Cyberkrieg Im Bezug Zum Russland-Ukraine-Krieg: Angriff auf ukrainische Regierungswebseiten

Laut der ukrainischen Behörde für Spezielle Kommunikation und Informationsschutz wurde die Ukraine im Jahr 2022 Ziel von 2194 Cyber-Angriffen, davon allein 1655 nach Beginn der russischen Invasion am 24. Februar. Einrichtungen der Regierung seien in jenem Jahr knapp 560 Mal von Hackern attackiert worden. Russische Cyberangriffe auf NATO-Staaten haben sich nach Angaben von Google im Jahr 2022 im Vergleich zu 2020 vervierfacht.

Zum Zeitpunkt des Überfalls waren die Spannungen zwischen Russland und der Ukraine hoch, da seit April 2021 über 100.000 russische Soldaten in der Nähe der ukrainischen Grenze stationiert wurden und Russland der NATO in den Monaten vor dem Krieg Ultimaten stellte. Lange vor der Invasion im Februar hatten Wellen von Cyberattacken gegen die Ukraine begonnen, welche im zweiten Halbjahr 2021, während Russland die Invasion plante, deutlich verstärkt wurden. Die ukrainische Abwehr wurde maßgeblich von britischen Stellen unterstützt. US-Militärs hatten den Ukrainern vor Ort geholfen, Hacker zu jagen, diese Spezialisten wurden jedoch bei Kriegsausbruch aus der Ukraine abgezogen.

Die US-Regierung erklärte im Januar 2022 öffentlich, dass Russland offensichtlich eine Invasion in der Ukraine vorbereite sowie „Sabotage- und Informationsaktivitäten“ betreibe. Die USA fanden angeblich auch Beweise für eine „Operation unter falscher Flagge“ in der Ostukraine, die als Vorwand für eine Invasion dienen könnte. Russland bestritt die Vorwürfe einer bevorstehenden Invasion, drohte aber mit sogenannten „militärisch-technischen Maßnahmen“, falls seine Forderungen nicht erfüllt würden, insbesondere die Forderung, dass die NATO die Ukraine niemals in das Bündnis aufnehmen dürfe. Russland hatte sich nachdrücklich gegen eine weitere Ausweitung der NATO nach Osten ausgesprochen und begründete damit die Zunahme der Spannungen an der russisch-ukrainischen Grenze.

Chronik im Januar

Der russischen Invasion gingen lange vorbereitete, massive Cyberangriffe auf die Ukraine voraus. Der erste Angriff auf ukrainische Organisationen erfolgte nach Angaben des slowakischen Unternehmens für Sicherheitssoftware ESET in der Nacht zwischen dem 13. und 14. Januar. Am 14. Januar 2022 wurden mehr als ein Dutzend Websites der ukrainischen Regierung durch eine Cyberattacke lahmgelegt. Nach Angaben ukrainischer Behörden wurden rund 70 Regierungswebsites angegriffen, darunter das Außenministerium, das Ministerkabinett und der Sicherheits- und Verteidigungsrat. Die meisten Websites wurden innerhalb weniger Stunden nach dem Angriff wiederhergestellt. Am 15. Februar wurden durch eine weitere Cyberattacke mehrere Regierungs- und Bankdienste lahmgelegt. Der Schadcode hatte sich als Ransomware getarnt, die Daten wurden jedoch durch die Software unwiederbringlich gelöscht, es handelte sich daher um einen Wiper. Am 23. Februar, wenige Stunden vor der Invasion, schlug ein weiterer, schon Monate zuvor eingeschleuster Wiper zu.

Bei den Angriffen am 14. Januar 2022 ersetzten Hacker die Websites von etwa 70 Regierungswebseiten durch Texte in Ukrainisch, fehlerhaftem Polnisch und Russisch, in denen es heißt: „Habt Angst und erwartet das Schlimmste“ und in denen behauptet wurde, dass persönliche Informationen ins Internet gelangt seien. Der Sicherheitsdienst der Ukraine (SBU) erklärte hierzu, dass keine Daten durchgesickert seien. Kurz nach Erscheinen der Nachricht wurden die Websites vom Netz genommen. Die meisten Seiten wurden innerhalb weniger Stunden wiederhergestellt. Der stellvertretende Sekretär des NSDC, Serhij Demedjuk, erklärte, dass die ukrainische Untersuchung des Angriffs den Verdacht nahelegt, dass die Administrationsrechte eines Drittunternehmens zur Durchführung des Angriffs genutzt wurden. Die Software des ungenannten Unternehmens wurde seit 2016 für die Entwicklung von Regierungsseiten verwendet, von denen die meisten von dem Angriff betroffen waren. Demedjuk machte auch UNC1151, eine Hackergruppe mit angeblichen Verbindungen zum belarussischen Geheimdienst, für den Angriff verantwortlich.

