Hybride Kriegsführung : Wenn Anker und Algorithmen zur Waffe werden

In der Weihnachtszeit 2024 machte die "Eagle S" fette Beute in der Ostsee. Das Schiff warf dafür kein Netz aus, sondern seinen Anker. Den schleifte der Tanker rund hundert Kilometer hinter sich her und durchtrennte dabei ganze fünf Leitungen auf dem Meeresgrund. Vier Datenkabel und ein Stromkabel wurden beschädigt. 

Ein Versehen? Wohl kaum, sagt Hans-Werner Wiermann, Generalleutnant der Bundeswehr a.D. Denn die "Eagle S" - Teil der russischen Schattenflotte - ist das dritte Schiff in Folge, das mit einem solchen Manöver wichtige Leitungen in der Ostsee zerstört. "Drei Schiffe, die nacheinander einen Anker über zig nautische Meilen hinter sich herziehen - und der Kapitän behauptet, er hätte das nicht gemerkt? Ich halte das für unglaubwürdig", so Wiermann.

Experte geht von russischer Einflussnahme aus

Wiermann war viele Jahre für die Nato tätig, an der Grenze zwischen Politik und Militär. Er war eigentlich schon im Ruhestand, als er 2023 einen Anruf aus dem Büro des Nato-Generalsekretärs in Brüssel erhielt: Er wurde gebeten zurückzukommen. Wiermann sollte die Leitung einer Koordinierungszelle zum Schutz von Unterwasserinfrastruktur übernehmen. Der Anschlag auf die Nord-Stream-Pipeline 2022 hatte Öffentlichkeit und Politik aufgeschreckt. Und die Vorfälle rissen nicht ab: Im Herbst 2023 wurde die Pipeline Balticconnector zwischen Finnland und Estland gekappt, sowie Datenkabel in der Ostsee. Im November 2024 wurden zwei weitere Datenkabel in der Ostsee durchtrennt, die Finnland und Deutschland sowie Schweden und Litauen verbinden. In beiden Fällen werden chinesische Frachter verdächtigt, die ihre Anker über lange Strecken über den Meeresboden zogen.

Doch Wiermann geht auch hier von russischer Einflussnahme aus. "Ich glaube, der russische Geheimdienst ist clever genug, die Spuren in Richtung China zu legen, ohne dass die Chinesen daran wirklich ernsthaft beteiligt sind." So entstehe das Bild, Europa habe es mit zwei geeinten Widersachern zu tun: China und Russland. Das helfe, "die destabilisierende Wirkung auf unsere Bevölkerung zu verstärken".

Im Konflikt mit Europa setzen Länder wie Russland und China auf hybride Attacken, die sich leugnen lassen und unterhalb der Schwelle einer Kriegserklärung liegen. Diese reichen von Desinformation und Social-Media-Kampagnen bis hin zu Mordanschlägen. Auch Spionage und Sabotage gehören zum Arsenal. Dabei gerät vor allem die kritische Infrastruktur ins Fadenkreuz - an Land, aber auch unter Wasser.

Nord- und Ostsee sind lohnende Ziele

Sicherheitsexperten wie Frederik Mertens warnen davor schon länger: Sabotieren feindlich gesinnte Staaten Tiefseeleitungen, sprechen Fachleute wie er von "Seabed Warfare" - Kriegsführung am Meeresgrund. Der Analyst und Militärhistoriker an der Denkfabrik The Hague Center for Strategic Studies im niederländischen Den Haag hat sich zusammen mit seinem Team die möglichen Bedrohungen für Anlagen in der Nordsee genauer angeschaut. 

---

„Es geht darum, diese schwachen, verwundbaren Bereiche einer Gesellschaft zu finden, auf die wir uns verlassen, in die wir aber nicht genug investieren.“

---

Neben der Ostsee ist sie ein ebenso lohnendes Ziel. Überall schlängeln sich Pipelines und Kabel über den Meeresboden, entstehen neue Windparks und Off-Shore-Umspannwerke. "Die Unterwasserinfrastruktur ist angreifbar, die Pipelines und Kabel. Es gibt die Knotenpunkte, an denen sie alle miteinander verbunden sind, und es gibt die Anlandepunkte. Das ist alles physisch verwundbar." Die Vorfälle in der Ostsee zeigen: Manchmal reicht ein Anker. Doch längst gibt es auch autonome Drohnen, die in Tiefen von mehreren Tausend Metern vordringen und mit Werkzeugen und Sprengsätzen ausgerüstet werden können.

