Cyberkrieg im Bezug zum Russland-Ukraine-Krieg

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Defacement einer Webseite des ukrainischen Außenministeriums durch einen Hackerangriff

Die Eskalation des Russland-Ukraine-Krieges im Überfall auf die Ukraine wird von einem Cyberkrieg begleitet.

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Zum Zeitpunkt des Überfalls waren die Spannungen zwischen Russland und der Ukraine hoch, da über 100.000 russische Soldaten in der Nähe der ukrainischen Grenze stationiert waren und Gespräche zwischen Russland und der NATO liefen.[1] Die US-Regierung gab damals bereits an, dass Russland offensichtlich eine Invasion in der Ukraine vorbereite sowie „Sabotage- und Informationsaktivitäten“ betreibe. Die USA fanden angeblich auch Beweise für eine „Operation unter falscher Flagge“ in der Ostukraine, die als Vorwand für eine Invasion dienen könnte.[2] Russland bestritt die Vorwürfe einer bevorstehenden Invasion, drohte aber mit sogenannten „militärisch-technischen Maßnahmen“, falls seine Forderungen nicht erfüllt würden, insbesondere die Forderung, dass die NATO die Ukraine niemals in das Bündnis aufnehmen dürfe. Russland hatte sich nachdrücklich gegen eine weitere Ausweitung der NATO nach Osten ausgesprochen und begründete damit die Zunahme der Spannungen an der russisch-ukrainischen Grenze.[2]

Januar 2022[Bearbeiten | Quelltext bearbeiten]

Chronik im Januar[Bearbeiten | Quelltext bearbeiten]

Der russischen Invasion gingen lange vorbereitete, massive Cyberangriffe auf die Ukraine voraus. Der erste Angriff auf ukrainische Organisationen erfolgte nach Angaben des slowakischen Unternehmens für Sicherheitssoftware ESET in der Nacht zwischen dem 13. und 14. Januar. Am 14. Januar 2022 wurden mehr als ein Dutzend Websites der ukrainischen Regierung durch eine Cyberattacke lahmgelegt.[1] Nach Angaben ukrainischer Behörden wurden rund 70 Regierungswebsites angegriffen, darunter das Außenministerium, das Ministerkabinett und der Sicherheits- und Verteidigungsrat. Die meisten Websites wurden innerhalb weniger Stunden nach dem Angriff wiederhergestellt.[2] Am 15. Februar wurden durch eine weitere Cyberattacke mehrere Regierungs- und Bankdienste lahmgelegt.[3][4] Der Schadcode hatte sich als Ransomware getarnt, die Daten wurden jedoch durch die Software unwiederbringlich gelöscht, es handelte sich daher um einen Wiper. Am 23. Februar, wenige Stunden vor der Invasion, schlug ein weiterer, schon Monate zuvor eingeschleuster Wiper zu.[5]

Bei den Angriffen am 14. Januar 2022 ersetzten Hacker die Websites von etwa 70 Regierungswebseiten durch Texte in Ukrainisch, fehlerhaftem Polnisch und Russisch, in denen es heißt: „Habt Angst und erwartet das Schlimmste“, und in denen behauptet wurde, dass persönliche Informationen ins Internet gelangt seien.[6][7] Der Sicherheitsdienst der Ukraine (SBU) erklärte hierzu, dass keine Daten durchgesickert seien. Kurz nach Erscheinen der Nachricht wurden die Websites vom Netz genommen. Die meisten Seiten wurden innerhalb weniger Stunden wiederhergestellt.[1] Der stellvertretende Sekretär des NSDC, Serhij Demedjuk, erklärte, dass die ukrainische Untersuchung des Angriffs den Verdacht nahelegt, dass die Administrationsrechte eines Drittunternehmens zur Durchführung des Angriffs genutzt wurden. Die Software des ungenannten Unternehmens wurde seit 2016 für die Entwicklung von Regierungsseiten verwendet, von denen die meisten von dem Angriff betroffen waren.[7] Demedjuk machte auch UNC1151, eine Hackergruppe mit angeblichen Verbindungen zum belarussischen Geheimdienst, für den Angriff verantwortlich.[8]

