Der russische Überfall auf die Ukraine am 24. Februar 2022 führte zu großangelegten Angriffen auf Netzwerke und digitale Infrastruktur. Nicht nur die Ukraine sah sich seit Februar vermehrt Cyberangriffen ausgesetzt – auch die skandinavischen Staaten (Island, Dänemark, Norwegen, Schweden und Finnland) mussten sich auf ein neues Bedrohungsszenario durch russische Angriffe online und offline einstellen. Unter dem Synonym Nordics werden hier die skandinavischen Staaten subsumiert: Sie verbindet historische und geographische Gemeinsamkeiten sowie verteidigungspolitische Ideen darüber, wie ihre Gesellschaften und politischen Systeme auf komplexe externe Herausforderungen reagieren sollten. Als Teil der Strategie „Total Defence“ soll die Bevölkerung genauso wie Regierungsinstitutionen proaktiv auf einen militärischen Konflikt oder Katastrophenfall vorbereitet werden: Auch Cyberattacken möchten die Nordics bestimmt entgegentreten.
Total Defence
Das Spektrum der sicherheitspolitischen Herausforderungen ist groß: Informationsoperationen, GPS-Störungen an Grenzen, Sabotagen wie die Vorfälle an Seekabeln 2023 und 2024 sowie politische und wirtschaftliche Spionage – letztere betrifft besonders High-Tech-IT, Offshore-Technologien und Clean-Tech im Energiebereich. Die Liste ließe sich beliebig fortsetzen. Folgt man dem Datensatz von EuRepoC (Tagesspiegel Background berichete), ist evident, wie sich offline und online Konflikte dabei gegenseitig verstärken.
Maßnahmen des CCDCOE, der Stratcom im Europäischen Auswärtigen Dienst der EU und des Hybrid CoE, bilaterale und multilaterale Militärübungen mit den USA, sowie die verstärkte Präsenz der USA (zum Beispiel B-52-Bomber und Aufklärungsflugzeuge nahe der FI-RU-Grenze) sind unter anderem alles Maßnahmen, mit denen die Nordics versuchen, ihre sicherheitspolitische und gesamtgesellschaftliche Resilienz zu erhöhen. Der Anspruch einer „Total Defence“ unterstreicht zugleich die Preparedness, also auf das Unerwartbare vorbereitet zu sein – einschließlich auf Cyberangriffe.
Umso erstaunlicher erscheint es, dass gemäß den Daten des EuRepoC eine auffällig zurückhaltende Attribution von Angriffen seitens der Nordics zu verzeichnen ist. Ungeachtet der Problematik des Attributionsdilemmas ist das insofern interessant, weil viele Informationen über die schwerwiegenden Cyberangriffe bekannt geworden sind.
Was über Cyberangriffe bekannt geworden ist
Ein 2023 bekanntgewordener Cyberangriff auf Dänemarks Kritische Infrastruktur konnte nur äußerst schwerfällig zurückverfolgt werden. Im Zuge einer koordinierten Attacke wurde etwa die Zyxel-Firewall umgangen und im weiteren Verlauf des Angriffs gegen weitere Ziele eingesetzt. Die Angreifer richteten das firmeneigene Sicherheitsnetz gegen die Firmen selbst. Darüber hinaus zeigen die in EuRepoC gesammelten Daten, dass Schweden sowohl in der Masse als auch in der Intensität im Hauptfokus von Cyberattacken steht. Darüber hinaus sind Länder wie Norwegen und Dänemark gute Beispiele dafür, dass die Kritische Infrastruktur ein lohnendes Ziel für Bedrohungsakteure darstellt.
Die gesellschaftliche Aufmerksamkeit für Cyberattacken hat zwar in den letzten Jahren zugenommen, gleichwohl waren bereits 2014 an die 300 norwegische Ölfirmen einer großangelegten Cyberattacke ausgesetzt. Wie auch beim oben angeführten Angriff auf Dänemark wurden kaum Informationen veröffentlicht und von einer öffentlichen Attribution konnte auch nicht die Rede sein. Erst über die Arbeit von IT-Dienstleistern verdichteten sich die Spuren hin zu russischen Akteuren wie Sandworm – einer Gruppe von Hackern, die dem russischen Geheimdienst GRU zugerechnet wird. Jene Akteure treten wiederholt in der Ausführung von Cyber-Attacken gegenüber den Nordics in Erscheinung und werden durch die Tiefenwirkung ihrer Angriffe auch als Advanced Persistent Threat (APT) bezeichnet.