Ein weiterer zerstörerischer Malware-Angriff fand etwa zur gleichen Zeit statt und tauchte erstmals am 13. Januar auf. Die Malware, zunächst entdeckt vom Microsoft Threat Intelligence Center (MSTIC), wurde auf Geräten installiert, die „mehreren Regierungs-, gemeinnützigen und Informationstechnologie-Organisationen“ in der Ukraine gehören. Später wurde berichtet, dass dies auch den staatlichen Notdienst und das Kraftfahrtversicherungsbüro einschließt. Die Software mit der Bezeichnung DEV-0586 oder WhisperGate wurde so entwickelt, dass sie wie Ransomware aussieht, aber keine Wiederherstellungsfunktion hat, was darauf hindeutet, dass sie Dateien einfach zerstören will (Eraser oder Wiper), anstatt sie gegen Lösegeld zu verschlüsseln. Der MSTIC berichtete, dass die Malware so programmiert war, dass sie ausgeführt wurde, wenn das betroffene Gerät ausgeschaltet war. Die Malware überschreibt den Master Boot Record (MBR) mit einer generischen Lösegeldforderung. Als Nächstes lädt die Malware eine zweite EXE-Datei herunter, die alle Dateien mit bestimmten Erweiterungen aus einer vorgegebenen Liste überschreibt und alle Daten in den betroffenen Dateien löscht. Die Nutzlast der Ransomware unterscheidet sich in mehrfacher Hinsicht von einem Standard-Ransomware-Angriff und deutet auf eine ausschließlich zerstörerische Absicht hin.

Am 19. Januar versuchte die russische Advanced Persistent Threat (APT) Gruppe „Gamaredon“ (auch bekannt als „Primitive Bear“), eine westliche Regierungseinrichtung in der Ukraine zu infiltrieren. Cyberspionage scheint das Hauptziel der Gruppe zu sein, die seit 2013 aktiv ist, insbesondere auf ukrainische Organisationen zielt und dabei anscheinend Dienste für andere APT-Gruppen anbietet. So hat beispielsweise die Hackergruppe „InvisiMole“ ausgewählte Systeme angegriffen, die zuvor von „Gamaredon“ betroffen und mit digitalen Fingerabdrücken versehen worden waren.

Als Reaktion auf die Invasion erklärte das Hackerkollektiv Anonymous noch am ersten Kriegstag, in einen Cyberkrieg mit der Regierung der Russischen Föderation getreten zu sein.

Reaktionen auf die Angriffe im Januar

Russland

Russland wies die Behauptungen der Ukraine zurück, dass es mit den Cyberangriffen in Verbindung stehe.

Ukraine

Ukrainische Regierungsinstitutionen wie das Zentrum für strategische Kommunikation und Informationssicherheit und das Außenministerium vermuteten Russland als Urheber des Anschlags und wiesen darauf hin, dass dies nicht das erste Mal sei, dass Russland die Ukraine angreife.

Internationale Organisationen

Der Hohe Vertreter der Europäischen Union, Josep Borrell, sagte über die Quelle des Angriffs: „Man kann sich […] sehr gut vorstellen, woher der Angriff kommt.“ Der Generalsekretär der NATO Jens Stoltenberg kündigte an, dass die Organisation ihre Koordinierung mit der Ukraine in Bezug auf Cyberverteidigung angesichts möglicher weiterer Cyberangriffe verstärken werde. Später kündigte die NATO an, dass sie ein Abkommen unterzeichnen werde, das der Ukraine Zugang zu ihrer Malware Information Sharing Platform gewähre.