Ein weiterer zerstörerischer Malware-Angriff fand etwa zur gleichen Zeit statt und tauchte erstmals am 13. Januar auf. Die Malware, zunächst entdeckt vom Microsoft Threat Intelligence Center (MSTIC), wurde auf Geräten installiert, die „mehreren Regierungs-, gemeinnützigen und Informationstechnologie-Organisationen“ in der Ukraine gehören.[9] Später wurde berichtet, dass dies auch den staatlichen Notdienst und das Kraftfahrtversicherungsbüro einschließt.[10] Die Software mit der Bezeichnung DEV-0586 oder WhisperGate wurde so entwickelt, dass sie wie Ransomware aussieht, aber keine Wiederherstellungsfunktion hat, was darauf hindeutet, dass sie Dateien einfach zerstören will (Eraser oder Whiper), anstatt sie gegen Lösegeld zu verschlüsseln.[9] Der MSTIC berichtete, dass die Malware so programmiert war, dass sie ausgeführt wurde, wenn das betroffene Gerät ausgeschaltet war. Die Malware überschreibt den Master Boot Record (MBR) mit einer generischen Lösegeldforderung. Als Nächstes lädt die Malware eine zweite .exe-Datei herunter, die alle Dateien mit bestimmten Erweiterungen aus einer vorgegebenen Liste überschreibt und alle Daten in den betroffenen Dateien löscht. Die Nutzlast der Ransomware unterscheidet sich in mehrfacher Hinsicht von einem Standard-Ransomware-Angriff und deutet auf eine ausschließlich zerstörerische Absicht hin.[11][10]

Am 19. Januar versuchte die russische Advanced Persistent Threat (APT) Gruppe „Gamaredon“ (auch bekannt als „Primitive Bear“), eine westliche Regierungseinrichtung in der Ukraine zu infiltrieren.[12] Cyberspionage scheint das Hauptziel der Gruppe zu sein,[12] die seit 2013 aktiv ist, insbesondere auf ukrainische Organisationen zielt[13] und dabei anscheinend Dienste für andere APT-Gruppen anbietet.[14] So hat beispielsweise die Hackergruppe „InvisiMole“ ausgewählte Systeme angegriffen, die zuvor von „Gamaredon“ betroffen und mit digitalen Fingerabdrücken versehen worden waren.[13]

Als Reaktion auf die Invasion erklärte das Hackerkollektiv Anonymous noch am ersten Kriegstag, in einen Cyberkrieg mit der Regierung der Russischen Föderation getreten zu sein.[15]

Reaktionen auf die Angriffe im Januar[Bearbeiten | Quelltext bearbeiten]

Russland[Bearbeiten | Quelltext bearbeiten]

Russland wies die Behauptungen der Ukraine zurück, dass es mit den Cyberangriffen in Verbindung stehe.[16]

Ukraine[Bearbeiten | Quelltext bearbeiten]

Ukrainische Regierungsinstitutionen wie das Zentrum für strategische Kommunikation und Informationssicherheit und das Außenministerium vermuteten Russland als Urheber des Anschlags und wiesen darauf hin, dass dies nicht das erste Mal sei, dass Russland die Ukraine angreife.[6][17]

Internationale Organisationen[Bearbeiten | Quelltext bearbeiten]

Der Hohe Vertreter der Europäischen Union, Josep Borrell, sagte über die Quelle des Angriffs: „Man kann sich […] sehr gut vorstellen, woher der Angriff kommt.“[18] Der Generalsekretär der NATO Jens Stoltenberg kündigte an, dass die Organisation ihre Koordinierung mit der Ukraine in Bezug auf Cyberverteidigung angesichts möglicher weiterer Cyberangriffe verstärken werde. Später kündigte die NATO an, dass sie ein Abkommen unterzeichnen werde, das der Ukraine Zugang zu ihrer Malware Information Sharing Platform gewähre.[2][6]

Februar 2022[Bearbeiten | Quelltext bearbeiten]