Was über die Angreifer bekannt ist
Ein besonderes Beispiel findet sich im Hackerkollektiv namens „Akira“. Nach Recherchen des WDR handelt es sich hierbei um einen Nachfolger der Gruppe „Conti“, die sich ebenfalls durch den Einsatz von Ransomware auszeichnet. Es fällt jedoch auf, dass Akiras Angriffe stets russische Entitäten oder Verbündete außen vorließen. Neben „Akira“ verdeutlicht insbesondere das professionelle Vorgehen der Gruppe „Killnet“, warum die Attribution von Akteuren ein diffiziles Unterfangen ist.
Im Frühjahr 2023 ereignete sich in Schweden ein großangelegter Angriff auf die Webseiten von Unternehmen. Der verantwortliche Akteur „Storm-1359“, auch als „Anonymous Sudan“ bekannt, konnte im Laufe der Ermittlungen als Untergruppe des bekannten prorussischen Kollektivs „Killnet“ enttarnt werden. „Anonymous Sudan“ behauptet von sich dennoch, eigenständig aus dem Sudan für politische und religiöse Motive zu kämpfen. Solche False-Flag-Kampagnen erschweren die Attribution ungemein und schaffen für die Ausführenden hinter Cyberangriffen Zeiträume, um sich zu verbergen.
Warum üben sich die Nordics dennoch in Zurückhaltung?
Schweden und Finnland haben mit dem Nato-Beitritt ihre Verteidigungsfähigkeit verstärkt. Auch zeugt der Beitritt Dänemarks zur Gemeinsamen Sicherheits- und Verteidigungspolitik der EU von einer neuen verteidigungspolitischen Bereitschaft. Dänemark setzt sich beispielsweise für die Ausbildung ukrainischer Piloten ein. Mit diesen Maßnahmen rücken die Nordics in den Fokus russischer Cyberangriffe. Umso erstaunlicher ist es, dass Norwegen und Dänemark von staatlicher Seite Angriffe aus kaum oder gar nicht attributieren, zum Teil sogar nicht einmal anerkennen.
In dieses Vakuum stoßen dann oft IT-Dienstleister oder die Opfer von Cyberattacken, die selbst Informationen zu diesen Vorfällen veröffentlichen. So wurden in Dänemark rund 35 Prozent aller Attribuierungen von Seiten der Privatwirtschaft vorgenommen, während von politischer Seite her nur rund neun Prozent zugeordnet wurden. In der Vergangenheit dauerte es zum Teil Jahre, bis Angreifer öffentlich attribuiert wurden. Dies trifft aber auch im gleichen Maße auf zahlreiche andere EU-Staaten zu.
Die Zurückhaltung von Verantwortungszuschreibungen hat Konsequenzen für die Verfolgung beziehungsweise Nichtverfolgung derartiger Straftaten. So wurden diplomatische Mittel nach Cyberattacken kaum genutzt, um Tätergruppierungen oder Regierungsmitglieder zu sanktionieren. Von einer Politik der Zero-Tolerance sind die Nordics trotz ihrer Exponierung weit entfernt. Auch bleibt ungeachtet, dass seit der russischen Invasion der Ukraine die Bedrohung durch Cyberangriffe stetig zunimmt und sich die Hinweise auf die politischen Hintergründe der aktiven APTS gegenüber den Nordics verdichten.
Mögliche Erklärungen für die verhaltene Attribution
Bis zum Beginn des Ukrainekrieges im Februar 2022 orientierten sich Schweden und Finnland an vertrauens- und sicherheitsbildenden Maßnahmen in den einschlägigen multilateralen Organisationen. Jeglicher direkte Konfliktaustrag sollte vermieden werden. Gerade die wirtschaftliche Verknüpfung der Nordics mit Russland, insbesondere im Handelssektor, schuf ein enormes Druckmittel und hob das wirtschaftspolitische Potenzial der bilateralen Beziehungen, das die zwischenstaatlichen Spannungen überlagern sollte. Die geografische Nähe zu Russland unterstreicht die Neutralitätsambitionen. Der Wunsch nach Neutralität ist historisch tief verankert und erklärt den späten Nato-Beitritt. Nicht zuletzt spielt der technologische Vorsprung in der Cyberkriegsführung Russlands eine entscheidende Rolle.