Am 15. Februar brachte eine groß angelegte Denial-of-Service-Attacke (DDoS) die Websites des Verteidigungsministeriums, der Armee und der beiden größten Banken der Ukraine, der PrivatBank und der Oschadbank, zum Absturz. Das Cybersecurity-Monitoring-Unternehmen NetBlocks berichtete, dass sich der Angriff im Laufe des Tages intensivierte und auch die Mobile Apps und Geldautomaten der Banken betroffen waren. Die New York Times bezeichnete ihn als „den größten Angriff dieser Art in der Geschichte des Landes“. Ukrainische Regierungsvertreter erklärten, dass der Angriff wahrscheinlich von einer ausländischen Regierung ausgeführt wurde, und vermuteten, dass Russland dahinter stecke. Obwohl es Befürchtungen gab, dass die Denial-of-Service-Attacke eine Tarnung für ernstere Angriffe sein könnte, wurde zunächst kein solcher Angriff entdeckt.

Laut der britischen Regierung und dem Nationalen Sicherheitsrat der USA kam der Angriff vom russischen Militärgeheimdienst (GRU). Die amerikanische Cybersicherheitsbeauftragte Anne Neuberger erklärte, es sei festgestellt worden, dass bekannte GRU-Infrastrukturen große Mengen an Kommunikation an in der Ukraine ansässige IP-Adressen und Domänen übermittelten. Kreml-Sprecher Dmitri Peskow bestritt, dass der Angriff von Russland ausging.

Am 23. Februar legte ein dritter DDoS-Angriff mehrere ukrainische Regierungs-, Militär- und Bank-Websites lahm. Die ukrainische Behörde SSSCIP (State Service of Special Communication and Information Protection) meldete am 23. Februar massive DDoS-Attacken auf Regierungsinstitutionen und Banken. Während die Websites des Militärs und der Banken bald wiederhergestellt wurden, war die Website des Sicherheitsdienstes der Ukraine SBU für längere Zeit offline. Kurz vor 17 Uhr wurde auf Hunderten von Computern mehrerer ukrainischer Organisationen, unter anderem aus den Bereichen Finanzen, Verteidigung, Luftfahrt und IT-Dienstleistungen, datenlöschende Malware entdeckt. ESET Research nannte die Malware HermeticWiper, benannt nach ihrem echten Digitalen Zertifikat des in Zypern ansässigen Unternehmens Hermetica Digital Ltd. Der Wiper wurde Berichten zufolge am 28. Dezember 2021 kompiliert, während Symantec bereits im November 2021 bösartige Aktivitäten meldete, was bedeutet, dass der Angriff Monate im Voraus geplant wurde. Symantec meldete auch Wiper-Angriffe auf Geräte in Litauen, und dass einige Unternehmen bereits Monate vor dem Wiper-Angriff kompromittiert wurden. Ähnlich wie bei dem WhisperGate-Angriff im Januar wird Ransomware oft gleichzeitig mit dem Wiper-Angriff als Täuschung eingesetzt, und der Wiper-Angriff beschädigt den Master Boot Record.

Einen Tag vor dem Angriff hatte die EU ein Krisenreaktionsteam eingesetzt, das aus etwa zehn Cybersicherheitsexperten aus Litauen, Kroatien, Polen, Estland, Rumänien und den Niederlanden bestand. Es ist nicht bekannt, ob dieses Team dazu beigetragen hat, die Auswirkungen des Cyberangriffs abzumildern.

Der Angriff fiel mit der russischen Anerkennung der Separatistengebiete in der Ostukraine und der Genehmigung der russischen Truppenstationierung dort zusammen. Die USA und das Vereinigte Königreich machten Russland für den Angriff verantwortlich. Russland wies die Anschuldigungen zurück und bezeichnete sie als „russophob“.

Etwa zur Zeit des Beginns der Invasion am Morgen des 24. Februars erfolgte ein Cyberangriff auf den Satellitennetz-Provider Viasat, indem ein fehlerhaftes Update im Raum Mittel-/Osteuropa hochgeladen wurde, wodurch KA-SAT-Kunden (darunter auch die ukrainischen Streitkräfte) ihre Netzzugänge verloren. „Große Mengen an fokussiertem, bösartigen Datenverkehr“ gingen von infizierten Spezialmodems aus und überlasteten das System, Zehntausende Modems verloren den Kontakt zum Netz. Der Angriff betraf in Deutschland Enercon, 5800 seiner Anlagen waren nicht mehr online erreichbar. Die Analysten des IT-Sicherheitsunternehmens SentinelOne fielen Ähnlichkeiten zu den digitalen Werkzeugen der Hackergruppen Sandworm und Fancy Bear auf, die Russlands militärischem Auslandsgeheimdienst GRU zugeordnet werden. Viasat verschickte 30.000 neue Modems an Kunden, deren alte Geräte ausgefallen waren.

