Hybride Vor­be­rei­tung des Schlacht­felds: rus­si­sche Cyber­an­griffe auf die Ukraine

Schon vor Beginn des rus­si­schen Angriffs­krie­ges im Februar 2022 galt die Ukraine als Test­ge­lände rus­si­scher Cyber- und Infor­ma­ti­ons­ope­ra­tio­nen. Einige der welt­weit größten Cyber­an­griffe galten der Ukraine oder stehen im Kontext der Krim-Anne­xion von 2014. Dazu gehören die ersten doku­men­tier­ten Cyber­ope­ra­tio­nen, die 2015 und 2016 zu kurzen und begrenz­ten Strom­aus­fäl­len in Kyjiw führten.

Zuvor waren solche äußerst kom­ple­xen „cyber-phy­si­schen“ Angriffe – Angriffe auf Systeme, die etwas in der phy­si­schen Welt steuern – nur in Labor­um­ge­bun­gen getes­tet worden. Inso­fern war der Einsatz derart mäch­ti­ger Schad­soft­ware wie Indus­troyer 2016 ein Novum – und eine Norm­ver­let­zung. Viele Staaten, dar­un­ter auch Russ­land, hatten sich 2015 im Rahmen frei­wil­li­ger, nicht bin­den­der Normen dafür aus­ge­spro­chen, keine kri­ti­schen Infra­struk­tu­ren anzu­grei­fen, ins­be­son­dere in Friedenszeiten.

Die rus­si­schen Angriffe ließen indes nicht nach. Der „Not­Pe­tya“-Ver­schlüs­se­lungs­wurm, ursprüng­lich gerich­tet auf ukrai­ni­sche Steu­er­ver­wal­tungs­soft­ware, schoss über sein Ziel hinaus und ver­ur­sachte 2017 welt­weit Schäden in Mil­li­ar­den­höhe. „Not­Pe­tya“ gilt seitdem als einer der destruk­tivs­ten und kost­spie­ligs­ten Cyber­ope­ra­tio­nen der Geschichte. Die Angriffe wurden später rus­si­schen Cyber­be­dro­hungs­ak­teu­ren im Mili­tär­ge­heim­dienst GRU zugeschrieben.

Digi­tale Spio­nage und Cyber­ope­ra­tio­nen als rus­si­sche Kriegsstrategie

Inso­fern war es wenig über­ra­schend, dass Russ­land auch im Winter 2022 – ergän­zend zur kon­ven­tio­nel­len Kriegs­füh­rung – ukrai­ni­sche Netz­werke angriff. Diverse rus­si­sche Schad­soft­war­e­va­ri­an­ten (soge­nannte Wiper) lösch­ten mas­sen­haft Daten in ukrai­ni­schen Minis­te­rien und Ver­wal­tun­gen, legten kurz­zei­tig Teile des Satel­li­ten­kom­mu­ni­ka­ti­ons­netz­werks Ka-Sat  in Süd­ost­eu­ropa lahm und stahlen Daten.

Aber auch vor dem kon­ven­tio­nel­len Groß­an­griff fanden rus­si­sche Cyber­ope­ra­tio­nen in ukrai­ni­schen Netz­wer­ken statt, ver­mut­lich um Spio­nage zu betrei­ben, Ziele aus­zu­wäh­len und das kon­ven­tio­nelle Schlacht­feld vor­zu­be­rei­ten. Gene­rell muss man unter­schei­den zwi­schen destruk­ti­ven Cyber­ope­ra­tio­nen (wie „Not­Pe­tya“ oder Wiper-Angriffe auf Minis­te­rien) und Spio­na­ge­ope­ra­tio­nen, die nicht zwangs­läu­fig auch sicht­bare Effekte ent­fal­ten. Letz­tere richtet Russ­land nicht nur gegen die Ukraine, sondern auch gegen west­li­che Staaten, ins­be­son­dere jene, die die Ukraine unter­stüt­zen – die Angriffe sind schon seit Jahren Bestand­teil der rus­si­schen Spionage.

Über­ra­schend sind indes die Quan­ti­tät und auch die zuneh­mende Aggres­si­vi­tät. Das staat­li­che ukrai­ni­sche Com­pu­ter Emer­gency Response Team zählte im Jahr 2022 über 2000 Cyber­an­griffe. Für das Jahr 2023 dürfte die Zahl ähnlich hoch aus­fal­len. Aller­dings geht diese hohe Zahl nicht nur auf rus­si­sche Angrei­fer zurück. Auch Bedro­hungs­ak­teure aus anderen Ländern inter­es­sie­ren sich für den Kon­flikt und spionieren.

