Zeitgleich mit dem Aufmarsch russischer Truppen an der Grenze zur Ukraine ab Ende 2021 mehrten sich die Warnungen vor einem Cyberkrieg. Das "Handelsblatt" meldete Anfang Februar 2022, dass Russland sich "auch auf Cyberattacken gegen die Ukraine vorbereitet – als Teil einer hybriden Kriegsführung". Der "Tagesspiegel" titelte am 25. Februar 2022, einen Tag nach Beginn des Angriffskrieges, die Bundesregierung sehe "Alarmstufe Rot" und befürchte einen "Cyberkrieg zwischen Russland und dem Westen". Diese Warnungen spiegeln die tiefe Angst vor dem Schreckgespenst des "hybriden Krieges": eine vermeintlich neue Form der Kriegsführung, die Mittel wie verdeckte Operationen, Desinformationskampagnen und Cyberoperationen mit bisher nicht gekannter Effektivität kombiniert. Durch den Einsatz dieser neuen Mittel, so die Annahme, können Staaten strategische Ziele erreichen, die bisher der konventionellen Kriegsführung vorbehalten waren. Insbesondere das seit nunmehr zwei Jahrzehnten vor allem in Medienberichten heraufbeschworene Szenario eines Cyberkrieges – großflächige Cyberangriffe auf kritische Infrastrukturen und Finanzsysteme – weckt Ängste vor einer diffusen, aber existenziellen Bedrohung.
Die Ukraine ist seit 2014 Hauptschauplatz dieser hybriden Kriegsführung und gilt weithin als "Testlabor für Russlands Cyberwaffen". Die Cyberoperationen boten Russland aber kaum messbaren strategischen Nutzen. Russland ist es in acht Jahren hybrider Kriegsführung nicht gelungen, sein Kernziel zu erreichen: die Ukraine von ihrer westlich orientierten Außenpolitik abzubringen und die Unterstützung der ukrainischen Bevölkerung für diese Politik zu untergraben. Daher folgte im Februar 2022 die Invasion. Mit Russlands Eskalation der Mittel ging auch eine Eskalation der Ziele einher, nämlich die Unterwerfung der Ukraine – oder, mit den Worten Wladimir Putins: "Entnazifizierung" und "Entmilitarisierung". Dies schließt auch einen Regimewechsel ein, wie Russlands Außenminister Sergei Lawrow im April 2022 klarstellte. Darüber hinaus verfolgt Russland eine territoriale Expansion und hat bereits Provinzen annektiert, die es – in einigen Fällen nur teilweise – besetzt hatte. Um dieses Ziel zu erreichen, sind Russlands Streitkräfte das wichtigste Instrument, aber auch Cyberoperationen sollen eine entscheidende Rolle spielen.
Cyberoperationen als Mittel der Subversion
Viele Forschungsberichte deuten darauf hin, dass Cyberoperationen eher ineffektive Mittel der Gewaltanwendung sind. Deshalb hat es bisher auch keinen Cyberkrieg gegeben, und das wird höchstwahrscheinlich auch so bleiben. Cyberoperationen sind in erster Linie Instrumente des Konflikts niedriger Intensität und am ehesten als Mittel der Subversion zu verstehen. Subversion ist ein verdecktes und indirektes Machtinstrument, das Schwächen in einer bestehenden Ordnung ausnutzt, um dem politischen Gegner zu schaden. Es ist zum Beispiel ein Mittel in Geheimdienstoperationen, findet also im Schatten der offiziellen Machtpolitik statt. Bei der traditionellen Subversion werden Spione gegen soziale Systeme eingesetzt, also gegen Organisationen, Institutionen und Gesellschaften. Cyberoperationen haben es hingegen auf gegnerische Computersysteme abgesehen. Die Systeme, gegen die sich die Subversionen richten, unterscheiden sich, doch die Mechanismen der Ausnutzung und Manipulation folgen derselben Logik.
In der Theorie ist Subversion die perfekte Waffe. Sie ist ein billiges, einfaches und wirksames Mittel zur Einmischung in die Angelegenheiten des Gegners und kann bei geringeren Kosten und Risiken kriegsähnliche Ergebnisse erzielen. Subversion kann sowohl als eigenständiges Instrument als auch zur Unterstützung anderer Machtinstrumente, etwa Gewalt, eingesetzt werden. In der Praxis ist sie jedoch selten erfolgreich, weil eine Reihe von operationellen Herausforderungen die Geschwindigkeit, Intensität und Kontrolle stark einschränkt. Es ist äußerst schwierig, unentdeckt in gegnerische Systeme einzudringen und diese dann so zu manipulieren, dass sie Effekte erzeugen, die von ihren Entwicklern und Nutzern nicht beabsichtigt waren, die aber dennoch den eigenen Erwartungen entsprechen – ohne dass der politische Gegner dies bemerkt.
