Erweiterte Suche

Cybersecurity

Kolumne Der Cyberkonflikt zwischen Israel und der Hamas

Der Krieg in Nahost wird begleitet von einem digitalen Konflikt. Es lassen sich daraus Erkenntnisse über Cyberfähigkeiten im Kontext physischer Kriege ziehen. Bezieht man noch ältere Kriege mit ein, zeigt sich eine erstaunliche Kontinuität des digitalen Konfliktgeschehens, kommentiert Matthias Schulze.

Matthias Schulze

von Matthias Schulze

veröffentlicht am 11.01.2024

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

In den vergangenen Wochen waren die Schlagzeilen voller Berichte über Cyberangriffe rund um den Krieg in Nahost. Dabei zeigten sich einige bekannte Muster in der Verwendung von Cyberfähigkeiten. Die Angriff der Terrororganisation Hamas auf israelischem Territorium am 7. Oktober wurde begleitet von simplen Distributed Denial of Service Angriffen (DDos), also massenhaften Anfragen an Websites, welche diese überlasteten. Dabei wurden insbesondere Medienhäuser (etwa die englischsprachige „Jerusalem Post”) sowie israelische Regierungswebseiten temporär überlastet, so Cloudflare.

Solche Aktivitäten haben sich in zahlreichen Kriegen etabliert, etwa in der Ukraine 2022 oder auch in Georgien 2008. Damals wie heute wurden damit vermutlich zwei Ziele verfolgt: erstens das Stören der internationalen Kommunikation, um die Bodenoperation zu verschleiern, damit Verteidiger nicht so schnell reagieren können und zweitens, die Beeinflussung des Informationsumfelds. DDoS Angriffe scheinen also ein etabliertes Element in der ersten Phase von bewaffneten Konflikten geworden zu sein.

Hacktivismus im Wandel der Zeit

In den Tagen rund um den Angriff auf Israel wurde auch das zweite Phänomen sichtbar, das spätestens seit 1998 bewaffnete Konflikte begleitet: internationaler „Hacktivismus“. Im aktuellen Israel-Hamas Konflikt wurden um die 100 aktive Gruppen von Hacktivisten gezählt, die vorwiegend auf pro-palästinensischer Seite israelische Ziele angreifen. Es gibt aber auch einige pro-israelische Gruppen.

Ausschlaggebend ist bei diesen Gruppen häufig die persönliche Betroffenheit oder individuelle Nähe zum Konfliktgegenstand. Aus der Forschung ist bekannt, dass erlittene „grievances“ (Groll) oftmals ursächlich dafür sind, dass Zivilisten zu irregulären Kombattanten in Konflikten werden. So scheinbar auch in der Cyberdomäne.

Als die Nato 1998 im Kosovo intervenierte, legten pro-serbische Gruppen Nato-Webseiten mit DDoS Angriffen lahm und beschmierten diese mit digitalen Botschaften („website defacement”). Als die Nato versehentlich die chinesische Botschaft in Belgrad bombardierte, begannen chinesische Hackerinnen und Hacker sich an den DDoS- Aktivitäten zu beteiligen.

Im Ukrainekrieg beteiligten sich ebenfalls über 100 Kollektive von überall auf der Welt, die im Kontext der ukrainischen Initiative der IT-Army of Ukraine aber einen stärkeren Organisationsgrad aufweisen. Zudem gibt es bisweilen eine Überscheidung der Gruppen zwischen dem Krieg in der Ukraine und dem in Gaza: die prorussische Gruppe „Killnet“ steht etwa auf propalästinensischer Seite und verkündete spektakuläre Angriffe auf israelische Nuklearinfrastruktur (ohne, dass es dafür notwendigerweise Beweise gäbe).

Diese Vermischung der zwei Konflikte zeigt sich sowohl auf der Seite der Angreifer, als auch auf der Seite der Opfer. Wie auch in der Ukraine werden global-agierende Unternehmen oder auch Drittstaaten Opfer von (Distributed) DoS-Angriffen, etwa wenn sie ihre Unterstützung für die eine oder andere Seite in diesem Konflikt signalisieren. So geriet Indien ins Visier pro-palästinensischer Hacktivisten, als es eine Unterstützung für Israel signalisierte. Gleiches kennen wir aus der Ukraine.

