Die Ukraine frohlockt: Sie habe kürzlich einen russischen Cyberangriff abgewehrt. Die russische Elite-Cybereinheit Sandworm habe versucht, Kraftwerke vom Netz zu trennen. Die Angreifer sollen sich in die Software von Hochspannungs-Umspannwerken eingeschlichen haben. Der Verantwortliche für digitale Transformation der ukrainischen Cyberabwehrbehörde SSSCIP Victor Zhora erklärte, die Zahl der digitalen Attacken auf kritische Infrastruktur sei seit Beginn des Krieges stark gestiegen. „Die bisherigen Attacken waren nicht so ausgeklügelt wie diese. Die Angreifer nahmen sich viel Zeit, um sich vorzubereiten. Wir hatten viel Glück, daß wir das entdeckt haben.“ Man habe einen Hinweis auf die Infiltration erhalten, so Zhora. Der Angriff sei mindestens zwei Wochen lang vorbereitet worden, schätzt er. Doch können solche Attacken auch Deutschland treffen?
„Wir müssen als eine Art Vergeltung im Zusammenhang mit dem Krieg damit rechnen, daß die westlichen Alliierten noch mal verschärft angegriffen werden“, sagt Manfred Gößl, Hauptgeschäftsführer der Industrie- und Handelskammer (IHK) für München und Oberbayern. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesinnenministerin Nancy Faeser (SPD) befürchten russische Hackerangriffe insbesondere auf Firmen im Bereich der kritischen Infrastruktur. Ihr Ministerium werde daher den Bereich IT-Sicherheit stärken, um „frühzeitig mögliche Angriffe auf kritische Infrastruktur erkennen zu können“. Das BSI schätzt die aktuelle Bedrohungslage als „geschäftskritisch“ (Orange) und hält eine „massive Beeinträchtigung des Regelbetriebs“ für denkbar. Es verschicke Warnmeldungen an Unternehmen, um Hackerangriffe zu erkennen und abzuwehren.
Exakt 12 Stunden vor dem Einmarsch löschte das Virus Daten
Auch ohne Krieg schätzen nach der KPMG-Studie „e-Crime 2022“ 91 Prozent der deutschen Unternehmen das Risiko für sich, Opfer einer Cyberattacke zu werden, als hoch bis sehr hoch ein. Das Risikopotential für Unternehmen steige aber durch den Angriff und lasse sich an der geographischen, geschäftlichen oder auch digitalen Nähe einer Organisation zur Ukraine in drei Klassen unterteilen, wie das Portal sicherheit.info schreibt. Zur ersten gehören deutsche Unternehmen und Institutionen mit Sitz in der Ukraine. Diese sollten jetzt schon vorbereitet sein, daß Angreifer versuchen, Arbeitsprozesse vollständig lahmzulegen. In die Risikoklasse zwei werden Unternehmen mit Verbindung in die Ukraine sortiert. Die Autoren sehen für solche Firmen den Bedarf, schnellstens ihr IT-Sicherheitsteam in Alarmbereitschaft zu versetzen. Zur Klasse drei zählen Konzerne, deren Heimatländer die Ukraine unterstützen. Hier bestehe die Gefahr von „Racheakten staatlicher Gruppen oder digitaler Söldner“, bei denen Wiper-ähnliche Malware aktiviert werde. Wiper kann auf befallener Hardware Daten löschen. Zuletzt wurden damit Rechnern der Kiewer Regierung, einschließlich des Verteidigungsministeriums angegriffen.
Rüdiger Trost, Leiter der Cybersecurityabteilung beim IT-Sicherheitsunternehmen F-Secure, verweist darauf, daß die Schadsoftware exakt zwölf Stunden vor dem Bodenangriff der russischen Armee aktiviert wurde: „Offensichtlich wurde das alles lange im voraus geplant. Sie nutzten die Wiping-Angriffe, um den Weg für die echten Angriffe zu ebnen.“ Rußlands Hacker seien aber zu einem breiten Spektrum an Angriffen befähigt. Anfang März wurden Bankwebsites mit Anfragen überflutet und so unzugänglich gemacht. Derartige Angriffe heißen DDOS oder Distributed Denial of Service.
Moskau ging bereits 2008 bei der Invasion in Georgien und der Besetzung der Krim 2014 ähnlich vor, wo vor dem Einmarsch die Telekommunikation abgeschaltet wurde. Im Dezember 2015 waren es vermutlich auch russische Hacker, die mit der Malware CrashOverride 230.000 Ukrainern für sechs Stunden den Strom abstellten. 2016 sorgten Russen dafür, die Zahlungen an ukrainische Beamte und Pensionäre zu stoppen, mit dem Ziel den Unmut der Bevölkerung gegen die Regierung zu schüren.