Diese Herausforderungen führen zu einem Trilemma: Je mehr man versucht, eine der drei Variablen – Geschwindigkeit, Intensität und Kontrolle – zu verbessern, desto mehr verschlechtern sich die anderen. Geschwindigkeit steht für die Zeit, die von der Planung der Operation bis zum Eintreten ihrer Wirkung vergeht. Intensität steht für den Umfang als auch das Ausmaß der Effekte. Und Kontrolle steht für die Fähigkeit, die durch die Operation erzeugten Effekte zu steuern und beherrschen. Wird zum Beispiel nur wenig Zeit in die Operation investiert, werden ihre Effekte weniger intensiv und weniger kontrollierbar. Aufgrund dieser Einschränkungen ist Subversion in der Praxis oft zu langsam, zu schwach oder zu unberechenbar, um strategische Ziele zu erreichen oder einen größeren Beitrag zu deren Erreichung zu leisten. Das Gleiche gilt für Cyberoperationen – und diese Einschränkungen sind in der Ukraine deutlich erkennbar.
Wiper und DDoS
Russlands Cyberoffensive 2022 begann mit einer Drohung. Am 14. Januar wurden Besucherinnen und Besucher von rund 70 Websites ukrainischer Regierungsbehörden mit einer beunruhigenden Nachricht konfrontiert: "Alle Informationen über Sie sind öffentlich gemacht worden, haben Sie Angst und erwarten Sie das Schlimmste." Medienberichten zufolge handelte es sich um einen massiven Cyberangriff. Wie das ukrainische Computernotfallteam jedoch klarstellte, waren weder staatliche noch persönliche Daten betroffen – die Hacker hatten nur Zugriff auf die Content-Management-Systeme der Websites erlangt. Angriffe dieser Art werden als website defacements (Website Entstellungen) bezeichnet. Spätere Untersuchungen brachten diese Operation mit einer belarussischen Hackergruppe in Verbindung. Forensische Daten deuten auf eine eher kurze Vorbereitungszeit von nur wenigen Wochen hin. Diese Operation verlief also relativ schnell, geriet nicht außer Kontrolle, erzielte aber auch so schwache Effekte, dass sie strategisch irrelevant blieb. Betroffene Websites wurden bald wiederhergestellt, und öffentliche Panik brach auch nicht aus.
Es folgte eine Welle sogenannter Wiper – das sind Viren, die alle Daten auf infizierten Systemen löschen. Operation WhisperGate machte Mitte Januar 2022 den Anfang. Ihr Ziel waren mehrere ukrainische Ministerien, die bereits von den website defacements betroffen waren. Der Mechanismus der Datenzerstörung funktionierte ähnlich wie bei der Operation NotPetya von 2017. Während jedoch Letztere große Teile der ukrainischen Wirtschaft lahmlegte, waren bei WhisperGate nur eine Handvoll Regierungssysteme betroffen. Gleichzeitig gibt es keine Berichte oder Hinweise auf eine Störung der ukrainischen Regierung. Vermutlich hatten die Angegriffenen ein effektives Gegenmittel: Backups. Das geringe Ausmaß von WhisperGate im Vergleich zu NotPetya ist das Resultat des manuellen Ausbreitungsmechanismus. NotPetya verbreitete sich automatisch und weltweit. Bei WhisperGate mussten die Hacker hingegen jedes System einzeln infiltrieren. Das erhöhte zwar die Kontrollmöglichkeit, verringerte aber das Ausmaß der Effekte auf die Ukraine. Forensische Daten deuten auf bis zu neun Monate Vorbereitungszeit hin, drei Monate länger als für die Entwicklung von NotPetya. Kurzum, diese Operation war relativ schnell geplant, gut kontrollierbar, aber von so geringer Intensität, dass sie strategisch irrelevant blieb.