Nachdem das russische Militär innerhalb der ersten Kriegstage das Mobilfunknetz der Ukraine zerstört hatte, wurde Elon Musk vom ukrainischen Vizepremier Mychajlo Fedorow gebeten, Internetzugang über der Ukraine bereitzustellen. Musk gab am dritten Kriegstag bekannt, Starlink sei jetzt in der Ukraine aktiv. Die ukrainischen Streitkräfte verwenden inzwischen Starlink angeblich sehr erfolgreich für Drohnenangriffe auf russische Panzer und Stellungen. Starlink würde für die Überwachung und Koordinierung von unbemannten Flugkörpern verwendet, die dann sehr gezielt Anti-Panzer-Bomben abwerfen. Die russische Seite versuche zwar, die Internetversorgung aus dem Orbit mit Störsendern zu unterbinden, ein neues Software-Update von SpaceX könne jedoch die Störsender umgehen. Elon Musks tatkräftige Unterstützung der Ukraine wird auf russischer Seite als aggressiver Akt betrachtet. Dmitri Olegowitsch Rogosin, der Chef der russischen Weltraumbehörde Roskosmos, meinte hierzu: „Wenn Russland seine höchsten nationalen Interessen auf dem Territorium der Ukraine durchsetzt, taucht @elonmusk mit seinem Starlink auf, das zuvor als rein zivil deklariert wurde.“

Am 28. Februar schaltete Google nach Beratung mit ukrainischen Behörden Echtzeit-Verkehrsdaten in der Ukraine und Informationen über dortige Menschenansammlungen bei Google Maps ab.

Die in Russland ansässige Cybercrime-Gruppe Conti sagte Ende Februar ihre „volle Unterstützung“ für die Regierung von Präsident Wladimir Putin zu: „Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle uns zur Verfügung stehenden Mittel nutzen, um die kritischen Infrastrukturen eines Feindes anzugreifen.“

Das World Wide Web Consortium erfuhr vom 28. Februar bis 2. März schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum Angriff auf die Ukraine nicht eindeutig dokumentiert ist. Über den in der Ukraine populären Messaging-Dienst Telegram wurden vom ukrainischen Digitalminister Mychajlo Fedorow erstmals am 26. Februar 2022 Ziele ausgegeben, die von Freiwilligen per DDoS-Angriff lahmgelegt werden sollen.

Anonymous führte mehrere Cyberangriffe auf Behörden, Medien- und Rüstungsunternehmen in Russland und Belarus durch. Anonymous hackte zunächst die Websites des russischen Staatssenders Russia Today (RT News) und nahm sie am 25. Februar vom Netz. Am 28. Februar gab es einen großen Hackerangriff auf mehrere russische Staatsmedien und Tageszeitungen, betroffen waren unter anderem die Staatsagentur TASS und die Online-Auftritte der Zeitungen Iswestija und Kommersant. Auf der Website von Iswestija erschienen ein Banner des Hackerkollektivs Anonymous und u. a. der Text: „Wir fordern Sie dringend auf, diesen Wahnsinn zu stoppen, schicken Sie Ihre Söhne und Ehemänner nicht in den sicheren Tod. Putin bringt uns zum Lügen und bringt uns in Gefahr.“ Die Staatsagentur TASS bestätigte den Hackerangriff und schrieb im Nachrichtenkanal Telegram: „Die Angreifer haben Informationen gepostet, die nicht der Wahrheit entsprechen.“

 

Chronik im März

Deutsche Behörden schätzen, dass es Anfang März 2022 weltweit etwa 400.000 Hacker gab, die online für die Ukraine kämpfen. DoS-Attacken, die russische Propagandaseiten lahmlegen sollen, können auch ohne IT-Wissen browserbasiert ausgeführt werden, entsprechende Skripte sind im Umlauf. Inwiefern solche Angriffe, auch wenn Krieg herrscht, in Deutschland als Straftat angesehen werden können, ist umstritten. Prinzipiell können ein (D)DoS-Angriff und eine Online-Demonstration unter den § 303b StGB fallen; sie werden aber unter bestimmten Umständen analog zu Sitzblockaden durch das Grundgesetz gedeckt.