Hack­ti­vis­ten sind auch auf ukrai­ni­scher Seite aktiv

Daneben wurden über 120 Gruppen soge­nann­ter Hack­ti­vis­ten gezählt, die auf pro­rus­si­scher oder proukrai­ni­scher Seite Ziele des Gegners angrei­fen. Hack­ti­vis­ten sind lose orga­ni­sierte Frei­wil­lige, die digi­tale Gue­ril­lastör­ak­tio­nen durch­füh­ren – teil­weise mit staat­li­chem Bezug. Sie legen Web­sites und Dienst­leis­tun­gen kurz­fris­tig lahm, stehlen und leaken Daten und ver­öf­fent­li­chen Bot­schaf­ten auf gehack­ten Web­sites, Radio- und Fern­seh­sen­dern. Die Stra­te­gie dieser Angriffe ist die der 1000 Nadel­sti­che: kaum destruk­tiv, eher dis­rup­tiv und in ihrer Qua­li­tät weniger aus­ge­reift als die der (direk­ten) staat­li­chen Ope­ra­tio­nen. Zudem handelt es sich in der Regel um Oppor­tu­ni­täts­an­griffe gegen leicht erreich­bare Ziele, sowohl in der Ukraine als auch welt­weit. Ähn­li­che Phä­no­mene zeigen sich auch aktuell im Gaza-Krieg – sie sind, so scheint es, ein Kenn­zeich­nen moder­ner Konflikte.

IT Army of Ukraine: die ukrai­ni­sche Cybergegenwehr

Auch Russ­land ist von Cyber­ope­ra­tio­nen betrof­fen, offi­zi­elle Sta­tis­ti­ken darüber sind jedoch kaum zugäng­lich. Kurz nach Kriegs­be­ginn initi­ierte die Ukraine die IT Army of Ukraine, bestehend aus frei­wil­li­gen Hacke­rin­nen und Hackern, die zum einen bei der digi­ta­len Ver­tei­di­gung ukrai­ni­scher Systeme aus­hel­fen, aber auch  Stör­an­griffe auf rus­si­sche Dienste starten sollten. Die Akti­vi­tä­ten der IT Army gelten, zumin­dest teil­weise, als staat­lich gesteuert.

Zahl­rei­che rus­si­sche Orga­ni­sa­tio­nen, auch staat­li­che Minis­te­rien, Rüs­tungs­un­ter­neh­men und sons­tige Firmen, sind seit 2022 von mas­si­ven Daten­ver­lus­ten und von ver­schlüs­sel­ten, gelösch­ten oder deak­ti­vier­ten Diens­ten und Sys­te­men betrof­fen. Dass auch die rus­si­sche Digi­tal­wirt­schaft mit zahl­rei­chen Cyber­ope­ra­tio­nen kon­fron­tiert ist, zeigen die offi­zi­el­len Bemü­hun­gen und Regie­rungs­in­itia­ti­ven, das IT-Sicher­heits­ni­veau im eigenen Land zu zen­tra­li­sie­ren und zu verbessern.

Bis zur großen Inva­sion im Februar 2022 ver­fügte der ukrai­ni­sche Nach­rich­ten­dienst nicht über eigene offen­sive Cyber­fä­hig­kei­ten. Das hat sich zum Ende des Jahres 2023 geän­dert, als die Ukraine offi­zi­ell bekannt gab, große Teile des rus­si­schen Steu­er­ver­wal­tungs­sys­tems lahm­ge­legt zu haben. Ukrai­ni­sche Bedro­hungs­ak­teure lösch­ten Steu­er­ver­wal­tungs­da­ten in über 2300 Regie­rungs­stel­len. Aus ope­ra­ti­ver Sicht ist ein solch breiter Angriff logis­tisch äußerst komplex und schwie­rig durch­zu­füh­ren. Aus völ­ker­recht­li­cher Sicht ist er pro­ble­ma­tisch, da es sich dabei um zivile Infra­struk­tur han­delte. Aller­dings ist unter Juris­ten umstrit­ten, inwie­fern zivile Daten als Rechts­ob­jekt im huma­ni­tä­ren Völ­ker­recht zu werten sind.

