Der Hacker-Krieg: Wird Russland auch Deutschland angreifen?
Ein Jahr nach Kriegsbeginn in der Ukraine stellt sich auch die Frage, wie groß die Bedrohung für den Westen durch russische Cyberkriegsführung ist. Eine Analyse.
Brennende Gebäude, Flugzeuge in Flammen, militante Botschaften, Bilder von bedrohlichen, maskierten Gestalten. Nein, wir reden nicht über die neuesten grausamen Videos vom Schlachtfeld in Bachmut, sondern über einen Telegram-Account, nämlich den der mutmaßlichen Hackergruppe Anonymous Sudan. In dem sozialen Netzwerk werden gewaltsame Cyberattacken mit angeblich verheerenden Konsequenzen fast täglich angekündigt. Ab dem 23. Januar veröffentlicht der Inhaber des Accounts Listen von schwedischen Websites, die die Gruppe lahmlegen werde: Flughäfen, Behörden, Unis, Medien, Onlineshops. Die Attacken finden tatsächlich statt: Wichtige Internetseiten sind teilweise stundenlang unerreichbar. Von brennenden schwedischen Flughäfen aber keine Spur.
Laut der Cybersecurityfirma Trusec in Stockholm gibt es eindeutige Hinweise, dass russische Hacker hinter Anonymous Sudan stehen. Die Angriffe seien Teil von Russlands Informationskrieg, der in westlichen Ländern Ängste schüren soll.
Der Angriff auf europäische Websites
Diesmal stehen die Angriffe in enger Verbindung mit realen Ereignissen. Immer wieder erscheint auf Telegram der Hinweis auf Englisch: „Schwedische Internetseiten werden angegriffen, weil Schweden den Koran verbrennt.“ Gemeint ist hier ein Ereignis vom 20. Januar: Der rechtsextreme dänisch-schwedische Politiker Rasmus Paludan verbrannte tatsächlich eine Ausgabe der heiligen Schrift der Muslime vor der türkischen Botschaft in Stockholm. Am folgenden Montag verurteilte Präsident Recep Tayyip Erdogan Schweden dafür, dass das Land die Verbrennung zugelassen hat, und äußerte ernsthafte Zweifel daran, ob die Türkei den Antrag Schwedens auf Beitritt zur Nato unterstützen wird.
Seitdem werden regelmäßig weitere schwedische, dänische und sogar deutsche Websites, zum Beispiel die der Bundesregierung, des BND, oder auch die der islamfeindlichen Gruppe Pegida, von Anonymous Sudan angegriffen und sind von „Distributed Denial of Service“-Problemen betroffen. Das sind Versuche, das normale Funktionieren eines Servers durch eine Flut von Internettraffic zu überlasten. Diese Attacken werden in der Regel von hackerkontrollierten Botnets ausgeführt, Netzwerke von Computern, die mit bösartiger Software infiziert sind – meist ohne dass die User der Rechner davon wissen.
Weltweit habe der Ukraine-Krieg Hacker radikalisiert
Mattias Wåhlén ist ehemaliger Mitarbeiter des schwedischen Nachrichtendienstes FRA und arbeitet seit mehr als zwei Jahren als Spezialist für Threat Intelligence bei TrueSec. Durch eine Analyse der Aktivitäten von Anonymous Sudan in sozialen Netzwerken wie Telegram haben Wåhlén und seine Kollegen festgestellt, dass die Gruppe sehr wahrscheinlich nicht aus dem Sudan stammt. „Wir sind der festen Überzeugung, dass sie Russen sind. Es handelt sich um eine russische Informationsoperation, die speziell auf Schweden abzielt. Schweden und Finnland sind gerade dabei, der Nato beizutreten. Russland möchte diesen Prozess so schwierig wie möglich gestalten. Wir glauben, dass dies der Hauptgrund für die Gründung dieser Gruppe aus dem Sudan ist. Um unter den Muslimen, insbesondere in der Türkei, Wut auf Schweden zu schüren, damit die Türkei die Genehmigung des schwedischen Antrags auf Nato-Beitritt verzögert.“
Wurden der Paludan-Vorfall und die darauf folgenden Hackerattacken von Russland koordiniert? „Wenn man sich die Zeitachse ansieht, ist das sehr verdächtig“, sagt Wåhlén. Der Telegram-Kanal von Anonymous Sudan wurde drei Tage bevor die ganze Sache in den Nachrichten auftauchte, eingerichtet. Und Paludan selbst twitterte zwei Tage vor der Gründung des Telegram-Kanals, dass er den Koran verbrennen wolle. „Es ist theoretisch möglich, dass jemand sehr schnell darauf reagiert hat, aber es sieht so aus, als wäre alles geplant gewesen.“
Weltweit habe der Ukraine-Krieg Hacker radikalisiert, erklärt Wåhlén. Manche unterstützen Russland. Andererseits gibt es rund um den Globus auch viele, die im Cyberkrieg gegen Russland agieren.