Dennoch kann das Attributionsdilemma im Ergebnis so kaum überwunden werden, da eine politische und rechtliche Reaktion ausbleibt oder sich verzögert. Ohne klare Attribution zögern insbesondere vulnerable Staaten oft, aus Angst, die Falschen zu sanktionieren. Denn es besteht eine nicht zu unterschätzende Eskalationsgefahr, wenn falsch zugeschriebene Angriffe wiederum zu neuen Feindseligkeiten zwischen unbeteiligten Staaten führen.
Gleichwohl ist die Straflosigkeit im Cyber- und Informationsraum ein gravierendes Problem, das von Angreifern massiv ausgenutzt wird. Eine abschreckende Wirkung infolge einer Sanktionierung bleibt aus. Von einer Zero-Tolerance Strategie, um internationales Recht durchzusetzen und Due-Diligence Pflichten einzufordern, sind die Europäer insgesamt noch weit entfernt.
Die baltischen Staaten verfolgen eine andere Strategie
Im Gegensatz zu den Nordics zeigen die baltischen Staaten, wie offensive Strategien gegen APTs verfolgt werden. Insbesondere Estland und Litauen gelten aufgrund ihrer Erfahrungen mit hybriden Bedrohungen und ihrer geopolitischen Lage als Vorreiter in der aktiven Cybersicherheit. Estland nutzt Blockchain-Technologie, um staatliche Datenbanken vor Manipulation zu schützen, und hat mit der Cyber Defence Unit eine Plattform geschaffen, die freiwillige IT-Experten für den Ernstfall mobilisiert.
Litauen ergänzt dies mit einem zentralisierten Nationalen Cyber-Sicherheitszentrum (NCSC), das schnelle Reaktionen und koordinierte Entscheidungen ermöglicht. Unternehmen werden frühzeitig in die Attribution von Cyberangriffen eingebunden: Litauen setzt hier in 40 Prozent der Fälle auf Unternehmen, Estland 24 Prozent und Lettland 36 Prozent. Groß angelegte Cyberübungen wie Estlands „Locked Shields“ fördern eine zivile wie militärische Sensibilisierung für Cybersicherheitsfragen. Die strategische Zentralisierung von Cybersicherheit gewährleistet schnellere politische Entscheidungen und eine gesamtgesellschaftliche Resilienz.
So wie die baltischen Staaten aus der Not eine Tugend der engen Zusammenarbeit gemacht haben, so haben sich auch die Nordics zum Ziel gesetzt, eine stärkere gemeinsame Absprache bei der Attribution zu praktizieren. Wie bei anderen europäischen Staaten auch lässt sich eine Trendwende bei der Verantwortungszuschreibung konstatieren: Es wird öfter und schneller attributiert.
In der Verteidigung sollen militärische Manöver durch die Nato die gemeinsame Abwehr einüben. Cyberangriffe als Teil der Kriegsführung wurden aber bisher kaum berücksichtigt. Nordics und die baltischen Staaten können voneinander lernen, genauso fallen aber unterschiedliche strategische Kulturen und Interessen in der europäischen Cybersicherheit ins Gewicht. Ein Grund mehr, warum die neue EU-Führung die europäische Cyberresilienz und Abwehrfähigkeit zur politischen Priorität erklärt hat.
Diesen Beitrag verfassten Paul Brehme, Anton Funk, Hannes Herfordt, Robert Lakeberg, Marie Malik und Nils-Peter Stonjek im Rahmen des Universitätsseminars „European Cybersecurity“ WS 2024/2025 an der Universität Osnabrück unter der Leitung von Annegret Bendiek.
Bendiek ist leitende Mitarbeiterin der Forschungsgruppe EU/Europa und koordinierende Leiterin im Forschungscluster Cybersicherheit und Digitalpolitik bei der Stiftung Wissenschaft und Politik.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Bendiek erschienen: Cybersicherheit ist der Kern europäischer „Preparedness“
