Beinahe wäre es im Sommer 2017 in Saudi-Arabien zur ersten größeren Katastrophe nach einem Cyberangriff gekommen. Unbekannte hatten das Steuerungssystem einer petrochemischen Fabrik mit einer Schadsoftware namens „Triton“ infiziert. Durch das offenbar geplante Abschalten der Anlage drohten Explosionen, die möglicherweise zum Entweichen von Schwefelwasserstoff und damit einer Umweltkatastrophe mit Hunderten Toten geführt hätten. Ein Sicherheitssystem entdeckte den Eindringling und stoppte die Sabotage.
Nun wollen sich die EU-Mitgliedstaaten mit einer „Cyber-Krisenverknüpfungsübung“ (EU CyCLES) auf eine derartige Hackerattacke vorbereiten. Als Ausgangspunkt werden Angriffe mit „erheblichen kinetischen Auswirkungen und Opfern“ angenommen. Anschließend aktiviert die EU ihre technischen, operativen und politischen Strukturen für die Cybersicherheit. Auch andere Mitgliedstaaten leisten gegenseitig Hilfe.
Auf Staaten wie Russland oder Belarus gemünzt
Die britische Bürgerrechtsorganisation Statewatch hat einen Überblick zu der Übung und eine Kurzinformation der französischen EU-Präsidentschaft veröffentlicht. Demnach basiert das Szenario auf Situationen, „die in der Realität bereits eingetreten sind oder von denen wir befürchten, dass sie in naher Zukunft eintreten könnten“. Die angenommene Bedrohung betrifft den Energie-, Industrie- und Transportsektor, das Gesundheitswesen sowie die Schifffahrt.
Die Übung startet mit einem Cyberangriff auf einen fiktiven Großkonzern mit einer „starken Position auf dem EU-Markt“. Als Urheber gilt ein „Blauland“, das auf Staaten wie Russland oder Belarus gemünzt scheint. Nach einer Revolution habe sich das dortige politische System zu einem autoritären Staat gewandelt. Dessen „Führer“ habe sein politisches Mandat „verlängert“ und regiere das Land nun ohne zeitliche Begrenzung.
Teile der Opposition und ehemalige Parlamentsabgeordnete aus „Blauland“ sind laut dem Übungsszenario nach Finnland und in die Tschechische Republik emigriert. Die Regierungen in Helsinki und Prag „ermutigen“ die verbliebene Bevölkerung, ihre Unzufriedenheit „friedlich zum Ausdruck zu bringen“ und bringen selbst grüne Bänder an ihren Fenstern an.
Ähnliche Angriffe im Iran und der Ukraine
Die Cyberangriffe werden von einer Gruppe ausgeführt, die in dem EU-Papier als „Blaue Morgendämmerung“ bezeichnet wird. Beteiligt ist auch eine fiktive kriminelle Vereinigung mit dem Namen „OT-Powner“, die Schwachstellen in der Steuerung von Industrieanlagen sucht und den Zugang zu diesen verkauft. Mit dem Eindringen in ein solches SCADA-System beginnt der erste Angriff aus „Blauland“.
Derartige Szenarien sind nicht aus der Luft gegriffen, erklärt Manuel Atug, der vor drei Jahren die unabhängige AG KRITIS mitgegründet hat. Als erster Angriff dieser Art gilt der Computer-Wurm „Stuxnet“, mit dem mutmaßlich Israel und die USA eine iranische Anreicherungsanlage für Uran zerstört haben. Dabei handelte es sich laut Atug um einen cyberphysischen Angriff; also einen Hackerangriff, der einen physischen Schaden erzeugen, kritische Infrastrukturen lahmlegen und in einer Kettenreaktion die Abschaltung weiterer wichtiger Systeme zur Folge haben kann.
Zwei weitere Beispiele sind aus der Ukraine bekannt. Am 23. Dezember 2015 fielen dort 27 Umspannwerke aus, ein kompletter Stromausfall in über 100 Städten war die Folge, fast 200 weitere Städte waren teilweise betroffen. Ein Jahr später waren Teile der Hauptstadt Kiew über eine Stunde ohne Strom. Beide Hacks zielten auf die Schutzeinrichtungen der Energieanlagen und sollen mit der Malware „Blackenergy“ beziehungsweise „Industroyer“ erfolgt sein. Mit „Havex“ gibt es seit spätestens 2014 eine weitere Malware, die auf Steuerungsanlagen im Energiesektor zielt; Angriffe in den USA und in Europa haben aber noch nicht zu größeren Schäden geführt.
Unterschiedliche Reaktion
In EU CyCLES soll die Ausbreitung einer Schadsoftware möglichst früh gestoppt werden. Dazu alarmiert die EU zunächst ihre eigenen Strukturen zur Cybersicherheit. Das Kooperationsnetz für Cyber-Krisenmanagement (CyCLONe) ermittelt dann die Auswirkungen einer solchen „Cyber-Krise“. Das 2020 eingerichtete Netzwerk unterstützt die Mitgliedstaaten bei „massiven Cybersicherheitsvorfällen“. Anschließend soll das geheimdienstliche Lagezentrum INTCEN die Urheberschaft des Cyberangriffs feststellen, hierzu haben die Mitgliedstaaten das Zentrum in Brüssel unlängst mit neuen Kompetenzen ausgestattet. Das INTCEN kann außerdem eine gemeinsame Reaktion der EU und ihrer Mitgliedstaaten vorschlagen.
Die „technische Reaktion“ auf den simulierten Angriff aus „Blauland“ würde durch das EU-Netzwerk der Computer Emergency Response Teams (CERTs) erfolgen. Welche Behörden ein Mitgliedstaat dorthin entsendet, ist laut AG KRITIS-Gründer Atug höchst unterschiedlich. Während aus Deutschland etwa das Bundesamt für Sicherheit in der Informationstechnik dort mit dem CERT-Bund vertreten ist, schicken andere Länder militärische oder geheimdienstliche Expert:innen.