Daß Rußland bisher keinen großflächigen Cyberangriff gestartet hatte, könnte verschiedene Ursachen haben. Einige Sicherheitsexperten gehen davon aus, daß der russische Präsident Wladimir Putin den Befehl zum physischen Angriff so überraschend erteilte, daß den Hackergruppen Moskaus nicht ausreichend Zeit für die notwendigen intensiven Vorbereitungen geblieben war. Andere Experten verweisen auf die Gefahr, daß die Auswirkungen von Cyberangriffen schwer zu kontrollieren sind. Der Angriff mit dem Virus „NotPetya“ 2017 sollte eigentlich ukrainische Unternehmen schädigen. Getarnt als Erpressungstrojaner und versteckt in einer Buchhaltungssoftware verbreitete es sich durch Sicherheitslücken unkontrolliert und sorgte mehr beiläufig etwa dafür, daß der dänische Logistikriese Maersk wochenlang arbeitsunfähig war. Die USA schätzten das als die mit zehn Milliarden Dollar Schaden bisher teuerste Cyberattacke der Geschichte.
Um etwa das Stromnetz einer Stadt zu stören oder gar auszuschalten, brauche eine Hackergruppe „mindestens ein halbes Jahr Vorbereitung“, sagt der frühere NSA-Geheimdienstmitarbeiter Robert Lee. Andererseits könnten sie dieses nötige Fachwissen schon längst besitzen, nur nie „den Schalter umgelegt“ haben, wie John Hultquist von der Analyseabteilung des IT-Sicherheitsunternehmens Mandiant vermutet. Vielmehr wollten sie sich offenbar Zugang verschaffen zu kritischen Systemen. Danach verhielten sie sich wie Schläferzellen im Kalten Krieg: „Still bleiben, bis das Signal kommt.“
Die Sicherheitsanalysten von Sophos, Palo Alto Networks und Microsoft glauben dagegen nachweisen zu können, daß die russische Cyber-Elite, allesamt Geheimdiensten unterstehend, gegen die Ukraine agiert. Namentlich sind das DarkHalo (hackt seit 2019 andauernd Microsoft), Snake (hackte 2017 das Auswärtige Amt 2017 und Nato-Infrastrukturen), Fancy Bear (hackte 2015 den Bundestag), Sandworm (NotPetya) und die Gruppe UNC115 (hackte ukrainische Regierungsseiten).
Derzeit ist Deutschland für die Cyberabwehr schlecht gerüstet
US-Geheimdienste befürchten, daß diese Profis westliche Staaten im Visier haben. US-Präsident Joe Biden sprach Ende März von neuen Erkenntnissen, nach denen Moskau „Optionen für mögliche Cyberangriffe“ sondiere. Es könnte aber auch sein, sagt Matt Olny Cyberanalyst bei Cisco Talos, daß die russische Hackerelite sich aktuell auf das Ausspähen von sensiblen diplomatischen Daten konzentriert: „Die Russen wollen verstehen, wie sie dieses geopolitische Chaos, das sie geschaffen haben, bewältigen können.“
Die Angriffe drittklassiger Hacker, deren Spuren sich oft eindeutig zurückverfolgen lassen, bergen um so mehr die Gefahr, daß der Cyberkrieg zum konventionellen Krieg eskaliert, wie es 2007 drohte. Rußland attakierte damals estnische Bank-, Regierungs- und Behörden-Websites. Nato-Generalsekretär Jens Stoltenberg sprach daraufhin von einem möglichen Bündnisfall. Grenzwertig war jüngst bereits der Cyberangriff auf einen europäischen Satelliten mit dem Ziel, die Kommunikation der ukrainischen Sicherheitskräfte zu stören. Dadurch fiel quasi nebenbei die Fernsteuerung von 5.800 Windkraftanlagen der deutschen Firma Enercon aus, was zur Selbstabschaltung einer großen Zahl Windräder führte.
Derzeit sei Deutschland für die Abwehr von Cyberangriffen nur schlecht gerüstet, warnen die Digitalverbände Bitkom und Eco. „Gesetzgeberisch haben wir deren Bedeutung zu lange vernachlässigt“, sagte Bitkom-Präsident Achim Berg dem Handelsblatt. Der „bedeutendste Flaschenhals für mehr Cyber-Resilienz in Deutschland seien unzureichende digitale Kompetenzen und fehlende Fachkräfte“. Gleichzeitig kritisieren die Experten Pläne von Innenministerin Faeser, den Sicherheitsbehörden Cyber-Gegenattacken (Hackbacks) zu ermöglichen. Diese seien „das denkbar schlechteste Mittel“, um sich gegen die wachsende Bedrohungslage im Cyberraum zu wappnen, weil sie zum „Einfallstor für weitere Cyberattacken“ werden können, sagt Oliver Süme, Vorstandschef des Verbands der Internetwirtschaft Eco. Im Ernstfall seien die eigene Widerstandsfähigkeit und Reaktionsgeschwindigkeit entscheidend.
Foto: Gute Hacker bleiben oft unerkannt: Vernetzung bietet entfernten Angreifern mögliche Ziele