Der Cyberspace gilt als fünftes potentielles Schlachtfeld – neben Boden, Wasser, Luft und Weltraum. Ob im Cyberspace schon Kriege ausgefochten werden, ist umstritten. Unumstritten sind aber Cyberwar-ähnliche Vorkommnisse. Im 14. Teil unserer Serie „Sicherheit im Internet“ berichten wir von den oft im verborgenen stattfindenden Machenschaften – und somit von einem Krieg unter der Wahrnehmungsschwelle.

Der russische  Angriffskrieg auf die Ukraine hat es wieder in den Vordergrund gerückt: Einen Krieg zu führen, heißt heutzutage nicht nur Raketen auf den Gegner abzufeuern und Truppen gegeneinander kämpfen zu lassen. Es umfasst auch, die gegnerische IT anzugreifen und zu versuchen diese lahmzulegen. So meldete etwa im Januar 2024 der ukrainische Energiekonzern Naftogaz einen heftigen Hackerangriff auf eines seiner Rechenzentren. Dieser führte allerdings nur dazu, dass die Unternehmenswebseite und ein Callcenter lahmgelegt wurden, die Energieversorgung war in diesem Beispiel nicht betroffen.

24 Millionen Kunden ausgesperrt aus dem Mobilfunknetz

Härter traf es den Mobilfunkanbieter Kyivstar. Dort schaffte es die russische Hackergruppe Solntsepek 24 Millionen ukrainische Kunden zum Teil mehrere Tage aus dem Handynetz auszusperren. In Kiew fielen Alarmsysteme aus, in Saporischschja im Süden des Landes funktionierten Zahlungsterminals nicht mehr. Illia Vitiuk, Cybersicherheitschef des ukrainischen Geheimdienstes SBU, riet dem Westen, den Angriff sehr ernst zu nehmen. Was bei Kyivstar geschehen sei, sei eine „große Botschaft, eine große Warnung nicht nur für die Ukraine, sondern für die gesamte westliche Welt“, zitiert ihn Spiegel online

Und diese Beispiele sind nur die Spitze des Eisberges. Die Angriffe gegen ukrainische Behörden, Firmen und sogar Kommunikationssatelliten werden tagtäglich mit einer Heftigkeit geführt, dass manche Experten wie etwa Microsoft in seinem „Digital Defense Report 2022“ vom „ersten vollumfassenden Cyberkrieg der Welt“ sprechen .

Diese Form der Kriegsführung nennt man auch Cyberwar. Sie zielt in erster Linie auf Computer, Telekommunikationsnetzwerke und andere digitale Infrastruktur. In Russland gilt auch der Informationskrieg als Teil des Cyberwar – sprich die Verbreitung von Desinformationen, um den Gegner und auch die eigene Bevölkerung zu manipulieren.

Cyberwar – was ist das?

Eine offizielle Definition gibt es allerdings nicht. „Der Begriff ,Krieg‘ ist im Cyberraum grundsätzlich verschwommen: Ein Krieg kann ja rechtlich nur von einem Staat erklärt werden,“ sagt Lambert Scharwitzl, Direktor des Militärischen Cyber-Zentrums (MilCyZ) des Österreichischen Bundesheeres.

Tatsache ist: Cyberwar-ähnliche Aktivitäten gibt es schon länger. Aber es gibt ein gravierendes Problem: das sogenannte Attributionsproblem . Es ist oft schwer, den Angreifer eindeutig zu identifizieren. Aber aufgrund des Aufwands, mit dem solche Angriffe  durchgeführt werden, ist es extrem wahrscheinlich, dass diese nicht ohne Rückendeckung staatlicher Organisationen stattfinden.

Mittel zum Zweck dürften auch hier die APT-Gruppen sein, die im Auftrag unterschiedlichster Regierungen Hackerangriffe planen und durchführen. In der Regel werden APT-Gruppen zur Spionage eingesetzt, ihr Verhalten ist passiv – schließlich wollen die Hacker den Informationsfluss so lange wie möglich aufrechterhalten. Die Übergänge zum Cyberwar sind jedoch fließend. Sind die Hacker einmal im System, dann ist es für sie auch vergleichsweise einfach, destruktiv einzugreifen und Computer und Rechenzentren lahmzulegen.

