr einseitige Betrachtung: Wir sehen, was im Westen und in der Ukraine passiert. Aber wir sehen nicht viel, was der Westen und eventuell auch ukrainische Hackerinnen und Hacker in Russland tun.

netzpolitik.org: Wie hat sich der digitale Konflikt im direkten zeitlichen Umfeld des Krieges entwickelt?

Matthias Schulze: Das offensichtlichste waren DDoS-Angriffe auf ukrainische Seiten. Die sind aber nicht überraschend, das kam bereits im Georgien-Konflikt 2008 vor. Solche DDoS-Vorfälle sollen vor allem ein Signal senden: Angst schüren, psychologische Effekte auslösen, Stärke demonstrieren, Drohen durch Taten und nicht nur durch Worte.

Dann gibt es die Wiper-Schadsoftware, von der mittlerweile drei Varianten bekannt sind. Wir wissen nicht genau, wie viele und welche Systeme betroffen sind. Die IT-Unternehmen halten sich sehr bedeckt, auch um keine taktischen Informationen herauszugeben. Was man soweit sieht: Die Software verbreitet sich und löscht Daten. Mehrere Regierungstellen in der Ukraine waren betroffen, wir wissen aber nicht genau, welche.

Woher kommt die Zurückhaltung Russlands im digitalen Raum?

netzpolitik.org: Angesichts der Vorgeschichte mit den Stromausfällen 2017 und der immer wieder berichteten Bedrohung durch Russland wirken die aktuell beobachteten Aktionen eher zurückhaltend. Stimmt dieser Eindruck?

Matthias Schulze: Viele IT-Sicherheitsexperten und Unternehmen weltweit hatten größere Erwartungen und mindestens eine taktische Begleitung im Digitalen erwartet, also Cyber-Operationen plus konventioneller Angriff. Dass beispielsweise Radarsysteme ausgeschaltet oder militärische Kommandostellen gestört werden, um den konventionellen Einmarsch zu ermöglichen.

Das zweite, was man erwartet hat, ist eine Welle von Desinformation und strategischer Beeinflussung. Das haben wir im Kleinen auch gesehen. Es gab ein paar versuchte False-Flag-Operationen, bei denen gefakte Videos über Telegram verteilt wurden, um einen Kriegsgrund zu schaffen. Aber auch das passierte nicht in der großen Breite, die man vielleicht angenommen hätte.

Das dritte, was man befürchtet hatte, waren Angriffe auf kritische Infrastruktur oder einen Internet-Shutdown, um die Kommunikation in der Ukraine zu stören.

Wie ein Puzzle

netzpolitik.org: Davon ist wenig passiert. Welche Erklärung könnte es für diese vermeintliche Zurückhaltung geben?

Matthias Schulze: Zunächst könnte man auch fragen: Warum haben wir das überhaupt erwartet? Wir haben zum einen eine westliche Sichtweise und sind im IT-Bereich sehr verwundbar. Deswegen macht uns das auch viel Angst. Zum anderen verdienen IT-Unternehmen damit Geld, wenn es Bedrohungen gibt, gegen die sie ihre Produkte verkaufen können.

Warum bisher recht wenig passiert ist, ist wie ein Puzzle. Wir wissen es nicht genau, aber es gibt einige Hypothesen. Es könnte beispielsweise sein, dass Russland selbst gar nicht größer im Digitalen eskalieren wollte. Denn größere Angriffe, vor allem gegen Kritische Infrastruktur, richten sich immer auch gegen die Bevölkerung. Wenn man aber ein Land einnehmen will, dann ist es nicht gut, wenn man die Zivilbevölkerung unnötig gegen sich aufbringt.

Deswegen war die Hypothese, dass Russland mit einem schnellen Einmarsch gerechnet hat, mit einem Enthauptungsschlag gegen die Regierung in Kiew – und das deshalb nicht getan hat.

„Die Situation könnte sich ändern“

Jetzt scheint sich die Situation ändern und in einen Belagerungskrieg umzuwandeln. Das heißt, es könnte passieren, dass man dann auch Angriffe gegen Kritische Infrastrukturen sieht – es muss aber auch nicht.

