Die Ukraine muss sich nicht nur auf dem Schlachtfeld gegen Russland verteidigen. Nebst dem lauten, sichtbaren Krieg tobt ein stiller, meist verborgener Cyberkrieg.
Der stille Krieg gegen die Ukraine begann bereits Stunden vor dem ersten Raketenangriff. Die Webseiten vom Aussen- und Finanzministerium, der Regierung sowie der Nationalbank wurden zuerst lahmgelegt. Es folgte eine Reihe präziser Angriffe gegen zivile Ziele im Finanz-, Agrar- und Energiesektor. Selbst die Notfalldienste wurden attackiert, wie Analysen von IT-Experten bei Microsoft zeigen.
Zwar erfolgten schon zuvor regelmässig kleinere Cyberangriffe, aber seit Kriegsbeginn ist das Land ständig mit digitalen Angriffen auf seine Regierungs- und Infrastruktur-Netzwerke konfrontiert, wobei nun auch einzelne Beamte ins Visier genommen würden, wie die Cybersicherheitsbehörde am Freitag mitteilte.
Bislang habe die Cyberabwehr die meisten Angriffe abwehren können, aber Russlands Cyberkrieg sei «beispiellos». Die Ukraine spricht deshalb von einem «hybriden Krieg», da man zwei Kriege gleichzeitig führen müsse: auf dem Schlachtfeld und im Netz.
Auch nach zehn Tagen Krieg funktioniert das Internet noch und Kraftwerke und andere kritische Infrastrukturen sind weiterhin in Betrieb. Die russischen Cyberangriffe scheinen nur beschränkt erfolgreich zu sein. Zumindest die Befürchtung, dass Russland bereits im Vorfeld des Krieges Energieversorger, Internetprovider etc. infiltriert haben und mit dem Start der Invasion die kritische Infrastruktur auf Knopfdruck lahmlegen könnte, hat sich nicht bewahrheitet.
Gezielte Cyberangriffe sollen die Kommunikation der Regierung einschränken, sprich die Information der Bevölkerung erschweren, zentrale Anlagen (beispielsweise die Energieversorgung) lahmlegen und die Verfügbarkeit von Daten und Informationen beeinträchtigen. Sie sollen darüber hinaus Panik schüren, Falschinformationen verbreiten, das Vertrauen in die Fähigkeit des Staates, seine Bürger zu verteidigen, untergraben und allgemein das Land destabilisieren.
Ein Beispiel: Bereits vor der Invasion wurden Regierungswebseiten gehackt und mit einer Warnung an die Bevölkerung verunstaltet, «das Schlimmste zu erwarten».
In der anhaltenden Angriffswelle kommt eine neue Schadsoftware zum Einsatz, die verschiedene Namen wie KillDisk, HermeticWiper oder FoxBlade trägt. Sie ist unter anderem darauf ausgelegt, Daten zu löschen und Computer vollständig lahmzulegen.
Russland ist eine Cybergrossmacht. Das liegt nicht zuletzt daran, «dass der russische Militärgeheimdienst die Ukraine seit 2014 quasi als Cyber-Versuchslabor missbraucht hat», sagte Kevin Kohler, Wissenschaftler am Center for Security Studies der ETH Zürich, in der Nachrichtensendung «10 vor 10».
Beispielsweise wurde schon 2015 testweise das ukrainische Elektrizitätsnetzwerk lahmgelegt. 2017 entpuppte sich der vermeintliche Verschlüsselungstrojaner NotPetya als mächtiger Cyberangriff auf die Ukraine. Aus heutiger Sicht wirkt dies wie ein Probelauf für den aktuellen Cyberkrieg.
Hinzu kommt eine symbiotische Beziehung zwischen dem Kreml und russischen Cyberkriminellen. Russland lässt seine berüchtigten Erpresser-Hackergruppen seit Jahren gewähren, solange sie ausschliesslich westliche Unternehmen attackieren und erpressen. Diese Ransomware-Gangs schlagen sich nun teils auf die Seite Russlands.
In der Not greift die Ukraine auf unorthodoxe Methoden zurück: Die Regierung ruft alle, die wollen und können, dazu auf, sich am Cyberkrieg gegen Russland zu beteiligen. Auf Twitter verkündete Digitalminister Mykhailo Fedorov den Aufbau einer freiwilligen «IT-Army». IT-Talente sollen mithelfen, die kritische Infrastruktur des Landes gegen russische Cyberangriffe zu verteidigen und DDoS-Angriffe (Überlastung der IT-Infrastruktur) gegen russische Ziele auszuführen.
