28.06.2023 18:22

Cyber ist effektiv, Explosionen sind effektiver

Die Veröffentlichung von Dokumenten, welche vermeintlich die Arbeit eines russischen IT-Unternehmens im Auftrag russischer Nachrichtendienste beschreiben, hat durch verschiedene journalistische Publikationen Ende März dieses Jahres für einiges an Aufsehen gesorgt.

Die "Vulkan Leaks" beinhalteten unter anderem auch Informationen zu einem Projekt, welches unter dem Namen "Kristal-2V" geführt wurde. In den Dokumenten zu eben jenem fanden sich massenhaft Verweise zu Angriffen gegen OT-Systeme und die effektive Durchführung von Informationsoperationen unter Einbeziehung dieser Angriffe.

Was aber gerade in der initialen Berichterstattung, aus welchen Gründen auch immer, oft nicht erwähnt wurde: Es handelt sich bei Kristal-2V um eine, soweit es sich beurteilen ließ, reine Trainingsplattform. Ja, die Plattform erlaubte sowohl defensive als auch offensive Simulationen und ja, es ist davon auszugehen, dass russische Nachrichtendienste Interesse daran haben Kapazitäten zu besitzen, die zuverlässig physische Zerstörung durch Cyberangriffe ermöglichen.

Das sind aber allesamt keine überraschenden, unerwarteten Details. Der Angriff von "BlackEnergy" auf die Stromversorgung in der Ukraine liegt nahezu ein Jahrzehnt in der Vergangenheit, der zerstörerische Einsatz von Stuxnet in den Anreicherungsanlagen von Natanz und Bushehr noch länger - und der "Aurora Generator Test" hat inzwischen fast schon die Volljährigkeit erreicht.

Dennoch, diese Revelationen haben dafür gesorgt, dass das Thema Cyberangriffe mit physischen Auswirkungen auch abseits der Vulkan Leaks wieder vermehrt in's Rampenlicht gezogen wurden.

Insbesondere die Überschriften und Schlagzeilen rund um einen potentiell möglichen, in ganz Europa geführten Cyberkrieg mit katastrophalen Auswirkungen auf die Stabilität, im metaphorischen und wortwörtlichen Sinn, unserer Gesellschaft entbehrten in Anbetracht der gegenwärtigen sicherheitspolitischen Lage in Europa nicht einer gewissen Ironie.

Seit Februar 2022, der Beginn der russischen Invasion der Ukraine, sind wir hierzulande Zeuge eines "klassischen" Krieges, eines konventionellen militärischen Konfliktes zwischen zwei Nationalstaaten - dem ersten dieser Art seit dem Ende des zweiten Weltkrieges vor fast 80 Jahren.

Dies bedeutet auch, dass wir zum ersten Mal einen Krieg erleben, bei dem die involvierten Parteien nicht komplett asymmetrisch sind, wie es beispielsweise im syrischen Bürgerkrieg der Fall war. Und dementsprechend wäre dies auch der erste Krieg, bei dem destruktive Cyberangriffe Teil der kombinierten Kriegsführung hätte sein können (einzelne Vorfälle in der Vergangenheit, wie beispielsweise die israelische "Operation Outside the Box", ignoriere ich ob des limitierten Maßstabes unauffällig). Insbesondere vor den russischen Kapazitäten in diesem Bereich wurde insbesondere in den Monaten vor Beginn des Krieges immer wieder gewarnt. Wodurch sich für mich an einem Punkt im Kriegsverlauf die Frage ergeben hat: Was ist eigentlich an diesen Befürchtungen dran gewesen?

Um diese Frage zu beantworten habe ich versucht, in spärlichen Mengen verfügbaren öffentlichen Informationen zusammen zu tragen und herauszufinden ob, und wenn ja in welchem Ausmaß, destruktive Cyberangriffe durch russische Bedrohungsakteure direkten Einfluss auf das Kampfgeschehen in der Ukraine genommen haben - und in welchem Verhältnis deren Effektivität im Vergleich zu kinetischen Angriffen steht.

Einige kleine, aber wichtige Details vorweg: Ich habe mir nahezu ausschließlich Daten und Informationen zu destruktiven Angriffen angesehen; Angriffe, deren Ziel die Gewinnung von Informationen war wurden weitestgehend außen vor gelassen.

