Die russische Invasion der Ukraine wurde von massiven Cyberangriffen begleitet und markierte somit ein Novum in der Geschichte der Konflikte. Diese Entwicklung hat die Landschaft der traditionellen Kriegsführung verändert und viele Fragen aufgeworfen. Analyse eines hybriden Cyberkriegs, in dem die beteiligten Kräfte zwischen traditionellen Schlachtfeldern und einer neuen digitalen Dimension wechseln.
Die Zeit vor dem Krieg in der Ukraine: Welchen Platz nahmen Cybertechnologien in bewaffneten Konflikten ein?
Anders formuliert lautet die Frage: Wann entwickelte der Cyberspace sich zu einem Bereich für militärische Operationen? Wie so oft liefert die Geschichte die nötigen Informationen, um den Kontext und in diesem Fall die Neuartigkeit dieses Cyberkriegs besser zu verstehen. Denn die ersten Experimente im Hinblick auf den Cyberspace fanden in den 1980er und 1990er Jahren statt. Was diese Jahre jedoch kennzeichnete, war vielmehr die Diskrepanz zwischen der Realität der Auswirkungen dieser Operationen und der Erwartungen, die sie umgaben. „Zu dieser Zeit behaupteten einige Analysten, dass es mit Cyber-Tools nun möglich sei, ganze Völker in die Knie zu zwingen“, lacht Pierre-Olivier Kaplan, Ingenieur für Forschung & Entwicklung im Cyber Threat Intelligence Team von Stormshield. Es handelte sich damals um eine apokalyptische Vision, die von dem geringen Ausmaß der damaligen Cyberangriffe eher weit entfernt war, und es wehte ein psychotischer Wind, der sich in den Erzählungen rund um den berühmten Jahr-2000-Bug widerspiegelt. „Das Cyber Pearl Harbor ist jedoch nie eingetreten“, betont der Experte. In der Folgezeit änderte sich die Situation jedoch, und es kam zu den ersten groß angelegten Cyberangriffen. Da diese auf kritische und sensible Infrastrukturen abzielten, hatten sie Auswirkungen auf nationaler Ebene, wie beispielsweise die Angriffe auf Estland im Jahr 2007, Indien 2009, Iran 2010 mittels Stuxnet, Ukraine (bereits) 2015 und 2017 mit den Malware-Programmen Black Energy, CrashOverride und Triton, oder Südkorea im Jahr 2018 mit Olympic Destroyer. Trotz dem Zusammentragen von Indizien, die auf bestimmte staatliche Kräfte hinwiesen, wurden diese Angriffe nicht offiziell zugeordnet. Aber sie (mit Ausnahme von Olympic Destroyer) wiesen eine Gemeinsamkeit auf, wie Sébastien Viou, Direktor für Cybersicherheit und Produktmanagement bei Stormshield, erklärt: „Wir kennen das bevorzugte Ziel dieser Cyberangriffe: die Stromversorgung. Es geht also darum, die Ressourcen eines Landes zu beschneiden und dessen Bevölkerung mürbe zu machen. Die eingesetzte Cyberwaffe soll in diesem Fall nicht töten, sondern das Leben prekär oder gar unerträglich machen.“ Wäre es also richtig, einen Cyberangriff als Kriegshandlung zu betrachten? „In der Praxis ja, aber aus rein semantischer Sicht nein“, entscheidet Pierre Olivier Kaplan. Denn auch hier ist es äußerst schwierig, den Ursprung von Cyberangriffen eindeutig zu bestimmen, zumal kein Staat offen die Verantwortung für diese Taten übernommen hat.“
Ein Spiel mit falschen Karten? Pflicht zur Zurückhaltung? Schutz eines internationalen Gleichgewichts? Für Pierre-Olivier Kaplan erklärt sich das Fehlen von Forderungen durch den nebulösen Charakter dieser Art von Angriffen, die nicht offiziell Teil der klassischen Militärdoktrinen sind, aber dennoch den Stempel von Methoden tragen, die mit bestimmten Staaten in Verbindung gebracht werden. Seiner Meinung nach werden Cyberangriffe erst seit dem georgisch-russischen Konflikt aus dem Jahr 2008 wirklich zur Unterstützung von Militäroperationen eingesetzt. „Der Fall Georgiens im Jahr 2008 ist in dieser Hinsicht