Die Welt rüstet sich für den Ernstfall. Doch wie real ist das Risiko eines Cyber-Angriffs mit weitreichenden Folgen wirklich?
Seit der russischen Invasion der Ukraine bereitet sich Europa auf zunehmende Angriffe auf die eigene Cyber-Infrastruktur vor. Das Bundesamt für Sicherheit in der Informationstechnik rät vom Einsatz von Software des russischen Sicherheitskonzerns Kaspersky ab, auch andere Länder verschärfen ihre Sicherheitsvorkehrungen.
Der Ukraine-Krieg ist längst digital. Schon zwei Tage nach der russischen Invasion ruft der ukrainische Digitalminister, Mykhailo Fedorov, zum Aufbau einer eigenen IT-Armee auf. Über den Kurznachrichtendienst Twitter lotst er pro-ukrainische „Digitaltalente“ in eine Chat-Gruppe. Dort findet sich eine ständig aktualisierte Liste mit Servern, z.B. für Bürger*innendienste der russischen Kommunen, die seine Unterstützer*innen angreifen sollen.
Kein neues Phänomen
Marina Krotofil, die seit Jahren Sicherheitssysteme im Wirtschaftsraum Europa, Naher Osten und Afrika plant und umsetzt, setzt den Startzeitpunkt für einen möglichen Cyber-Krieg viel früher. Im Dezember 2015 kam es in der Ukraine zum weltweit ersten Stromausfall, der durch einen Hackerangriff verursacht wurde und sich über große Gebiete erstreckte. Dieser hielt zwar nur eine Stunde an. Der Zustand der totalen Stromblockade hätte aber auch noch viel länger aufrechterhalten bleiben können, stellte sich später heraus. Viele Sicherheitsforscher*innen postulieren deshalb, es habe sich hierbei nur um eine Probe oder einen Angriff zu demonstrativen Zwecken gehandelt.
Im Ernstfall sind die Folgen weitreichend, wenn die Stromversorgung blockiert wird: Viele Haushalte sind von einem Moment auf den anderen von der Informationsversorgung abgeschnitten und auch öffentliche Infrastrukturanlagen wie Krankenhäuser stoßen trotz Notstromanlagen schnell an ihre Grenzen. Kurz nach ist mit großem Chaos zu rechnen, denn nur wenige Haushalte besitzen heute noch batteriebetriebene Radios oder Kurbeltaschenlampen.
Lange waren vielen Ländern die weitreichenden Risiken nicht bewusst, meint die Sicherheitsforscherin Krotofil auf der re:publica. Sie und ihr Team haben in den letzten Jahren viele Länder bei der Erarbeitung von Incident-Response-Plänen unterstützt. Heute haben die führenden Militärländer eigene Hacking-Teams aufgebaut. Während manche Länder sich auf die akute Gefahrenabwehr und das Penetration Testing – also die Suche nach Sicherheitslücken in eigenen Systemen – beschränken, suchen andere gezielt nach Möglichkeiten zurückzuschlagen. Diese Hackbacks als Antwort im Ernstfall sind stark umstritten.
Viele Wege führen zum Ziel
Nicht alle Angriffe auf die Ukraine scheinen von Russland auszugehen. Derevianko, der für seine IT-Sicherheitsfirma nach Kriegsausbruch selbst schon in Kiew war, schließt aber auch russische Proxy-Angriffe nicht aus. „Die Russische Föderation demonstriert ihre Macht und dass sie auch die Cyber-Welt als Schlachtfeld in Betracht ziehen werden, wenn ihnen etwas nicht gefällt.“ Mit Sorge beobachtet er auch, dass die Angriffsszenarien immer komplexer werden: So häufen sich die Fälle, in denen ein Verschlüsselungstrojaner nur als Ablenkungsversuch zum Einsatz kommt. Nebenbei baut die Schadsoftware im Hintergrund ein sogenanntes Backdoor ein, das es den Angreifenden erlaubt, beliebige Befehle auf dem infizierten Computer auszuführen und weiteren Schadcode nachzuladen.