Fürchtet Russland Gegenangriffe?
„Es handelt sich um wenig qualifizierte Hacker, die das Gefühl haben wollen, dass sie Teil der Kriegsanstrengungen sind“, sagt Wåhlén. „Einige von ihnen verdienen Geld damit – sie nutzen Telegram als ihr bevorzugtes soziales Medium, weil man dort relativ anonym bleiben kann und trotzdem Follower bekommt. Sie verhalten sich fast wie Twitch- oder YouTube-Stars. Sie posten ihre Errungenschaften, prahlen mit ihren Taten und bitten ihre Fans, ihnen Geld zu spenden.“
Schließlich ist Anonymous Sudan nur eine von vielen prorussischen kriminellen Gruppen, die Namen wie Killnet oder Bear IT Army oder National Hackers of Russia haben. Eine unübersichtliche Szene, die zum Großteil aus nichtstaatlichen Akteuren besteht. Wenn überhaupt, verfügen die Gruppen meist nur über informelle Verbindungen zum russischen Staat. Dagegen gehört die Gruppe Sandworm vermutlich direkt zum russischen Militärnachrichtendienst GRU. Sandworm, schätzen Experten, ist professioneller und deshalb gefährlicher als die Gruppen, die wie Anonymous Sudan mit ihren angeblich zerstörerischen Aktionen auf Telegram angeben. Sandworm war zum Beispiel für NotPetya verantwortlich, eine Malware, die 2017 auf die Ukraine ausgerichtet war, aber dann Rechner rund um den Globus infizierte. Interessanterweise gab es seit der russischen Invasion vom 24. Februar 2022 vonseiten Russlands kaum solche heftige Cyberangriffe gegen den Westen. Vermutlich, weil Russland Gegenangriffe fürchtet.
Wie hoch ist die Gefahr?
Ende Februar warnte Bundesinnenministerin Nancy Faeser vor einem erhöhten Risiko russischer Cyberangriffe auf Deutschland. „Die Cybersicherheitslage hat sich durch den Krieg weiter verschärft. Die Angriffe prorussischer Hacker haben zugenommen“, sagte sie den Zeitungen der Funke-Mediengruppe. Aber wie gefährlich ist die Bedrohung wirklich?
Laut dem schwedischen Experten Wåhlén gibt es viele unkritische Journalisten, die solche DDOS-Angriffe als schwere Cyberangriffe bezeichnen. Das spielt den Angreifern in die Hände, die mit der Behauptung, sie hätten einen großen Schaden angerichtet, auf sich aufmerksam machen wollen.
Ole Dubnov ist der Meinung, dass die DDOS-Attacken wie derzeit in Schweden, Dänemark und Deutschland keine große Bedrohung darstellen. Dubnov ist Gründer des ukrainischen Cybersicherheitsanbieters Cyber Unit Tech, der auch Büros in den Vereinigten Arabischen Emiraten und Südkorea betreibt. Sein Mitgründer Yegor Aushev wurde letztes Jahr weltweit bekannt, weil er die Gründung einer dezentralen, freiwilligen „Cyber-Armee“ koordinierte, um russische Cyberangriffe auf die Ukraine abzuwehren.
„Angriffe wie DDOS sind einfach nur ärgerlich“, sagt Dubnov. „Sie gehören zu den Psychospielen, um Menschen zu erschrecken, Angst zu erzeugen und sie an eine Art Superkräfte der Angreifer glauben zu lassen.“
Die Risiken sind überschaubar
Seit Kriegsbeginn wurde vor allem die Ukraine Opfer russischer Cyberangriffe, die viel gravierender Schaden anrichten können als DDOS-Angriffe. Zum Beispiel Angriffe auf kritische Infrastruktur wie Stromerzeugungsanlagen und militärische Kommunikationsnetze.
Inzwischen hat die Ukraine die Situation aber gut im Griff, meint Dubnov. „Die Auswirkungen des russischen Cyberangriffs auf die Ukraine und die Welt wurden weitgehend eingedämmt.“
Und wie sieht es künftig für Deutschland und Westeuropa aus? Müssen wir, wie von der Bundesinnenministerin suggeriert, mit weitaus gefährlicheren Angriffen mit immer komplexeren Cyberwaffen von prorussischen Hackern rechnen, wenn der Krieg sich weiter hinzieht?