emblematisch. Die Vorgehensweise, Regierungswebsites mit massiven Denial-of-Service-Angriffen (DDoS) zu überfluten, trägt die Handschrift Russlands. Die russischen Dienste haben sich jedoch nie offiziell zu diesem Eindringversuch, der einige sensible Websites des Landes lahmgelegt hatte, bekannt, da dies dazu geführt hätte, die Praktiken einiger unabhängiger Hacktivistengruppen zu formalisieren. „Dabei handelt es sich de facto um den verlängerten Arm der russischen Dienste, sie sind jedoch nicht in die offiziellen militärischen Institutionen integriert. Sie operieren also in einer geopolitischen Grauzone, die erst noch erschlossen werden muss. In ihrer Rede auf dem FIC 2021 in Frankreich sprach die damalige Verteidigungsministerin Florence Parly von einem „Kalten Krieg im Cyberspace“ und seinen sehr spezifischen Problemen: „Im Gegensatz zum historischen Kalten Krieg, der über seine eigenen Deeskalationsmechanismen verfügte, um ein nukleares Apokalypse-Szenario zu vermeiden, wäre ein neuer Kalter Krieg im Cyberspace, ob er nun staatliche oder nichtstaatliche Akteure betrifft, sicherlich nicht von der gleichen Zurückhaltung geprägt. Es gibt kein rotes Telefon im Cyberspace. Noch gravierender ist, dass sich einige Akteure weiterhin dagegen sträuben, die Spielregeln für Konfrontationen im Cyberspace festzulegen. Wir könnten also mit schnellen und unkontrollierten Eskalationssituationen konfrontiert werden, die zu neuartigen Krisen und nicht vorhergesehenen Kaskadeneffekten führen.“
Ein hybrider Krieg zwischen Cyberspace und physischer Welt
Digitaler Konflikt, Computerkrieg, Bewegungskrieg oder Cyberkrieg – wie sollte man den Krieg in der Ukraine beschreiben? Die Bezeichnungen variieren je nach Gesprächspartner. Offiziell wird der Krieg durch Generalmajor Aymeric Bonnemaison, den Befehlshaber der französischen Cyberverteidigung, in einem Ausschuss für nationale Verteidigung und Streitkräfte im Dezember 2022 als Cyberkrieg bezeichnet: „In der Ukraine findet tatsächlich ein Cyberkrieg statt.“
Unabhängig von der Terminologie ist der russisch-ukrainische Konflikt eine Premiere im Hinblick auf den Einsatz von Cyberwaffen: Er unterscheidet sich vom russisch-georgischen Konflikt durch eine taktische Diversifizierung in Form von Cyberangriffen, welche die Kriegsanstrengungen unterstützen. Oder diese sogar teilweise finanzieren? „Wir haben in den letzten Jahren einen exponentiellen Anstieg von Ransomware-Angriffen erlebt“, erinnert Sébastien Viou. Es ist allgemein bekannt, dass russische Gruppen hinter einem Großteil dieser Angriffe stehen und dass es Verbindungen zwischen ihnen und dem russischen Staat gibt. Folglich wäre es möglich, dass es sich um eine finanzielle Vorbereitung auf den Krieg handelte – dies konnten wir leider nie verifizieren.“ „In diesem Konflikt unterscheide ich zwischen vier Arten von wiederkehrenden Cyberoperationen: Zerstörung, Störung, Spionage und Einflussnahme“, analysiert Pierre-Olivier Kaplan seinerseits. Die erste Art besteht darin, die Infrastruktur zu zerstören, von einfachen Computerservern bis hin zu den gesamten elektrischen Systemen. Bei der Störung hingegen werden vermehrt DDoS-Angriffe durchgeführt, um bestimmte Infrastrukturen für eine gewisse Zeit außer Gefecht zu setzen. Klassischerweise umfasst die Spionage das Sammeln von sensiblen Informationen. Und schließlich spielt die Einflussnahme mit der Meinungsmanipulation über soziale Netzwerke mithilfe von Bot- und Trollsystemen. Vier Arten mit ebenso vielen Möglichkeiten, einen Staat im Cyberspace zu destabilisieren. Der russisch-ukrainische Krieg stellt somit einen Wendepunkt im Wettlauf um das Cyberarsenal dar.