All das war ein rein empirisches Unterfangen. Auch wenn ich mich um Objektivität und Sachlichkeit bemüht habe, wissenschaftlichen Standards wurde an keiner Stelle genüge getan. Die Datenlage, was öffentliche Quellen betrifft, ist höchst dürftig und es ist nicht auszuschließen, dass in den nächsten Wochen, Monaten und Jahren Details an's Licht kommen, die meine Schlussfolgerungen vollumfänglich widerlegen. Oder, um es in den Worten eines Piraten zu sagen: Ye be warned!


Bevor ich in weiter ausführe, die wichtigsten Eckpunkte vorweg zusammengefasst:

  • Betrachtet man den gesamten bisherigen Konfliktverlauf, so waren destruktive Cyberangriffe aus militärischer Sicht nahezu vollständig wirkungslos, und auch in Hinblick auf Schäden an ziviler Infrastruktur nutzlos. Die Lahmlegung von VIASAT zu Beginn des Konfliktes hatte unter Umständen einen positiven Einfluss auf russische Militäroperationen, auch das lässt sich aber in keinster Weise belegen.
  • Insbesondere im direkten Vergleich zu "klassischen" kinetischen Angriffen war der Schaden, welcher durch Cyberangriffe angerichtet wurde, vernachlässigbar.
  • Ähnlich der initialen russischen militärischen Taktik, welche von massiven Defiziten in der Koordination zwischen den verschiedenen Truppenteilen geplagt war, wurden Cyberangriffe in den meisten Fällen sehr "stumpfsinning" eingesetzt; keine der spezifischen Vorteile von Cyberangriffen wurden genutzt.

Militärische Sicht

Die massenhafte Zerstörung von Modems des Unternehmens Viasat, welches einen temporären, vollständigen Ausfall des dem Unternehmen gehörenden Kommunikationsnetzwerkes KA-SAT zur Folge hatte, wurde medial als der "digitale Startschuss" der russischen Invasion gehandelt. Ersten Meldungen zu Folge hatten diese Angriffe massiven Einfluss auf die Fähigkeit der ukrainischen Streitkräfte, Verteidigungshandlungen effektiv zu koordinieren.

Dies wurde jedoch mehrfach von ukrainischen Kommandeuren, die zu Beginn des Überfalls rund um die ukrainische Hauptstadt Kyiv im Einsatz waren, bestritten. Laut deren Aussagen waren die Auswirkungen des Ausfalles von KA-SAT vernachlässigbar, da eine Verwendung selbst bei voller Funktionsfähigkeit des Netzwerkes nicht möglich gewesen wäre. Sämtliche elektronische Kommunikation wurde durch Mittel der elektronischen Kriegsführung von Einheiten der russischen Streitkräfte gestört.

Welcher Faktor nun tatsächlich ausschlaggebend für initiale Kommunikationsprobleme der ukrainischen Streitkräfte war, wurde in den von mir gesichteten Artikeln und Meinungen intensiv debattiert. Auch zwei andere ukrainische Internet Service Provider, Ukrtelecom und Triolan wurden relativ knapp nach Kriegsbeginn Opfer von Cyberangriffen, die zu zeitweisen Problemen bei der Verfügbarkeit führten - jedoch nach Aussage ukrainischer Regierungsvertreter sowie den betroffenen Unternehmen selbst zu keiner Zeit militärische Auswirkungen hatten.

Auch wenn keinerlei Beweise dafür vorgelegt wurden, so decken sich die Aussagen mit anderen Berichten zu Erfahrungen von ukrainischen Einheiten zu Beginn des Krieges. In den meisten davon werden (oft erfolgreiche) Versuche der funkelektronischen Störung durch entsprechende russische Einheiten (zu welchen es eine ausgezeichnete Analyse durch das Institute of Electrical and Electronic Engineers gibt) beschrieben. Probleme, denen ein Ausfall der Service Provider zugrunde liegt, werden an keiner Stelle erwähnt.

Auch was den militärischen Nachschub betrifft, sowohl auf operativer, taktischer Ebene als auch in Bezug auf die Zuführung von Militärhilfe durch westliche Länder, gibt es keine öffentlich verfügbaren Informationen darüber (oder auch nur Hinweise darauf), dass dieser von Cyberangriffen beeinträchtigt wurde.

