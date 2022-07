Hacker-Strategien – Schweizer Datensatz ermöglicht völlig neue Einblicke in Putins Cyberkrieg Über 230 Angriffe im Ukraine-Konflikt hat eine hiesige Organisation akribisch dokumentiert – eine einmalige Sammlung. Was die Attacken bewirken und wie es im IT-Kampf weitergeht. Svenson Cornehls Dominik Balmer

Ein Mitarbeiter des russischen Inlandsgeheimdienstes FSB analysiert den Laptop eines inhaftierten Hackers. Foto: Tass

Am 27. Juni schlugen Putins IT-Krieger in Litauen zu. Ein prorussisches Hackerkollektiv namens Killnet flutete die Infrastruktur des Landes mit unzähligen Anfragen. Das Ziel war die komplette Lahmlegung von Systemen zahlreicher Behörden und Unternehmen. Eine sogenannte Distributed Denial-of-Service-Attacke (DDoS).



Mit Erfolg: Staatliche Dienste waren für die Bürger nicht mehr erreichbar, Unternehmen mussten zeitweise ihren Betrieb einstellen.



Der Angriff war ein Vergeltungsschlag , weil der litauische Staat Exporte aus der russischen Exklave Kaliningrad blockiert hatte.



Die Killnet-Attacke ist bloss eines der jüngsten Beispiele des Cyberkriegs zwischen der russischen und der ukrainischen Seite. Die Schweizer Nichtregierungsorganisation Cyberpeace Institute sammelt und dokumentiert solche Meldungen. Insgesamt listet sie bislang über 230 Angriffe im Zusammenhang mit dem Ukraine-Konflikt – wobei eine einzelne Attacke Tausende Computer betreffen kann. Damit verfügt die Organisation vermutlich über die vollständigste öffentlich zugängliche Datenbank. Diese ermöglicht einen einmaligen Einblick in die Strategie der Cyberkriegsführung.



Das sind die wichtigsten Erkenntnisse aus der Hacker-Datenbank:

Wann begann der Cyberkrieg?

Die Russen marschierten am 24. Februar mit schwerem Kriegsgerät in die Ukraine ein. Doch den Cyberkrieg zettelten sie schon viel früher an. So wurde das kanadische Aussenministerium bereits im Januar Ziel einer Attacke aus Russland, bei der Systeme temporär deaktiviert werden mussten. Der Grund: Die Behörde hatte vor einem sich anbahnenden Einmarsch Russlands in die Ukraine gewarnt.



Den Krieg im Cyberspace lancierten die Russen dann endgültig am 23. Februar, also einen Tag vor der eigentlichen Invasion. In einer koordinierten Aktion griffen Hacker mit der Löschsoftware Foxblade 19 Einrichtungen in der Ukraine an – betroffen waren die Regierung sowie kritische Infrastruktur. Registriert hatten diesen Angriff Spezialisten des Analysezentrums des US-Softwareanbieters Microsoft .



Beim Start der russischen Invasion mehrten sich die Meldungen über Cyberangriffe. Im Rahmen dieser hybriden Kriegsführung griffen die Kremltruppen parallel diverse staatliche Organisationen in der Ukraine an. Die international vernetzten Aktivisten und Hacker von Anonymous reagieren mit einem Aufruf zum Gegenschlag. Sie entwenden und veröffentlichen unter anderem vertrauliche Daten eines weissrussischen Waffenlieferanten . Nach einem ersten Peak pendelt sich die Zahl registrierter Angriffe von beiden Seiten in den folgenden Monaten auf einem konstant hohen Niveau ein.



Das Cyberpeace Institute weist darauf hin, dass Analysten die Angriffe oft erst mit zeitlicher Verzögerung erkennen und mit dem Ukraine-Konflikt in Verbindung setzen können. Daher ist davon auszugehen, dass die momentan tiefen Zahlen für Juni und Juli in den kommenden Wochen nach oben korrigiert werden. Derzeit legen die Russen den Osten der Ukraine mit Artilleriefeuer in Schutt und Asche (lesen Sie dazu auch den Artikel: «Russische Truppen verschiessen täglich 50’000 Granaten» ).

Lauren Zabierek, Spezialistin für Cybersicherheit an der Harvard Kennedy School in Cambridge (USA), vermutete kurz nach Beginn der Invasion, dass sich die Kremltruppen bewusst zurückhalten. Eine Eskalation oder sogenannte Spillover-Effekte über die Ukraine hinaus hätten eine Reaktion des Westens auslösen können.



Spillover-Effekte entstehen bei Cyberangriffen, die grossflächig Schaden anrichten – auch über das eigentliche Ziel hinaus. Am 24. Februar beispielsweise unterbrach ein russischer Hackerangriff auf den europäischen Satellitenbetreiber Viasat den Internetzugang in der Ukraine, legte gleichzeitig aber auch Tausende Windkraftanlagen in Deutschland lahm, die über diesen Betreiber kommunizieren.

Wer kämpft im Cyberspace?

Dass hinter vielen Angriffen auf die Ukraine der russische Staat selber steht, ist offensichtlich. Das zeigt der Ende Juni publizierte Microsoft-Sicherheitsbericht. Darin werden russische Geheimdienste explizit als Aggressoren genannt.