Aktuell sind die meisten Hackerangriffe, die das Team um Derevianko beobachtet, jedoch vergleichsweise harmlos. So werden Server in vielen Fällen massenhaft durch DDoS-Zugriffe (“Distributed Denial of Service”) attackiert. Dabei fragen verschiedene Rechner so oft Informationen an, dass der Zielserver nur noch verzögert oder gar nicht mehr auf echte Anfragen reagiert. Die angreifenden Rechner sind oft auf der ganzen Welt verteilt, sodass schadhafte Zugriffe nur schwer von echten Zugriffen zu unterscheiden sind und nicht blockiert werden können.
Auf dieses Vorgehen stützt sich auch ein Großteil der vom ukrainischen Digitalminister initiierten Operationen. In der Regel wird so der Zugriff auf Informationsangebote oder Bürger*innendienste blockiert. Im schlimmsten Fall kann eine solche Attacke aber auch die Antwortzeit von Diensten der kritischen Infrastruktur beeinträchtigen und wichtige Konfigurationen verzögern.
Eine weitere Angriffsmethode konzentriert sich auf die Auflösung der Domain-Namen. Bei jedem Aufruf einer Webseite, wird zunächst ein sogenannter DNS-Server kontaktiert. Dieser funktioniert wie ein großes Adressbuch und hält Informationen dazu vor, welcher Server die angefragte Internetseite ausspielen kann. Durch verschiedene Methoden kann es nun gelingen, die Rückantwort des DNS-Servers zu manipulieren und Internetnutzer*innen auf gefälschte Netzangebote umzuleiten. Solche Angriffe sind bei geschickter Umsetzung nur sehr schwer zu erkennen, weil der Browser den Nutzenden weiter die originale Adresszeile vorgaukelt.
Cyberkrieg ist auch Informationskriege
Der Schutz der kritischen Infrastruktur ist heute wichtiger geworden denn je. Im Vergleich zum Jahr 2018 hat sich die Zahl folgenreicher Cyber-Attacken um das Fünffache erhöht, beobachtete der Sicherheitsforscher Oleh Derevianko. Cyber-Angriffe zielen schon lange nicht mehr nur auf die Funktionsstörung der kritischen Infrastruktur ab. Sie sind zum Werkzeug für groß angelegte politische Manipulationskampagnen geworden. Autoritäre Regime haben gelernt, die Macht der Massenmedien für ihre Zwecke zu nutzen.
Für die Präsidentschaftswahlen 2014 führte die Ukraine ein neuartiges System ein, mit dem die Bevölkerung in Echtzeit das Fortschreiten der Auszählung nachvollziehen kann. Schnell konnte das gut gemeinte Projekt nicht mehr seinen eigentlichen Zweck bedienen, die Transparenz zu erhöhen. Denn wenige Tage vor der Wahl bekannte sich die prorussische Cyber-Bande CyberBerkut dazu, das Zählsystem manipuliert zu haben. So wurden zeitweise falsche Wahlergebnisse zu Gunsten eines radikalen Kandidaten ausgespielt. Nach der Wahl konnte eine Malware auf dem Server sichergestellt werden, die auf die Löschung der ausgezählten Stimmen abzielte.
Schneller sein als die anderen
Der Cyber-Krieg arbeitet mit Einmal-Waffen. Ist eine Lücke gefunden, muss sie sofort genutzt werden, bevor sie wieder gestopft ist. Oft spielt aber auch Social Engineering eine große Rolle. Bei dieser Taktik gelangen die Angreifer*innen erst durch menschliche Eingriffe auf ein fremdes System oder erlangen dadurch höhere Privilegien. Dafür kommen zum Beispiel manipulierte E-Mail-Verläufe zum Einsatz. Je spezifischer die vorgespielte Situation, desto größer sind die Erfolgschancen des Angriffs.
„Die Ukraine hat ihre Sicherheitsmaßnahmen hochgefahren. Nur deshalb sehen wir gerade keine großen Auswirkungen“, mahnt Oleh Derevianko. Die Gefahr eines Cyber-Kriegs ist real und ihr kann nur durch die langfristige Normalisierung von regelmäßigen Sicherheitsprüfungen und die Schulung von Mitarbeitenden begegnet werden. „Wenn du auf der Straße keine Polizei hast, hast du auch keine Sicherheit auf den Straßen“, hebt Derevianko hervor. So ist es auch mit digitalen Diensten: Der Cyber-Krieg ist ein Spiel mit der Zeit: Findet man die Lücken nicht rechtzeitig selbst, tut es jemand anders.