Während behördliche und zivile Einrichtungen zu Beginn des Krieges massiv durch den Einsatz von Wipern getroffen wurden (dazu später mehr), scheinen militärische Systeme weitestgehend verschont geblieben zu sein. Selbiges gilt für den direkten Verlust von Material und Menschenleben, welcher durch die Aktivitäten russischer Bedrohungsakteure ausgelöst wurde.

Der einzige mir bekannte Fall, bei dem ein russischer Cyberangriff im Krieg in der Ukraine zu direkten militärischen Verlusten geführt haben könnte ist die angebliche Kompromittierung einer ukrainischen App zur Kalibration von älteren Haubitzen durch APT28, welcher dem russischen Militärgeheimdienst GRU zugerechnet wird.

Das Sicherheitsunternehmen Crowdstrike beschreibt in einem im Dezember 2016 veröffentlichten Bericht, wie der Bedrohungsakteur die Endgeräte des Entwicklers der App kompromittiert hatte, um dann den Quellcode der App selbst zu modifizieren, um so Standortinformationen sammeln zu können, die in weiterer Folge für den gezielten Beschuss ukrainischer Artilleriestellungen genutzt werden konnten. Laut dem Unternehmen führte dieser Cyberangriff in weiterer Folge zu signifikanten Verlusten auf Seiten der Ukraine - bis zu 80% besagter Haubitzen.

Ich verwende hier deswegen den Konjunktiv, weil Crowdstrike in seiner Analyse und Attribuierung zwar sehr überzeugt aufgetreten ist, allerdings sowohl der angeblich betroffene Entwickler als auch das ukrainische Verteidigungsministerium den Bericht in Frage stellen.

Aber selbst, wenn wir davon ausgehen, dass der Bericht korrekt ist und der erfolgreiche Angriff katastrophale Folgen hatte, so handelt es sich um einen einzelnen Angriff, welcher 2016, also vor Beginn der offenen russischen Invasion im Februar letzten Jahres erfolgt ist.

Dem gegenüber stehen tausende Verluste auf Seiten der ukrainischen Streitkräfte (und der ukrainischen Zivilbevölkerung) welche durch den Einsatz konventioneller Waffen verursacht wurde. Auch wenn die genauen Zahlen nicht bekannt sind, und aktuell nur ungefähre Schätzungen vorliegen, so ist das Verhältnis mehr als eindeutig.

Zivile Sicht

Crowdstrike bezeichnete das Jahr 2022 in einem Bericht als "das bisher aktivste Jahr für Wiper". Ukrainische Netzwerke, sowohl von behördlichen Stellen als auch Institutionen der Zivilgesellschaft und kommerzieller Unternehmen, wurden bis zum Sommer letzten Jahres von insgesamt fast 50 unterschiedlichen Wipern heimgesucht (die genaue Zahl schwankt, eine Analyse des Center for Strategic & International Studies gibt mit 37 die niedrigste Zahl an, auf die ich im Zuge meiner Recherche gestoßen bin).

Wie schon bei dem Angriff gegen VIASAT scheiden sich hier die Geister, wie hoch der effektive Schaden dieser Angriffe tatsächlich war. Während dieser von ukrainischer Seite als "nicht vorhanden" bezeichnet wurde, spricht Microsoft von einer "permanenten Zerstörung von Daten auf hunderten von Systemen von Dutzenden Organisationen in der gesamten Ukraine" - nennt die tatsächlichen Auswirkungen auf die Verfügbarkeit von Services aber "limitiert".

Selbst wenn die Auswirkungen dieser Angriffe in Wirklichkeit stärker waren als von Microsoft angenommen, sie waren nur von sehr kurzer Dauer. Wie in einer Grafik des CyperPeace Institute ersichtlich erreichte die Zahl der angegriffenen ukrainischen Systeme und Netzwerke ungefähr vier Wochen nach dem Beginn der Invasion ihren Höhepunkt; danach flachte die Kurve rasant und nachhaltig ab.

Zwar dauert der Krieg nun bereits deutlich länger als die in der Grafik als Endpunkt verwendete Woche 35 des Jahres 2022, aber wenn man davon ausgeht, dass die in Artikeln und Beiträgen auf sozialen Medien geteilten Informationen ein halbwegs akkurates Bild russischer Cyberangriffe in der Ukraine darstellen, dann hat sich seit letztem Jahr nichts grundlegendes geändert - selbst für das wohl "interessanteste" Ziel für Angreifer:innen.


