Wenn Panzer, Bomben und Raketen Städte zerstören und Menschen töten, ist Krieg sehr konkret sichtbar. Digitale Angriffe auf Computer und Server liefern keine dramatischen Bilder, können aber ebenfalls gravierende Folgen haben und erhebliche Schäden anrichten. Wie funktioniert Cyberkrieg?
Gibt es bereits einen Cyberkrieg?
Mit dem Beginn des Angriffs Russlands auf die Ukraine gab es auch einen Hinweis des Bundesamtes für Verfassungsschutz: „Vor dem Hintergrund der aktuellen Lage im Russland-Ukraine-Konflikt hat der Verfassungsschutzverbund im Rahmen seiner Zuständigkeit relevante Stellen im Hinblick auf die IT-Infrastruktur sensibilisiert. Die Lage wird behördenübergreifend im Nationalen Cyber-Abwehrzentrum bearbeitet und die aktuellen Ereignisse und Entwicklungen werden aufmerksam mitverfolgt.“
Gleichzeitig informierte das Cybersicherheitsunternehmen Eset darüber, dass eine Reihe von Regierungsbehörden und Banken durch eine Welle von DDoS-Angriffen lahmgelegt worden sei. Danach habe es Cyberangriffe mit einer neuen zerstörerischen Schadsoftware namens HermeticWiper gegeben.
Diese Informationen gingen im Schock über den Krieg mitten in Europa fast unter.
Wie sahen die Cyber-Angriffe zu Beginn des Ukraine-Krieges aus?
Schauen wir auf die Angriffe gleich zum Beginn des Ukraine-Krieges. Da ging es zunächst um sogenannte DDoS-Angriffe, die simpelste, aber wirkungsvollste Art Computerserver lahmzulegen. Lange vor diesem Angriff sind Rechner weltweit infiziert und zu einem sogenannten Botnet zusammengeschlossen worden. Die Besitzer bemerken es erst viel später oder überhaupt nicht, denn die Computer arbeiten normal weiter. Zu einem bestimmten Zeitpunkt allerdings bekommen die Computer den Befehl, eine bestimmte Seite gleichzeitig aufzurufen. Damit werden die Server, auf denen die Seite liegt, durch eine Überlastung zum Absturz gebracht.
Um zu verstehen, was da passiert, stellen Sie sich Ihr Waschbecken vor. Wenn Wasser aus dem Wasserhahn hineinläuft, dass läuft es immer ab. Es gibt keine Überschwemmung. Wenn Sie aber gleichzeitig einen Eimer Wasser dazu kippen, dann läuft das Becken über.
Genau das ist das Prinzip eines Überlastungsangriffs. Mit sehr simplen Mitteln wird so der betroffene Server zum Stopp gezwungen. Meist gibt es dabei weitere Schäden, so dass eine oder mehrere Internetseiten nicht mehr erreichbar sind. Es sind temporäre Schäden.
Viel schlimmer war das zweite Schadprogramm, welches HermeticWiper genannt wurde. Es löschte wichtige Daten für immer auf den betroffenen Computern. Bereits in den ersten Stunden des Krieges waren Hunderte Rechner in der Ukraine befallen, berichtet die Cybersicherheitsfirma Eset. Interessant war in diesem Fall der Zeitvermerk auf den Computern. Das Programm war demnach am 28. Dezember 2021 installiert worden. Sollte also Russland der Absender gewesen sein, war die Aktion schon lange vor dem Ausbruch des konventionellen Krieges vorbereitet gewesen.
War das der Cyberkrieg? Griff Russland damit die Ukraine und auch andere Länder an? Man kann es nicht endgültige sagen. Fest steht nur: Es wurde nur gestört und zerstört. Diese Angriffe brachten den Verursachern keinerlei finanziellen Vorteil. Im Gegensatz zu den Erpressungsangriffen, wo der Zugang zum Computer erst wieder nach Geldzahlungen freigeschaltet wird, gab es in diesem Fall keine Versuche an Geld zu kommen.
Im Gegenteil: Die Daten wurden bei HermeticWiper vollständig gelöscht. Und beim DDoS-Angriff ließen Sie sich später wieder rekonstruieren. Die Angriffe gingen parallel zum konventionellen Krieg los. Und sie trafen die Ukraine. So deutet viel daraufhin, dass diese Angriffe von Russland aus gestartet wurden.
Können die Angreifer lokalisiert werden?
Für Computerexperten ist es nicht so einfach, sich darauf festzulegen, woher eine Schadsoftware kommt, und ob eventuell ein Geheimdienst dahintersteckt. Es sei einfach zu unsicher, aufgrund der Programmiertechnik auf einen möglichen Täter zu schließen, erklärt mir Marco Preuß in einem Gespräch für den MDR bereits 2017. Dafür seien Analysen des Umfeldes und langfristige Beobachtungen nötig.
Der Viren- und Schadprogrammspezialist ist bei der russischen Firma Kasperky Lab der zuständige Leiter des europäischen Sicherheitslabors. Heute ist selbst seine Firma in Verdacht geraten, Geheimnisse auszuspionieren, weil der Firmensitz Moskau ist. Damals erzählte mir Marco Preuß, wie vorsichtig und präzise er bei der Analyse des Absenders von Schadprogrammen vorgeht:
So setzt er beispielsweise auf die Beobachtung der Arbeitszeiten. Sogenannte Timestamps (Zeitstempel) in den Programmen und deren Updates, ließen Rückschlüsse darauf zu, an welchen Tagen zu welcher Uhrzeit etwas programmiert wurde:
„Und wenn man diese ganzen Timestamps einfach sammelt, ab einer gewissen Größe der Sammlung kann man dann einfach sehen: Ok, die Arbeitszeiten sind zum Beispiel von Zeitpunkt X bis Zeitpunkt Y. Und sieht dann zum Beispiel: Ok, das würde jetzt auf einen Arbeitstag im Land Z hinweisen.“
Experten nennen diese Arbeit „Attribution“. Hierzu gehört es, alle möglichen Hinweise in den Schadprogrammen zu suchen. Es wird untersucht, in welcher Sprache die Kommentare in den Programmen geschrieben wurden. Außerdem vergleicht man die Befehlsanordnungen und den Stil der Programme mit bereits bekannten Schadprogrammen. So können jene, die ähnlich sind, bestimmten Gruppen von Programmierern, die man natürlich nicht kennt, zugeordnet werden.