Am 15. Februar brachte eine groß angelegte Denial-of-Service-Attacke (DDoS) die Websites des Verteidigungsministeriums, der Armee und der beiden größten Banken der Ukraine, der PrivatBank und der Oschadbank, zum Absturz.[3][19][4] Das Cybersecurity-Monitoring-Unternehmen NetBlocks berichtete, dass sich der Angriff im Laufe des Tages intensivierte und auch die Mobile Apps und Geldautomaten der Banken betroffen waren.[3] Die New York Times bezeichnete ihn als „den größten Angriff dieser Art in der Geschichte des Landes“. Ukrainische Regierungsvertreter erklärten, dass der Angriff wahrscheinlich von einer ausländischen Regierung ausgeführt wurde, und vermuteten, dass Russland dahinter stecke.[20] Obwohl es Befürchtungen gab, dass die Denial-of-Service-Attacke eine Tarnung für ernstere Angriffe sein könnte, wurde zunächst kein solcher Angriff entdeckt.[10]

Laut der britischen Regierung und dem Nationalen Sicherheitsrat der USA kam der Angriff vom russischen Militärgeheimdienst (GRU). Die amerikanische Cybersicherheitsbeauftragte Anne Neuberger erklärte, es sei festgestellt worden, dass bekannte GRU-Infrastrukturen große Mengen an Kommunikation an in der Ukraine ansässige IP-Adressen und Domänen übermittelten.[21][22] Kreml-Sprecher Dmitri Peskow bestritt, dass der Angriff von Russland ausging.[23]

Am 23. Februar legte ein dritter DDoS-Angriff mehrere ukrainische Regierungs-, Militär- und Bank-Websites lahm. Die ukrainische Behörde SSSCIP (State Service of Special Communication and Information Protection) meldete am 23. Februar massive DDoS-Attacken auf Regierungsinstitutionen und Banken.[24] Während die Websites des Militärs und der Banken bald wiederhergestellt wurden, war die Website des Sicherheitsdienstes der Ukraine SBU für längere Zeit offline.[25] Kurz vor 17 Uhr wurde auf Hunderten von Computern mehrerer ukrainischer Organisationen, unter anderem aus den Bereichen Finanzen, Verteidigung, Luftfahrt und IT-Dienstleistungen, datenlöschende Malware entdeckt. ESET Research nannte die Malware HermeticWiper, benannt nach ihrem echten Digitalen Zertifikat des in Zypern ansässigen Unternehmens Hermetica Digital Ltd. Der Wiper wurde Berichten zufolge am 28. Dezember 2021 kompiliert, während Symantec bereits im November 2021 bösartige Aktivitäten meldete, was bedeutet, dass der Angriff Monate im Voraus geplant wurde. Symantec meldete auch Wiper-Angriffe auf Geräte in Litauen, und dass einige Unternehmen bereits Monate vor dem Wiper-Angriff kompromittiert wurden. Ähnlich wie bei dem WhisperGate-Angriff im Januar wird Ransomware oft gleichzeitig mit dem Wiper-Angriff als Täuschung eingesetzt, und der Wiper-Angriff beschädigt den Master Boot Record.[26][27]

Einen Tag vor dem Angriff hatte die EU ein Krisenreaktionsteam eingesetzt, das aus etwa zehn Cybersicherheitsexperten aus Litauen, Kroatien, Polen, Estland, Rumänien und den Niederlanden bestand. Es ist nicht bekannt, ob dieses Team dazu beigetragen hat, die Auswirkungen des Cyberangriffs abzumildern.[28]

Der Angriff fiel mit der russischen Anerkennung der Separatistengebiete in der Ostukraine und der Genehmigung der russischen Truppenstationierung dort zusammen. Die USA und das Vereinigte Königreich machten Russland für den Angriff verantwortlich. Russland wies die Anschuldigungen zurück und bezeichnete sie als „russophob“.[25]

Etwa zur Zeit des Beginns der Invasion am Morgen des 24. Februars erfolgte ein Cyberangriff auf den Satellitennetz-Provider Viasat, indem ein fehlerhaftes Update im Raum Mittel-/Osteuropa hochgeladen wurde, wodurch KA-SAT-Kunden (darunter auch die ukrainischen Streitkräfte) ihre Netzzugänge verloren.[29] „Große Mengen an fokussiertem, bösartigen Datenverkehr“ gingen von infizierten Spezialmodems aus und überlasteten das System, Zehntausende Modems verloren den Kontakt zum Netz. Der Angriff betraf in Deutschland Enercon, 5800 seiner Anlagen waren nicht mehr online erreichbar. Die Analysten des IT-Sicherheitsunternehmens SentinelOne fielen Ähnlichkeiten zu den digitalen Werkzeugen der Hackergruppen Sandworm und Fancy Bear auf, die Russlands militärischem Auslandsgeheimdienst GRU zugeordnet werden. Viasat verschickte 30.000 neue Modems an Kunden, deren alte Geräte ausgefallen waren.[30]

Nachdem das russische Militär innerhalb der ersten Kriegstage das Mobilfunknetz der Ukraine zerstört hatte, wurde Elon Musk vom ukrainischen Vizepremier Mychajlo Fedorow gebeten, Internetzugang über der Ukraine bereitzustellen. Musk gab am dritten Kriegstag bekannt, Starlink sei jetzt in der Ukraine aktiv.[31] Die ukrainischen Streitkräfte verwenden inzwischen Starlink angeblich sehr erfolgreich für Drohnenangriffe auf russische Panzer und Stellungen. Starlink würde für die Überwachung und Koordinierung von unbemannten Flugkörpern verwendet, die dann sehr gezielt Anti-Panzer-Bomben abwerfen. Die russische Seite versuche zwar, die Internetversorgung aus dem Orbit mit Störsendern zu unterbinden, ein neues Software-Update von SpaceX könne jedoch die Störsender umgehen. Elon Musks tatkräftige Unterstützung der Ukraine wird auf russischer Seite als aggressiver Akt betrachtet. Dmitri Olegowitsch Rogosin, der Chef der russischen Weltraumbehörde Roskosmos, meinte hierzu: „Wenn Russland seine höchsten nationalen Interessen auf dem Territorium der Ukraine durchsetzt, taucht @elonmusk mit seinem Starlink auf, das zuvor als rein zivil deklariert wurde.“[32]

Am 28. Februar schaltete Google nach Beratung mit ukrainischen Behörden Echtzeit-Verkehrsdaten in der Ukraine und Informationen über dortige Menschenansammlungen bei Google Maps ab.[33]

Die in Russland ansässige Cybercrime-Gruppe Conti sagte Ende Februar ihre „volle Unterstützung“ für die Regierung von Präsident Wladimir Putin zu: „Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle uns zur Verfügung stehenden Mittel nutzen, um die kritischen Infrastrukturen eines Feindes anzugreifen.“[34]

Das World Wide Web Consortium erfuhr vom 28. Februar bis 2. März schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum Angriff auf die Ukraine nicht eindeutig dokumentiert ist.[35] Über den in der Ukraine populären Messaging-Dienst Telegram wurden vom ukrainischen Digitalminister Mychajlo Fedorow erstmals am 26. Februar 2022 Ziele ausgegeben, die von Freiwilligen per DDoS-Angriff lahmgelegt werden sollen.[36]

Anonymous führte mehrere Cyberangriffe auf Behörden, Medien- und Rüstungsunternehmen in Russland und Belarus durch. Anonymous hackte zunächst die Websites des russischen Staatssenders Russia Today (RT News) und nahm sie am 25. Februar vom Netz. Am 28. Februar gab es einen großen Hackerangriff auf mehrere russische Staatsmedien und Tageszeitungen, betroffen waren unter anderem die Staatsagentur TASS und die Online-Auftritte der Zeitungen Iswestija und Kommersant. Auf der Website von Iswestija erschienen ein Banner des Hackerkollektivs Anonymous und u. a. der Text: „Wir fordern Sie dringend auf, diesen Wahnsinn zu stoppen, schicken Sie Ihre Söhne und Ehemänner nicht in den sicheren Tod. Putin bringt uns zum Lügen und bringt uns in Gefahr.“ Die Staatsagentur TASS bestätigte den Hackerangriff und schrieb im Nachrichtenkanal Telegram: „Die Angreifer haben Informationen gepostet, die nicht der Wahrheit entsprechen.“[37]

März 2022[Bearbeiten | Quelltext bearbeiten]

Anteil der von Quad9 defensiv blockierten DNS-Anfragen in der Ukraine und Polen, 7.–9. März 2022

Chronik im März[Bearbeiten | Quelltext bearbeiten]

Deutsche Behörden schätzen, dass es Anfang März 2022 weltweit etwa 400.000 Hacker gab, die online für die Ukraine kämpfen. DoS-Attacken, die russische Propagandaseiten lahmlegen sollen, können auch ohne IT-Wissen browserbasiert ausgeführt werden, entsprechende Skripte sind im Umlauf. Inwiefern solche Angriffe, auch wenn Krieg herrscht, in Deutschland als Straftat angesehen werden können, ist umstritten.[36] Prinzipiell können ein (D)DoS-Angriff und eine Online-Demonstration unter den § 303b StGB fallen; sie werden aber unter bestimmten Umständen analog zu Sitzblockaden durch das Grundgesetz gedeckt.[38]

Am 3. März veröffentlichte die russische Regierung eine Liste mit 17.576 IP-Adressen und 166 Domains, die hinter einer Reihe von DDoS-Angriffen auf die russische Infrastruktur stehen sollen. Zu den auffälligen Domains in der vom russischen National Coordination Center for Computer Incidents (NCCCI) veröffentlichten Liste gehören das FBI, die CIA und die Websites verschiedener Medien wie USA Today, 24News.ge, megatv.ge und das ukrainische Magazin Korrespondent.[39]

Am 5. März wurde an viele Mobiltelefone in Russland eine Massen-SMS eines unbekannten Absenders mit der Nachricht (in russischer Sprache) „Liebe Russen, eure Medien werden zensiert. Der Kreml lügt. Erfahren Sie die Wahrheit über die Ukraine im kostenlosen Internet und in der Telegram-App. Es ist Zeit, den Diktator Putin zu stürzen“ versendet.[40]

Ab dem 6. März intensivierte Russland seine Cyberangriffe auf die ukrainische Zivilgesellschaft deutlich.[41]

Am 7. März konnte Anonymous das reguläre Programm des russischen Staatsfernsehens unterbrechen und stattdessen Bilder aus dem Krieg in der Ukraine zeigen. Betroffen waren neben den Sendern auch die Streaming-Plattformen Wink und Ivy. Der Eingriff in das russische Fernsehprogramm endete mit einer Texteinblendung, die dazu aufrief, sich gegen den Krieg in der Ukraine zu wehren: „Die normalen Leute in Russland sind gegen den Krieg.“[37]

Allein am 9. März hat der rekursive Resolver Quad9, der Malware blockiert, 4,6 Millionen Angriffe auf Computer und Telefone in der Ukraine und in Polen abgefangen und entschärft – eine Rate, die mehr als zehnmal so hoch ist wie der europäische Durchschnitt. Der Cybersicherheitsexperte Bill Woodcock der internationalen Organisation für Sicherheit kritischer Internet-Infrastrukturen Packet Clearing House stellte fest, dass die blockierten DNS-Anfragen aus der Ukraine eindeutig auf eine Zunahme von Phishing- und Malware-Angriffen gegen Ukrainer hindeuten, und merkte an, dass die polnischen Zahlen auch deshalb höher als üblich sind, weil sich 70 % bzw. 1,4 Millionen der ukrainischen Flüchtlinge zu diesem Zeitpunkt in Polen aufhielten.[42] Woodcock erläuterte die Art des Angriffs: „Die Ukrainer werden mit einer großen Anzahl von Phishing-Angriffen angegriffen, und ein Großteil der Malware, die auf ihre Rechner gelangt, versucht, Kontakt zu einer bösartigen Command-and-Control-Infrastruktur aufzunehmen.“[41]

Am 10. März gelang es Anonymous-Aktivisten, in die Datenbank der russischen Zensurbehörde Roskomnadsor einzudringen und über 360.000 Dateien mit einem Datenvolumen von etwa 800 GB über die Aktivistengruppe Distributed Denial of Secrets (DDoSecrets) zu veröffentlichen. Einige dieser Dokumente würden zeigen, dass Moskau alles zensiert habe, was sich auf den Krieg als russische Invasion in der Ukraine bezieht.[43]

