Cyber-War

Der russische Generalstabschefs Walerij Gerassimow verkündete Ende Januar 2013: „Die Regeln des Krieges haben sich verändert.“ Konventionelle Feuerkraft allein reiche nicht aus, ein „breit gestreuter Einsatz von Desinformationen, von politischen, ökonomischen, humanitären und anderen nichtmilitärischen Maßnahmen“ sei nötig. Russlands Strategen nennen das „nichtlineare Kriegsführung“, die NATO spricht von „hybrider Kriegsführung“. Dazu gehört der Einsatz „grüner Männchen“, Militärs ohne Hoheitsabzeichen wie bei der Annexion der Krim ebenso wie die verschleierte Unterstützung der prorusssischen Separatisten in der Ukraine. Immer wichtiger für den Kreml werden Angriffe im Cyber-Raum.

Solche Cyber-Angriffe wurden erstmals 2007 öffentlich, als mutmaßlich russische Attacken Regierungsbehörden in Estland lahmlegten. In Tallinn war damals ein erbitterter Streit ausgebrochen, über die Verlegung eines sowjetischen Kriegerdenkmals aus dem Zentrum Tallinns an den Stadtrand. 2008 waren es im Zuge des Georgienkrieges erneut mutmaßlich russische Angriffe, die Regierungsbehörden in der georgischen Hauptstadt Tiflis außer Gefecht setzten. Seit Jahren tobt der Cyber-Krieg, neuerdings auch mit Einschlägen in Deutschland.

In der Stadt Ivano-Frankiwsk in der Westukraine geschieht am 23. Dezember 2015 Merkwürdiges. Um 16.26 Uhr wurde plötzlich die Energieversorgung der Firma „Prikarpat-Obl-Energo“ unterbrochen. Der Operator Igor Korolyschin traute seinen Augen nicht: Auf dem Bildschirm beginnt sich seine Maus zu bewegen, ganz ohne Korolyschins Zutun, ganz zielstrebig. Einen Schalter nach dem anderen knipst die Maus aus.

Inzwischen ist klar, dass es sich um eine Cyber-Attacke handelte. Erstmals weltweit wurde nachweislich durch einen Hackerangriff eine Energieversorgung ausgeschaltet, eine sogenannte kritische Infrastruktur. Vor so einem Ereignis haben Sicherheitsbehörden auf der ganzen Welt Angst. Denn wird die Energieversorgung gezielt, aber ohne Vorwarnung unterbrochen, kann eine ganze Gesellschaft schon nach wenigen Tagen aus den Fugen geraten.

Volodymyr Fedyk, IT-Chef des Unternehmens „Prikarpat-Obl-Energo“, weiß inzwischen, wie der Angriff ablief. Lange vor dem 23. Dezember hatten einige Mitarbeiter der Firma eine E-Mail erhalten und geöffnet. Absender war ein Kiewer Ministerium, also ein vermeintlich glaubwürdiger Absender. Die E-Mail aber war gefälscht und mit ihr konnte Schadsoftware in das Computersystem gelangen. Die war so raffiniert, dass sie einen Teil ihrer Spuren nach der Attacke gleich wieder löschte.

„Operation Sandworm“

Ukrainische und westliche Sicherheitsexperten gaben dem Angriff einen Namen: „Operation Sandworm“ – und vermuten den russischen Geheimdienst als Urheber.

Bei der Kampagne Sandworm handelt es sich aus unserer Sicht um eine mutmaßlich russische Kampagne. Ein hochausgearbeiteter Angriff, der mit Sicherheit etliche Monate Vorlauf gehabt hat … 
Hans-Georg Maaßen, Präsident Bundesamt für Verfassungsschutz

Die „Operation Sandworm“ wird einer Hackergruppe zugeschrieben, die schon viele Namen bekam, wie etwa Strontium, Pawn Storm, Sofacy, APT28. Dahinter verbirgt sich offenbar nur eine einzige Gruppe, die von Virenforscher weltweit beobachtet wird und die nach Expertenmeinung von russischen Geheimdiensten gesteuert wird.

Die Experten betonen, es gäbe zwar keine Beweise für eine direkte Beteiligung russischer Regierungsstellen, dennoch sprächen starke Indizien in der Schadsoftware dafür. So entdeckte etwa der IT-Experte Udo Schneider russische Spracheinstellungen in der Schadsoftware.

Auch attackierten die Hacker bisher ausnahmslos Kreml-kritische Ziele, in Russland selbst wie auf der ganzen Welt – so etwa die Aktivistinnen der Moskauer Punkrock-Band Pussy Riot.

Pussy_1920x1080

Pussy Riot

Cyber-Attacken auf Deutschland

Auch Deutschland bleibt nicht verschont. Als der ukrainische Premier Arsenij Jazenjuk Anfang 2015 Angela Merkel besuchte, wurde prompt die Internetseite der Bundeskanzlerin gehackt. Zu diesem Angriff bekannte sich eine Truppe namens „Cyber-Berkut“.

Cyber-Berkut ist aus unserer Wahrnehmung eine prorussische Hackergruppe, die wir in der Ostukraine verorten. Wir sehen Cyber-Berkut in einem Zusammenhang auch mit nachrichtendienstlichen Angriffen aus Russland.
Hans-Georg Maaßen, Präsident Bundesamt für Verfassungsschutz

Der in der Öffentlichkeit wirksamste Angriff auf ein deutsches Ziel erfolgte im Frühjahr 2015 – der Angriff auf den Deutschen Bundestag, offenbar ausgeführt unter Mitwirkung des russischen Geheimdienstes, wie die technische Analyse des Verfassungsschutzes später ergab. Inzwischen konnte der Verlauf des Angriffes exakt rekonstruiert werden.

Im Abschlussbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Cyber-Angriff auf den Bundestag vom 3. November 2015 heißt es, eine Woche nach Beginn des Angriffs sei der Datenabfluss gestoppt worden. Bis dahin hatten die Angreifer allerdings schon ganze Arbeit geleistet, weiß Thomas Jarzombek, Sprecher für Digitale Agenda der CDU/CSU-Bundestagsfraktion.

Jetzt ermittelt die Bundesanwaltschaft wegen des Verdachts der geheimdienstlichen Agententätigkeit. IT-Experte Udo Schneider hat unterdessen eine interessante Entdeckung gemacht. Er fand den Teil eines Quellcodes, der in dieser Version oder in Abwandlungen bei mehreren mutmaßlich russischen Angriffen entdeckt wurde. Da es beim Cyber-Krieg praktisch nie eine „Smoking Gun“ gibt, meint Schneider, ist dieser Teil eines Quellcodes schon ein sehr starkes Indiz, dass die verschiedenen Angreifer zu einer Hackertruppe gehören.

unsigned-char

Die Tatsache, dass dieser Quellcode in vielen verschiedenen Gruppierungen auftaucht, lässt den Schluss zu, dass diese Gruppierungen zusammengehören, dass sie Ressourcen und Werkzeuge austauschen.
Udo Schneider, Sicherheitsexperte Trend Micro

Jährlich gibt es rund 1,8 Millionen Cyber-Angriffe auf das deutsche Regierungsnetz. Der Bundesinnenminister hat reagiert. Er verspricht „schnelle Eingreiftruppen“, die Rechner des Bundes besser schützen sollen.