Einige Programmierer setzen sogar selbst Namen in die Software, damit man sie wiedererkennt. Doch alle diese Angaben können auch gefälscht werden. Wer in fremde Computer eindringt, weiß natürlich, wie er seine eigenen Programme so schreibt, dass entsprechend falsche Spuren gelegt werden. Und selbst die Zeitangaben lassen sich fälschen.
Was also tun?
Der ehemalige Chef des Bundesverfassungsschutzes, Hans-Georg Maaßen, gab während seiner Amtszeit zu: Technische Parameter alleine reichen nicht aus, um herauszubekommen, von wo Viren und Schadprogramme eingeschleust werden. Auch beim Verfassungsschutz nicht. Deshalb setzten die Geheimdienste zusätzliche menschliche Quellen – also Spione – ein. Diese versuchten herauszubekommen, wer Interesse hat, bestimmte Bereiche anzugreifen. Und sie kämen vielleicht auch direkt an Informationen in fremden Ländern.
Zusätzlich würden aktuelle Fälle auch mit Vorgängen aus lang vergangenen Zeiten abgeglichen, erklärt Hans-Georg Maaßen auf einer Veranstaltung des Netzwerkes Recherche:
„Wir schauen uns auch an: Wo stehen die Server? Wer hat die Server angemietet? Eigentümer? Besitzerverhältnisse? Zu wem gehören die Firmen, die die Server betreiben? Und wir schauen natürlich: Passen die Opfer zu dem Auftragsprofil?“
Maaßen ist inzwischen als Chef des Bundesverfassungsschutzes entlassen worden. Doch die Vorgehensweise ist heute noch dieselbe. Immer im Vordergrund die Frage: Wem könnte dieser Angriff nutzen?
Wie viel kostet Cyberkrieg?
Cyberangriffe kosten relativ wenig Geld im Vergleich zu Raketenangriffen und sind deshalb für aggressive Staaten interessant. Meist werden einfach Hacker unter Vertrag genommen, die die notwendige Erfahrung, Soft- und Hardware haben. Ihnen wird dann Straffreiheit in dem Auftragsland zugestanden.
Warnung auch in Deutschland
Bundesinnenministerin Nancy Faeser appellierte inzwischen, die Bedrohung durch Cyberangriffe auch in Deutschland ernst zu nehmen: „Wir gehen von einer erhöhten Gefährdung dieser Tage aus, weil im Kriegsgeschehen Cyber-Attacken auch eine Form der Kriegsführung sind“, so die SPD-Politikerin im Gespräch mit BR und NDR. Grund könnte eine Racheaktion für die Wirtschaftssanktionen durch Deutschland und andere europäische Staaten sein.
Gegen mögliche Angriffe empfehlen Experten aktuelle Virenschutzprogramme und regelmäßige Backups der gesammelten Daten.
Im Frühjahr 2015 sind bereits Hacker in die Server des Bundestages eingedrungen. Dabei blieben sie wohl wochenlang unentdeckt. Es war ein Angriff, bei dem es offenbar um Ausspähung ging. Verdächtigt wird der russische Geheimdienst. Seitdem hat es viele Erpressungsangriffe gegeben, unter anderem auf den Landkreis Anhalt-Bitterfeld nördlich von Leipzig. Mehrere Monate funktionierte dort die IT nur im Notbetrieb. Die Angreifer hatten Daten verschlüsselt und wollten Geld erpressen. Doch die Sicherheitslücke hätte auch für einen kriegerischen Angriff genutzt werden können.
Experten in Deutschland gehen davon aus, dass die Betriebe und Einrichtungen der sogenannten kritischen Infrastruktur gut geschützt sind. Die jeweiligen Sicherheisfachleute tauschen sich auch ständig miteinander aus. Doch mir liegen Informationen aus einem solchen Unternehmen vor, bei dem offenbar durch ein Versehen ein Verteiler von mehreren tausend Empfängern aus dem Unternehmen mit einer E-Mailadresse, die sichtbar nicht zum Unternehmen gehörte, verbunden wurde. Diese Adresse war als Absender angegeben.
Sehr viele Empfänger antworteten und schrieben, sie seien der falsche Adressat. Jede dieser Mails erreichte wieder dieselben Empfänger, also mehrere tausend Personen aus dem eigenen Unternehmen. Immer mehr Antworten und erreichten wieder jeweils mehrere tausend Mitarbeiter. Wie eine Lawine, die immer mehr mit sich reißt, stieg der Mailverkehr des Unternehmens stark an. So etwas kann innerhalb weniger Minuten zum Totalausfall überlasteter Server führen, ohne das ein Schadprogramm involviert war.
Merke: Jedes Unternehmen ist nur so gut geschützt, wie das schwächste Glied in den Sicherheitsmaßnahmen.
Von: Michael Voß. Er ist ist Chef vom Dienst beim Nachrichtenradio MDR Aktuell und beobachtet dort seit über zehn Jahren als Autor die digitale Entwicklung. Er ist zudem Mitglied der Christlichen Medieninitiative pro, die auch PRO herausgibt.