Koordinierte Angriffe gefährden auch die Energieinfrastruktur 

Angriffe auf die Strom- oder Datenkabel könnten dazu führen, dass Internetseiten nicht mehr laden, Windräder sich nicht mehr drehen oder schlimmstenfalls in einer gesamten Region der Strom ausfällt, so Mertens. “Ein gut koordinierter Angriff könnte unsere Energiereserven ernsthaft beeinträchtigen.”

Auch vor Cyberangriffen ist kritische Infrastruktur nicht sicher. Als Ende April ein Blackout Spanien und Portugal über Stunden nahezu lahmlegte, waren die Befürchtungen groß, dass Hacker dafür verantwortlich gewesen sein könnten.

Belege existieren dafür bislang zwar nicht. Doch in den vergangenen Jahren gab es immer wieder direkte oder indirekte Attacken gegen Offshore-Windanlagen. Unternehmen wie Deutsche Windtechnik, Vestas oder Enercon, berichteten von Schadsoftware, die ihre IT-Systeme lahmlegte und von Ransomware-Angriffen. Dabei dringen Hacker in IT-Systeme ein, verschlüsseln Daten und fordern anschließend ein Lösegeld.

Oft stecken staatliche Akteure oder kriminelle Gruppen dahinter, die von feindlichen Staaten toleriert werden.

Auch Krankenhäuser sind im Visier von Hackern

Am Tag des russischen Einmarsches in die Ukraine am 24. Februar 2022 wurde ein Satellitennetzwerk der US-Firma Viasat zum Ziel eines Cyberangriffs. Verdächtigt wurden russische Hacker. Unzählige Satellitenmodems in Europa fielen dadurch aus. Auch das deutsche Unternehmen Enercon war betroffen: Durch den Ausfall der Satellitenkommunikation konnten Mitarbeiter nicht mehr auf etwa 5.800 Windenergieanlagen zugreifen. Die Turbinen produzierten weiterhin autonom Strom, aber sie konnten nicht mehr aus der Ferne überwacht oder gesteuert werden.

Auch Krankenhäuser geraten immer wieder ins Visier von Hackern. Kliniken von Barcelona bis Berlin wurden in den vergangenen fünf Jahren gezwungen, zeitweise ohne Computer auszukommen und auf Stift und Papier umzustellen. Tausende Operationen mussten abgesagt werden. Rettungsstellen stellten ihre Arbeit ein. Mit teils tödlichen Folgen.

Allein in Deutschland wurden dem Bundesamt für Sicherheit in der Informationstechnik 2024 mehr als 760 Cyberangriffe auf kritische Infrastruktur gemeldet. Ein Anstieg von mehr als 40 Prozent im Vergleich zum Vorjahr.

Ein Beispiel aus der Ukraine zeigt aber: Manchmal erzielen Angreifer die größte Wirkung mit der Zerstörung weniger offensichtlicher Ziele. Im Dezember 2024 hackte Russland verschiedene Verwaltungsdatenbanken der Ukraine. Betroffen waren etwa Geburtenregister, Heiratsregister und Handelsregister, berichtete der Cyberexperte Thaddeus Grugq im Rahmen einer Veranstaltung des Think Tanks Interface Ende März. Den Hackern gelang es damit, Infrastruktur auszuschalten, die für die meisten Menschen unsichtbar war. "Es geht darum, diese schwachen, verwundbaren Bereiche einer Gesellschaft zu finden, auf die wir uns verlassen, in die wir aber nicht genug investieren", so Grugq. "Gelingt es, ein paar dieser Dinge zu löschen, verursacht das wochenlang Probleme und ist sehr, sehr frustrierend für die betroffenen Menschen."

Das Ziel von hybrider Kriegsführung: Gesellschaften verunsichern und destabilisieren

Hybride Angriffe - egal ob Cyberattacken, Brandanschläge oder Desinformation - haben vor allem das Ziel, die getroffenen Gesellschaften zu verunsichern und das Vertrauen in die eigenen Institutionen zu schwächen. Eine neue Studie der niederländischen Denkfabrik Clingendael zeigt, dass das funktioniert: Die Niederländer halten Cyber-Sabotage und physische Sabotage kritischer Infrastruktur 2025 für die größten Bedrohungen.

Was also tun, um sich gegen hybride Angriffe zu wehren? Cyberexperte Thaddeus Grugq empfiehlt, wichtige digitale Dienste in die Cloud zu verschieben, also Rechenzentren großer Anbieter zu nutzen. Diese könnten viel besser für die Sicherheit sorgen als etwa "der lokale IT-Verantwortliche im Landwirtschaftsamt". "Die großen Cloud-Anbieter investieren, sie halten die Software auf dem neuesten Stand, erstellen Backups und verwalten die Authentifizierung." Und sie haben das nötige Personal. Allein in Deutschland werden laut einer Studie des Digitalverbandes Bitkom im Jahr 2040 rund 663.000 IT-Fachleute fehlen. Schon jetzt können 149.000 offene Stellen im IT-Bereich nicht besetzt werden.

