Die Gefahr steigt: Drohen dem Westen nun russische Cyberangriffe auf das Stromnetz?
Der Angriff auf die Ukraine hat mit einem Cyberangriff begonnen. Und im weiteren Konflikt könnten auch westliche Länder Opfer solcher Attacken werden – als bewusste Eskalation oder auch nur versehentlich.
Die Stromversorgung der USA als Ziel russischer Cyberangriffe? Die amerikanischen Behörden stellen sich darauf ein.
Im Cyberraum gilt derzeit die Alarmstufe Rot. Mehrere Länder rufen ihre Unternehmen und Einrichtungen dazu auf, sich auf vermehrte Cyberattacken einzustellen. «Shields Up» (Schilder hoch), lautet etwa die Warnung bei der amerikanischen Cybersicherheitsbehörde Cisa. Denn Russland habe in den letzten Jahren Cyberangriffe immer wieder als wichtiges Mittel zum Durchsetzen der eigenen Interessen eingesetzt.
Dem militärischen Grossangriff auf die Ukraine gingen am Mittwoch ebenfalls Cyberangriffe voraus. Bereits Stunden bevor der Kremlchef Wladimir Putin die Militäroperation ankündigte, begannen die Cyberaktionen: Ab dem Mittwochnachmittag waren die Websites mehrerer ukrainischer Behörden und Ministerien nicht mehr erreichbar. Grund waren sogenannte DDoS-Attacken, bei denen massenhafte Anfragen die Webserver überlasten, aber nicht nachhaltig schädigen.
Parallel zu dieser eher harmlosen Aktion wurde eine Schadsoftware aktiv, die offenbar Hunderte von Rechnern der ukrainischen Behörden und von deren Zulieferern unbenutzbar machte. Zum Einsatz kam ein sogenanntes Wiper-Programm, das die Dateien auf einer Festplatte löscht beziehungsweise beschädigt. Betroffen ist offenbar auch eine Bank.
Wie gross die Schäden durch den Wiper-Angriff sind, ist noch unklar. Es scheint sich jedoch um eine von langer Hand vorbereitete Aktion zu handeln. Die Angreifer dürften bereits im Voraus in die IT-Systeme eingedrungen sein, um dann die schädliche Wiper-Software zu starten, wie die Journalistin Kim Zetter auf ihrem Blog schreibt.
Bereits im Januar kam es zu einem ähnlichen Angriff. Die nun verwendete Schadsoftware sei aber deutlich ausgefeilter, schreibt ein Sicherheitsforscher der Firma SentinelOne auf Twitter. Möglicherweise soll das Programm auch die eigenen Spuren des Angriffs verwischen. Gleichzeitig soll der Angriff sehr gezielt ausgeführt worden sein, wie die Journalistin Zetter mit Berufung auf Symantec schreibt. Er habe sich nicht gegen alle ukrainischen Unternehmen gerichtet, sondern nur gegen solche, die für die Regierung arbeiteten.
Nato-Experten helfen der Ukraine
Die Ukraine ist schon seit Jahren immer wieder Ziel von mutmasslich russischen Cyberangriffen. Das Land baut seine Cyberabwehr deshalb seit längerem auf. Angesichts der steigenden Bedrohung in den letzten Wochen hatten die USA und andere Nato-Staaten zudem Expertenteams in die Ukraine geschickt, um Kiew für den Cyberschlagabtausch mit Russland möglichst umfassend zu rüsten.
Doch russische Cyberangriffe könnten auch Ziele ausserhalb der Ukraine treffen. Das kann eine bewusste Eskalation beziehungsweise eine Reaktion Russlands auf Sanktionen sein. Da Attacken im digitalen Raum aber nicht immer gut zu kontrollieren sind, kann es auch unbeabsichtigt zu Kollateralschäden kommen.
Erste IT-Systeme in Litauen und Lettland waren bereits am Mittwoch vom Wiper-Angriff betroffen. Die Infrastruktur gehörte Firmen, die für die ukrainische Regierung arbeiten. Wie schwerwiegend Kollateralschäden im Cyberbereich sein können, zeigt der Fall der Schadsoftware NotPetya von 2017. Damals wollte mutmasslich der russische Militärgeheimdienst ukrainischen Behörden und Firmen schaden. Doch das Schadprogramm verbreitete sich weltweit und verursachte Schäden in Milliardenhöhe.
Als bewusste Reaktion auf westliche Strafmassnahmen könnte Russland möglicherweise dafür sorgen, dass Behörden und Firmen Opfer von Erpressungsangriffen, sogenannten Ransomware-Angriffen, werden. Diese Art der Cyberkriminalität hat im letzten Jahr stark zugenommen. Oft stecken organisierte Gruppierungen dahinter, die zumindest teilweise aus Russland heraus operieren.
