Hybride Vorbereitung des Schlachtfelds: russische Cyberangriffe auf die Ukraine
Im Dezember 2023 erlebte die Ukraine mit der Attacke auf Kyivstar einen der folgenreichsten Cyberangriffe im Zuge des russischen Angriffskriegs. Die Ukraine benötigte jedoch nur wenige Tage, um die Dienste des Mobilfunkanbieters wiederherzustellen. Der Cybersicherheitsexperte Matthias Schulze über die Bedeutung hybrider Kriegsführung und die ukrainische Cyberabwehr.
Schon vor Beginn des russischen Angriffskrieges im Februar 2022 galt die Ukraine als Testgelände russischer Cyber- und Informationsoperationen. Einige der weltweit größten Cyberangriffe galten der Ukraine oder stehen im Kontext der Krim-Annexion von 2014. Dazu gehören die ersten dokumentierten Cyberoperationen, die 2015 und 2016 zu kurzen und begrenzten Stromausfällen in Kyjiw führten.
Zuvor waren solche äußerst komplexen „cyber-physischen“ Angriffe – Angriffe auf Systeme, die etwas in der physischen Welt steuern – nur in Laborumgebungen getestet worden. Insofern war der Einsatz derart mächtiger Schadsoftware wie Industroyer 2016 ein Novum – und eine Normverletzung. Viele Staaten, darunter auch Russland, hatten sich 2015 im Rahmen freiwilliger, nicht bindender Normen dafür ausgesprochen, keine kritischen Infrastrukturen anzugreifen, insbesondere in Friedenszeiten.
Die russischen Angriffe ließen indes nicht nach. Der „NotPetya“-Verschlüsselungswurm, ursprünglich gerichtet auf ukrainische Steuerverwaltungssoftware, schoss über sein Ziel hinaus und verursachte 2017 weltweit Schäden in Milliardenhöhe. „NotPetya“ gilt seitdem als einer der destruktivsten und kostspieligsten Cyberoperationen der Geschichte. Die Angriffe wurden später russischen Cyberbedrohungsakteuren im Militärgeheimdienst GRU zugeschrieben.
Digitale Spionage und Cyberoperationen als russische Kriegsstrategie
Insofern war es wenig überraschend, dass Russland auch im Winter 2022 – ergänzend zur konventionellen Kriegsführung – ukrainische Netzwerke angriff. Diverse russische Schadsoftwarevarianten (sogenannte Wiper) löschten massenhaft Daten in ukrainischen Ministerien und Verwaltungen, legten kurzzeitig Teile des Satellitenkommunikationsnetzwerks Ka-Sat in Südosteuropa lahm und stahlen Daten.
Aber auch vor dem konventionellen Großangriff fanden russische Cyberoperationen in ukrainischen Netzwerken statt, vermutlich um Spionage zu betreiben, Ziele auszuwählen und das konventionelle Schlachtfeld vorzubereiten. Generell muss man unterscheiden zwischen destruktiven Cyberoperationen (wie „NotPetya“ oder Wiper-Angriffe auf Ministerien) und Spionageoperationen, die nicht zwangsläufig auch sichtbare Effekte entfalten. Letztere richtet Russland nicht nur gegen die Ukraine, sondern auch gegen westliche Staaten, insbesondere jene, die die Ukraine unterstützen – die Angriffe sind schon seit Jahren Bestandteil der russischen Spionage.
Überraschend sind indes die Quantität und auch die zunehmende Aggressivität. Das staatliche ukrainische Computer Emergency Response Team zählte im Jahr 2022 über 2000 Cyberangriffe. Für das Jahr 2023 dürfte die Zahl ähnlich hoch ausfallen. Allerdings geht diese hohe Zahl nicht nur auf russische Angreifer zurück. Auch Bedrohungsakteure aus anderen Ländern interessieren sich für den Konflikt und spionieren.
Hacktivisten sind auch auf ukrainischer Seite aktiv
Daneben wurden über 120 Gruppen sogenannter Hacktivisten gezählt, die auf prorussischer oder proukrainischer Seite Ziele des Gegners angreifen. Hacktivisten sind lose organisierte Freiwillige, die digitale Guerillastöraktionen durchführen – teilweise mit staatlichem Bezug. Sie legen Websites und Dienstleistungen kurzfristig lahm, stehlen und leaken Daten und veröffentlichen Botschaften auf gehackten Websites, Radio- und Fernsehsendern. Die Strategie dieser Angriffe ist die der 1000 Nadelstiche: kaum destruktiv, eher disruptiv und in ihrer Qualität weniger ausgereift als die der (direkten) staatlichen Operationen. Zudem handelt es sich in der Regel um Opportunitätsangriffe gegen leicht erreichbare Ziele, sowohl in der Ukraine als auch weltweit. Ähnliche Phänomene zeigen sich auch aktuell im Gaza-Krieg – sie sind, so scheint es, ein Kennzeichnen moderner Konflikte.
IT Army of Ukraine: die ukrainische Cybergegenwehr
Auch Russland ist von Cyberoperationen betroffen, offizielle Statistiken darüber sind jedoch kaum zugänglich. Kurz nach Kriegsbeginn initiierte die Ukraine die IT Army of Ukraine, bestehend aus freiwilligen Hackerinnen und Hackern, die zum einen bei der digitalen Verteidigung ukrainischer Systeme aushelfen, aber auch Störangriffe auf russische Dienste starten sollten. Die Aktivitäten der IT Army gelten, zumindest teilweise, als staatlich gesteuert.