Hacktivistengruppen unterscheiden sich hinsichtlich ihrer Ideologien, ihrer Motivationen und Angriffstechniken. Zu den historisch dominanten Angriffstechniken gehören Denial of Service Angriffe, Website Defacements, Informationsoperationen und Spam. Im Ukrainekrieg kamen zudem sogenannten „Hack & Leak“-Operationen neu dazu. Im Vergleich zu damals hat sich also im Wesentlichen die Automatisierung und die Skalierung beziehungsweise der Umfang von DoS verändert. Durch die zunehmende Digitalisierung gesellschaftlicher Prozesse sind durch DoS Angriffe heute zudem Effekte möglich, die so in den 1990er-Jahren bisher nicht realisierbar waren. So legten im Dezember 2023 pro-israelische Hacktivisten im Iran Tankstellen mittels DoS lahm.

Bei „Hack & Leak“-Angriffen werden Webportale oder Datenbanken gehackt und ihr Inhalt über Filehoster oder Darknet-Plattformen veröffentlicht. Im Ukraine-Krieg wurden dabei viele Terabyte an Daten, insbesondere von russischen (aber auch von ukrainischen und internationalen) Zielen veröffentlicht. Im aktuellen Konflikt zwischen Israel und Gaza gibt es auch „Hack & Leak“-Operationen, allerdings scheinen diese weniger zahlreich zu sein als im Ukraine-Krieg. Wie auch dort, lässt sich die Echtheit dieser Leaks nicht immer bestätigen. Die Steigerung der Aufmerksamkeit, des Image und des Ruhms von Kollektiven in der Szene durch angeblich spektakuläre Hacks war bereits 1998 im Kontext des Kosovo-Krieges als ein Element des Hacktivismus zu beobachten.

Der Informationsraum als Konfliktgebiet

Cyberangriffe haben in der Regel zwei Effekte gleichzeitig: Sie beeinträchtigen ein System und sie senden eine Botschaft. Diese kommunikative Funktion von Cyberangriffen spielt natürlich auch in bewaffneten Konflikten eine Rolle. Historisch betrachtet war „website defacement“, also das Hacken von Content-Management-Systemen auf Websites und das Platzieren von Anti-Kriegsbotschaften oder Propaganda zur Demoralisierung oder Dämonisierung des Gegners ein bekanntes Element. Auch Angriffe auf Medienhäuser oder das Senden von Botschaften über TV und Funk ist ein etabliertes Element.

Dabei handelt es sich um strategische Kommunikation beziehungsweise Informationsoperationen. Das Ziel dabei ist, das Informationsumfeld oder Diskurse in bestimmten Zielgesellschaften mit den eigenen Botschaften und Narrativen zu dominieren. Für Gruppen wie die Hamas geht es dabei auch um die Rekrutierung von neuen Kämpfern.

Die Demoralisierung von Gegnern kann ebenfalls ein Ziel sein, wie der Fall der manipulierten Raketenwarnapp „Red Alert“ zeigt. Red Alert ist eine Open-Source App, welche die israelische Bevölkerung nutzt, um Warnungen vor Raketenangriffen zu erhalten. Am 16.10. tauchte eine manipulierte Website, auf, welche eine Variante von Red Alert für Android anbot, die einen Trojaner enthielt.

Die gefälschte Variante diente wohl, als Spyware, um Nutzerinnendaten abzugreifen, ist aber auch in der Lage gefälschte Push-Nachrichten über angebliche Raketenangriffe auszuliefern. Es gibt Berichte darüber, dass Hacktivisten gezielt versuchen, die APIs solcher Warnapps zu kapern, um falsche Alarme, vermutlich zur Demoralisierung, auszulösen.

Spätestens seit dem Ukrainekrieg 2022 zeigt sich, wie enorm wichtig die Dominanz des Informationsumfelds in bewaffneten Konflikten im Informationszeitalter geworden ist. Präsident Selenskyjs bekannt gewordene Videobotschaft, dass der frühe russische Einmarsch nicht zu einer schnellen Eroberung Kiews geführt und die „Enthauptung“ der ukrainischen Regierung gescheitert ist, sendete ein wichtiges, internationales Signal: „we are still here“. Die ukrainische Regierung zeigt seit 2022 eindrucksvoll, wie ein Staat Informationsoperationen gestalten kann, um internationalen politischen Support zu generieren (Waffenlieferungen), die Moral der eigenen Bevölkerung zu stärken und gleichzeitig russische Narrative zu diskreditieren. Aber auch Russland war natürlich nicht untätig. Allerdings ist strategische Kommunikation ein Marathon und kein Sprint, sodass die langfristige Wirkung noch offen ist.

