Cybersicherheitspolitik : Es braucht eine ganzheitliche Strategie gegen hybride Angriffe

Anfang Mai werden drei mutmaßliche russische Agenten festgenommen, weil sie Brandbombenanschläge auf den Güterverkehr vorbereitet haben sollen. Im Online-Raum überziehen derweil Verschwörungsideologen und Fake-Websites Bundeskanzler Friedrich Merz mit falschen Kokain-Vorwürfen und einer gefälschten Migrationsagenda. Und nur wenige Wochen zuvor meldet eine besonders sensible Funkanlage der Marine einen unerlaubten Drohnenüberflug, offenbar gesteuert von drei russischsprachigen Männern in der direkten Umgebung. Und als wäre das nicht genug, kam es im April auch noch zu einer bundesweiten Welle von DDoS-Cyberangriffen, die die Websites mehrerer Stadtverwaltungen kurzfristig lahmlegten. Vier verschiedene Fälle, vier verschiedene Domänen, doch eine Handschrift: Hybride Angriffe.

Hybrid heißt: Angriffsdomänen wie Cyberattacken und physisch-kinetische Angriffe verschmelzen, die Attribuierung zwischen staatlichen Urhebern und privaten Stellvertretern ist oft kaum möglich und die Trennlinie zwischen Krieg und Frieden verschwimmt. Hybride Angriffe kombinieren physische, digitale, geheimdienstliche und psychologische Methoden, um komplexe Ziele zu erreichen: Manches sind getarnte Vergeltungsangriffe (zum Beispiel für die militärische Unterstützung der Ukraine oder Taiwans), meistens sollen sie jedoch Angst verbreiten und destabilisieren. Und die Bandbreite hybrider Angriffe ist groß, mindestens 12 Arten hat das Cyberintelligence Institute (CII) in seinen fortlaufenden Analysen identifiziert:

1. Spionage
2. Mordanschläge
3. (Physische) Sabotage
4. Cyberangriffe wie Ransomware, DDoS, CNE oder ICS
5. Informationsoperationen und Desinformation
6. Drohnen
7. Angriffe auf Unterwasserinfrastruktur und Datenkabel
8. GPS- und ILS-Spoofing
9. (Anschlags-)Drohungen
10. Gesteuerte Migration als Mittel hybrider Angriffe
11. Transnationale Kriminalität und kriminelle Netzwerke
12. Korruption

Warum tun wir uns so schwer mit hybriden Angriffen?

Hybride Angriffe sind facettenreich, flexibel, nutzen Grauzonen, überschreiten Grenzen und vermischen Domänen und Akteure. Der Angreifer hat eine Gesamtstrategie, verbindet einen Cyberangriff hier, einen Brandanschlag und Drohnenüberflüge dort zu einem großen Ganzen.

Damit tun sich Regierung, Behörden, Unternehmen und Strategen in Deutschland immer noch schwer. Wo der Angreifer ein großes Ganzes im Blick hat, sieht der Verteidiger Einzelaktionen; wo insbesondere der russische Militärgeheimdienst flexibel und fluide mit taktischen Waffen angreift, reagieren wir träge, schematisch, mit Gesetzen, Normen, Zertifikaten, Regularien und einem Zuständigkeitswirrwarr. Immer noch wird zu oft die Frage gestellt, ob jetzt der Cyberraum oder die physische Infrastruktur wichtiger sei und vergessen, dass beide zusammengehören. Dass Sicherheit und Schutz vor hybriden Angriffen alleine als Verantwortung des Staates gedacht werden, beschleunigt den Aufbau von Resilienz sowie Abwehrkapazitäten und Fähigkeiten auch nur bedingt.

Dabei beginnt alles bei A wie Awareness, also einem Bewußtsein für die Gefahrenlage. Auch wenn es mantrahaft klingt, aber die Erkenntnis, dass russische Wegwerf-Agenten tödliche Sabotageaktionen durch Paketbomben ausführen oder, dass russische Hacker Websites und Dienste von Krankenhäusern, Kommunalverwaltungen, Energie- und Wasserversorgern und Flughäfen als Vergeltung für die Militärunterstützung der Ukraine angreifen, hat sich beileibe noch nicht flächendeckend durchgesetzt. Dass eben dieses Gefahrenbewußtsein und Verständnis immer noch fehlt, zeigen auch die anhaltenden Versäumnisse bei Kapazitäts- und Fähigkeitsaufbau, Reaktionszeiten und Abschreckungspotentialen. Irgendwie, so scheint es, hoffen immer noch viele Entscheider darauf, dass das alles irgendwie bald einfach wieder aufhört, wenn für den Krieg in der Ukraine eine politische Lösung gefunden wird. Doch hybrid ist das neue Normal, sagen Sicherheitsbehörden weltweit fast unisono.

