Krieg in der Ukraine "Die Hacker wollen dem Westen wehtun"
"Mehr ein Cyber-Zischen als ein großer Knall": Sicherheitsforscher berichten von weniger Cyberattacken im Ukraine-Krieg als befürchtet
Foto:Gwengoat / Getty Images/iStockphoto
Dieser Artikel gehört zum Angebot von manager-magazin+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Von Helsinki aus verfolgt Mikko Hyppönen (53) die weltweiten Cyberangriffe rund um den Ukraine-Krieg, Tag für Tag, seit einem Jahr. Er wirkt ernst, als er beim Interview in die Kamera spricht – doch seine Botschaft klingt erst einmal wie eine gute Nachricht: "Es war ein wildes Jahr, aber nicht so wild, wie wir dachten", sagt er.
Hyppönen ist Forschungsleiter beim finnischen Cybersicherheitsunternehmen WithSecure, das anderen Firmen hilft, sich vor Attacken im Cyberspace zu schützen. Hyppönen selbst gilt als Experte, den auch Strafverfolgungsbehörden gern um Hilfe bitten. Er unterstützte bereits bei Cybercrime-Ermittlungen in Europa, Asien und den Vereinigten Staaten, sitzt momentan im Beratungsausschuss bei Europol.
Zu Beginn des Ukraine-Kriegs hatten viele Sicherheitsexperten schwere digitale Attacken sowohl zwischen Russland und der Ukraine als auch weltweit erwartet. Doch nach Hyppönens Einschätzung gab es bislang weniger und auch weniger schwere Angriffe als befürchtet – und das hat viele Gründe.
"Die Netzwerke gut verteidigt"
"Mehr ein Cyber-Zischen als einen großen Knall" habe es bislang gegeben, sagt auch Marcus Willett. Er arbeitete jahrzehntelang beim britischen Geheimdienst GCHQ und berät jetzt als Senior Advisor für Cyberangelegenheiten beim britischen Forschungsinstitut International Institute for Strategic Studies (IISS) zu militärischen und strategischen Fragen.
Dass die Attacken auf die Ukraine nicht im befürchteten Ausmaß eingetreten sind, könnte laut Willett unter anderem daran liegen, dass die russische Regierung die Länge des Krieges unterschätzt hat. "Warum wollte man die Netzwerke der Ukraine zerstören, wenn man sie selbst wenig später braucht?" Einen weiteren Grund sieht er darin, "dass die Ukrainer ihre Netzwerke gut verteidigt haben".
Unterstützung von Microsoft
Willett stellt in diesem Zusammenhang besonders die Hilfe von westlichen privaten Techunternehmen wie Microsoft und Amazon heraus – beispielsweise bei der Verschiebung von wichtigen Daten in die Cloud. Microsoft kündigte im vergangenen Jahr an, die Ukraine auch 2023 mit kostenlosem technologischem Support unterstützen zu wollen. Das kostet das Unternehmen laut eigenen Aussagen rund 100 Millionen Dollar.
Wenn es um die Verteidigung von ukrainischen Netzwerken geht, spielen laut Willett vor allem Microsoft, die Google-Tochterfirma Mandiant und das slowakische Sicherheitsunternehmen ESET eine Rolle. Damit würden Privatunternehmen gleichzeitig wichtige Player im Ukraine-Krieg, sagt Willet. "Dass die Verteidigung eines Staates so abhängig ist von Privatunternehmen, die auch ihren Investoren und Aktionären verpflichtet sind, kann potenzielle Spannungen mit sich bringen."
Überrascht habe es ihn zunächst auch, dass er keine direkte Einbindung von Cyberattacken auf dem militärischen Schlachtfeld gesehen habe. Allerdings: "Hier liegt eine Wissenslücke vor – die Ukrainer sind sehr verschlossen, was Schäden auf dem Schlachtfeld angeht." Der ehemalige Geheimdienstmitarbeiter betont außerdem: "Wir wissen bis jetzt noch nicht genug darüber, was in der Cybersphäre passiert. Wir könnten den Einsatz von russischen Cyberoperationen auch falsch verstehen."
Dennoch große Cyberdimension im Ukraine-Krieg
Auch wenn der ganz große Knall bis jetzt ausgeblieben ist, tobt der Ukraine-Krieg natürlich auch im Cyberspace. Experte Willet spricht von einer großen und sich entwickelnden Cyberdimension des Konflikts. In der Ukraine ist davon vor allem die kritische Infrastruktur betroffen. Von Oktober bis Dezember 2022 war besonders der Finanzsektor Ziel von Angriffen, analysierte das Cyber Peace Institute. Insgesamt zählte die Genfer NGO bis Ende Februar 2023 im Kontext des Ukrainekriegs 1175 Cyberattacken und Operationen weltweit .
Dabei seien die weltweiten Attacken klar in der Minderzahl, sagt der finnische Cyberexperte Hyppönen. "Laut meinen Analysen versucht die russische Regierung keine zerstörerischen Cyberattacken außerhalb der Ukraine durchzuführen, weil sie keinen direkten Konflikt mit der Nato oder dem Westen auslösen wollen. In der Ukraine tun sie das aber sehr wohl."
