Die Ruhe vor dem (Cyber)-Sturm

Kommentar Die Ruhe vor dem (Cyber)-Sturm

Trotz der allgegenwärtigen Angst davor hat die Welt bisher noch keinen Cyberkrieg von vernichtendem Ausmaß erlebt. Was würde ein solcher Cyberkrieg bedeuten und was unterscheidet ihn von bereits bekannten, mittlerweile alltäglichen Cyberangriffen?

Abu Zamaa | 12. Juli 2022

Im aktuellen Krieg in der Ukraine kommt es auf beiden Seiten immer wieder zu Hacker-Angriffen, womit längst klar geworden ist, dass der Krieg auch im Cyberspace stattfindet. Ersten Prognosen entgegen kam es jedoch zu keinem massiven Cyberangriff der Russen. Doch wie würde ein solcher massiver Angriff überhaupt aussehen und was würde ihn von den bisherigen Angriffen unterscheiden?

Trotz der Tatsache, dass es bisher noch in keinem bewaffneten Konflikt zu Cyberattacken von kriegsentscheidendem Ausmaß kam, gibt es Präzedenzfälle, die zumindest einen ersten Ausblick darauf ermöglichen. Bisher verfolgten die meisten Angriffe wirtschaftliche Interessen oder dienten der Informationsgewinnung. Die reine Zerstörung zum Ziel hatten bisher nur wenige, vereinzelte Attacken. Ein prominentes Beispiel für einen massiven, flächendeckenden Angriff auf ein Land verkörpert der russische Angriff auf die Ukraine aus dem Jahr 2017, der unter dem Namen NotPetya in die Cybergeschichte einging. Dabei wurden die Updateserver von M.E.Doc gehackt, einer Steuersoftware, die von 90% aller ukrainischen Unternehmen genutzt wird. Das reichte aus, um fast alle Unternehmen und Behörden des Landes mit dem nächsten Update zu infizieren. Sobald der Wurm durch das Update in ein System gelangte, nutzte er ein Programm namens Mimikatz, das darin nach Nutzernamen und Passwörtern suchte, um damit weitere Ziele anzugreifen. Das ist möglich, da in der Regel alle Computer in einem Unternehmen miteinander vernetzt sind. In NotPetya wurde sogar eine geleakte Software des US-Nachrichtendienstes NSA namens Eternal Blue eingebettet, die eine alte Windows-Sicherheitslücke ausnutzt. Die NSA hatte mit Eternal Blue über fünf Jahre lang selbst diese Sicherheitslücke für ihre Zwecke genutzt, ohne Microsoft darüber zu informieren. Erst als diesbezügliche Informationen von der Hackergruppe The Shadow Brokers gestohlen wurden, informierte die NSA Microsoft über den Vorgang. Die Sicherheitslücke wurde danach zwar von Microsoft mit einem Update behoben, doch da bei weitem nicht alle Nutzer regelmäßig ihre Systeme aktualisieren, konnte die Lücke noch bei vielen Zielen ausgenutzt werden. Der Angriff durch die Steuersoftware mit der Verbindung aus Mimikatz und Eternal Blue war außerordentlich effektiv.

Bankautomaten und Kartenlesegeräte funktionierten nicht mehr, Großteile der Daten von Banken, Unternehmen und auch staatlichen Institutionen wurden gesperrt. Sobald ein Ziel infiziert war, wurde eine Meldung angezeigt, in der der Nutzer dazu aufgefordert wurde, ein Lösegeld in Form von Bitcoin zu zahlen. Allerdings diente dies nur zur Tarnung, denn die Systeme wurden selbst bei Zahlung der Beträge nicht wieder freigegeben. Das Ziel lag einzig darin, die angegriffenen Strukturen zu zerstören. Dabei wurden auch kritische Infrastrukturen, wie Strahlenüberwachungssysteme in Tschernobyl angegriffen.

Dadurch, dass auch internationale, in der Ukraine tätige Unternehmen betroffen waren, breitete sich der Wurm auch über die Ukraine hinaus aus. Auch deutsche Unternehmen, wie der Chemie- und Pharmakonzern Merck waren betroffen, dessen gesamte Produktion kollabierte, wodurch ein Schaden von 830 Millionen Euro entstand. Auch andere internationale Unternehmen, wie FedEx, Vodafone oder Maersk hatten mehrere hundert Millionen Euro an Schäden zu verkraften. Letzteres hatte sogar Auswirkungen auf den gesamten internationalen Handel, da Maersk als ein in mehr als 130 Ländern tätiges Logistik- und Transport-Unternehmen nicht mehr nachvollziehen konnte, in welchen ihrer Schiffe sich welche Ladungen befanden und für welche weiteren Transportwege und LKWs diese vorgesehen waren. Die Russen wussten ihren Angriff auch zeitlich geschickt abzustimmen, denn sie wählten einen ukrainischen Feiertag, der eine schnelle Reaktion der Ukrainer verhinderte, da sich die meisten Mitarbeiter naturgemäß nicht im Dienst befanden.

Insgesamt wurde der Schaden auf ca. 9 Milliarden Euro beziffert, doch dies spiegelt nur die wirtschaftlichen Verluste wider. Der Unterschied solcher massiven, koordinierten und flächendecken Angriffe zu gewöhnlichen und tagtäglich stattfindenden Attacken ist das Ziel der gezielten Schwächung und Schädigung eines gesamten Landes und seiner kritischen Infrastruktur. In Kombination mit einem Angriff konventioneller Streitkräfte könnte dies einen kriegsentscheidenden Vorteil mit sich bringen. So könnte das gegnerische Strom-, Kommunikationsnetz oder die Internetanbindung lahmgelegt werden, was die Handlungs- und Verteidigungsfähigkeit des angegriffenen Staates erheblich einschränken würde. Auch gezielte Angriffe auf einzelne Infrastrukturen, wie Krankenhäuser wären denkbar. Im Jahr 2020 kam es beispielsweise zu einem russischen Angriff auf das Düsseldorfer Universitätsklinikum, in dessen Zuge eine Patientin gestorben ist, da sie in ein weiter entferntes Krankenhaus in Wuppertal verlegt werden musste. Der Angriff richtete sich in erster Linie zwar gegen die Heinrich-Heine-Universität, doch bei Cyberangriffen geraten neben dem eigentlichen Ziel oft noch viele weitere ins Fadenkreuz. Ein weiteres Risiko der zunehmenden Vernetzung in immer mehr Lebensbereichen.

NotPetya lieferte einen Vorgeschmack darauf, was uns in Zukunft bei größeren Kriegen erwarten könnte. Würde es mit der gleichen Vorgehensweise gelingen, Datev zu hacken, könnte mit dessen Updates auf ähnliche Weise ein Großteil der in Deutschland tätigen Unternehmen infiziert werden, da es sich bei Datev um einen Anbieter für Steuersoftware mit einem geschätzten Markanteil von 75% handelt. Im Vergleich zur Ukraine wäre der Schaden, der sich in Deutschland mit einer solchen Vielzahl an gehackten Unternehmen und entsprechenden Unternehmens- und Industriegeheimnissen anrichten ließe, kaum vorstellbar. Und auch in den USA gibt es mit Turbotax einen ähnlichen Dienstleister, der sich für solch einen Angriff anbieten würde.

Natürlich treffen Regierungen und Unternehmen bereits entsprechende Vorbereitungen, doch eine absolute Sicherheit vor Cyberangriffen gibt es nie. Jedes System hat Sicherheitslücken und wenn ganze Staaten enorme Ressourcen aufwenden, um diese zu identifizieren, bleibt nur noch die Frage, wann und in welchem Ausmaß sie diese ausnutzen können. Hinzu kommt, dass bisher kaum Anreize von Regierungen für Unternehmen geschaffen werden, in IT-Sicherheit zu investieren – und dies, obwohl die dahingehend kostenintensiven Investitionen für viele kleinere Unternehmen kaum zu schultern sind. Bei den Nachrichtendiensten lässt sich sogar eine gewisse Ambivalenz im Verhältnis zur IT-Sicherheit beobachten, denn einerseits stellt fehlende Sicherheit natürlich ein Risiko für Angriffe dar, andererseits können sie bestehende Lücken selbst nutzen, um in fremde Systeme einzudringen.

Vor diesem Hintergrund sind die bisher niederschwelligen Cyberaktivitäten rund um den Ukraine-Konflikt nur die Ruhe vor dem großen Cybersturm. Sobald bei einem zwischenstaatlichen Konflikt auf schwere virtuelle Waffen zurückgegriffen wird, wird dies große, weltweit spürbare Konsequenzen nach sich ziehen. Da massive Cyberangriffe in einer globalisierten Welt unausweichlich auch auf weitere Staaten überschlagen, wären die Folgen und Reaktionen unkontrollierbar. Möglicherweise verzichtet Russland auch aus diesem Grund (noch) auf einen massive Cyberattacke in der Ukraine. Schließlich diskutierte die NATO bereits vor dem Angriff am 24. Februar, ab wann ein Cyberangriff den Bündnisfall nach Artikel 5 auslösen würde.