Über die in der Ukraine populäre Messenger-App Telegram wurden erstmals am 26. Februar Ziele ausgegeben, die von Freiwilligen per DDoS-Angriff lahmgelegt werden sollen, beispielsweise der Erdgasriese Gazprom, russische Banken, Regierungsseiten und Putin-treue Medien. Aktuell sind die Top-Ziele das russische Satellitennavigationssystem GLONASS, russische Telekomfirmen und das belarussische Eisenbahnnetz.
Rund 300'000 Menschen haben den hierzu genutzten Telegram-Kanal «IT Army of Ukraine» bislang abonniert. Die Behörden schätzen, dass es weltweit bis zu 400'000 Hacker geben könnte, die online für die Ukraine kämpfen.
Dass ein Land für seine digitale Verteidigung auf die Unterstützung freiwilliger IT-Fachleute setzt, ist ein Novum, könnte in der Ukraine aber durchaus erfolgreich sein. Das Land hatte vor dem Krieg eine boomende IT-Branche mit über 200'000 hochqualifizierten Spezialisten. Sie könnten nun Verteidigungsaufgaben übernehmen und die regulären Cyberkräfte entlasten.
Ganz so einfach ist das allerdings nicht: Die Herausforderung besteht darin, diese neu gewonnenen Ressourcen effektiv zu bündeln. Freiwillige müssen überprüft, Ziele verteilt und Infiltration verhindert werden.
In der IT-Army sind auch Menschen willkommen, die keine Ahnung von Computern haben, aber aus Solidarität helfen wollen. Beispielsweise lassen sich DDoS-Attacken, die russische Propagandaseiten lahmlegen sollen, auch ohne IT-Wissen browserbasiert ausführen – quasi Cyberkrieg mit einem Mausklick. Inwiefern solche Angriffe, auch wenn Krieg herrscht, als Straftat angesehen werden können, steht wiederum auf einem anderen Papier.
Im Telegram-Kanal «IT Army of Ukraine» tauchen immer neue Ideen auf, wie der Krieg im Netz beeinflusst werden könnte: Am 27. Februar rief die Regierung beispielsweise dazu auf, YouTube-Kanäle zu melden, die «offen über den Krieg in der Ukraine lügen». Am 28. Februar wurde dazu aufgerufen, die Kontaktdaten von russischen Prominenten und Meinungsführern zu teilen und Hinweise zu posten, wohin die Oligarchen fliehen. Allenfalls hofft man, über sie die öffentliche Meinung in Russland beeinflussen zu können.
Dass die Ukraine in der Not für ihre Cyberverteidigung Freiwillige einspannt, könnte sich als kluger Schachzug erweisen. Allerdings gibt es auch Bedenken: Die Regierung geht mit der IT-Army, die sich nicht wie eine reguläre Cyber-Einheit kontrollieren lässt, nicht unerhebliche Risiken ein. Man könnte Notfalldienste, Gesundheitssysteme oder andere für die russische Zivilgesellschaft kritische Infrastrukturen offline nehmen, ohne es zu wollen. Dies geschieht, wenn sich komplexe Cyberangriffe ungewollt verselbstständigen, also aus dem Ruder laufen und plötzlich weit über das eigentliche Ziel hinausgehen. Dies würde Putin einen Vorwand geben, noch brutaler gegen die Ukraine vorzugehen.
Eine weitere Gefahr besteht darin, «dass sich Menschen durch den Krieg und Aufrufe wie die des ukrainischen Digitalministers inspiriert fühlen könnten, echte Attacken auf kritische Infrastruktur zu fahren und damit auch erfolgreich sein könnten», schreibt netzpolitik.org. «Das würde dann sehr schnell sehr gefährlich werden, weil Staaten auf derartige Angriffe mit militärischer Logik reagieren», sagt Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) gegenüber netzpolitik.org.
Dessen ist man sich auch beim deutschsprachigen Ableger der internationalen Anonymous-Bewegung bewusst, der in den letzten beiden Jahren Corona-Verschwörungserzähler und «Querdenker» im Visier hatte und sich nun an Aktionen «gegen Putin und seinen Staatsapparat» beteiligt.
Angriffe auf wirklich kritische Infrastrukturen wie Atomkraftwerke oder Verkehrsleitsysteme lehnt das Hacker-Kollektiv in seiner Erklärung als «No-Go» ab. Die eigene und die ukrainische Infrastruktur gegen russische Cyberangriffe zu sichern, stehe im Vordergrund.