Am 3. März veröffentlichte die russische Regierung eine Liste mit 17.576 IP-Adressen und 166 Domains, die hinter einer Reihe von DDoS-Angriffen auf die russische Infrastruktur stehen sollen. Zu den auffälligen Domains in der vom russischen National Coordination Center for Computer Incidents (NCCCI) veröffentlichten Liste gehören das FBI, die CIA und die Websites verschiedener Medien wie USA Today, 24News.ge, megatv.ge und das ukrainische Magazin Korrespondent.

Am 5. März wurde an viele Mobiltelefone in Russland eine Massen-SMS eines unbekannten Absenders mit der Nachricht (in russischer Sprache) „Liebe Russen, eure Medien werden zensiert. Der Kreml lügt. Erfahren Sie die Wahrheit über die Ukraine im kostenlosen Internet und in der Telegram-App. Es ist Zeit, den Diktator Putin zu stürzen“ versendet.

Ab dem 6. März intensivierte Russland seine Cyberangriffe auf die ukrainische Zivilgesellschaft deutlich.

Am 7. März konnte Anonymous das reguläre Programm des russischen Staatsfernsehens unterbrechen und stattdessen Bilder aus dem Krieg in der Ukraine zeigen. Betroffen waren neben den Sendern auch die Streaming-Plattformen Wink und Ivy. Der Eingriff in das russische Fernsehprogramm endete mit einer Texteinblendung, die dazu aufrief, sich gegen den Krieg in der Ukraine zu wehren: „Die normalen Leute in Russland sind gegen den Krieg.“

Allein am 9. März hat der rekursive Resolver Quad9, der Malware blockiert, 4,6 Millionen Angriffe auf Computer und Telefone in der Ukraine und in Polen abgefangen und entschärft – eine Rate, die mehr als zehnmal so hoch ist wie der europäische Durchschnitt. Der Cybersicherheitsexperte Bill Woodcock der internationalen Organisation für Sicherheit kritischer Internet-Infrastrukturen Packet Clearing House stellte fest, dass die blockierten DNS-Anfragen aus der Ukraine eindeutig auf eine Zunahme von Phishing- und Malware-Angriffen gegen Ukrainer hindeuten, und merkte an, dass die polnischen Zahlen auch deshalb höher als üblich sind, weil sich 70 % bzw. 1,4 Millionen der ukrainischen Flüchtlinge zu diesem Zeitpunkt in Polen aufhielten. Woodcock erläuterte die Art des Angriffs: „Die Ukrainer werden mit einer großen Anzahl von Phishing-Angriffen angegriffen, und ein Großteil der Malware, die auf ihre Rechner gelangt, versucht, Kontakt zu einer bösartigen Command-and-Control-Infrastruktur aufzunehmen.“

Am 10. März gelang es Anonymous-Aktivisten, in die Datenbank der russischen Zensurbehörde Roskomnadsor einzudringen und über 360.000 Dateien mit einem Datenvolumen von etwa 800 GB über die Aktivistengruppe Distributed Denial of Secrets (DDoSecrets) zu veröffentlichen. Einige dieser Dokumente würden zeigen, dass Moskau alles zensiert habe, was sich auf den Krieg als russische Invasion in der Ukraine bezieht.

Mitte März hackten deutsche Anonymous-Aktivisten die deutsche Tochterfirma des russischen Mineralölkonzerns Rosneft, schon kurz vorher veröffentlichte Anonymous (nach eigenen Angaben) 79 GB Daten des russischen Unternehmens Transneft. Auch noch Ende März zeigten russische Behörden-Websites nicht selten Guy-Fawkes-Masken mit unterlegtem ukrainischem Banner und Aufrufen gegen den Krieg. Fortlaufend werden Websites russischer Online-Shops gehackt und dort in Russland zensierte Kriegsbilder gezeigt, so beispielsweise beim Online-Shop für Kinderbekleidung kids-centr.ru. In Belgorod wurden Kassenterminals von Restaurants manipuliert, die Kassenzettel zeigten die Botschaft „Stoppt den Krieg! Rettet eure Kinder!“ Andere kompromittierte Drucker informieren über die Geschehnisse in der Ukraine oder geben Anleitungen aus, wie man die staatliche Internetzensur per Tor Browser umgehen kann. Laut der russisch- und englischsprachigen Internetzeitung Meduza aus Lettland wurde das größte soziale Netzwerk in Russland, vk.com, gehackt. Die User erhielten Informationen über die zivilen Opfer des Krieges.