Das ukrainische Stromnetz war in den Vergangenen Jahren immer wieder Ziel von Cyberangriffen, die weltweit für Aufmerksamkeit gesorgt haben. Beispielhaft seien hier stundenlange, durch Schadsoftware ausgelöste Stromausfälle im Dezember 2015 genannt. Vor Beginn des Krieges sind viele Expert:innen davon ausgegangen, dass diese Art von destruktiven Angriffen eine wichtige Rolle im Fall einer russischen Invasion spielen würden.

Auch in unseren Analysen als CERT sind wir davon ausgegangen, dass es diese Angriffe geben würde. Auch wenn wir versucht haben, den allgemeinen Überblick über mögliche Auswirkungen eines russischen Angriffes auf die Ukraine zu berücksichtigen hat uns die Frage, ob es im Fall solcher Cyberangriffe potentiell Kollateralschäden für österreichische Energieunternehmen geben könnte, besonders beschäftigt. Diese Fragen und Bedenken haben auch andere CERTs beschäftigt.

Um so überraschter waren wir, als es zu Beginn des Überfalls nicht zu sofortigen, massiven, und vor allem effektiven Angriffen gegen die ukrainische Stromversorgung kam. Dies hat sich bis heute nicht geändert, öffentlich bekannt wurden seit Februar 2022 nur zwei erfolglos gebliebene Angriffsversuche.

Dem gegenüber stehen, vor allem in den Wintermonaten am Ende des Jahres 2022, periodische Stromausfälle, die teilweise das ganze Land betrafen. Ausgelöst durch gezielte Luft-, Drohnen- und Raketenangriffe gegen alle Teile des ukrainischen Stromnetzes waren [zeitweise hunderttausende Menschen für mehrere Tage ohne Strom].

Zeitgleich neben den beschriebenen koordinierten Angriffen, und auch nach deren Abflauen, gab es ebenfalls immer wieder einzelne Defacements und kleinere Datenleaks, sowie konzertierte DDoS-Angriffe von vorgeblich pro-russischen Hacktivisten (wer in den letzten Monaten einmal Nachrichten mit Bezug auf IT-Security gelesen hat wird den Namen "Killnet" zumindest einmal gehört haben). Um die Wirkung in den (aus dem Kontext gerissenen) Worten eines Mitarbeiters des BMLV zu beschreiben: "Die Javelin hat sicher Angst, weil die Webseite der Regionalbank Kherson offline ist.".


Wie auch schon bei der Betrachtung aus militärischer Sicht zeichnet sich hier ein sehr deutliches Bild - der durch kinetische Angriffe angerichtete Schaden, und das damit einhergehende Leid für die Zivilbevölkerung, ist um ein vielfaches höher als der durch Cyberangriffe verursachte Schaden und die dadurch entstehenden Auswirkungen.

Einige wenige, begrenzte Ausfälle der nationalen Konnektivität durch die Aktivitäten russischer Bedrohungsakteure sind nicht einmal im Ansatz gleichzusetzen mit den massiven Ausfällen die durch zerstörte Netzwerkinfrastruktur verursacht wurde, oder der intensiven Bombardierungen der kritischen Infrastruktur (insbesondere der Stromversorgung) des Landes - welche mit fortschreitender Dauer des Krieges militärisch kaum mehr zu rechtfertigen waren.

Bis auf eine handvoll von zeitlich und örtlich sehr spezifischen Ausnahmen, mehrheitlich zu Beginn der Invasion, sind zerstörerische Angriffe russischer Akteure aller Couleur in ihrer Wirkung weit hinter den Erwartungen (und theoretischen Möglichkeiten) zurückgeblieben & können nach aktuellem Stand in ihrer Gesamtheit als gescheitert betrachtet werden.

Ich bin glücklicherweise in der Position für eine Organisation zu arbeiten, die sich mit der fachlichen Analyse dieser Angriffe auf technischer Ebene beschäftigt. Detaillierte militärische Einschätzungen sowie eine Abschätzung, was die Geschehnisse im "militärischen Cyberraum" für verteidigungspolitische Entwicklungen der nächsten Jahre bedeutet liegen nicht in meiner Verantwortung (und sind auf Basis einer solchen rudimentären Analyse wie der obigen wahrscheinlich auch nicht seriös möglich).

