Cybersicherheit : Kriegsschauplatz Internet

Der Krieg in der Ukraine hat im Digitalen lange vor dem 24. Februar 2022 begonnen: Schon seit der Invasion der Krim im Jahr 2014 werden Cyberangriffe auf ukrainische Computer immer wieder auf russische Geheimdienste zurückgeführt. Auch die Stromversorgung war immer wieder betroffen. Wochen bevor die ersten russischen Raketen flogen und Soldaten zur Waffe griffen, gehörten vermehrte Attacken über Schadsoftware auf Behördenwebseiten wie die des Innen-, Außen- und des Verteidigungsministeriums zur Destabilisierungsstrategie des Kremls. Auch Ransomware-Angriffe (Lösegeld) von Gruppen mit Bezug zur russischen Regierung nahmen zu.

Die Maßnahmen des Cyberkriegs sind vielfältig: Sie reichen von gezielter Falschinformation in Medien und Sozialen Netzwerken über Spionage in Daten und Systemen bis hin zu Cyberangriffen mit dem Ziel der Sabotage oder Zerstörung. Angriffe auf staatliche, militärische oder zivile Infrastrukturen seien aber nicht automatisch als Krieg im Sinne des Völkerrechts zu klassifizieren, analysiert der IT-Sicherheitsrechtler Dennis-Kenji Kipker von der Universität Bremen. Umstritten sei, wie dabei der Einsatz ziviler Akteure zu bewerten ist und wann ein Cyberangriff die Schwelle zum bewaffneten Konflikt überschreite.

Es ist der erste Krieg in Europa, der in Echtzeit von einer globalen Öffentlichkeit in den Medien beobachtet wird. Zum Einsatz kommen in dem Informationskrieg unzählige Handyvideos, deren Echtheit nur schwer verifiziert werden kann. Auch weil der ukrainische Premier Selenskij das Internet und die Sozialen Medien geschickt zur Mobilisierung der eigenen Bürger, aber auch von Menschen und Entscheidungsträgern in anderen Ländern nutzt, ist die digitale Infrastruktur der Ukraine in den Fokus Russlands gerückt.

Kampf an der Tastatur: Ukrainische "IT-Armee" 

Unterstützung bei der Abwehr von Attacken über Schadsoftware bekam die ukrainische Regierung zuletzt von Microsoft. Nach Berichten der New York Times machte der Softwarekonzern die Attacke über das Malware-Paket "FoxBlade" öffentlich und half, dieses auszuschalten. Angegriffen wurden aber nicht nur staatliche Webseiten, sondern auch die Facebook-Konten öffentlicher Personen, darunter hochrangiger Militärvertreter und Politiker in der Ukraine, teilte der Facebook-Mutterkonzern Meta mit. In Russland ist der Zugriff auf Facebook seit Ende Februar eingeschränkt. So werden etwa Bilder nicht mehr geladen, nachdem sich der Konzern geweigert hatte, seine unabhängige Faktenprüfung von Nachrichten russischer Medien auszusetzen. Vergangenen Freitag mehrten sich Meldungen, dass die Plattform gar nicht mehr aufzurufen sei.

Auch auf ukrainischer Seite spielt der Kampf an der Tastatur eine Rolle: Zwei Tage nach der Invasion rief der ukrainische Vize-Premiers Fedorov dazu auf, sich als Freiwillige in einer "IT-Armee" an der Cyberverteidigung des Landes zu beteiligen. Das rief einen weiteren Akteur aufs Tapet: Auf Twitter erklärte das internationale Hacker-Kollektiv Anonymous, bekannt durch sein Erkennungszeichen der weißen Guy-Fawkes-Maske, dem Kreml am Tag nach der Invasion den "Cyberkrieg" und bekam dafür von vielen Seiten Beifall. Die Gruppe versteht sich als Zusammenschluss von Privatpersonen, die für Meinungsfreiheit im Netz eintreten. Anonymous zielte mit seinen Angriffen auf die Kommunikation russischer Regierungsseiten ab, die sich zeitweise nicht mehr aufrufen ließen, darunter der Internetauftritt des Kremls, der Regierung und des Verteidigungsministeriums. Die Gruppe meldete eine Reihe weiterer Attacken auf Medien wie Russia Today oder die staatliche Nachrichtenagentur Tass, Banken und den Energiekonzern Gazprom. Sicherheitsforscher und Digitalpolitiker raten deutschen "Hacktivisten" dringend davon ab, sich an Hacking-Aktionen zu beteiligen, da diese rechtlich problematisch seien und zu unkontrollierbaren Eskalationen führen können.

Sorge vor Angriffen auf Behörden und Unternehmen auch in Deutschland

Schätzungen zufolge sollen auf russischer und ukrainischer Seite etwa 30 Hackergruppen aktiv sein. Derzeit entscheidend seien jedoch die konventionell militärischen Fähigkeiten der Konfliktparteien, nicht die im Cyberraum, sagte der stellvertretende Forschungsgruppenleiter Sicherheitspolitik bei der Stiftung Wissenschaft und Politik, Matthias Schulze vergangene Woche in einer Video-Pressekonferenz. Dennoch zeigen sich angesichts der nun wirkenden Sanktionen auch deutsche Sicherheitsbehörden vor Angriffen auf Behörden und Unternehmen besorgt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab Ende Februar eine Meldung der zweithöchsten Warnstufe "orange", also "geschäftskritisch", heraus, stärkte kurzfristig Eigenschutz und Krisenreaktion und aktivierte das Nationale IT-Krisenreaktionszentrum. Von einer "erhöhten Gefährdung" sprach auch Innenministerin Nancy Faeser (SPD).

Der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom mahnte eine "größtmögliche Wachsamkeit aller Unternehmen, Organisationen und staatlichen Stellen" an. Einen Eindruck davon, wie schnell ein Vorfall internationale Auswirkungen haben kann, vermittelte bereits der erste Kriegstag: Der US-Anbieter für satellitenbasiertes Internet, Viasat, meldete Ausfälle in der Fernsteuerung für Windkraftanlagen in Zentraleuropa und sprach von einem Cyberangriff. Betroffen davon waren tausende Anlagen, auch solche des deutschen Windradhersteller Enercon. Die Windräder funktionieren auch ohne Internet und erzeugen weiter Strom, waren aber für eine Überwachung und Steuerung aus der Ferne nicht mehr erreichbar.