„In den Köpfen der Kreml-Strategen hätte der Krieg ein Blitzkrieg sein und nur drei Wochen dauern sollen“, erinnert auch Pierre-Olivier Kaplan. Dies traf so sehr zu, dass zu Beginn des Konflikts die meisten registrierten Cyberangriffe hauptsächlich von „Cyberpartisanengruppen, die nicht so sehr mit den physischen Stäben auf russischer Seite interagieren“, stammten. Zu diesem Zeitpunkt war die Korrelation zwischen dem physischen Bewegungskrieg und dem im Cyberspace geführten Krieg noch begrenzt. Erst ab Ende 2022 und der Feststellung einer Blockade auf russischer Seite stieg das Volumen der Cyberangriffe signifikant an. Es gibt immer mehr Wellen an Operationen, bei denen insbesondere der Einsatz von Militärdrohnen gestört werden soll. Und so entwickelt sich die Koordination zwischen der physischen und der Cyberfront zu einer lohnenswerten Strategie. „Diese vollständige Hybridisierung zwischen einem Grabenkrieg, der an die dunklen Stunden des Weltkriegs von 1914 bis 1918 erinnert, und einem technologischen Krieg auf der Grundlage von Cyberangriffen und Computerspionage ist einer der markantesten Aspekte dieses Konflikts“, ergänzt Sébastien Viou. Parallel dazu und ab April 2022 wurde eine weitere Front eröffnet: der Informationskrieg. Als in der von den russischen Streitkräften besetzten Stadt Butscha ein Massengrab entdeckt wurde, wurden die Massaker an der Zivilbevölkerung in der internationalen Presse ausführlich thematisiert. Die russischen Streitkräfte wurden durch den Druck der Medien in die Enge getrieben und dazu gedrängt, eine Gegendarstellung zu veröffentlichen, in der die Übergriffe der ukrainischen Armee betont wurden – eine propagandistische Gegenoffensive, die in einer Zeit, in der die Sensibilität der internationalen öffentlichen Meinung eine Regierung dazu veranlassen kann, ihre Militärstrategie zu ändern, unverzichtbar ist. Letztendlich sind diese drei Formen der Kriegsführung – Militär-, Cyber- und Informationskrieg – fest miteinander verbunden.
Cyberstreitkräfte im Einsatz
Der Krieg in der Ukraine bietet Hacktivistengruppen die Gelegenheit, ihre Bemühungen in alle Richtungen zu lenken und sowohl für den russischen Staat als auch für die ukrainische Verteidigung tätig zu werden. Da der Cyberspace als neues Schlachtfeld dient, haben mehrere Hacktivistengruppen ihre politische Zugehörigkeit explizit erklärt.