Dennoch möchte ich kurz einen Blick darauf werfen, was die Gründe für dieses scheinbare Versagen, beziehungsweise die Nichtigkeit dieser Cyberangriffe im "großen Ganzen", sein könnte.

Was ist der Grund dafür?

Die Liste an Gründen für das vergleichsweise Fehlen von Erfolg, oder zumindest Effektivität, ist wahrscheinlich lange und komplex. Einige besondere Faktoren sind meines Erachtens nach herausstechend.

Russische Bedrohungsakteure sind seit mehr als einem Jahrzehnt in der öffentlichen Berichterstattung zu Cyberangriffen präsent, und haben diese mehr als einmal dominiert. Das könnte unter Umständen fälschlicherweise den Eindruck erwecken, dass russische Nachrichtendienste über ein riesiges Heer aus bestens ausgebildeten Spezialisten verfügen, welches sich beliebig vergrössern lässt und das nur darauf wartet, auf den digitalen Feind losgelassen zu werden.

Es gibt keine öffentlichen Zahlen zu den personellen Kapazitäten, aber es ist wohl keine gänzlich absurde Schätzung wenn man (unter Einbeziehung von russischen Staatsbürgern, die in kriminelle Aktivitäten digitaler Natur verwickelt sind und ihre Expertise aus patriotischem Enthusiasmus, der nichts mit mehr oder weniger subtil angedrohten Zwangsmassnahmen zu tun hat, zur Verfügung stellen) von einer geringen vierstelligen Zahl an zumindest grundlegend für offensive Operationen geeigneten Personen ausgeht.

Das ist nicht unbedingt viel, insbesondere wenn man bedenkt, dass trotz der Wichtigkeit des Krieges die Ukraine nicht der einzige Schauplatz für Aktivitäten russischer Bedrohungsakteure ist.

Und genau diese personelle Limitierung ist eines der Probleme, die die Effektivität russischer Cyberangriffe im Rahmen der Unterstützung militärischer Angriffe gemindert haben beziehungsweise dazu beigetragen haben, dass der Fokus weniger auf destruktiven Angriffen liegt, als vor Beginn des Krieges angenommen wurde.

Als Beispiel: Um eine handvoll Kraftwerke physisch einzunehmen benötigt es (rein vom personellen Aufwand her, etwaigen Widerstand außen vor gelassen) einige geschulte Unteroffiziere und zwei oder drei Kompanien Infanteristen, deren Ausbildung zur Befolgung von Befehlen ausreicht.

(Falls jemand mit militärischer Ausbildung sich gerade an den Kopf greift und ob meiner Milchmädchenrechnung verzweifelt, ich bitte um Nachsicht um der Argumentation willen. Bei mir hat es nicht einmal für den Zivildienst gereicht.)

Um dieselbe Anzahl an Kraftwerken erfolgreich zu kompromittieren und die Stromversorgung negativ zu beeinträchtigen braucht es, sofern dies zeitnah geschehen soll, eine Gruppe ausgebildeter und erfahrenes Fachpersonal.

Davon gibt es eine schnell enden wollende Menge, und diese Menge zu erhöhen ist auch nicht trivial möglich. Insbesondere dann, wenn der Pool an potentiellen Kandidaten aufgrund des durch den Krieg ausgelösten Abfluss von jungen, gebildeten Menschen stetig schrumpft. Ohne Einblick in die Kapazitäten anderer Staaten zu haben gehe ich davon aus, dass dieses Problem auf die meisten staatlichen Bedrohungsakteure zutrifft. Cyberangriffe skalieren nur sehr limitiert.

Weiters waren russische Bedrohungsakteure über weite Teile nicht in der Lage, die typischen Vorteile von Cyberangriffen auszunutzen. Oder, um es etwas besser auszudrücken: Russland hatte es nicht notwendig, diese auszunutzen.

Wenn man bereits dabei ist, in ein Land einzumarschieren, dann sind Dinge wie Kosteneffektivität, glaubhafte Bestreitbarkeit und die Möglichkeit, Kollateralschäden zu vermeiden nicht mehr wirklich nützlich. Die metaphorische feine, unter Umständen getarnte Klinge, ist nicht mehr notwendig, wenn man stattdessen ohne Probleme auf die wörtliche Granate zurückgreifen kann.