„Natürlich wissen wir nie, was die Zukunft bringen wird“, sagt Dubnov. „Aber die Wahrscheinlichkeit, dass die Russen etwas Neues unter der Sonne schaffen, ist ziemlich gering. Was zählt, sind die Anpassungsgeschwindigkeit und die Dezentralisierung der Abwehrmaßnahmen. Wir gehen davon aus, dass mehrere Angriffe auf die Ukraine und Europa erfolgreich sein werden, aber man erwartet, dass diese entschärft werden können.“
„Malware“ ist ein Überbegriff für bösartige Software
Man kann auch nie mit Sicherheit wissen, wo ein Cyberangriff ursprünglich herkommt, meint Dubnov. Häufig kommen Angriffe auch aus Ländern wie China oder Iran. Aber der Großteil der Hacker sei nicht besonders kompetent. „Seien wir ehrlich: Mehr als 99 Prozent der russischen oder chinesischen oder sonstigen Angriffe sind nicht besonders raffiniert. Sie sind Ableitungen derselben Angriffsarten, die es seit über zehn Jahren immer wieder gibt. Malware, Phishing-E-Mails usw.“
„Malware“ ist ein Überbegriff für bösartige Software, die eine Vielzahl von Schäden in infizierten Computer anrichten kann. Hierzu gehören auch Viren, Würmer oder Trojaner. Eine beliebte Malware-Sorte ist Ransomware. Sie blockiert den Zugriff auf Betriebssysteme beziehungsweise verschlüsselt potenziell wichtige Dateien und fordert den Benutzer zur Zahlung von Lösegeld auf.
Unter Phishing versteht man die Praxis, sich als legitimes Unternehmen auszugeben und Adressaten dazu zu verleiten, ungewollt sensible Daten über einen Link einzugeben, der häufig per E-Mail zu einer gefälschten Website führt, die z.B. einer echten Banking-Webseite ähnelt und von Cyberkriminellen genutzt wird, um die Zugangsdaten des Opfers zu erbeuten.
Was passiert, wenn die Ukraine den Krieg gewinnt?
Bei den oben genannten Methoden nutzen Hacker Schwachstellen in Organisationen aus. Dubnov: „Sie nutzen einfach die völlige Desorganisation, das fehlende Bewusstsein für Cybersicherheit und die mangelnde Widerstandsfähigkeit von Unternehmen weltweit, weil Führungskräfte Cybersicherheit nicht als strategischen Erfolgsfaktor sehen, sondern eher als Kostenfaktor, der reduziert werden muss. Dies ist ein großer Fehler.“
Der russische Einmarsch in der Ukraine habe die Cybersicherheitslandschaft für Unternehmen auf der ganzen Welt für immer verändert, denn der Cyberkrieg wirkt sich auch auf Unternehmen aus, so Dubnov. Die Kosten für effektive Cybersicherheit steigen, aber gleichzeitig wird es immer einfacher und preisgünstiger für die Angreifer, Angriffe auszuführen. DDOS-Angriffe kann man inzwischen im sogenannten Darknet für nur wenige Euro (natürlich aber in Bitcoin bezahlt) bestellen.
Dubnovs Firma Cyber Unit Tech baut für Unternehmen ein Dashboard für Cyberresilienz auf, das einen Überblick über alle Faktoren ermöglicht. Sein Team sucht Software-Schwachstellen, Fehlkonfigurationen sowie Bedrohungen von außen und innen. Entscheidend sei es, eine „menschliche Firewall“ zu schaffen, da der Schaden von Cyberangriffen durch das Empowerment von Mitarbeitern verringert werden könne. Mit anderen Worten: Wissen und das richtige Bewusstsein für menschliches Verhalten sind ein kritischer Bestandteil des Schutzes.
In dieser neuen, unberechenbaren Welt soll sich jeder Nutzer, jedes Unternehmen, jeder Staat um die Cybersicherheit kümmern. Ob ein großer, verheerender Angriff auf die Infrastruktur in Deutschland und anderen westlichen Ländern droht, ist schwer einzuschätzen. Mattias Wåhlén geht davon aus, dass Russland solche Angriffe auf den Energiesektor vorbereiten wird. Ob sie tatsächlich ausgeführt werden, bleibt unklar, weil die Nato und insbesondere die USA über die Fähigkeit zu einem verheerenden Gegenangriff verfügen. „Wenn die Ukrainer die russische Armee entscheidend besiegen“, sagt der ehemaliger Nachrichtendienstler, „besteht die Chance, dass die Russen verzweifelt genug sind, es zu versuchen.“
Haben Sie Feedback? Schreiben Sie uns! briefe@berliner-zeitung.de