Sicherheitsexpertin über russische Hacks: „Cyberkrieg braucht Personal“
Schon vor Russlands Angriffen auf die Ukraine wurde im Westen oft vor russischen Hackerattacken gewarnt. Die potenziellen Folgen sind weitreichend.
taz: Frau Zabierek, Russland gilt nicht nur, was konventionelles Militär angeht, als Supermacht, sondern auch im Bereich des Cyberkriegs. Seit dem Angriff auf die Ukraine blieb es in dem Bereich aber erstaunlich ruhig. Wurden Russlands Fähigkeiten auch hier überschätzt?
Lauren Zabierek: Nein, das wurden sie nicht. Russland hat in den letzten zehn Jahren einschlägige Cyberkapazitäten aufgebaut und eingesetzt. Jede dafür zuständige Einheit in der Regierung, wie der Geheimdienst FSB, der Auslandsgeheimdienst SVR und der militärische Geheimdienst GRU, sind für bedeutende Cyberangriffe in der Vergangenheit verantwortlich. Und ich würde nicht sagen, dass es zuletzt wirklich so ruhig war. Seit Beginn des Krieges hat Russland größere Cyberoperationen durchgeführt, auch wenn es keine so zerstörerischen Angriffe waren, wie man sie vielleicht erwartet hätte.
ist Geschäftsführerin des Cyber-Projekts an der Harvard Kennedy School in Massachusetts. Sie forscht zu strategischen Sicherheitsfragen im Technologiebereich.
Welche waren das zum Beispiel?
Allein in der vergangenen Woche sind zwei neue, sehr ausgeklügelte Schadsoftware-Familien aufgetaucht, die darauf abzielen, industrielle Kontrollsysteme – also Geräte, die Computerbefehle in physische Aktionen umsetzen – zu stören oder zu zerstören. Sie wurden allerdings entdeckt, bevor sie Systeme infizieren konnten.
Gilt das schon als Cyberkrieg?
Das ist ein unscharfer Begriff. Es gibt keinen stabilen Konsens. Reine Hackerangriffe sind, anders als viele offenbar glauben, noch keine Cyberkriegsführung. „Cyberangriff“ ist ein Sammelbegriff, auch für das, was wir ständig in einer Grauzone, unterhalb der Schwelle zum Krieg, beobachten. Experten und Entscheidungsträger haben in der Vergangenheit erklärt, dass ein Angriff als Kriegshandlung im Cyberspace gewertet werden kann, wenn er große Verluste an Menschenleben oder Verletzungen zur Folge hat, kritische Infrastrukturen oder eine Volkswirtschaft ernsthaft schädigt. Aber die Feststellung eines Cyberkriegs ist letztlich eine politische Entscheidung. Die Opfernation muss diese Erklärung abgeben.
Welche Folgen hat diese Erklärung?
Die sind potenziell sehr weitreichend. Der Nato-Vertrag etwa legt fest, dass ein bewaffneter Angriff gegen ein Mitglied als Angriff gegen alle gilt.
Aber im Zusammenhang mit dem Ukrainekrieg gab es keine solchen Angriffe?
Definitionsgemäß müssten Sie das den ukrainischen Präsidenten Selenski fragen. Meines Wissens hat er keine solche Feststellung getroffen. Was wir sehen, sind hauptsächlich Cyberaktivitäten, die eine störende, aber keine zerstörerische oder tödliche Wirkung haben. Damit versucht Russland seine Kriegsanstrengungen zu unterstützen. Doch auch solche Störungen können Chaos oder Panik auslösen und den Zugang zu Informationen, Dienstleistungen, Vermögenswerten oder dem Internet einschränken. Solche Angriffe – Hacks von Websites oder zuletzt auch der Einbruch in ein ukrainisches Energieunternehmen und der vereitelte Versuch, den Strom abzuschalten – sind für Russland vergleichsweise risikolos.
Warum?
Sie sind nichts, was den Westen zu einer konventionellen militärischen Reaktion provozieren und wirklich in einen Krieg hineinziehen würde. Das liegt auch daran, dass bei diesen Aktivitäten keine Software eingesetzt wurde, die sich weltweit verbreiten kann. Diese Grauzone ist der Bereich, in dem sich die russischen Aktivitäten auch in der Vergangenheit meist abgespielt haben. Es ist dabei wichtig, festzuhalten, dass Russland nie offen zugegeben hat, Cyberangriffe zu verüben oder auch nur über entsprechende Fähigkeiten zu verfügen.
Können Sie Beispiele für Angriffe in der Vergangenheit geben?
2015 und 2016 unterbrachen die Russen das ukrainische Stromnetz im Winter für einige Stunden durch Cyberoperationen. Man denke auch an den Ransomware-Angriff auf die Colonial Pipeline in den USA im Mai 2021. Er zwang das Unternehmen, das System abzuschalten, was im Osten der USA zu Gasmangel führte. Oder der Ransomware-Angriff auf ein Krankenhaus in Alabama 2019, der zum Tod eines kleinen Mädchens führte. Beide Angriffe wurden von kriminellen Gruppen durchgeführt, von denen angenommen wird, dass sie mit der russischen Regierung in Verbindung stehen.