Das Kieler Institut für Sicherheitspolitik stellte am 21. März fest, dass der erwartete Cyber-Großangriff nicht stattfand bzw. nicht das erwartete Ausmaß einnahm: „Der von vielen erwartete Hacker-Angriff auf die Infrastruktur der Ukraine hat nicht stattgefunden, oder wenn, dann wurde er frühzeitig abgewehrt. Hierfür dürfte auch die jahrelange Kooperation mit den USA im Bereich der Cyber-Abwehr verantwortlich gewesen sein. Statt erfolgreich eine Cyberkampagne zu fahren, muss sich Russland mit privaten Hackergruppen aus aller Welt herumschlagen, die Russland angreifen und vor allem die Medienzensur zu durchbrechen versuchen.“

Am 28. März erfolgte ein „massiver“ Cyberangriff auf Ukrtelecom, einen großen Mobilfunk- und Internetanbieter in der Ukraine, der nach ukrainischen Angaben kurzfristig „neutralisiert“ werden konnte.

Einschätzung der Gefahrenlage im März

Das deutsche Bundesamt für Verfassungsschutz gab am 4. März eine Warnung heraus, der zufolge eine bereits bekannte Gruppierung mit dem Namen „Ghostwriter“ versuche, in Deutschland Schaden anzurichten. Das Amt rechnet Ghostwriter dem russischen Geheimdienst zu. Es verweist auf eine Warnung des Microsoft Threat Intelligence Center vor der Malware WhisperGate. Wegen der jüngsten Sanktionen und militärischen Unterstützungszusagen wachse das Risiko für russische Cyberangriffe gegen deutsche Stellen und Unternehmen. Möglich sind demnach Sabotageakte gegen Unternehmen der kritischen Infrastruktur – also zum Beispiel Kraftwerksbetreiber oder Wasserwerke –, aber auch gegen militärische Einrichtungen oder Politiker. Entsprechende Hacking-Angriffe seien schon früh vorbereitet worden. Cyberangriffe des Akteurs „Ghostwriter“ gegen deutsche Abgeordnete belegen, dass es im Vorfeld des eigentlichen Angriffs Vorbereitungshandlungen gab, wie breit angelegtes Credential-Phishing über E-Mails. Aufgrund erneuter Angriffe im März 2022 gegen Personen in Deutschland sei besondere Vorsicht geboten.

Das Kieler Institut für Sicherheitspolitik spricht von einer unerwartet hohen Effizienz von Cyberattacken aus der Zivilgesellschaft. Diese hätten die Informationskriegführung des Kremls empfindlich gestört und fügten der zivilen Infrastruktur Russlands erheblichen Schaden zu. Sie erschwerten größere russische Cyberattacken auf westliche kritische Infrastrukturen, da die russischen IT-Fachkräfte mit der Abwehr dieser dezentralen Hackerangriffe ausgelastet seien. Der Ukraine ist es gelungen, eine freiwillige „IT-Armee“ aus zivilen Hackern aus der ganzen Welt zusammenzustellen; sie stellte Anfang März eine neue Reihe von Zielen auf, zu denen auch das belarussische Eisenbahnnetz, Russlands satellitengestütztes Navigationssystem GLONASS und Telekommunikationsbetreiber wie MTS und Beeline gehören.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am 15. März 2022 vor der Verwendung des russischen Virenschutzprogramms Kaspersky Anti-Virus und anderer Produkte von Kaspersky Lab: „Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“ Kaspersky scheiterte Ende März mit einer Klage auf Unterlassung und Widerruf gegen diese Empfehlung vor dem Verwaltungsgericht Köln.