Forscher Willett vom IISS unterscheidet deswegen zwischen dem Cyberkrieg zwischen den beiden Akteuren Ukraine und Russland – und Cyberattacken auf andere Länder, die im Kontext des Konflikts stehen. Hier beobachtet er derzeit entweder Spionageattacken oder "Cybervandalismus", wie beispielsweise die vorübergehende Störung von Webseiten.
Neue Hacktivisten-Gruppen treten auf
Wer steckt hinter den Cyberangriffen und wer ordnet sie an? Rund 81 Akteure sind laut den Angaben der NGO Cyber Peace Institute involviert. Aber es ist oft schwer, Attacken genau zuzuordnen. Zu den nicht staatlichen Akteuren zählen auch Cyberkriminelle und sogenannte Hacktivisten-Gruppen, also Aktivisten, die für eine der beiden Seiten Partei ergreifen und durch öffentlichkeitswirksame Aktionen auffallen.
Vor allem das Auftreten komplett neuer Gruppierungen bezeichnet Sicherheitsexperte Hyppönen als "historisch". Er sieht hier eine Entwicklung: "Am Anfang des Ukraine-Kriegs haben wir viele Gruppen gesehen, die die Ukraine unterstützt haben. Jetzt ist es genau andersherum." Zu den proukrainischen Hacktivisten gehören beispielsweise die Kollektive Anonymous und die IT-Army of Ukraine, zu den prorussischen zählt unter anderem die Gruppe Killnet. Killnet werden Verbindungen zur russischen Regierung nachgesagt, der IT-Army Verbindungen zur ukrainischen Regierung.
Hohe Gefährdungslage im Cyberraum
Neben Rüstungskonzernen und dem öffentlichen Sektor treffen die meisten Cyberattacken in Europa Unternehmen im Bereich der kritischen Infrastruktur. "In letzter Zeit wurden vor allem Flughäfen, Krankenhäuser und medizinische Forschungsinstitute attackiert", sagt der Finne Hyppönen. "Die Hacker wollen dem Westen wehtun und sie tun das, indem sie Ziele attackieren, mit denen sie Leid erzeugen. Und Krankenhäuser zu attackieren ist ein einfacher Weg, um Schmerz zu erzeugen." Zuletzt sah er davon vor allem Schweden und Dänemark betroffen, aber auch Polen, die baltischen Staaten sowie Finnland seien verstärkt Ziele von Cyberattacken geworden.
Für Deutschland ist die Gefährdungslage im Cyberraum nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik so hoch wie noch nie. Laut dem Cyber Peace Institute entfallen auf Deutschland mittlerweile 55 Cyberattacken (Stand 9.3.2023) im Zusammenhang mit dem Ukraine-Krieg. Das BSI nennt auf Anfrage des manager magazins allerdings keine Zahlen und Details zu betroffenen Unternehmen.
Als ersten bekannten "Cyber-Kollateralschaden" bezeichnet das BSI den Angriff auf einen Satellitendienstleister am 24. Februar 2022, also dem Tag, an dem der russische Angriffskrieg begann. Gemeint ist damit offenbar der Cyberangriff auf das Satellitennetzwerk Viasat. Die Attacke führte auch zum Ausfall von Modems in deutschen Windkraftanlagen, von der Störung waren auch andere Länder wie Frankreich und Irland betroffen.
Laut dem Lagebericht des BSI wurden außerdem vereinzelte Cyberaktivitäten gegen kritische Infrastrukturen beobachtet, so zum Beispiel gegen einen deutschen Mineralölhändler mit russischem Mutterkonzern. Die Beschreibung passt zum Cyberangriff der Hackergruppe "Anonymous" auf den Energiekonzern Rosneft Deutschland. Der Gruppe war es gelungen, tief in die Systeme des Unternehmens einzudringen und in größerem Umfang Daten zu erbeuten.
Mehr Desinformationskampagnen
Zuletzt kam es in Deutschland Ende Januar vermehrt zu Distributed-Denial-of-Service-Angriffen. Bei diesen Angriffen wird ein Server mit so vielen Anfragen überlastet, dass das System die Aufgaben nicht mehr bewältigen kann – und im schlimmsten Fall zusammenbricht. Die Angriffe waren Ende Januar von der russischen Hackergruppierung Killnet angekündigt worden, nach der Zusage der Bundesregierung, Leopard-Panzer an die Ukraine zu liefern.
Ziele waren vor allem Flughäfen, aber es gab auch einzelne Ziele im Finanzsektor, auch Internetauftritte der Bundes- und Landesverwaltungen wurden angegriffen und waren zeitweise nicht mehr erreichbar. Direkte Auswirkungen auf die jeweilige Dienstleistung konnte das BSI allerdings nicht feststellen.
Oft gehe es auch nicht darum, etwas zu zerstören oder zu deaktivieren, sagt Marcus Willett vom Thinktank IISS. "Es geht viel um Informationsbeschaffung und um psychologische Beeinflussung." Er prognostiziert, dass russische Desinformationskampagnen in Zukunft zunehmen werden, vor allem vor Wahlen in den USA oder in Mitgliedstaaten der EU. "Dafür werden russische Cyberattacken überwiegend eingesetzt werden", sagt er.
Auch der finnische Sicherheitsexperte Mikko Hyppönen kann das bestätigen. In seinem Land stehen im April Parlamentswahlen an: "Wir sehen momentan viele russischsprachige Trolle, die versuchen, die Menschen in den sozialen Medien zu beeinflussen."