Wie die Drohnenabwehr verkompliziert wird

Ein Beispiel, dass diese Probleme wie kein zweites veranschaulichen kann, sind unerlaubte Drohnenüberflüge. 2023 gab es fast 500 unerlaubte Drohnenüberflüge alleine über Bundeswehrstandorten, die Zahl der Drohnen über Rüstungsschmieden, Werften, Häfen, Bahnanlagen, Kraftwerken und Produktionsstätten ist da noch nicht einmal mitgerechnet. Doch eine Drohnenabwehr- und Resilienzstrategie sucht man auch 2025 genauso vergebens wie spezielle Anti-Drohneneinheiten bei den zuständigen Behörden. Dazu kommt der Kompetenzdschungel: Über Bundeswehreinrichtungen ist die Bundeswehr zuständig, über Bahnhöfen und Flughäfen die Bundespolizei, außerhalb davon die Landespolizei.

Aktiv mit sogenannten „hard kills“, also Abschüssen mit Geschossen, Lasern oder Jammern, darf eigentlich nur die Bundeswehr über ihren Liegenschaften und auch nur bei dringender Gefahr arbeiten. Zu groß ist die Angst vor Kollateralschäden oder Sprengladungen an Board (auch wenn es noch keinen solchen Vorfall gab). Und für „Soft kill“-Verfahren wie Netzwerfer, Scheinwerfer, Wasser- und Nebelwerfer, Blend-Laser, Signal- und Steuerungshacks fehlen offenbar technische und personelle Kapazitäten. Verkompliziert wird die Drohnenabwehr dann auch noch von Faktoren wie Wetter- und Sichtbedingungen, Früherkennung, Flugdauer und Standort. Es ist also eine komplizierte Kette von politischen, rechtlichen, technischen, strategischen und psychologischen Faktoren, die es zu entwirren gilt.

Die Zukunft: Nis-2, Kritis-Dachgesetz und Kompetenzaufbau

Unter den vielen gescheiterten Projekten der letzten Regierung waren auch eine Reihe von Gesetzen, die diese Fragen angehen sollen: NIS-2 für die Cyberresilienz oder das Kritis-Dachgesetz zum physischen Schutz kritischer Infrastruktur. Deren Grundgedanke ist vor allem der Aufbau von Resilienz, also Widerstandsfähigkeit gegen (hybride) Angriffe. Dies wird sowohl physisch, zum Beispiel durch bauliche Maßnahmen oder physische Sicherheit, also auch digital (z.B. Redundanz von Systemen) gedacht. Resilienz wird in Zukunft, genauso wie Risikoanalysen, Pflicht für Einrichtungen der kritischen Infrastruktur (Schätzungen nach bis zu 30.000 Einrichtungen bundesweit). Es geht also vor allem darum, Gefahrenbewußtsein, Risikoanalysen, Vorsorge, Meldeketten, Informationsaustausch und Zuständigkeiten zu verankern.

Was jedoch die Gesetze nicht (und schon gar nicht schnell) angehen, sind die Fragen nach Kapazitäten, Kompetenzen und aktiver Abwehr. Wiederum hilft das Beispiel von Drohnenüberflügen: Die im KritisDachG genannte „bauliche Resilienz“ kann zwar das Risiko, das Spionagedrohnen allzu viele Information erbeuten, oder bei Absturz/Angriff allzu viel Schaden anrichtet, absenken. Ein Drohnenschutzkonzept oder Drohnenabwehr, die über technische wie personelle Kapazitäten verfügt, glaubhaft abschreckt oder zumindest Hürden und Kosten für den Angreifer in die Höhe treibt, ist das aber noch nicht. Dabei zeigt gerade das Beispiel von Drohnen, dass Resilienz alleine das Problem nicht löst, sondern nur im Verbund mit einer ganzheitlichen Strategie zur glaubhaften Abwehr gegen hybride Angriffe Erfolg haben kann.

Solch eine Strategie samt hinterlegter Kapazitäten und Kompetenzen braucht es dann nicht nur auf ministerieller Ebene oder in Behörden, sondern in jeder betroffenen Kritis-Einrichtung. Sie beginnt beim Gefahrenbewußtsein, geht über Frühwarnsysteme und Threat Intelligence (wie das „Hybrid Threat Radar“ des Cyberintelligence Institutes), kombiniert physische und Cyber-Resilienz und ist sich auch für aktive Abwehr-Methoden nicht zu schade, wenn sie Nutzen versprechen. Denn noch so viel bauliche Resilienz und Risikoanalyse wird russische Geheimdienste nicht dazu bringen, Drohnenüberflüge einzustellen, wenn den über 1000 bekannten Überflügen seit 2022 bislang maximal zwei Fälle gegenüberstehen, in den Drohnen aktiv abgewehrt (sprich: abgeschossen bzw. zum Abstürzen gebracht) wurden.

Christopher Nehring ist Intelligence Director des Cyberintelligence Institute (CII) in Frankfurt am Main und forscht zu Geheimdiensten, hybriden Bedrohungen, Desinformation und KI-Cyberrisken.