Und im Falle dieses Konflikts: Welche (Haupt-)Kräfte sind beteiligt? Auf Seiten der pro-russischen Kriegsparteien „von gezielter Cyberzerstörung bis hin zu allseitigem Cybermobbing, nehmen die Methoden der Hacktivisten die Form von massiven Denial-of-Service- oder DDoS-Angriffen an“, so ein Bericht der Firma Thales aus Februar 2023. Methoden, die „zur russischen Informationskriegsführung beitragen und darauf abzielen, private wie öffentliche Organisationen zu zermürben“. Sekoia.io stellt seinerseits die explizite Zusammenarbeit einiger Hacktivistengruppen mit den Geheimdiensten des Kremls fest – eine direkte Zugehörigkeit, die den Krieg in der Ukraine einzigartig macht. Hacktivistengruppen „haben ihre Seite gewählt“, schreiben ENISA-Experten. Sie zählen fast 70 Gruppen, die sich nach dem Vorbild der Cyber Army of Russia auf der pro-russischen Seite engagieren, und stellen in manchen Fällen einen ungewöhnlich hohen Grad an Raffinesse der Operationen fest. Die französische Website Numerama weist auf die Präsenz der pro-russischen Angreifergruppe Conti hin, die von der Ukraine schnell entdeckt und gekontert wurde. Andere Beispiele sind die mächtigen Gruppen Killnet und NoName, von denen angenommen wird, dass sie durch den russischen Staat ferngesteuert werden. Diese mächtigen und gut identifizierten Gruppen existieren neben kleinen, isolierten Gruppen, die aus patriotischen Gründen Partei ergreifen und auf eigene Initiative Anschläge verüben. „Sie sind wahre Korsaren des Cyberspace“, die unabhängig voneinander agieren, analysiert Pierre-Olivier Kaplan. Die Kreml-Armee kann auch auf die Unterstützung staatlicher Agenturen zählen, „wie der SVR, der Auslandsgeheimdienst, sowie sein Cyber-Arm, die sogenannte Stör- und Unterstützungsoperationen durchführen“, betont der Experte. „Der FSB, der Inlandsgeheimdienst, ist im Bereich der militärischen Aufklärung tätig, während die GRU, der interne Nachrichtendienst der russischen Armee, offensive Malware-Operationen durchführt, um die gegnerischen Verteidigungssysteme zu zerstören. „Die Zusammenarbeit dieser drei Dienste veranschaulicht den Cyberkrieg, der direkt vom russischen Staat geführt wird.
Gleich zu Beginn der Invasion organisierte die ukrainische Seite einen Gegenschlag, indem sie ihre IT Ukrainian Army aufbaute, eine Gruppe von Freiwilligen, die unter staatlicher Aufsicht zusammengestellt wurde, um Cyberangriffe auf russische Ziele zu verüben. Die Gruppe verfügt über Erfahrung mit massiven Denial-of-Service-Angriffen (DDoS) und führt auch Geheimdienstoperationen durch, um Informationen zu verbreiten, die die russischen Angreifer schwächen könnten. Diese staatliche Gruppe kann auf die Unterstützung der Gruppe Anonymous zählen, die sich laut eigener Erklärung in einem Tweet vom 24. Februar 2022 „offiziell im Krieg mit der russischen Regierung befindet“. Das Beratungsunternehmen EY zählt 2.500 russische Websites, die seit Beginn der Offensive von dieser internationalen Aktivistengruppe angegriffen wurden. „In Polen unterstützte die Gruppe Squad 303 ebenfalls ausdrücklich das ukrainische Lager. In ähnlicher Weise verteidigt in Weißrussland eine Cyber-Partisanengruppe, die sich gegen die kremlfreundliche Regierung stellt, ukrainische Interessen in Cyber-Kriegsoperationen“, ergänzt Pierre Olivier Kaplan. Aus historischen Gründen haben sich auch die USA frühzeitig in die Lage eingeschaltet und der Ukraine Tools wie den Zugang zu Diensten des Unternehmens Microsoft angeboten, um die Cybersicherheit der kritischen ukrainischen Infrastrukturen zu stärken. Diese Unterstützung hätte dazu beigetragen, „das Schlimmste zu verhindern“, so der Experte. Die amerikanische Hilfestellung hat insbesondere dazu beigetragen, dass ein russischer Angriff mithilfe der Malware Hermetic Wiper abgewehrt werden konnte. Dabei hatten die Angreifer es in den ersten Stunden der russischen Invasion auf Computerserver, Regierungsunternehmen, aber auch auf den Telekommunikationssatelliten KA-SAT abgesehen. Es ist einem anderen amerikanischen Unternehmen, Starlink, zu verdanken, dass die Satellitenverbindung in der Ukraine während dieser wenigen Wochen der Destabilisierung aufrechterhalten werden konnte.