Dort, wo es zu Angriffen auf ukrainische IT-Netzwerke kam, trafen die Angreifer:innen auf einen Gegner, der die letzten Jahre damit verbracht hat seine Systeme zu härten und gemachte Erfahrungen aus erfolgreichen Angriffen in die Praxis umzusetzen.

Ich hatte die Chance, mich letztes Jahr auf einer Konferenz ausführlich mit dem Sicherheitsverantwortlichen einer ukrainischen Regierungsbehörde zu unterhalten. Eine Aussage, die mir (sinngemäss) im Gedächtnis geblieben ist, war: "Wir wehren pro Monat mehr Angriffe ab als die meisten Unternehmen in mehreren Jahren mitbekommen".

Unabhängig davon, wie extrem die Diskrepanz nun tatsächlich ist, die Ukraine ist insbesondere seit 2014 und den Ereignissen auf der Krim und im Osten des Landes verstärkt Ziel russischer Cyberangriffe. Gerade zu Beginn waren die Angreifer:innen ob der veralteten und desolaten IT-Landschaft des Landes, sowohl bei staatlichen Institutionen als auch bei privaten Unternehmen, enorm erfolgreich. Im Lauf der letzten Jahre hat sich dies massiv geändert, und viele österreichische Unternehmen könnten sich vom Sicherheitsstand bei manchen ukrainischen Unternehmen einiges abschauen.

Neben diesen jahrelangen Erfahrungswerten darf die Unterstützung durch westliche Partner, sowohl durch diverse Nachrichtendienste als auch eine Vielzahl von kommerziellen Unternehmen, nicht außer Acht gelassen werden.

Das Übertragen von kritischen Daten der ukrainischen Behörden, die flächendeckende Bereitstellung von Endpoint Protection für ukrainische Systeme, eine vermutlich gigantische Menge an Informationen und generell intensiver Informationsaustausch und Kooperation haben sicherlich einen massiven Beitrag zur Stärkung der Resilienz ukrainischer Systeme geleistet.

Was genau von nachrichtendienstlicher Seite beigetragen wurde kann ich nicht sagen, aber ich bin mir relativ sicher, dass deren Bedrohungsinformationen das Gegenteil von nutzlos waren. Und wenn wir schon beim Stichwort Nachrichtendienste sind ..

Spionage?

Ich habe zu Beginn dieses Beitrages gesagt, dass ich digitale Spionage mehr oder weniger ignoriert habe. Auch wenn ich das Thema persönlich sehr spannend finde, unsere Aufgabe als nationales CERT ist die IT-Sicherheit, und darauf liegt auch unser Fokus.

Dazu kommt, dass die Informationslage (was öffentliche Quellen betrifft) sehr dürftig ist, und viel Spekulation erfordern würde. Auch was destruktive Angriffe betrifft ist die Vollständigkeit der zur Verfügung stehenden Informationen mehr als fraglich, aufgrund der ausgezeichneten Arbeit von Sicherheitsunternehmen, unabhängigen Forscher:innen und Expert:innen sowie einigen Veröffentlichungen von Regierungsbehörden zumindest etwas besser.

Dennoch möchte ich kurz auf Informationsgewinnung durch Cyberangriffe eingehen, damit hier nicht der falsche Eindruck entsteht, dass russische Aktivitäten hier erfolgreich waren, eben weil destruktive Angriffe es nicht waren. Ich bin mir sicher, dass es im Rahmen des Krieges zu ungezählten Fällen von Cyberspionage gekommen ist, ich zweifle aber durchaus an, dass diese in militärischer Hinsicht wirksamer waren als destruktive Angriffe.

Es gibt einige wenige Hinweise, dass bei Cyberangriffen Informationen beschafft wurden, die in weiterer Folge zur Koordination von Angriffen verwendet wurden. Microsoft spricht beispielsweise in einem Bericht von Angriffen im Frühjahr 2022 gegen die Verwaltung der Stadt Vinnytsia, deren Flughafen zwei Tage später von mehreren Mittelstreckenraketen getroffen wurde.