Einen Monat später folgte die nächste Operation, ein sogenannter DDoS-Angriff (Distributed Denial of Service). Bei dieser Technik werden Systeme durch eine Vielzahl von Anfragen überlastet und so für die Nutzer unerreichbar gemacht. Hinter dem Angriff steckte der russische Militärgeheimdienst GRU. Am 15. Februar 2022 wurden die Server mehrerer Ministerien und Banken mit dieser Technik für Stunden überlastet. Auch Geldautomaten waren davon betroffen. Es entstand zwar ein wirtschaftlicher Schaden, Panik in der Bevölkerung blieb jedoch aus. Medienberichten zufolge beliefen sich die Kosten auf mehrere Millionen US-Dollar. Die betroffenen Unternehmen und ihre Kunden blieben entspannt, der Service wurde rasch wiederhergestellt. Strategisch blieb auch dieser Einsatz ohne Bedeutung.
Die Invasion selbst begann am 24. Februar 2022 und wurde von mehreren Cyberoperationen begleitet. Zunächst erfolgte erneut ein DDoS-Angriff, und zwar mit derselben Technik gegen dieselben Ziele wie neun Tage zuvor. Es gibt keine Berichte über nennenswerte Auswirkungen. Die Ukrainerinnen und Ukrainer hatten offensichtlich aus früheren Cyberoperationen gelernt und konnten entsprechend schnell Gegenmaßnahmen einleiten, die den Schaden auf ein Minimum reduzierten.
Gleichzeitig wurde ein neuer Wiper mit dem Namen HermeticWiper aktiv, der laut der Cybersecurity-Firma ESET einige hundert Systeme der ukrainischen Regierung lahmlegte. Wie sein Vorgänger WhisperGate löschte auch HermeticWiper Daten unwiederbringlich, hatte aber ebenfalls keine messbaren Auswirkungen auf das Funktionieren der ukrainischen Regierung und ihre Fähigkeit, sich gegen die russischen Invasoren zu wehren. Allerdings wurden mehr Systeme als beim Vorgänger infiziert, da HermeticWiper darauf programmiert war, sich in lokalen Netzwerken automatisch zu verbreiten. Dementsprechend brauchte die Operation mit nur zwei Monaten eine deutlich kürzere Vorbereitungszeit. Trotz dieser effizienteren Vorgehensweise blieb ein strategisch relevanter Effekt aus.
Ähnliches gilt für IsaacWiper und CaddyWiper, die in den darauffolgenden Wochen erschienen und ebenfalls keinen messbaren strategischen Nutzen brachten. IsaacWiper hatte etwa die gleiche Reichweite wie HermeticWiper, während CaddyWiper nur einige Dutzend Systeme betraf. Für keine der beiden Operationen gibt es Hinweise auf spürbare Auswirkungen auf die ukrainische Regierung, das öffentliche Leben oder die ukrainische Wirtschaft. Gleiches gilt für die Schadsoftware RansomBoggs und Prestige, die erstmals im Herbst 2022 in Erscheinung traten.
Viasat und Ukrtelecom
Die genannten Operationen spielten alle eine strategische Rolle, die nicht unmittelbar mit den Kriegshandlungen verknüpft waren. Der russische Hack gegen das Satellitennetzwerk KA-SAT des Anbieters Viasat war hingegen ein Versuch, den russischen Streitkräften Vorteile auf dem Schlachtfeld zu verschaffen. Der KA-SAT-Dienst wird von tausenden Kunden in Europa genutzt, darunter auch vom ukrainischen Militär. Pünktlich zum Beginn der Invasion, am frühen Morgen des 24. Februars, brach dieser Service zusammen. Victor Zhora vom Staatlichen Dienst für Sonderkommunikation und Informationsschutz in der Ukraine (SSSCIP) sprach zunächst von einem "riesigen Kommunikationsverlust" für die Armee. Später machte er jedoch deutlich, dass der Satellitenhack kaum Auswirkungen auf das militärische Geschehen gehabt hätte, weil der Armee alternative Kommunikationskanäle zur Verfügung gestanden hätten. Zwar lässt sich dies nicht unabhängig überprüfen, es deckt sich aber mit dem Kriegsverlauf. Die materiell weit unterlegene ukrainische Armee hielt dem russischen Angriff deutlich besser stand, als von den meisten Militärexperten vorhergesagt. Mit einem großflächigen Kommunikationszusammenbruch wäre dies kaum möglich gewesen.