There has always been a lot of speculation about how closely Russian cybercriminal groups are tied to the Russian government. I hope I am wrong, but I think we are about to find out. I am glad for all the work @C_C_Krebs and @CISAJen have done with local governments. https://t.co/cP3xDMAM0O
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) February 23, 2022
Wie direkt die russischen Sicherheitsdienste Zugriff auf diese Ransomware-Gruppen haben, ist nicht klar. Es ist jedoch anzunehmen, dass viele Mitglieder den Behörden bekannt sind. Lange hatte Moskau diese Cyberkriminellen nicht juristisch verfolgt. Im Januar kam es dann zu einer überraschenden Kehrtwende, und Russland verhaftete erstmals auf Ersuchen der USA die Mitglieder einer Ransomware-Gruppe. Mit dieser Kooperationsbereitschaft Russlands dürfte es nun vorbei sein.
Russland hat Stromnetz der USA schon lange im Visier
Nicht auszuschliessen sind auch gezielte staatliche Angriffe auf westliche Ziele, zum Beispiel auf die Stromversorgung eines Landes. Bereits 2014 gab es in den USA Berichte, dass Russland das amerikanische Stromnetz austeste und Hintertüren für einen späteren Angriff einbaue. In den letzten Wochen warnten die Behörden einmal mehr die Betreiber von kritischer Infrastruktur vor russischen Cyberangriffen.
Technisch sind destruktive Angriffe auf die Energie- oder Wasserversorgung westlicher Länder sehr wohl möglich. Die Frage ist, ob Russland eine solche bewusste Eskalation mit dem Westen beziehungsweise der Nato sucht. Gerade im Cyberraum hat Moskau auch die Möglichkeit zu verdeckten Operationen, die weniger zerstörerisch sind und leichter abgestritten werden können. Zumindest die amerikanische Cybersicherheitsbehörde Cisa hat derzeit keine Hinweise auf eine konkrete Bedrohung.
Die Nato ist angesichts der Cyberaktivitäten in der Ukraine in hoher Alarmbereitschaft. Das westliche Militärbündnis sei vorbereitet auf den Fall russischer Cyberangriffe auf Nato-Mitgliedstaaten, heisst es in Brüssel. Der Cyberraum sei ein für die kollektive Verteidigung relevanter Raum, sagt ein Nato-Beamter. «Die Bündnispartner haben deutlich gemacht, dass ein schwerwiegender Cyberangriff den Artikel 5, also die Klausel zur kollektiven Verteidigung, auslösen könnte.» Unter Umständen, sagt der Beamte, könnten auch die Auswirkungen «erheblicher böswilliger kumulativer Cyberaktivitäten» als bewaffneter Angriff angesehen werden.
Wer aber definiert, ob ein Cyberangriff oder eine Kampagne von Cyberaktionen die Schwelle von Artikel 5 überschreitet? Dies, so heisst es in Brüssel, sei eine politische Entscheidung der Mitgliedstaaten. Der Nato-Beamte sagt: «Wir wollen nicht darüber spekulieren, wie schwerwiegend ein Cyberangriff sein muss, um eine kollektive Reaktion auszulösen. Jede Reaktion könnte je nach Art des Angriffs diplomatische und wirtschaftliche Sanktionen, Cybermassnahmen oder sogar konventionelle Streitkräfte umfassen.»
Vernetzung im digitalen Raum macht verwundbar
Nicht nur staatliche Behörden warnen vor schwerwiegenden russischen Cyberangriffen. Auch grosse IT-Sicherheits-Firmen haben in den letzten Tagen zur Vorbereitung aufgerufen. Dabei geht es in erster Linie um elementare Vorkehrungen: Software aktualisieren, Log-ins mit einem zweiten Faktor versehen, funktionierende Back-ups erstellen und die Notfallpläne bereithalten. Diese schützen vor vielen Angriffen, egal ob diese mutwillig oder versehentlich geschehen.
Ob der Westen genügend vorbereitet ist für verstärkte Cyberangriffe, ist schwierig zu beurteilen. Tyson Barker von der Deutschen Gesellschaft für Auswärtige Politik in Berlin weist darauf hin, dass sich die Cyberkriegsführung im Unterschied zur konventionellen Kriegsführung nicht in statischen, industriellen Begriffen ausdrücken lasse. Das Paradoxe der Verwundbarkeit im Cyberraum sei die Vernetzung, sagt Barker. Ähnlich wie ABC-Waffen liessen sich digitale Waffen in ihrer Wirkung kaum einschränken. In einer vernetzten Welt sei jeder betroffen – und sowohl die USA als auch Russland seien extrem vernetzt.