Krieg ist auch eine Frage der öffentlichen Meinung. Im Westen gibt es eine Reihe gewichtiger Stimmen, die sehr entschieden für ein härteres Vorgehen gegen Russland eintreten. Soweit ersichtlich, ist kein einziges ihrer Konten oder Seiten lahmgelegt oder gehackt worden. Überrascht Sie das?
Das stimmt, und ich bin mir nicht sicher, warum. Es könnte ein Problem der Personalkapazität sein – hinter diesen Cyberaktivitäten stecken Menschen. Es kostet Zeit und Geld, ein schlagkräftiges Cyberteam aufzubauen und zu unterhalten. Mit begrenzten Ressourcen kann man nicht jede Seite oder jedes Konto identifizieren und verfolgen. Wenn man zum Beispiel alle Kreml-kritischen Nachrichtenseiten allein in Deutschland verfolgen will, braucht man viel Zeit für die Recherche und die Entwicklung der entsprechenden Tools.
Ein Tool, das für alle funktioniert, gibt es nicht?
Nein, es gibt kein Tool, das jede einzelne Website oder jedes Konto befallen kann. Es gibt Tools, die nach gemeinsamen Schwachstellen in Systemen suchen können, oder Bot-Netze, die viele Rechner gleichzeitig mit Malware infizieren oder massenhafte DoS-Angriffe durchführen können.
DoS – Denial of Service – ist ein Angriff, bei dem ein Server mit so vielen Anfragen bombardiert wird, dass er zusammenbricht.
Ja. Aber es ist für die angegriffene Partei relativ einfach, technisch zu reagieren und den Verkehr umzuleiten. Wenn der Angreifer Erfolg haben will, fängt seine Arbeit dann erst an. Er muss seinen Angriff speziell auf die Art der Verteidigung abstimmen. Das kostet Zeit. Multiplizieren Sie diese Zeit mit der Anzahl der potenziellen Ziele, und Sie sehen, wie groß der Aufwand werden kann. Natürlich könnte man einzelne Seiten herausgreifen und sich auf sie konzentrieren. Aber wie viel Nutzen hätte ein Angreifer von solchen punktuellen Angriffen überhaupt?
Letzten Endes dürfte die Lahmlegung der Websites etwa von Putin-kritischen Bloggern im Westen in einer Schlacht wie dem Krieg in der Ukraine nicht zu den obersten militärischen Prioritäten gehören. Interessanterweise hat Russland vor Kurzem das finnische Außen- und Verteidigungsministerium mit einer DoS-Attacke angegriffen – ein gutes Beispiel für ein taktisches Ziel und einen Angriff, um eine Botschaft zu senden, auch wenn sich die Lage recht schnell wieder normalisiert hat.
Insgesamt aber gab es nur wenige solcher Attacken im Kontext des Ukrainekriegs. Warum?
Ein Grund könnte eine von Russland gewünschte Beschränkung des Krieges sein. Vielleicht will Putin nicht, dass der Westen in den Krieg eintritt, weil er Schadsoftware einsetzt, die Infrastruktur im Westen zerstört. Vielleicht hält Russland Kapazitäten in Reserve für den Fall, dass es Vergeltungsmaßnahmen ergreifen will. Es gibt Berichte, wonach Putin die Pläne für den Angriff auf die Ukraine ganz für sich behält. Teile des Sicherheitsapparats waren möglicherweise nicht eingeweiht. Eine komplexe, schwerfällige Befehlskette kann so zu einem Engpass für Cyberangriffe werden.
Vielleicht liegt es auch daran, dass in anderen Ländern umfangreiche Vorbereitungen für die Verteidigung getroffen wurden. Es gab viele Warnungen vor dem russischen Angriff, und vor allem die USA haben die Notwendigkeit betont, wachsam zu bleiben. So konnten Organisationen abnormale Aktivitäten schnell erkennen. Eine Möglichkeit ist schließlich auch, dass sich Russland auch mit seiner eigenen Widerstandsfähigkeit befassen muss.
Inwiefern?
Es muss seine Fähigkeit erhalten, gegen die freiwillige IT-Armee der Ukraine zu bestehen. Kapazitäten, die in anderen Zeiten für Offensiven genutzt werden könnten, müssen nun zur Abwehr von Angriffen auf die eigene Infrastruktur zur Verfügung stehen.
Oft heißt es, Russland sei unfähig, leistungsfähige eigene Hardware herzustellen, und nun lahmgelegt, weil wegen der westlichen Sanktionen keine Technologie mehr aus dem Westen geliefert werde.
Über Russlands Fähigkeit, selbst leistungsfähige Hardware zu produzieren, weiß ich nicht viel. Aber viel entscheidender sind Zugang zum Internet und qualifiziertes Personal, das Schadsoftware entwickelt, einsetzt und dafür Schwachstellen ausforscht.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Jahresrückblick Erderhitzung
Das Klima-Jahr in zehn Punkten
Anschlag von Magdeburg
Aus günstigem Anlass