Trotzdem ist der Ursprung vieler Attacken unbekannt oder zumindest nicht eindeutig. Im Gegensatz zu ökonomisch motivierten Ransomware-Angriffen, bei denen die Angreifer Lösegeld für die Entschlüsselung von Daten verlangen, müssen sich die Eindringlinge im Cyberkrieg nicht zu erkennen geben. Ihre Motivation liegt rein in der Destabilisierung von Systemen und dem Diebstahl heikler Daten, die zum Schaden einer Kriegspartei veröffentlicht werden können.



Die Datenbank des Cyberpeace Institute listet als grösste Akteure im virtuellen Krieg die russische Hackergruppe Killnet sowie das proukrainische Kollektiv Anonymous auf.

Wie erfolgen die Attacken?

Bei den dokumentierten Angriffen handelt es sich in den meisten Fällen um DDoS-Attacken, die Server mit Anfragen überfluten. Damit solche Angriffe erfolgreich sind, nutzen die Hacker oft Sicherheitslücken aus – beispielsweise in veralteten Windows-Versionen. Damit erlangen sie die Kontrolle über fremde Computer, die sie zu Tausenden für solche DDoS-Angriffe missbrauchen. Gemäss der Cyberpeace-Datenbank kommen 80 Prozent dieser Angriffe von der russischen Seite.



Auf der ukrainischen Seite ist dagegen die «Hack and Leak»-Methode verbreitet – die Hälfte aller Angriffe folgte diesem Muster. Dabei werden heikle Daten gestohlen und veröffentlicht. So leakte das Kollektiv Anonymous am 3. April die persönlichen Daten von 120’000 russischen Soldaten – darunter Namen, Geburtsdaten, Adressen, Passnummern sowie Zugehörigkeit zu Armee-Einheiten.



Auch der Angriff auf Informationskanäle ist ein probates Mittel im Cyberkrieg: Während Putins Militärparade am 9. Mai kaperten bislang unbekannte Angreifer russische TV-Sender. Statt üblicher Infotexte bekamen die Zuschauer folgende Nachricht zu sehen: «Das Blut Tausender Ukrainer und Hunderter ihrer getöteten Kinder klebt an Ihren Händen.»

Wiederholt das Ziel von Attacken ist das russische Finanzwesen. Allein die grösste russische Bank, Sberbank, wurde bislang achtmal von Hackern angegriffen. Dabei wurden sensible Kundendaten gestohlen, mehrfach waren die Onlinedienste der Bank zudem nicht mehr erreichbar.

Wie geht der Cyberkrieg weiter?

Als die russische Invasion startete, rechneten Sicherheitsanalysten mit einer noch nie da gewesenen Zahl von Cyberangriffen. Die Angst war gross – vor allem auch in der EU. Das deutsche Bundesamt für Sicherheit in der Informationstechnik warnte sogar explizit vor der Nutzung der Virenschutzsoftware des russischen Herstellers Kaspersky . Die Daten des Cyberpeace Institute zeigen nun: Keine Partei führte bislang Cyberangriffe mit weitreichenden humanitären Folgen durch. Vielmehr wird eine Strategie der «kleinen Nadelstiche» verfolgt, die den virtuellen Raum destabilisiert.



Zhanna Malekos Smith ist Systemingenieurin am Zentrum für Strategische und Internationale Studien, einem Thinktank in Washington D.C. Sie sagte gegenüber dem Wissenschaftsmagazin «Spektrum» schon im April, Russland habe vermutlich noch aggressivere Cyberwaffen in Reserve. Und wenn der Bodenkrieg nicht wie geplant verlaufe, könnten diese Waffen vermehrt zum Einsatz kommen.



Kaum realistisch sind hingegen gross angelegte russische Angriffe auf westliche Atomkraftwerke oder andere Infrastruktur. Laut Cybersicherheitsexpertin Zabierek könnte eine solche Operation einen Nato-Bündnisfall auslösen – also als Angriff auf alle Nato-Staaten gewertet werden. Zabierek sagt: «In diesem Fall wäre Russland an sämtlichen Fronten unterlegen.»



Kommt hinzu: Die russischen Cyberkriegs­fähigkeiten sind zwar gut, werden aber oft auch überschätzt. Der National Cyber Power Index des Belfer Center der Harvard Kennedy School stuft Russlands Cyberfähigkeiten niedriger ein als diejenigen der USA, Chinas und Grossbritanniens.



So werden die Cyberangriffe erfasst Infos einblenden Das Cyberpeace Institute dokumentiert mit einer Datenbank alle Cyberangriffe im Ukraine-Konflikt. Registriert werden insbesondere Attacken auf zivile Objekte und kritische Infrastrukturen. Nicht erfasst werden Angriffe auf militärische Ziele. Als Quellen dienen öffentlich zugängliche Informationen wie Medienberichte, Social-Media-Posts und Mitteilungen von Behörden. Da viele Angriffe nicht erkannt oder kommuniziert werden, ist jedoch von einer Dunkelziffer auszugehen.



Die Nichtregierungsorganisation hat ihren Sitz in Genf. Sie bezeichnet sich als «unabhängig und neutral». Als Partnerin des Instituts fungiert unter anderen die ETH Lausanne. Bei der Gründung 2019 leistete der US-Softwarekonzern Microsoft einen Unterstützungsbeitrag. (cos/bal)