Es gehe nicht darum, die russische Bevölkerung zu treffen, beteuern Anonymous und die IT-Army. «Putin, der Hackertruppen und Trollarmeen gegen westliche Demokratien einsetzt, bekommt einen Schluck seiner eigenen bitteren Medizin», heisst es in der Erklärung des Hacker-Kollektivs. Neben der Störung der Infrastruktur Russlands und der Unterstützung der Ukraine in technischer Hinsicht sei ein weiterer Schwerpunkt die Information der russischen Bevölkerung.
Derzeit könnten weltweit mehrere Tausend Anons aktiv sein. Per Definition kann sich jeder Anonymous nennen und nicht alle spielen fair. Auf Twitter meldet ein grosser Anonymous-Account unter anderem Hackerangriffe auf Webseiten russischer Spitäler. Ob dies stimmt, ist unklar, aber alleine mit der Behauptung erweisen sie der Ukraine einen Bärendienst. Spätestens, wenn russische Zivilisten zu Schaden kommen sollten, etwa wenn tatsächlich ein Spital gehackt wird, ist die rote Linie überschritten. Dass sich russische Hacker-Gruppen revanchieren würden, muss mehr als angenommen werden.
Nebst der freiwilligen IT Army of Ukraine und Anonymous haben inzwischen rund 30 nicht-staatliche-Hackergruppierungen aus diversen Ländern in den Cyberkrieg eingegriffen. Die Lage ist entsprechend unübersichtlich. Täglich werden neue angebliche Hacks vermeldet, oft lassen sich die Meldungen nicht zweifelsfrei überprüfen.
Spätestens, wenn Pro-Ukraine-Aktivisten beispielsweise das russische Staatsfernsehen gehackt haben wollen und davon in den sozialen Medien stets das immer gleiche Video zirkuliert, ist zumindest Skepsis angebracht.
Das Hacker-Kollektiv Anonymous meldete am Donnerstag 2500 angeblich gehackte russische Webseiten. Es dürfte sich zumeist um DDoS-Attacken handeln. Mit diesen relativ einfach auszuführenden Überlastungsangriffen wolle man «den russischen IT-Apparat beschäftigt halten», schreiben die Hacktivisten. Wenn sich russische Hacker um den Schutz der eigenen IT-Infrastruktur kümmern müssen, hätten sie weniger Ressourcen für eigene Cyberangriffe, so die Hoffnung.
DDoS allein bringt ein Regime aber nicht zu Fall.
«Wenn die Webseiten von Kreml oder Gazprom wegen einer DDoS-Attacke nicht erreichbar seien, dann sei das eher eine symbolische digitale Sitzblockade», zitiert netzpolitik.org den Sprecher des deutschen Chaos Computer Clubs.
Ein nennenswerter Einfluss von Hackerangriffen auf den Krieg wäre denkbar, wenn die Angriffe sich auf wirklich kritische Infrastrukturen richten würden. Aber sollte man einen Diktator mit Atomwaffen dermassen reizen?
Kritiker bezeichnen daher Anonymous' bisherigen Feldzug gegen Putin als «heisse Luft». Die Hacker halten dagegen, dass vieles, was man tue, nicht direkt sichtbar sei. Gelinge es beispielsweise, Unternehmen oder Behörden zu infiltrieren, werde dies nicht zwingend öffentlich gemacht. Anonymous-Aktivisten würden darüber hinaus dafür sorgen, «dass die Bürger der Ukraine trotz massiver Störungen des Internets in der Ukraine weiter online bleiben können. Dazu gehört die Bereitstellung von VPN-Services, genauso wie Anleitung zur Umgehung von Sperren des Tor-Netzwerks durch den Einsatz von Bridges».
Vielleicht sind es genau diese Dinge, die im Endeffekt mehr bewirken als spektakuläre Hacks.
Update: 7. März 2022: Anonymous-Aktivisten haben am Sonntag weitere Videos veröffentlicht, die den Hack russischer Fernsehsender zeigen sollen.
JUST IN: The hacking collective #Anonymous today hacked into the Russian streaming services Wink and Ivi (like Netflix) and live TV channels Russia 24, Channel One, Moscow 24 to broadcast war footage from #Ukraine. #TangoDown #OpRussia pic.twitter.com/2V8opv7Dg9
— Anonymous TV 🇺🇦 (@YourAnonTV) March 6, 2022
Als ob Putin irgendwelche Vorwände braucht, um einen brutalen Krieg zu führen. Das tut er eh bereits. Jede Zurückhaltung ist fehl am Platz. Daher Russland möglichst lahmlegen mit Hacks.