Ebenso verschieden ist auch die Reaktion der nationalen Notfallteams auf Infektionen mit Malware; wie bei „Emotet“ könnten die Behörden auch selbst Schadsoftware einsetzen oder diese manipulieren. In EU CyCLES sollen die Notfallteams Warnungen und konkrete Informationen zu den Vorfällen verteilen oder digitale Spuren sichern. Hierzu könnte das CERT-Netzwerk sogenannte Response Teams zu den betroffenen Firmen oder Einrichtungen schicken.
Injektion mit Eskalation
Soweit bekannt ist in EU CyCLES nicht geplant, auch die Schadsoftware und ihre technische Bekämpfung zu simulieren (etwa mit sogenannten Red Teams und Blue Teams, die Angriff und Verteidigung übernehmen); es handelt sich vielmehr um eine Übung mit Fokus auf die politische Reaktion. Hierzu wird das Szenario immer mehr zugespitzt, solche „Injektionen“ erfolgen am Rande realer Treffen von politischen EU-Gremien. Zunächst wird der heute tagende Ausschuss der Ständigen Vertreter über den Vorfall benachrichtigt. Dort treffen sich hochrangige Beamt:innen der Mitgliedstaaten, um gemeinsame Entscheidungen des Rates vorzubereiten.
Weitere wichtige Akteure sind die Ratsarbeitsgruppe für Cyberfragen, die politische und legislative Maßnahmen koordinieren soll, sowie das Politische und Sicherheitspolitische Komitee. Das Gremium ist unter anderem für Polizei- und Militäreinsätze der Europäischen Union zuständig, deshalb wird auch die NATO in die Übung eingebunden.
In der letzten Phase von EU CyCLES eskaliert die fiktive Krise so weit, dass diese „als bewaffneter Angriff gewertet werden könnte“. Anschließend soll es den betroffenen Regierungen freistehen, den Artikel 42 Absatz 7 des EU-Vertrages zu aktivieren. Diese sogenannte Beistandsklausel bestimmt die außenpolitische und gegebenenfalls militärische Reaktion der gesamten EU im Falle eines Angriffs auf ein einzelnes Mitglied. Aus Deutschland könnte dann etwa das Kommando Cyber- und Informationsraum der Bundeswehr aktiv werden und den vermuteten Aggressor auch mit digitalen Mitteln offensiv angreifen.
Simulation von NATO-Bündnisfall
Die meisten EU-Mitgliedstaaten (außer Schweden, Finnland, Österreich, Irland und Malta) sind Vollmitglied der NATO. Wird mit einem Cyberangriff auf diese Länder das in Artikel 51 der Charta der Vereinten Nationen verankerte Recht auf Selbstverteidigung ausgelöst, dürften diese auch mit konventionellen Waffen militärisch antworten. Das hat die Organisation 2014 auf ihrem Gipfel in Wales beschlossen.
Wann ein Cyberangriff diese Schwelle überschreitet, will die NATO in jedem Einzelfall entscheiden. Dieser müsste „mit Blick auf Umfang bzw. Wirkung dem Einsatz konventioneller Waffen und kriegerischen Handlungen gleichkommen“, schreibt die Bundesregierung dazu.
Mit dem möglichen Bündnisfall geht EU CyCLES deutlich über frühere Übungen hinaus. Zuletzt hatten die EU-Mitgliedstaaten am 17. November mächtige Cyberangriffe aus einem „Whiteland“ auf ihre Einrichtungen simuliert. Damit sollte die Cyber Diplomacy Toolbox zur Reaktion der EU auf „böswillige Cyberaktivitäten“ erprobt werden. Das Szenario enthielt Terrorangriffe, auf die mit der Solidaritätsklausel reagiert werden konnte. Gemeint ist der Artikel 222 des Vertrags über die Arbeitsweise der Europäischen Union, der die gegenseitige Unterstützung im Falle eines Terroranschlags oder einer Katastrophe bestimmt.
Übungen schaffen Präzedenzfall
Die Übung EU CyCLES endet mit dem Treffen der EU-Außenminister am 21. Februar. Das probeweise Übertreten der Schwelle einer militärischen Eskalation könnte sich aber bald wiederholen; für den Herbst planen der Rat und die EU-Kommission bereits für EU Integrated Resolve 2022. Sie soll im Rahmen der sogenannten EU-PACE-Übungen zusammen mit der NATO stattfinden.
Helfen derartige Übungen tatsächlich, Kraftwerke, Fabriken oder Versorgungsketten gegen cyberphysische Angriffe zu schützen, oder dienen sie vielmehr der politischen Abschreckung? Zwar ist die Bedrohung unbestreitbar, meint Manuel Atug. Allerdings könne man die Schadsoftware mit möglichen „kinetischen Auswirkungen und Opfern“, wie sie auch in EU CyCLES eine Rolle spielt, immer noch an einer Hand abzählen.
Angriffe könnten aber zunehmen, weil industrielle Leitsysteme zusehends digitalisiert und dadurch immer anfälliger werden. Gleichzeitig schaffen die Übungen von EU und NATO auch einen Präzedenzfall, der den Weg für eine militärische Eskalation ebnen kann.
Im vorlezten Abschnitt steht: „Alle EU-Mitgliedstaaten gehören der NATO an.“
Allerdings sind Schweden, Finnland, Österreich, Irland und Malte keine NATO-Mitglieder.
Sie sind lediglich Teil der NATO Partnerschaft für den Frieden.
Danke, du hast komplett recht, ich ändere das!