Viele Streitkräfte scheinen allerdings schon jetzt davon gelernt zu haben, so auch die Israeli Defence Forces (IDF), die seit Anfang Oktober medial enorm präsent sind und strategische Kommunikation betreiben. Dazu gehört das „debunking” von Falschmeldungen und die Produktion von Gegennarrativen zu Botschaften der Hamas, über viele Medienarten hinweg. Zudem gibt es Vermutungen, dass die IDF auch für Internet-Blackouts im Gazastreifen verantwortlich sein könnte. Der Ausfall der Internetkonnektivität erfolgte parallel zur israelischen Gegenoffensive und hatte vermutlich die Funktion, die palästinensische Kommunikation und Gegenreaktion zu stören. Internet-Blackouts spielen auch im Ukrainekrieg immer wieder eine Rolle, insbesondere in den Frontregionen und sind scheinbar ein etabliertes Mittel innerhalb bewaffneter Konflikte geworden.

Staaten als Akteure

Interessanterweise lassen sich im aktuellen Cyberkonflikt (bisher) nur relativ wenige staatliche oder staatsnahe Cyberoperationen beobachten. Das unterscheidet den gegenwärtigen Krieg etwa vom Ukraine-Krieg, in dem russische Bedrohungsakteure („APT 28“, „Sandworm“,„ APT 29“, „Gamaredon“) schon lange vor dem Ausbrechen der Kampfhandlungen in ukrainischen Netzwerken aktiv waren.

Erst zwei Wochen nach Ausbruch der Kampfhandlungen in Israel wurden Meldungen über vermutlich iranische Bedrohungsakteure „MuddyWater“, „APT 42“ und „Imperial Kitten“ bekannt, welche Spear-Phishing-Kampagnen gegen israelische Ziele starteten. Iran ist traditionell der dominanteste Bedrohungsakteur gegenüber israelischen Netzen.

Interessanterweise ist von israelischen Bedrohungsakteuren bisher nichts zu hören. Unit 8200 des israelischen Nachrichtendienstes gilt als einer der weltbesten Cybereinheiten, die in der Vergangenheit erfolgreich gegen die Hamas vorgegangen ist. Entweder sind die Operationen zu gut getarnt, oder nicht im Fokus westlicher Threat-Intelligence-Akteure.

Vorwiegend temporäre Störungen

Generell beobachten diverse IT-Sicherheitsunternehmen den improvisierten Charakter der beobachtbaren Cyberaktivitäten. Viele Angriffe sind opportunistisch, es wird also das gehackt, was man einfach erreichen kann. Über gezielte, langanhaltende Angriffe ist bisher wenig bekannt. Es gibt auch eher weniger Berichte über komplexere Angriffe, vergleichbar mit dem KA-SAT Hack oder den zahlreichen Wipern aus der frühen Phase des Ukraine-Kriegs. Vermutlich ist es dafür auch noch zu früh. Die meisten sichtbaren Cyberangriffe fallen in die Kategorie temporäre Störungen und Belästigung.

Wie auch in der Ukraine schon, zeigt sich hier erneut, dass Cyberoperationen (bisher) kaum strategische Effekte im Kontext von bewaffneten Konflikten erzielen. Sie können eine taktische Funktion haben, etwa indem durch Cyberangriffe Informationen gestohlen werden, die von Streitkräften genutzt werden könnten. Ein Beispiel hierfür sind gehackte Live-Feeds von Überwachungskameras, welche die Position von Zivilisten oder Streitkräften offenbaren können. Auch Cyberspionage ist in bewaffneten Konflikten sinnvoll, etwa um Informationen über Anzahl und Beschaffenheit des Gegners zu bekommen. Dabei können beispielsweise Daten aus verschiedenen Datenlecks und „Hack & Leak“-Operationen zusammen geführt werden.

Das Kriegsgeschehen auf dem Boden wird zumindest bisher kaum von Cyberoperationen beeinflusst. Wichtiger scheint indes die kommunikative Funktion von Cyberfähigkeiten und die Möglichkeiten, welche die Digitalisierung für strategische Kommunikation bietet.

Matthias Schulze ist der Leiter des Forschungsschwerpunkts Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH).

In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen