Der barbarische Krieg in der Ukraine tobt nun schon seit fast zwei Monaten. Bisher muss allerdings konstatiert werden, dass der große Cyberkrieg (noch) ausgeblieben ist. Eine Analyse von über 400 gesammelten Cybervorfällen, die mit dem Krieg in Verbindung stehen, zeigt, dass der Großteil eher geringe bis mittlere Intensität hatten. Physische Schäden, länger anhaltende Ausfälle Kritischer Infrastrukturen oder gar Stromausfälle hat es bisher kaum gegeben – auch wenn es Versuche gegeben hat.
Der Chef des britischen Nachrichtendienstes GCHQ fasste in einer Rede die Lage so zusammen: „Während einige Leute nach einem „Cyber Pearl Harbor“ gesucht haben, war es nie unsere Auffassung, dass ein katastrophaler Cyberangriff ein zentraler Bestandteil der russischen Cyberoffensive oder ihrer Militärdoktrin ist.“ Stattdessen sehe man eine gezielte Kampagne russischer Cyberakteure, die ukrainische Regierungs- und Militärsysteme angreifen und stören.
Die Cyberlage um den Ukraine Krieg
Zu den bemerkenswerteren Angriffen gehören eine Serie sogenannter Wiper-Attacken gegen ukrainische Behörden, die Daten exfiltriert und gelöscht hatten (Tagesspiegel Background berichtete). Das genaue Ausmaß der gelöschten Daten und betroffenen Ministerien ist bisher unklar. Aber der Einsatz von fünf verschiedenen Wiper-Generationen spricht dafür, dass man hier auf größtmögliche Reichweite setzte. Auch wenn genaue Analysen und Attribution zum Teil noch ausstehen, ist anzunehmen, dass diese Schadsoftwarevarianten verschiedenen russischen Bedrohungsakteuren zugeschrieben werden können.
Neben destruktiven Wiper-Angriffen betreibt Russland auch vermehrt Cyberspionage. Am 7. März meldete etwa Google‘s Threat Analysis Group, dass sie vermehrte Aktivität von Phishing und Spionagekampagnen von APT28 (Russland) und Ghostwriter/UNC1151 (vermutlich Belarus) sähen. Am 31. März tauchte schließlich ein Bericht in ungarischen Medien auf, der von einer umfassenden Kompromittierung des ungarischen Außenministeriums durch russische Spionagekampagnen berichtete.
Diese Kompromittierung gehe teils Jahre zurück, da es Ungarn aufgrund fehlender Kompetenzen und politischem Willen nicht gelang, die Angreifenden permanent aus den Netzwerken zu verbannen. Insider berichteten zudem von erhöhter Aktivität der Angreifer im Januar. Sie hätten über das ungarische Außenministerium Fernzugriff auf sensible Datenkanäle der EU und Nato bekommen – die zu dieser Zeit zur eskalierenden Lage in der Ukraine tagten.
Neben diesen staatlichen Aktivitäten ist das Cyberkonfliktbild von einer Vielzahl Hacktivist:innen gekennzeichnet (Tagesspiegel Background berichtete). Zusammenfassend lässt sich also sagen, dass all diese Vorfälle eher kleinere Störungen sind, eine eher unkoordinierte Taktik der tausend Nadelstiche. Sie beeinflussen die Ereignisse am Boden nicht wirklich.
Resiliente Ukraine
Trotz der desaströsen Zerstörungen und den Kriegsverbrechen in der Ukraine ist die ukrainische Netzinfrastruktur noch funktionsfähig. Hierfür sind viele Gründe ausschlaggebend. Die Ukraine gilt seit 2014 als „Testgebiet für Cyberkrieg“ und hat seitdem, wohl wie kein zweites Land auf der Welt, praktische Erfahrung in der Abwehr von Cyberangriffen machen können. Eine weitere Rolle dürfte die präventive Cyberdiplomatie im Vorfeld des Krieges gespielt haben.