Ein zweites Argument für Russlands Zurückhaltung könnte sein, dass es selbst von ukrainischer IT-Infrastruktur abhängig ist. Es gibt Anzeichen, dass russische militärische Kommunikation über ukrainische Netze läuft. Wenn das stimmt, dann wäre es natürlich blöd, wenn man das Internet ausschaltet und selber nicht mehr kommunizieren kann.

Dann gibt es noch die Vermutung, dass die Invasion schlichtweg schlecht geplant war und die Paranoia zwischen den russischen Nachrichtendiensten sehr groß ist. Die russischen Nachrichtendienste FSB, GRU und SVR stehen in einem Wettbewerb zueinander, misstrauen sich und buhlen um die Gunst von Putin – sie reden aber nicht miteinander. Es kann also sein, dass schlichtweg nicht genug Zeit war, einen komplexen Angriff gegen kritische Infrastruktur vorzubereiten.

Dazu passen Hinweise, gefangene Soldatinnen und Soldaten hätten berichtet, bis zum Abend vor dem Angriff gar nicht zu wissen, dass sie in der Ukraine angreifen sollen. Sondern dachten, sie seien bei einer militärischen Übung. Das kann auch ukrainische Propaganda sein, daher muss man diese Information vorsichtig betrachten.

Es kann aber auch sein, dass wir einfach nicht sehen, was passiert. Oder dass noch etwas passieren wird. Aber dann stellt sich auch die Frage, ob es sich für Russland noch lohnt, Kraftwerke digital anzugreifen, wenn man sie auch konventionell in der Hand hat und ganz analog ausschalten kann.
Vielleicht ist also die Erkenntnis auch, dass Cyber-Fähigkeiten für diesen Krieg gar nicht gut geeignet sind, sondern dass man vieles, was man an Effekten hervorrufen kann, auch genauso gut mit konventionellen Fähigkeiten herstellen kann.

„Vorsichtig mit Begriffen umgehen“

netzpolitik.org: Wie kann man überhaupt einordnen, ob eine Information zu einem Cyberangriff verlässlich oder relevant ist?

Matthias Schulze: Zunächst einmal würde ich alle Medienschaffenden da draußen aufrufen, vorsichtig mit dem Begriff „Cyberangriff“ umzugehen. Nicht alles davon ist schädlich und nicht alles davon ist ernsthaft. DDoS-Angriffe etwa sind meist nicht mehr als eine Störung. Wenn man jetzt liest „Die russische Staatsbank wurde mit DDoS angegriffen“, heißt das nicht viel. Was wurde denn da angegriffen? Die Website? Die ist wahrscheinlich zu vernachlässigen. Nicht zu vernachlässigen wäre es, wenn Finanz- und Buchungssysteme betroffen sind.

Die meisten DDoS-Angriffe, die wir sehen, richten sich gegen öffentlich sichtbare Seiten. Das kann man damit vergleichen, dass jemand einen Stein in ein Schaufenster wirft. Die Scheibe ist kaputt, aber der Laden kann trotzdem weiterlaufen.

Ich würde Aktivistinnen und Aktivisten raten: Bitte beteiligt euch da nicht dran! Zum einen sind das illegale Handlungen. Und es kann sein, dass Russland das in den falschen Hals bekommt und als konzertierte Aktion des Westens interpretiert oder darstellt. Am Ende könnte Russland es auch als Legitimation für Gegenschläge nutzen. Das kann Eskalation antreiben.

Bei allen Meldungen müssen wir beachten: Wir befinden uns im Nebel des Krieges. Wir wissen nicht so richtig, was passiert. Vieles ist Propaganda. Der westliche Diskurs in unseren Social-Media-Umgebungen ist ein komplett anderer als der in Russland, weil die Russen ihr Internet ja weitgehend abgekoppelt haben und massiv Zensur hochgefahren haben. Bei uns kommen hingegen in erster Linie die ukrainischen Narrative und Berichte an.

Wir haben momentan eine sehr schiefe Sichtbarkeit und ich rate dringend dazu, alles sehr vorsichtig zu betrachten. Es wird die große Aufgabe der Zukunft sein, alles auseinanderzudröseln und zu analysieren, was stimmte und was nicht.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.