Cybersicherheitspolitik : Cybersanktionen: Ein komplexes Werkzeug mit viel Potenzial

Cybersanktionen sind ein bislang wenig beachtetes Thema in der allgemeinen Diskussion um Cyberwarfare und politisch motivierten Cyberangriffen. Das Institut der Europäischen Union für Sicherheitsstudien (EUISS) definiert Cybersanktionen wie folgt: „Cyber sanctions are defined as the economic and financial measures intended to change the behaviors of targets using malicious cyber activities and/or intrusions.”

Die aktuelle geopolitische Lage bedingt, dass jede Person, als Privatperson wie auch als Mitarbeiter einer Organisation, sich früher oder später mit der Bedrohungslage auseinandersetzen muss. Die Durchführung von Cyberattacken verursachen auf der Angreiferseite immer weniger finanziellen, organisatorischen oder technischen Aufwand. Cyberkriminelle und nationalstaatliche Akteure können von der anderen Seite der Welt aus angreifen, ohne dass sie Spuren hinterlassen.

Ungleichheit der Kräfte

Um künftige Cyberangriffe proaktiv zu verhindern, sollte der Schwerpunkt auf allem liegen, was das Ungleichgewicht der Kräfte bei der asymmetrischen Kriegsführung umkehrt. Maßnahmen sollten ergriffen werden, um solche Aktivitäten undurchführbar und unrentabel zu machen. Konkret bedeutet das: Die Zahlung von Ransomware-Forderungen sollte generell verboten werden und die Finanzierungsquellen krimineller Operationen in den Fokus rücken. Cybersanktionen könnten dabei zu einem der wichtigsten Abschreckungsmittel werden.

Leider wird es immer dann, wenn die Cyberwelt auf die reale Welt trifft, kompliziert. Strafverfolgungsbehörden auf der ganzen Welt stehen vor der Herausforderung, egal ob es sich nun um einen Hacktivisten, einen Cyberkriminellen oder sogar um einen Mitarbeiter eines Geheimdienstes handelt, dass diese sich hinter eigentlich Unbeteiligten und deren Geräten verstecken. Diese Opfer werden von kriminellen Akteuren kompromittiert, um die eigenen Handlungen zu tarnen. Dieser Umstand macht die Umsetzung von Cybersanktionen gegen Gruppierungen und Individuen zu einem komplexen Unterfangen.

Bislang sind in der Europäischen Union wenige Fälle von Cybersanktionen bekannt. Am 30. Juli 2020 verhängte die EU erstmals Cybersanktionen gegen sechs Einzelpersonen und drei Organisationen aus Russland, China und Nordkorea. Die drei Gruppen mit den Namen „WannaCry“, „NotPetya“ und „Operation Cloud Hopper“ wurden beschuldigt, zumindest an einem Cyberangriff gegen die OPCW (Organisation für das Verbot chemischer Waffen) beteiligt gewesen zu sein.

Auf die Sanktionsliste wegen Cyberangriffen

In der Mitteilung heißt es: „Sanktionen sind eine der Optionen, die der EU im Rahmen ihrer Cyberdiplomatie zur Verfügung stehen, um böswillige Cyberaktivitäten, die sich gegen die EU oder ihre Mitgliedstaaten richten, zu verhindern, abzuschrecken und auf sie zu reagieren.“ Der rechtliche Rahmen ist seit Mai 2019 in Kraft. Zu den Sanktionen gehören Reiseverbote und das Einfrieren von Vermögenswerten innerhalb der EU. Ein jüngerer Fall betrifft das russische IT-Unternehmen NTC Vulkan, das im Zentrum der sogenannten „Vulkan Files“ stand und am 23. Juni 2023, wegen der Entwicklung von Programmen für Cyberangriffe und groß angelegte Desinformationskampagnen auf die Sanktionsliste gesetzt wurde (Tagesspiegel Background berichtete).

Cybersanktionen mögen für die EU neu sein. In anderen Ländern sind sie bereits ein vertrautes Mittel. Die USA verhängen seit 2012 regelmäßig Sanktionen gegen Cyberkriminelle, zuletzt im Mai 2023 gegen einen russischen Hacker, dem mehrere Ransomware-Angriffe auf kritische US-Infrastrukturen vorgeworfen werden.

Im Februar 2023 verhängten die USA und Großbritannien die erste gemeinsame Sanktion gegen eine russische Ransomware-Gruppe. Die Maßnahme richtete sich gegen sieben Personen, die die Ransomware Conti und Ryuk sowie den Banking-Trojaner Trickbot einsetzten, um mehrere Privatpersonen und Unternehmen anzugreifen (Tagesspiegel Background berichtete). 

Wie das Prozedere funktioniert

Bereits im Oktober 2020 kündigte das US-Finanzministerium Sanktionen gegen eine russische staatliche Forschungseinrichtung an, die mit einem Malware-System in Verbindung gebracht wurde. Das Zentrale Wissenschaftliche Forschungsinstitut für Chemie und Mechanik (TsNIIKhM) wurde beschuldigt, hinter einer von Hackern ausgelösten Abschaltung einer saudi-arabischen Ölraffinerie im August 2017 mit der Malware Triton zu stecken. Diese Ransomware wurde speziell dafür programmiert, die Steuerung industrieller Sicherheitssysteme zu manipulieren.

Im Jahr 2019 verhängte dasselbe US-Ministerium ähnliche Sanktionen gegen nordkoreanische Cyberkriminelle, die beschuldigt werden, vom Staat gesponsert zu sein – die „Lazarus Group“, „Bluenoroff“ und „Andariel“. Das Cyber-Sanktionsprogramm ist die Grundlage für die Verhängung der Sanktionen, die 2017 eingeführt wurden.

Die Executive Order (E.O.) 13694 konzentriert sich auf spezifische Schäden, die durch erhebliche kriminelle und für die Allgemeinheit gefährliche Cyberaktivitäten verursacht werden. Sie ermöglicht dem US-Finanzminister, in Absprache mit dem Generalstaatsanwalt und dem Außenminister, Sanktionen gegen Privatpersonen zu verhängen. Das Office of Foreign Assets Control (OFAC) des Finanzministeriums arbeitet im Rahmen der ihm übertragenen Befugnisse mit anderen US-Regierungsbehörden zusammen, um Personen und Einrichtungen zu ermitteln, deren Verhalten die Kriterien erfüllt.

Mehr Instrumente sind nötig

Wenn die zuständigen Behörden auf der ganzen Welt der nationalen Cybersicherheit mehr Bedeutung beimessen, werden sicherlich auch mehr Instrumente geschaffen werden, um den Angreifern im Cyberraum das Leben schwerer zu machen. Eine Rechenschaftspflicht kann viel dazu beitragen, Verbesserungen auf breiter Ebene zu erreichen.

Dennoch sollten Organisationen sich nicht allein auf die Strafverfolgungsbehörden verlassen, sondern müssen ihre Daten und Infrastrukturen vor potenziellen Cyberangriffen proaktiv schützen. Ein Sicherheitskonzept und das Wissen um die potenziellen Cyberrisiken sind nach wie vor entscheidend, um die durch die Digitalisierung größere Angriffsfläche zu schützen.

Nadir Izrael ist CTO und Mitgründer des Cybersicherheitsunternehmens Armis