Der Beitrag der parteilichen Unterstützer war daher entscheidend für die Cyber-Bemühungen auf beiden Seiten. „Die Zuverlässigkeit all dieser unterstützenden Gruppen ist jedoch mit Vorsicht zu betrachten“, betont Pierre-Olivier Kaplan. „Denn auf der pro-russischen Seite hat die Meuterei unter der Führung von Jewgenij Prigogin, dem verstorbenen Anführer der Wagner-Gruppe, gezeigt, wie rebellisch diese Entitäten sein können.“
Die Zeit nach dem Krieg in der Ukraine: Auswirkungen auf die Kriege von morgen?
Der Begriff der Resilienz stand in den zwei Jahren der russischen Offensive in der Ukraine mehr denn je im Mittelpunkt. Bisher hat die ukrainische Armee standgehalten, obwohl die neuesten Informationen des norwegischen Militärgeheimdienstes auf eine Eskalation des Konflikts hindeuten. Die größte Auswirkung ist jedoch die Aufnahme von Cyberoperationen und Cyberangriffen in die Militärdoktrinen, wie z. B. der amerikanische Cyber-Angriff auf ein iranisches Militärschiff zeigt, das Anfang 2024 der Spionage verdächtigt wurde.
Der Einsatz von Cyberwaffen in diesem Konflikt zeigt die undurchsichtigen rechtlichen Konturen von Cyberkriegen auf. Denn die Bedrohung kann zu erheblichen Schäden für die Zivilbevölkerung führen, insbesondere bei gezielten Cyberangriffen auf kritische Infrastrukturen. Andererseits verlieren zivile Cyberangreifer ihren Schutz als Zivilisten, obwohl sie keine Angehörigen des Militärs sind. Was die Einstufung ihrer Taten betrifft, so bleibt diese unklar: Terrorismus? Kriegsverbrechen? Verbrechen gegen die Menschlichkeit? Ohne die letzte Frage zu beantworten, hat das Internationale Komitee des Roten Kreuzes (IKRK) deshalb Anfang Oktober 2022 eine Liste von Regeln herausgegeben, um Cyber-Konflikte besser zu regeln. Das übergeordnete Ziel: die Auswirkungen auf die Zivilbevölkerung begrenzen. Insgesamt umfasst die Liste acht Regeln oder Empfehlungen für Cyberangreifer: Keine Durchführung von Cyberangriffen auf zivile Objekte; kein Einsatz von Malware oder anderen Tools oder Techniken, die sich automatisch verbreiten und wahllos militärische Ziele und zivile Objekte beschädigen; bei der Planung eines Cyberangriffs auf ein militärisches Ziel sollten Akteure alles in ihrer Macht Stehende tun, um die Auswirkungen, die Ihre Operation auf die Zivilbevölkerung haben könnte, zu vermeiden oder zu minimieren; keine Cyber-Operationen gegen medizinische und humanitäre Einrichtungen; keine Cyber-Angriffe auf Objekte, die für das Überleben der Bevölkerung unerlässlich sind oder gefährliche Kräfte freisetzen können; keine Gewaltandrohung, um Angst und Schrecken unter der Zivilbevölkerung zu verbreiten; kein Aufruf zu Verstößen gegen das humanitäre Völkerrecht; Einhaltung dieser Regeln auch dann, sofern der Feind dies nicht tut. Diese aufsichtsrechtlichen Regeln können schon heute im Zusammenhang mit den zahlreichen bewaffneten Konflikten, welche die Welt erschüttern und von denen die meisten auch Auswirkungen auf den Cyberspace haben, wie es auch beim israelisch-palästinensischen Konflikt der Fall ist, angewendet werden.
Es gibt also ein Vorher und ein Nachher des russisch-ukrainischen Konflikts. Die offizielle Nutzung von Cybertools als Kriegswaffen hat die Tür für eine Verstärkung und Verschärfung der staatlichen Arsenale im Bereich der Cybersicherheit geöffnet. Und sie wirft die Frage nach einer möglichen verstärkten internationalen Zusammenarbeit bei der Bekämpfung von Cyberkriminalität in Kriegszeiten auf. Neuer Krieg, neue Instrumente: Gibt es neben diplomatischen Beratern bald auch diplomatische Cyber-Berater?