Derselbe Vorfall wird in einem zweiten Bericht ebenfalls erwähnt, wobei Microsoft in jenem selbst davon spricht, dass es sich hier um eine zeitliche Korrelation handelt, und nicht notwendigerweise um einen Kausalzusammenhang.

Natürlich ist es denkbar, dass militärische relevante Daten im Zuge von Angriffen gegen IT-Systeme im Einsatzgebiet erbeutet wurden. Für die Kommandeurin einer Militäreinheit wäre es allerdings deutlich einfacher und wahrscheinlich schneller zielführend, eine billige Drohne einzusetzen und die gegnerischen Stellungen auszukundschaften anstatt zu warten, bis zufällig auf einem gegnerischen Computer eine Karte aller Stellungen gefunden wird.

Alternativ kann ein Unteroffizier vielleicht auf Satellitenbilder, mobile Radareinheiten, akustische Anti-Artillerie-Geräte und sonstige Technik zurückgreifen - oder einfach die aus dem Nachbarort radelnde Pensionistin fragen, ob sie am Hauptplatz zufällig Panzer gesehen hat.

Dazu kommt, dass durch alle Beteiligten auf allen Seiten - Soldat:innen, Journalist:innen, Zivilist:innen - eine Menge an audiovisuellen Inhalten generiert und in den sozialen Netzwerken geteilt wurde. Auch daraus lassen sich, unter Umständen schneller, billiger und einfacher, operative Informationen gewinnen.

Abgesehen davon, dass man mit einer gewissen Sicherheit davon ausgehen kann, dass digitale Spionageoperationen unter denselben Problemen und Limitierungen gelitten haben, wie destruktive Angriffe, sind Cyberangriffe auf operativer Ebene, im Feld, wohl nicht das Mittel der Wahl.

Was heißt das alles für uns als Verteidiger?

Mein Vorgesetzter hat diese seltsame, fixe Vorstellung, dass ich auf Basis unvollständiger Informationen Aussagen über vergangene und zukünftige Entwicklungen treffe. Er nennt das "Analyse" und behauptet, dass ich dafür bezahlt werde. Woher auch immer er das wieder hat.

Das Gros der "lessons learned" ist für die meisten Unternehmen wahrscheinlich von geringerer Bedeutung als für militärische Planer. Der bisherige Verlauf des Krieges in der Ukraine hat gezeigt, dass es eine gigantische Herausforderung ist, kontinuierlich Cyberangriffe durchzuführen, die zielgerichtet, zweckdienlich und effektiv sind. Diese dann auch noch so zu gestalten, dass sie die kinetischen Operationen der eigenen Truppen unterstützen ist unter Umständen sogar noch eine grössere Herausforderung.

Dennoch gibt es auch für den zivilen Bereich, für den Unternehmensalltag, einige (auch von uns seit langem beschworene) Dinge, die sich im Rahmen des Ukrainekrieges erneut als wahr herausgestellt haben.

Sorgfältige Vorbereitungsarbeit und kontinuierliche Verbesserung der Sicherheit der eigenen Netzwerke funktioniert. Investitionen in diesem Bereich mögen zwar eine Kostenstelle sein, sind aber langfristig kritisch für die Gewährleistung des regulären Betriebes des eigenen Unternehmens.

Der Fokus dieser Investitionen, sowohl monetärer als auch personeller Natur, sollte auf den Grundlagen liegen. In den seltensten Fällen kommt es bei Cyberangriffen zum Einsatz von fundamental neuen Angriffsmethoden, in den meisten Fällen wird auf altbewährte Taktiken und Techniken zurückgegriffen. Dies gilt auch in Extremfällen, wie das ukrainische SSSCIP in einer Analyse zu der Dimension russischer Cyberangriffe festgestellt hat.

Threat Hunting zu betreiben, ein hypermodernes SOC zu haben oder "Artificial Intelligence" einzusetzen ist alles schön und gut, hilft aber wenig, wenn es ein einziges lokales Adminpasswort für alle Systeme gibt oder das Buchhaltungsprogramm auf Windows XP (ohne Service Pack) angewiesen ist.

Gleichzeitig kennen Cyberangriffe keine Regeln, sie halten sich an keine sozialen Konventionen oder internationalen Normen. Kriminelle interessieren sich in keinster Weise für ISO-Zertifizierungen (es sei denn, sie machen sich auf ihren Leak-Seiten explizit darüber lustig), und in den seltensten Fällen haben Gesetze irgendeine Relevanz für die Täter:innen.