Länder wie Litauen, Australien und die USA haben der Ukraine nach der illegalen Annexion der Krim durch Russland dabei geholfen, Cyberangriffe abzuwehren und ihre Netze störungsfrei aufrechtzuerhalten. Im Juni 2021 hat zudem der erste EU-Ukraine Cybersicherheitsdialog stattgefunden, der vor allem auf den Kapazitätsaufbau ausgerichtet war. Ferner wurden wesentliche Hilfen von Microsoft, Amazon aber auch durch private Unternehmen wie Starlink geleistet, um die ukrainische Infrastruktur aufrechtzuerhalten und diverse Angriffe und Wiper-Malware aus Russland abzuwehren.
Konkret zeigte sich das etwa im Falle der Zusammenarbeit mit dem slowakischen IT-Unternehmen Eset. Gemeinsam mit ihnen konnte das ukrainische Computer Emergency Response Team (CERT) Anfang April einen Stromausfall verhindern, indem eine Schadsoftware namens Industroyer2 rechtzeitig identifiziert und unschädlich gemacht wurde. Industroyer2 basiert auf einer Schadsoftware, die bereits 2016 in Kyiw kurz den Strom ausschalte. Ukrainische Cyberspezialist:innen studierten diesen Angriff intensiv und lernten daraus, was letztlich sinnvoll für die Vorbereitung gewesen sein dürfte.
Das EU Cyber-Rapid-Response Team
Auch die Europäische Union (EU) hat Unterstützung in Sachen Cyberabwehr initialisiert: Kurz nach der Invasion entsandte sie ein von Litauen geführtes Cyber-Rapid-Response Team (CCRT), das die Ukraine zur „Bewältigung der wachsenden Cyberbedrohungen unterstützen wird". Das CRRT ist faktisch von der EU auf Ersuchen der Ukraine eingesetzt worden und stellt die erste Operation dieser 2019 gegründeten Einheit im Rahmen der Ständigen Strukturierten Zusammenarbeit (kurz SSZ) der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) dar.
Das CRRT ist eine Gruppe von Mitarbeitenden aus sechs EU-Mitgliedsländern – Litauen, Kroatien, Polen, Estland, Rumänien und den Niederlanden. Es ist eines von insgesamt zehn Cyberprojekten der EU – und ein wichtiger Teil des Selbstverständnisses. So zeigt etwa ein Blick in den kürzlich verabschiedeten Strategischen Kompass der EU, dass die Cyberverteidigung als eine für die EU neue aber sehr wichtige Domäne ihrer Verteidigungspolitik angesehen wird.
CRRTs sollen es den Mitgliedstaaten theoretisch ermöglichen, sich gegenseitig zu unterstützen, um ein höheres Maß an Cyberresilienz zu gewährleisten und gemeinsam auf Cybervorfälle zu reagieren. CRRTs können zur Unterstützung anderer Mitgliedstaaten, EU-Institutionen, GSVP-Operationen sowie von Partnern eingesetzt werden. Die CRRTs werden mit einem gemeinsam entwickelten, einsatzfähigen Cyber-Toolkit ausgestattet, mit dem sie Cyberbedrohungen aufspüren, erkennen und entschärfen können. Die Teams führen beispielsweise Schwachstellenbewertungen durch. Das CRRT ist und bleibt aber nur ein Baustein von insgesamt zehn PESCO-Projekten. Diese reichen von Lagebilderstellungen, über elektronische Kriegsführungsfähigkeiten bis hin zur Entwicklung gemeinsamer Funkstandards.