Wer die physischen Systeme kontrolliert, kontrolliert den Cyberraum

Weil der Cyberspace weiter an Bedeutung gewinnt, versuchen die Staaten die Kontrolle über die physischen Systeme ihrer Gegner zu erlangen. Denn wer Server, Datenleitungen oder Router kontrolliert, kontrolliert letzten Endes den Cyberspace. Als Teil dieser Philosophie versuchen Staaten immer öfter, ausländische Firmen aus sicherheitsrelevanten Systemen zu verdrängen – wie beispielsweise die USA den chinesischen Hersteller Huawei aus den 5G-Netzen. Wie die Vergangenheit zeigt, ist es aber bisweilen gar nicht so einfach, die Kontrolle über physische Systeme zu behalten. So wurden beispielsweise bereits Unterseekabel  angezapft oder auch Daten über speziell installierte Server umgeleitet.

Um diese Aufgabe einfacher zu machen, lassen eine ganze Reihe von Staaten den Grenzbalken für sensible Daten herunter: Sie dürfen das Land nicht mehr verlassen. Dem steht eine Grundidee des Internets entgegen: seine weltweit verteilte Struktur. Mit ihr sollte die Ausfallsicherheit des neuen Netzwerkes sichergestellt werden.  Allerdings dachte damals noch niemand daran, wie ein solches System auch Cybergangstern und gegnerischen Geheimdiensten in die Hände spielen kann. Um die Idee trotzdem zu verwirklichen, bauen Cloud-Anbieter wie Microsoft oder Google lokale Serverfarmen auf, die dann eine Art innerstaatliche Insellösung darstellen.

Großmächte schotten sich ab

Russland hat es hier einfacher. In der ehemaligen Sowjetunion hat sich ein eigenständiges Internet entwickelt – das sogenannte RuNet. Mit der Suchmaschine Yandes oder dem Social Media Network VKontakte hat es basierend auf dem ehemaligen Internetsystem Relkom ganz eigene Dienste herausgebildet, die alle unter der Kontrolle Russlands stehen.

Aber auch China treibt die Isolierung „seines“ Internets voran. Die Asiaten verfügen über die Messenger-Plattform WeChat, die Suchmaschine Baidu, und es gibt auch ein Twitter-Äquivalent namens Sina Weibo. Die Videoplattform Tiktok ist auch im Westen sehr bekannt, spätestens seit die US-Regierung einen Zwangsverkauf der US-Niederlassung angeschoben hat.

Auch auf der Hardware-Seite leben sich die Staaten immer weiter auseinander. So hat Peking schon 2019 allen Regierungsstellen und öffentlichen Einrichtungen befohlen, ausländische Computerausrüstung und Software innerhalb von drei Jahren zu entfernen. In den USA gibt es seit 2020 das sogenannte Clean Network-Programm, das darauf abzielt, chinesische Produkte aus der kritischen IT-Infrastruktur zu entfernen.

Vulkan-Files entlarven Machenschaften Russlands

Der Cyberwar tobt eher unter der Oberfläche. Und vor allem Russland legt großen Wert darauf, seine Spuren zu verwischen. Nur selten gibt es die Gelegenheit, Einblicke in die Arbeit der staatlichen Hackertruppen zu erhalten. So wie Anfang 2023 mit den sogenannten Vulkan-Files.  Sie enthalten 5299 Seiten mit Projektplänen, Anleitungen und internen E-Mails der angeblichen IT-Beratungsfirma NTC Vulkan. Ein Reportagenetzwerk von zehn Medienpartnern aus acht Ländern, darunter der „Spiegel“, der österreichische „Standard“ und das ZDF hat diese Daten überprüft und ausgewertet – und dabei Vulkan als eines der gefährlichsten Hackerkollektive Russlands enttarnt.

Die Dateien, die von einem Aussteiger stammen,  gaben den Reportern Einblick in die Arbeitsweise der Cyberkriminellen. Und der erschreckte:  NTC Vulkan hat die wichtigsten russischen Nachrichtendienste als Kunden, die Angriffswaffen wurden professionell entwickelt. Sie versteckten sich hinter nichtssagenden Namen.  ScanV etwa sucht im Zielsystem nach Sicherheitslücken und Angriffspunkten.  Amezit dient der Zensur, Überwachung und Desinformation.  Und mit dem System „Fraction“ werden Regimekritiker überwacht. Das System scannt dabei auch die russischen sozialen Medien wie Vkontakte oder Odnoklassniki. Denn der perfide Cyberkrieg richtet sich auch gegen die eigene Bevölkerung.