Jedes Unternehmen, jede Institution, jede Organisation ist ein legitimes Ziel, solange es für die Angreifer:innen - auf welche Art und Weise auch immer - gewinnbringend ist. Selbst wenn Bedrohungsakteure vorgeben, gewisse Gruppen von Zielen nicht anzugreifen (wie dies zuletzt bei Angriffen der Clop Ransomwaregang der Fall war) heißt das noch lange nicht, dass dem dann im Endeffekt auch wirklich so ist.

Was sich allerdings in der Zeit seit dem Beginn des Krieges in der Ukraine geändert hat, jedoch nicht notwendigerweise im Kausalzusammenhang steht: In der Vergangenheit waren Informationsoperationen nahezu ausschließlich die Domäne von Nationalstaaten, oder organisierten Gruppierungen (beispielsweise Unternehmen oder politische Parteien), und in den meisten Fällen war die Zielsetzung eine Form von politischer Einflussnahme.

In den letzten Monaten zeigt sich vor allem bei finanziell motivierten Cyberangriffen eine Bereitschaft der Täter, den Verhandlungs- und Zahlungsdruck durch gezieltes Ansprechen von Medien, vor allem soziale Medien aber auch "traditionelle" Nachrichtenorganisationen, und die schrittweise Veröffentlichung von angeblich gestohlenen Informationen, zu erhöhen.

Dies steht im Gegensatz zu der fast schon kommentarlosen Veröffentlichung von betroffenen Unternehmen auf den jeweiligen Leakseiten. Es ist dementsprechend durchaus ratsam, die eigene Kommunikationsabteilung frühzeitig in den Incident Response-Prozess einzubeziehen und eine Kommunikationsstrategie in der Hinterhand zu haben. Nach einem Sicherheitsvorfall transparent und ehrlich mit Betroffenen, Kunden und der breiteren Öffentlichkeit zu kommunizieren ist unschätzbar wertvoll, und interessanterweise etwas, was gerade große Unternehmen so überhaupt nicht auf die Reihe kriegen.


Auch wenn meine Einschätzung sich mit weiten Teilen der Community deckt - ich empfehle an dieser Stelle das ausgezeichnete Paper das Jon Bateman im Rahmen seiner Arbeit für das Carnegie Endowment for International Peace geschrieben hat, welches sich mit sehr ähnlichen Fragen beschäftigt (und dabei deutlich detaillierter und qualitativer ist) - sei fairerweise erwähnt, dass es Expert:innen gibt, die das anders sehen.

Der Leiter des britischen GCHQ bezeichnet die Verneinung des Einflusses russischer Cyberangriffe als "Irrtum". Und auch aus den Reihen der NATO kommen Stimmen, die Cyberangriffe als den grössten militärischen Erfolg Russlands seit Beginn des Krieges betrachten - der Sicherheitsexperte Dmitri Alperovitch sieht dies, bezogen auf den Angriff gegen KA-SAT zu Beginn des Krieges, gleich. Auch wenn ich natürlich gerne die absolute Wahrheit für mich gepachtet hätte, wahrscheinlich liegt genau jene in irgendeinem der vielen Grautöne zwischen den binären Beurteilungen.

Abschließend sei gesagt: Ich will in keinster Weise in Abrede stellen, dass russische Nachrichtendienste kontinuierlich in ihre offensiven Kapazitäten investieren und eine Bedrohung für österreichische Ziele darstellen (selbiges gilt natürlich auch für andere Bedrohungsakteure, mit deren gesteigerter Aktivität sich mehr als ein eigener Beitrag füllen ließe ..), dass Cyberangriffe gegen kritische Infrastruktur eine ernst zunehmende Bedrohung sind, oder dass OT-Systeme ein immer lohnenderes Ziel für Angriffe werden. All dies steht hoffentlich nicht zur Debatte.

Aber gerade um den Schutz dieser kritischen Systeme bestmöglich zu gewährleisten ist es in meinen Augen wichtig, einem objektiven, rationalen Ansatz zur Einschätzung der Bedrohungen und Risiken zu verfolgen - und nicht in Hyperbeln zu verfallen oder diesen zu folgen.

Verfasst von: Alexander Riepl