Grundsätzlich gilt bei der Entsendung von GSVP-Operationen, im Rahmen derer diese Projekte zur Geltung kommen können, dass sie nur außerhalb der EU eingesetzt werden können. Darüber hinaus sind die notwendigen Bedingungen etwa das Einstimmigkeitserfordernis im (Europäischen) Rat oder die konstruktive Enthaltung für ihren Einsatz sowie ihre Bindung an die völker- und europarechtlichen Vorgaben. Die CRRTs sind weder Battlegroups einer aktiven Cyberverteidigung noch sind sie mit den CERTS – koordiniert durch die Europäische Cybersicherheitsagentur Enisa – zu verwechseln. Sie dienen allein dem verteidigungspolitischen Kapazitätsaufbau.
Dieser Aufbau ist insofern erforderlich, als das sich die Zeichen mehren, dass russische Cyberakteure vermehrt westliche Kritische Infrastrukturen in den Blick nehmen. Die USA warnten vergangene Woche vor einer neuen Schadsoftware (Pipedream), die sich gegen industrielle Steuerungsanlagen auch im Westen richtet (Tagesspiegel Background berichtete). Zudem mehren sich Ransomware-Vorfälle gegen Windenergieunternehmen, die von russischen Cyberkriminellen ausgehen und vermutlich mit dem russischen Staat in Verbindung stehen.
Weitere Maßnahmen erforderlich
Sind demzufolge andere EU-Maßnahmen relevanter als diese vermeintliche schnelle Eingreiftruppe? Schaut man auf die akuten, von Russland gesteuerten Desinformationskampagnen, dann wird die missbräuchliche Nutzung einer marktbeherrschenden Dominanz von Plattformen zu einem sicherheitspolitischen Grundproblem. Nicht nur diesen Akteuren, sondern eben auch der Politik obliegen große Sorgfaltspflichten, um verantwortliches Verhalten im Cyber- und Informationsraum zu gewährleisten. Aber auch die Tatsache, dass private Unternehmen zu Konfliktparteien werden, stellt enorme Herausforderungen an das humanitäre Völkerrecht genauso wie an die Internet Governance.
Die EU-Cybersicherheit ist daher gut beraten, ihre Taxonomie zur Cybersicherheit in Europa in enger Absprache mit den Betreibern von Kritischen Infrastrukturen, mit Industrievertreter:innen genauso wie mit der Wissenschaft und Zivilorganisationen umzusetzen. Die Taxonomie verfolgt das Ziel, ein EU-weites Klassifizierungssystem für die Bewertung von resilienten IKT-Strukturen zu etablieren.
Sie beginnt mit Cyberhygienemaßnahmen, einem Mindestmaß an IT-Grundschutz in der Basisinfrastruktur auf der lokalen Ebene bis hin zu den vertrauens- und sicherheitsbildenden Maßnahmen in multilateralen und multilateralen Dialogen etwa in der OSZE, bilateralen Dialogen oder informellen Runden wie G7 und G20. Für den Binnenmarktschutz gilt es, möglichst viele Rechtsakte nicht nur zu verabschieden, sondern auch schnellstmöglich zu implementieren.
Dazu zählen unter anderem der Digital Service Act (DSA), der Digital Markets Act (DMA), das Cyberresilienzgesetz, die umfassende oder die verbindliche Verabschiedung einer neuen Verordnung zur Netzwerk- und Informationssicherheit im Schutz Kritischer Infrastruktur. Die Liste ließe sich problemlos erweitern, gerade im Hinblick auf den transatlantischen Technologie- und Handelsrat, der im Mai tagen wird.
Zwei Handlungsmaxime gelten nun für die deutsche Europapolitik: schnelle und verbindliche Verabschiedung dieser Rechtsakte, damit die Taxonomie in der Cybersicherheit Europa gelten kann. Cyberabwehr in der EU ist vor allem zivile Verteidigung im Sinne des Resilienzaufbaus unserer IKT.
Annegret Bendiek ist stellvertretende Leiterin der Forschungsgruppe EU/Europa, Matthias Schulze stellvertretender Forschungsgruppenleiter für Sicherheitspolitik bei der Stiftung Wissenschaft und Politik.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Bendiek und Schulze erschienen: Kann der Multilateralismus die Freiheit des Internets schützen?