Diese Operation hatte gleichwohl wesentlich intensivere Effekte als die bisher diskutierten, nämlich Schäden an physischen Geräten. Sie erforderte daher erwartungsgemäß eine längere Vorbereitungszeit, wahrscheinlich mindestens ein Jahr, und gleichzeitig ein höheres Risiko des Kontrollverlustes. Dennoch scheint die Operation die gewünschte Wirkung auf das Ziel selbst verfehlt und erhebliche Kollateralschäden verursacht zu haben. Betroffen waren nicht nur KA-SAT-Nutzer in der Ukraine, sondern in ganz Europa. Zu diesen gehörte etwa auch der deutsche Hersteller von Windenergieanlagen Enercon, der den Kontakt zu tausenden Windrädern verlor. Die durch den Hack beschädigten Satellitenmodems mussten teuer ersetzt werden. Dieses Ergebnis unterstreicht die Unberechenbarkeit von Cyberoperationen, vor allem wenn sie das Ausmaß von Effekten maximieren. Nach derzeitigem Kenntnisstand hat die Operation keinen strategischen Vorteil für Russland gebracht, dafür aber Kollateralschäden für Dritte.
Eine andere, vermutlich von Russland gesponserte, Cyberoperation hatte jedoch einen klaren strategischen Nutzen: Am 28. März 2022 waren die meisten User des ukrainischen nationalen Anbieters Ukrtelecom 15 Stunden lang vom Internet abgeschnitten. Dieser Ausfall hatte nicht nur erhebliche wirtschaftliche Schäden zur Folge, sondern wirkte sich auch massiv auf den Alltag der Ukrainerinnen und Ukrainer aus. Es existieren keine genauen Angaben, doch allein der wirtschaftliche Schaden dürfte im zweistelligen Millionenbereich (US-Dollar) liegen. Die Operation gelang mit nur einem Monat Vorbereitungszeit. Hatten die Hacker also einen genialen Ausweg aus dem Trilemma gefunden? Keineswegs: Wie eine spätere Untersuchung des SSSCIP feststellte, nutzten die Hacker eine Schwachstelle aus, die erst durch die Invasion entstanden war: Die Infrastruktur von Ukrtelecom befand sich in den von Russland eroberten Gebieten. Die Hacker, beziehungsweise russische Sicherheitskräfte, hatten so direkten Zugang auf das interne Netzwerk und setzten einen Ukrtelecom-Mitarbeiter so unter Druck, dass er die entsprechenden Zugangsdaten preisgab.
Schluss
Mit Ausnahme des Viasat-Hacks spielten die Cyberoperationen gegen die Ukraine in erster Linie eine von der Invasion unabhängige strategische Rolle. Die meisten Cyberoperationen basierten auf relativ schnellen und einfach anzuwendenden Techniken. Die Hacker maximierten die Geschwindigkeit und versuchten, die Auswirkungen zu kontrollieren. Dies ging zulasten der Intensität. Dementsprechend richteten die Operationen – zumindest nach bisherigen Erkenntnissen – kaum Schäden an oder trugen zur Erreichung der Kriegsziele bei. Die einzigen bisher messbaren Schäden sind (begrenzte) wirtschaftliche Verluste und vorübergehende Beeinträchtigungen für Internetnutzerinnen und -nutzer. Die Unterbrechung des Satellitennetzwerkes KA-SAT stellt eine Ausnahme dar und könnte der russischen Armee taktische Vorteile verschafft haben. Der Kriegsverlauf stellt dies jedoch infrage.
Gerade wenn es um die Zerstörung kritischer Infrastruktur geht, sind klassische Gewaltmittel – Artillerie, Bomben und Marschflugkörper – noch immer effektiver. Aber es sind nicht nur diese brachialen Mittel, die Cyberoperationen in den Schatten stellen, sondern auch traditionelle subversive Operationen. Das ist wichtig, denn in der medialen Berichterstattung stehen die Gefahren des Cyberkrieges auch für Deutschland nach wie vor im Mittelpunkt. Natürlich ist Cyberabwehr wichtig und notwendig, und Deutschland hat hier Nachholbedarf, aber die Erfahrungen aus der Ukraine zeigen, dass die Gefahr für die nationale Sicherheit relativ gering ist. Ganz anders sieht es bei der klassischen Subversion wie Sabotageakten aus. In den vergangenen Monaten haben sich die Hinweise verdichtet, dass Deutschland seit Jahren Ziel koordinierter Kampagnen ist, die Schlüsselpositionen in Ministerien, Politik und sogar Nachrichtendiensten infiltriert und manipuliert haben und mit hoher Wahrscheinlichkeit zu politischen Ergebnissen im Interesse Russlands beigetragen haben, wie etwa dem Bau der Pipeline Nord Stream 2. Der großflächige Ausfall der Deutschen Bahn durch einfache Sabotage im Oktober 2022 hat unterdessen gezeigt, welche fatalen Auswirkungen solche traditionellen Mittel haben können – auch wenn hier offenbar kein staatlicher Akteur beteiligt war.