Ansonsten sieht das BSI „eine abstrakt erhöhte Bedrohungslage für Deutschland. Der Konflikt wird weiterhin von verschiedensten Formen von Cyber-Angriffen begleitet […] Das BSI weist außerdem darauf hin, dass die allgemeine Cyber-Bedrohungslage – durch Cyber-Crime, Fake News, Desinformationen und andere Phänomene – weiterhin besteht.“

Ein Sprecher des slowakischen Unternehmens für Sicherheitssoftware ESET erklärte Mitte März zur Sicherheitslage: „Es ist nicht unwahrscheinlich, dass bei einer weiteren Eskalation des Konflikts auch Deutschland in den Fokus staatlich motivierter Cyberangriffe gerät. Es ist daher nicht auszuschließen, dass Computersysteme kleinerer Versorgungsunternehmen, z. B. lokale Energieversorger, bereits infiltriert sind.“ Diese Einschätzung wird vom Cyber-Sicherheitsrat Deutschland bestätigt. Internationale Fachleute sehen Deutschland besonders gefährdet, da hier die Cybersicherheit hinter anderen westlichen Staaten zurückbleibe.

Am 21. März warnte US-Präsident Biden eindringlich vor russischen Cyber-Attacken und rief die Wirtschaft seines Landes dazu auf, die Computersysteme von Unternehmen stärker gegen Angriffe zu wappnen. Es lägen Geheimdiensthinweise vor, wonach die russische Regierung Optionen für Cyberattacken gegen die USA prüfe. Die amerikanische Bundespolizei FBI verzeichnet nach einer Meldung der Nachrichtenagentur Associated Press vom 23. März zunehmend Versuche russischer Hacker, in wichtige Infrastruktur-Unternehmen einzudringen. So seien mindestens fünf Energieunternehmen und 18 weitere Unternehmen in der Rüstungsindustrie und bei Finanzdienstleistern auf Schwachstellen gescannt worden.

Die russischen Angriffe verschonten zunächst Telekommunikationssysteme und den Energiesektor – offenbar erwarteten die Angreifer einen raschen Sieg und die Übernahme der Infrastruktur. Als jedoch klar wurde, dass ein Sieg nicht in Reichweite kam, stellten sich Energieanlagen als eines der vorrangigen Ziele heraus.

Rezeption zur Cyberkriegslage im März

Für die auch Ende März gegebene Funktionsfähigkeit der digitalen ukrainischen Infrastruktur werden mehrere Gründe genannt: Die Kriegsplanung der Russen sah vor, das Land schnell einzunehmen und dann die Infrastruktur selbst zu nutzen. Als dieser Plan scheiterte, war es für die Vorbereitung ausgeklügelter und überraschender Cyberattacken zu spät. Das Kommunikationssystem der russischen Armee habe weitgehend versagt und so sei sie auf die Nutzung ukrainischer Infrastruktur angewiesen; dafür spreche, dass der ukrainische Geheimdienst oft die militärische Kommunikation der russischen Streitkräfte abfangen kann, da sie über ukrainische Infrastrukturen abgewickelt werde. Der ausschlaggebende Grund sei jedoch die besondere Dezentralität: Es gibt in der Ukraine eine hohe Zahl an Internet-Providern, die unabhängige Infrastrukturen betreiben. Abgesehen davon ist die in den 1970er Jahren festgelegte Struktur des Internets selbst und dabei vor allem das Transmission Control Protocol im Zusammenspiel mit dem Internet Protocol „ein technisches Monument der Dezentralität“ (Sascha Lobo), das auch im konkreten Fall helfe, die Funktion des Internets aufrechtzuerhalten.

Chronik im April und Mai

Anfang April gab Bundesinnenministerin Nancy Faeser bekannt, dass sie vor dem Hintergrund des russischen Kriegs dem Bund bei der Cybersicherheit mehr Kompetenzen geben und dafür das Grundgesetz ändern will. Bisher sei die Gefahrenabwehr überwiegend Ländersache, komplexen und länderübergreifenden Gefahren durch Cyberattacken könne aber nur der Bund effektiv entgegentreten. In der Ampelkoalition bildete sich jedoch Widerstand, Grüne und FDP stoßen sich daran, dass Faeser Cyber-Gegenattacken, sogenannte Hackbacks, ermöglichen will.

Die US-Regierung gab am 6. April bekannt, dass sie in Rechnernetzen von öffentlichen Einrichtungen und Firmen im großen Maßstab russische Malware entdeckt und entfernt habe. Nach anderen Angaben konnte die Malware noch nicht überall entfernt werden. Der Angriffcode betrifft insbesondere Geräte, die in Anlagen für verflüssigtes Erdgas verwendet werden und in den USA eine Schlüsselrolle bei der Energieversorgung spielen. Das Schadprogramm setzt nicht bei unbekannten Schwachstellen in Betriebssystemen an, die sich relativ leicht mit einem Update beheben lassen, sondern manipuliert Steuerungssysteme auf mehreren Ebenen. Betroffen sind Industrial-Control-System- und Supervisory-Control-and-Data-Acquisition-Strukturen, sobald sie mit der Operational Technology (OT) verbunden werden.