Die Ukraine habe innerhalb eines Monats die gesamte Regierungsarbeit digitalisiert, in die Cloud verlagert und so für größere Sicherheit gesorgt, so Grugq. Auch in Ländern wie den Niederlanden ist die Digitalisierung weit fortgeschritten. Dort wird jedoch debattiert, ob es sicher ist, sensible Daten weiterhin auf Servern ausländischer Firmen zu speichern. Denn die meisten Cloud-Anbieter sind US-amerikanische Firmen. Durch die Unberechenbarkeit der neuen Trump-Regierung sehen viele Politiker in der Abhängigkeit zunehmend eine Gefahr für die nationale Sicherheit.

Auf europäischer Ebene wünscht sich Thaddeus Grugq einen besseren Austausch von Informationen. "Eine gemeinsame Infrastruktur, um Wissen auszutauschen, wäre hilfreich." Denn Cyberangriffe sind so grenzüberschreitend wie das Internet. Das macht es oft schwer bis unmöglich, die Täter zu greifen.

Brüssel will Europol mit neuem Mandat ausstatten

In Brüssel versucht man, das Problem anzugehen: Im Rahmen einer neuen Sicherheitsstrategie plant die EU-Kommission, Europol mit einem neuen Mandat auszustatten. So soll die Polizeibehörde künftig auch in Fällen hybrider Angriffe wie Sabotage und Desinformation ermitteln. 

Doch die Beweisführung ist schwierig, auf dem Meeresboden wie im Netz. Nach den Manövern der "Eagle S" zeigten Bilder einer schwedischen Unterwasser-Drohne zwar Schleifspuren auf dem Meeresboden, die wahrscheinlich vom Anker des Öl-Tankers stammten. Außerdem konnten die Behörden einen beschädigten Anker des Schiffs bergen, der bei der Aktion abgerissen wurde. Doch was Absicht und was Unfall war, lässt sich schwer beweisen.

Bessere Überwachung soll verdächtige Schiffe identifizieren

Die Nato setzt deswegen auf Abschreckung, durch Präsenz und eine bessere Überwachung. Ende 2024 fand vor der finnischen Küste die jährliche Nato-Übung "Freezing Winds" statt. Und Anfang 2025 begannen die Nato-Staaten mit der Mission "Baltic Sentry". Seitdem fahren Marine-Schiffe in der Ostsee Patrouille. Wiermann und seine Nato-Kollegen haben zudem neue Konzepte entwickelt, um verdächtige Schiffe zu identifizieren.

"Es kommt ganz wesentlich darauf an, dass man verdächtige Bewegungen in der Nähe von kritischer Unterwasser-Infrastruktur in Echtzeit erkennen kann." So will man sicherstellen, "dass die andere Seite nicht behaupten kann, sie sei es nicht gewesen". Die Daten für die Überwachung kommen aus drei Quellen: Von den häufig privaten Betreibern der Infrastruktur, von den Nachrichtendiensten der Nato-Länder und von den AIS-Sendern, mit denen jedes Schiff die eigenen Standortdaten funkt. Zudem können Satellitenaufnahmen unterstützen, Schiffe zu identifizieren.

Lückenlose Überwachung aller Kabel und Pipelines nicht möglich

Künstliche Intelligenz soll helfen, all die Daten zu analysieren. Lässt man die Maschine dann noch wissen, wo die kritische Infrastruktur liegt, kann sie bei verdächtigen Bewegungen Alarm schlagen und einen Punkt auf der Karte aufleuchten lassen. "Die Technologie dazu ist in weiten Teilen verfügbar. Wir sind auch relativ weit, diese Teile miteinander zu verbinden. Aber natürlich werden wir lernen müssen", so Hans-Werner Wiermann. "Wir wollen nicht jede Stunde hundert rote Punkte haben. Das müssen wirklich die Fälle sein, die kritisch sind. Alles andere würde unsere Ressourcen überfordern."

Die neuen technischen Entwicklungen und zusätzliche militärische Präsenz können die Gefahren teilweise eindämmen. Aber Wiermann warnt: Eine 100-prozentige Sicherheit gibt es nicht. Es ist nicht möglich, die Weltmeere und alle Kabel und Pipelines lückenlos zu überwachen. Zumal die Infrastruktur jeden Tag wächst.

Der Autor ist freier Korrespondent in Brüssel.