 Hybride Kriegs­stra­te­gien als Kenn­zei­chen moder­ner Konflikte

Cyber­ope­ra­tio­nen haben sich als Mittel der Kriegs­füh­rung und ‑vor­be­rei­tung eta­bliert. Ihr Nutzen für Staaten liegt ins­be­son­dere im Bereich der Spio­nage: mit gestoh­le­nen Daten, etwa über die Posi­tion und Zahl geg­ne­ri­scher Streit­kräfte, lassen sich kon­ven­tio­nelle Angriffe vor­be­rei­ten und die Absich­ten poli­ti­scher Gegner und Dritt­staa­ten besser ein­schät­zen. Ferner haben sie in Masse einen zer­mür­ben­den, psy­cho­lo­gi­schen Effekt. Wenn immer wieder digi­tale Dienste nicht funk­tio­nie­ren oder Daten ver­öf­fent­licht werden, schadet dies betrof­fe­nen Orga­ni­sa­tio­nen und Gesell­schaf­ten. Das betrifft auch das Mittel des Inter­net-Shut­downs, also der Zer­stö­rung von Inter­net­in­fra­struk­tur wie Mobil­funk­mas­ten oder Ver­tei­ler­zen­tren, ent­we­der durch phy­si­schen Beschuss, Besat­zung oder digi­tale Störung. Auch dies scheint sich als Mittel in moder­nen Kon­flik­ten, von der Ukraine bis Gaza eta­bliert zu haben.

Fle­xi­ble Cyber­ver­tei­di­gung: die Ukraine als Vorbild

Aller­dings sollte der Nutzen von Cyber­ope­ra­tio­nen inner­halb bewaff­ne­ter Kon­flikte nicht über­schätzt werden. Ohne Inter­net­zu­gang und Strom sind Cyber­ope­ra­tio­nen nur schwer möglich. Oftmals ist es ein­fa­cher, schnel­ler und güns­ti­ger, mit kon­ven­tio­nel­len Mitteln destruk­tive Effekte zu erzie­len. Zwar sind Cyber­ope­ra­tio­nen gegen Strom­netze denkbar, aller­dings zeigt der Krieg in der Ukraine auch, dass sich der gleiche Effekt schnel­ler mit Lenk­waf­fen her­stel­len lässt. Cyber­ope­ra­tio­nen erset­zen also nicht phy­si­sche Kampf­hand­lun­gen, sondern ergän­zen diese – etwa, wenn sie in Kom­bi­na­tion mit kon­ven­tio­nel­len Mitteln ver­wen­det werden.

Gute Cyber­ver­tei­di­ger, und dazu gehört die Ukraine dank ihrer jah­re­lan­gen prak­ti­schen Erfah­rung, können deak­ti­vierte Netz­werke und Systeme wie­der­her­stel­len und die Effekte von Cyber­ope­ra­tio­nen aus­glei­chen, sofern sie nicht vorher schon regis­triert und ver­ei­telt werden. Fle­xi­bi­li­tät, gute Kri­sen­re­ak­ti­ons­pla­nung und schlanke büro­kra­ti­sche Pro­zesse sind hierbei essenziell.

Fle­xi­bi­li­tät, gute Kri­sen­re­ak­ti­ons­pla­nung, schlanke büro­kra­ti­sche Prozesse

Die Ukraine zeigte genau dies nach dem Angriff gegen den Mobil­funk­dienst­leis­ter Kyiv­star am 12. Dezem­ber 2023. Zwar legte ein rus­si­scher Angriff weite Teile des Mobil­funks lahm, aller­dings gelang es den ukrai­ni­schen Cyber­ver­tei­di­gern inner­halb weniger Tage, die Dienst­leis­tun­gen in weiten Teilen des Landes wie­der­her­zu­stel­len – eine beacht­li­che Leistung.

Viele Staaten ziehen indes erste Lehren aus dem Krieg in der Ukraine. Sie rüsten digital auf – und ent­wi­ckeln nun selbst offen­sive Cyber­ope­ra­tio­nen oder Stra­te­gien, inklu­sive der Mög­lich­keit digi­ta­ler Gegen­maß­nah­men bei Cyber­an­grif­fen. Es zeigt sich auch, dass viele Staaten daran arbei­ten, die prak­ti­sche Anwen­dung von Cyber- und phy­si­schen Fähig­kei­ten durch Übungen zu ver­bes­sern. Russ­land ist es nicht gelun­gen, aus­rei­chend Syn­er­gien aus dem Verbund von Cyber­an­grif­fen und phy­si­schen Angrif­fen zu erzeu­gen. Viele Staaten denken jetzt darüber nach, wie sich das Zusam­men­wir­ken dieser Angriffe ver­bes­sern lässt.

Dr. Mat­thias Schulze leitet den For­schungs­schwer­punkt Inter­na­tio­nale Cyber­si­cher­heit am Insti­tut für Frie­dens­for­schung und Sicher­heits­po­li­tik an der Uni­ver­si­tät Hamburg.