Anonymous drang am 6. April in das Überwachungssystem des Kremls ein und veröffentlichte Videomaterial von Überwachungskameras auf Twitter.

Zwei Tage später begann die russische Hackereinheit 74455 mehrere Angriffe auf Umspannwerke, die jedoch rechtzeitig vereitelt wurden.

Microsoft hat nach eigenen Angaben vom 7. April von sieben Internetdomains ausgehende Angriffe russischer Hacker auf Einrichtungen in der Ukraine, Europa und den USA unterbrochen. Hinter den Spionageangriffen steckt laut Microsoft die Hackergruppe Strontium, die auch unter den Namen APT28, Sofacy, Pawn Storm und Fancy Bear bekannt ist. Die Ziele der Hacker seien unter anderem Medien und Regierungsbehörden gewesen. Mithilfe eines richterlichen Beschlusses habe Microsoft die fraglichen Domains übernommen. Um die Angriffe verpuffen zu lassen, hat Microsoft den Datenstrom der Hacker in DNS-Sinkholes umgeleitet, d. h. den Angreifern wird von Servern des Sinkholes Daten übermittelt, dass sie einen Angriff erfolgreich durchgeführt hätten, obwohl dies nicht der Fall war.

Im Laufe der ersten Aprilwoche 2022 gab das Netzwerk von Anonymous über verschiedene Medien die von den internen Webseiten des Kremls gehackten Identitäten all der 120.000 Soldaten bekannt, die von Anfang an an dem Überfall auf die Ukraine beteiligt waren. Man stellte diese zeitnah online, um im Zusammenhang mit eventuell begangenen Kriegsverbrechen die spätere individuelle Verfolgung der Soldaten zu ermöglichen.

Im April und Mai versuchten russische Hacktivisten unter dem Pseudonym Killnet einige Websites deutscher Behörden, Ministerien und Flughäfen per DDoS-Attacken zu überlasten. Dies gelang ihnen in den wenigsten Fällen und dann nur vorübergehend.

Nach eigenen Angaben gelang es ukrainischen Hackern im Sommer 2022, den Aufenthaltsort von russischen Truppen mithilfe von Fake-Frauenprofile zu lokalisieren. Sie nutzten die Profile eigenen Angaben zufolge um russische Soldaten dazu zu animieren, Photos zu schicken, durch die sie ihren Standort verrieten. Im Verlaufe des Krieges gewann GPS-Spoofing an Bedeutung, das vor allem dazu dient, die jeweils gegnerischen Kampfdrohnen fehlzuleiten. Von Jahresbeginn 2022 bis Ende Dezember 2022 wurden nach Angaben des ukrainischen Chefs für Cyber-Sicherheit, Ilja Witiuk, mehr als 4500 russische Cyberangriffe „neutralisiert“. Russische Cyberangriffe auf NATO-Staaten haben sich nach Angaben von Google im Jahr 2022 im Vergleich zu 2020 vervierfacht. Die Arbeitsgruppe Kritische Infrastrukturen sieht Anfang April 2023 eine steigende Gefahr von Kollateralschäden durch russische Cyberangriffe, wobei explizit deutsche Infrastruktur angegriffen werde. Derartige Attacken könnten eine Eskalation und den NATO-Bündnisfall nach sich ziehen.

Im April 2023 wurden Dokumente US-amerikanischer Geheimdienste zum Krieg in der Ukraine von unautorisierter Seite veröffentlicht. In den Dokumenten heißt es unter anderem, dass das russische Militär spätestens im September 2022 mit Versuchen begann, mittels elektronischer Kampfführung (Topol 1-System) die Funktion des über der Ukraine positionierten Starlink-Satellitensystems zu stören und somit Kommunikations- und Internetverbindungen in der Ukraine zu unterbinden.

Im Dezember 2023 erfolgte ein umfassender Hackerangriff auf den größten ukrainischen Mobilfunkprovider Kyivstar, was zum landesweiten Zusammenbruch von dessen Mobilfunknetz führte.

• Katehon
• Konstantin Malofejew
• Vulkan Files