Zahlreiche russische Organisationen, auch staatliche Ministerien, Rüstungsunternehmen und sonstige Firmen, sind seit 2022 von massiven Datenverlusten und von verschlüsselten, gelöschten oder deaktivierten Diensten und Systemen betroffen. Dass auch die russische Digitalwirtschaft mit zahlreichen Cyberoperationen konfrontiert ist, zeigen die offiziellen Bemühungen und Regierungsinitiativen, das IT-Sicherheitsniveau im eigenen Land zu zentralisieren und zu verbessern.
Bis zur großen Invasion im Februar 2022 verfügte der ukrainische Nachrichtendienst nicht über eigene offensive Cyberfähigkeiten. Das hat sich zum Ende des Jahres 2023 geändert, als die Ukraine offiziell bekannt gab, große Teile des russischen Steuerverwaltungssystems lahmgelegt zu haben. Ukrainische Bedrohungsakteure löschten Steuerverwaltungsdaten in über 2300 Regierungsstellen. Aus operativer Sicht ist ein solch breiter Angriff logistisch äußerst komplex und schwierig durchzuführen. Aus völkerrechtlicher Sicht ist er problematisch, da es sich dabei um zivile Infrastruktur handelte. Allerdings ist unter Juristen umstritten, inwiefern zivile Daten als Rechtsobjekt im humanitären Völkerrecht zu werten sind.
Hybride Kriegsstrategien als Kennzeichen moderner Konflikte
Cyberoperationen haben sich als Mittel der Kriegsführung und ‑vorbereitung etabliert. Ihr Nutzen für Staaten liegt insbesondere im Bereich der Spionage: mit gestohlenen Daten, etwa über die Position und Zahl gegnerischer Streitkräfte, lassen sich konventionelle Angriffe vorbereiten und die Absichten politischer Gegner und Drittstaaten besser einschätzen. Ferner haben sie in Masse einen zermürbenden, psychologischen Effekt. Wenn immer wieder digitale Dienste nicht funktionieren oder Daten veröffentlicht werden, schadet dies betroffenen Organisationen und Gesellschaften. Das betrifft auch das Mittel des Internet-Shutdowns, also der Zerstörung von Internetinfrastruktur wie Mobilfunkmasten oder Verteilerzentren, entweder durch physischen Beschuss, Besatzung oder digitale Störung. Auch dies scheint sich als Mittel in modernen Konflikten, von der Ukraine bis Gaza etabliert zu haben.
Flexible Cyberverteidigung: die Ukraine als Vorbild
Allerdings sollte der Nutzen von Cyberoperationen innerhalb bewaffneter Konflikte nicht überschätzt werden. Ohne Internetzugang und Strom sind Cyberoperationen nur schwer möglich. Oftmals ist es einfacher, schneller und günstiger, mit konventionellen Mitteln destruktive Effekte zu erzielen. Zwar sind Cyberoperationen gegen Stromnetze denkbar, allerdings zeigt der Krieg in der Ukraine auch, dass sich der gleiche Effekt schneller mit Lenkwaffen herstellen lässt. Cyberoperationen ersetzen also nicht physische Kampfhandlungen, sondern ergänzen diese – etwa, wenn sie in Kombination mit konventionellen Mitteln verwendet werden.
Gute Cyberverteidiger, und dazu gehört die Ukraine dank ihrer jahrelangen praktischen Erfahrung, können deaktivierte Netzwerke und Systeme wiederherstellen und die Effekte von Cyberoperationen ausgleichen, sofern sie nicht vorher schon registriert und vereitelt werden. Flexibilität, gute Krisenreaktionsplanung und schlanke bürokratische Prozesse sind hierbei essenziell.
Flexibilität, gute Krisenreaktionsplanung, schlanke bürokratische Prozesse
Die Ukraine zeigte genau dies nach dem Angriff gegen den Mobilfunkdienstleister Kyivstar am 12. Dezember 2023. Zwar legte ein russischer Angriff weite Teile des Mobilfunks lahm, allerdings gelang es den ukrainischen Cyberverteidigern innerhalb weniger Tage, die Dienstleistungen in weiten Teilen des Landes wiederherzustellen – eine beachtliche Leistung.
Viele Staaten ziehen indes erste Lehren aus dem Krieg in der Ukraine. Sie rüsten digital auf – und entwickeln nun selbst offensive Cyberoperationen oder Strategien, inklusive der Möglichkeit digitaler Gegenmaßnahmen bei Cyberangriffen. Es zeigt sich auch, dass viele Staaten daran arbeiten, die praktische Anwendung von Cyber- und physischen Fähigkeiten durch Übungen zu verbessern. Russland ist es nicht gelungen, ausreichend Synergien aus dem Verbund von Cyberangriffen und physischen Angriffen zu erzeugen. Viele Staaten denken jetzt darüber nach, wie sich das Zusammenwirken dieser Angriffe verbessern lässt.
Dr. Matthias Schulze leitet den Forschungsschwerpunkt Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg.
Dr. Matthias Schulze leitet den Forschungsschwerpunkt Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg.
Gefördert durch:
