Viel wird derzeit über drohende Cyberangriffe aus Russland gesprochen. Russische Hacker, so die Sorge, könnten möglicherweise als Vergeltungsmaßnahme für deutsche Waffenlieferungen an die Ukraine gezielt Kritische Infrastrukturen wie die Strom- oder Wasserversorgung in Deutschland attackieren.
Nicht jeder Cyberangriff spielt in der gleichen Liga
Um
diese Befürchtungen besser einzuordnen und um die passenden politischen
Reaktionen auszuwählen ist es hilfreich, Cyberangriffe differenzierter
zu betrachten als dies in der öffentlichen Diskussion manchmal
geschieht. Grundsätzlich sind bezüglich möglicher Angriffe mindestens
folgende Aspekte zu betrachten:
Wer greift an: Erfolgt der Angriff auf Anordnung einer staatlichen Stelle, etwa im Rahmen einer militärischen Operation, oder stehen Einzelpersonen („Hacktivisten“ oder organisierte Kriminelle) dahinter?
Wie wird angegriffen: Liegt ein einfacher (Distributed-)Denial-of-Service-Angriff vor, der z. B. einen Webserver temporär nicht verfügbar macht, oder werden die Zielsysteme vollständig kompromittiert, sodass Angreifer beliebigen Schadcode darauf ausführen können und möglicherweise auch Daten ausspähen?
Was wird angegriffen: Handelt es sich um einen gezielten Angriff auf Kritische Infrastrukturen wie die Energieversorgung, den Transport-Sektor oder ein Krankenhaus? Wurde eher willkürlich ein geeignetes Ziel (etwa ein Unternehmen mit nicht ausreichend geschützter IT-Infrastruktur) ausgewählt oder bewusst auf einzelne Personen gezielt – zum Beispiel hochrangige Politiker:innen und Bürger:innen?
Aus der Kombination dieser und weiterer Merkmale ergeben sich verschiedene Ausprägungen möglicher Angriffe, deren Eintrittswahrscheinlichkeiten und resultierende Schäden. Je nach Cyberangriff können die Risiken und die Folgen für Einzelne und die Gesellschaft sehr unterschiedlich sein.
Russland wird keinen offenen staatlich gesteuerten Cyberangriff wagen
Keiner dieser Angriffe bewegt sich im rechtsfreien Raum, würde also Konsequenzen bis hin zu einer möglichen Eskalation des militärischen Konflikts möglich machen. Von Russland staatlich angeordnete Angriffe auf Kritische Infrastrukturen westlicher Länder sind deshalb derzeit genauso unwahrscheinlich wie russische Panzer vor den Toren Berlins: Solange Länder wie Deutschland nicht aktiv in den militärischen Konflikt eingreifen, stellen unprovozierte staatliche Cyberangriffe eine Eskalation der Gesamtlage dar, die weder den von Russland in der Ukraine verfolgten Zielen dienen noch Reaktionen von Deutschland oder der Nato hervorrufen würden, an denen Russland aktuell Interesse haben kann.
Zudem zeigt der bisherige Verlauf der Invasion in der Ukraine, dass Cyberangriffe eine noch untergeordnete Rolle spielen: Beispielsweise werden Kraftwerke besetzt, aber nicht durch Cyberangriffe aus der Ferne handlungsunfähig gemacht. Wenn solche Angriffe also auch nicht in aktuell umkämpften Gebieten durchgeführt werden, welches Ziel sollte damit von offizieller russischer Seite in nicht direkt beteiligten Ländern wie Deutschland erreicht werden? Falls überhaupt, wäre eine gezielte Sabotage, möglicherweise auch durch Cyberangriffe etwa auf logistische Abläufe wie die Lieferung von militärischer Ausrüstung, ein wesentlich näher liegendes Ziel.
Unterhalb der staatlichen Ebene sind Cyberangriffe auf Deutschland denkbar
Aktionen wie beispielsweise die des Kollektivs „Anonymous“, welches dazu auffordert, einen „Cyberwar“ gegen Russland zu führen, werden mit hoher Wahrscheinlichkeit nur vergleichbare Aktionen privat agierender Personen in Russland provozieren.
Diese können sich dann selbstverständlich auch gegen kritische Infrastrukturen unter anderem in Deutschland wenden und stellen eine reale Bedrohung dar. Hier müssen die Warnungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) und anderer Stellen ernst genommen werden. Es ist mit einer zunehmenden Zahl von Angriffsversuchen zu rechnen, die über die auch sonst jederzeit zu beobachtenden Ransomware-Fälle hinaus geht.
Diese Angriffe sind zwar einerseits nicht zu unterschätzen, spielen aber andererseits qualitativ in einer „niedrigeren Liga“
als Aktionen staatlicher und militärischer Cyber-Offensiveinheiten.
Eine erhöhte Wachsamkeit, um schnell reagieren zu können, ist deshalb
angebracht, aber Panik wäre unangemessen: Alle derartigen Vorfälle könnten auch völlig unabhängig vom aktuellen Konflikt in der Ukraine eintreten.
Zu den „Anonymous“-Aktivitäten ist ferner anzumerken, dass sie einerseits die falschen Ziele
treffen: Nach bisheriger westlicher Einschätzung steht nur ein Teil der
russischen Bevölkerung hinter dem Angriffskrieg auf die Ukraine. Dies
kann sich aber schnell ändern, wenn größere Teile der russischen
Bevölkerung durch erfolgreiche Angriffe auf russische Kritische
Infrastrukturen in Mitleidenschaft gezogen werden. Andererseits könnten
die an solchem Aktivismus beteiligten Personen der Bevölkerung in der
Ukraine wesentlich besser helfen, beispielsweise durch Spenden oder
Engagement in der Flüchtlingshilfe.
Eine hohe Spendenbereitschaft zieht auch digitale Betrüger an
Ein weiterer Aspekt betrifft Einzel- und Privatpersonen in Deutschland und Europa: Vermeintlich interessante Schlagzeilen können dazu verleiten, sich über einen Klick auf E-Mail-Anhänge oder Web-Downloads Schadsoftware einzufangen. Durch die so ausgespähten Passwörter können dann Fake News über legitime Accounts in Sozialen Medien verbreitet werden, Botnetze aus kompromittierten privaten Endgeräten können zu weiteren DoS-Angriffen führen und die klassische Ransomware, die sich zuletzt auf zahlungskräftige Unternehmen fokussiert hat, könnte auch bei Privatpersonen wieder zu einem größeren Problem werden. Letztlich versuchen in der aktuellen Lage auch gewöhnliche Betrüger, beispielsweise über fingierte Spendenaufrufe an schnelles Geld zu kommen.
Insofern ist eine breite Sensibilisierung über Warnungen sicherlich angemessen. Ein Schüren von Panik, dass gezielte Angriffe eines übermächtigen Gegners kurz bevorstehen und unausweichlich zu Katastrophen wie einem anhaltenden flächendeckenden Stromausfall führen werden, ist der aktuellen Situation aber sicher nicht angemessen, auch wenn diese Einschätzung an die laufenden Entwicklungen angepasst werden muss. Es bleibt zu wünschen, dass der Konflikt in der Ukraine ein baldiges Ende ohne weiteres menschliches Leid findet und sich die Entscheidungsträger in Deutschland und Europa auch danach noch daran erinnern, dass in IT-Sicherheit und die Ausbildung spezialisierter Fachkräfte investiert werden muss – auch, um auf Situationen vorbereitet zu sein, die die meisten vor einigen Monaten noch für unmöglich gehalten hätten.
Wolfgang
Hommel ist seit 2021 Leitender Direktor des Forschungsinstituts CODE
der Universität der Bundeswehr München; zuvor war er dort als
Technischer Direktor tätig. Seit 2016 hat er die Professur für
IT-Sicherheit für Software und Daten an der Fakultät für Informatik der Bundeswehr-Universität München. In seiner Forschung am Institut CODE befasst er sich
schwerpunktmäßig mit der Absicherung digitaler Identitäten, dem
Security Monitoring in softwarebasierten organisationsübergreifenden
Datennetzen und der Sicherheit der Kommunikation unter anderem von
Internet-of-Things-Komponenten.