Mitte März hackten deutsche Anonymous-Aktivisten die deutsche Tochterfirma des russischen Mineralölkonzerns Rosneft, schon kurz vorher veröffentlichte Anonymous (nach eigenen Angaben) 79 GB Daten des russischen Unternehmens Transneft. Auch noch Ende März zeigen russische Behörden-Websites nicht selten Guy-Fawkes-Masken mit unterlegtem ukrainischem Banner und Aufrufen gegen den Krieg. Fortlaufend werden Websites russischer Online-Shops gehackt und dort in Russland zensierte Kriegsbilder gezeigt, so beispielsweise beim Online-Shop für Kinderbekleidung kids-centr.ru. In Belgorod wurden Kassenterminals von Restaurants manipuliert, die Kassenzettel zeigten die Botschaft „Stoppt den Krieg! Rettet eure Kinder!“ Andere kompromittierte Drucker informieren über die Geschehnisse in der Ukraine oder geben Anleitungen aus, wie man die staatliche Internetzensur per Tor Browser umgehen kann. Laut der russisch- und englischsprachigen Internetzeitung Meduza aus Lettland wurde das größte soziale Netzwerk in Russland, vk.com, gehackt. Die User erhielten Informationen über die zivilen Opfer des Krieges.[44]

Das Kieler Institut für Sicherheitspolitik stellte am 21. März fest, dass der erwartete Cyber-Großangriff nicht stattfand bzw. nicht das erwartete Ausmaß einnahm: „Der von vielen erwartete Hacker-Angriff auf die Infrastruktur der Ukraine hat nicht stattgefunden, oder wenn, dann wurde er frühzeitig abgewehrt. Hierfür dürfte auch die jahrelange Kooperation mit den USA im Bereich der Cyber-Abwehr verantwortlich gewesen sein. Statt erfolgreich eine Cyberkampagne zu fahren, muss sich Russland mit privaten Hackergruppen aus aller Welt herumschlagen, die Russland angreifen und vor allem die Medienzensur zu durchbrechen versuchen.“[45]

Am 28. März erfolgte ein „massiver“ Cyberangriff auf Ukrtelecom, einen großen Mobilfunk- und Internetanbieter in der Ukraine, der nach ukrainischen Angaben kurzfristig „neutralisiert“ werden konnte.[46]

Einschätzung der Gefahrenlage im März[Bearbeiten | Quelltext bearbeiten]

Das deutsche Bundesamt für Verfassungsschutz gab am 4. März eine Warnung heraus, der zufolge eine bereits bekannte Gruppierung mit dem Namen „Ghostwriter“ versuche, in Deutschland Schaden anzurichten. Das Amt rechnet Ghostwriter dem russischen Geheimdienst zu. Es verweist auf eine Warnung des Microsoft Threat Intelligence Center vor der Malware WhisperGate. Wegen der jüngsten Sanktionen und militärischen Unterstützungszusagen wachse das Risiko für russische Cyberangriffe gegen deutsche Stellen und Unternehmen. Möglich sind demnach Sabotageakte gegen Unternehmen der kritischen Infrastruktur – also zum Beispiel Kraftwerksbetreiber oder Wasserwerke –, aber auch gegen militärische Einrichtungen oder Politiker. Entsprechende Hacking-Angriffe seien schon früh vorbereitet worden. Cyberangriffe des Akteurs „Ghostwriter“ gegen deutsche Abgeordnete belegen, dass es im Vorfeld des eigentlichen Angriffs Vorbereitungshandlungen gab, wie breit angelegtes Credential-Phishing über E-Mails. Aufgrund erneuter Angriffe im März 2022 gegen Personen in Deutschland sei besondere Vorsicht geboten.[47]

Das Kieler Institut für Sicherheitspolitik spricht von einer unerwartet hohen Effizienz von Cyberattacken aus der Zivilgesellschaft. Diese hätten die Informationskriegführung des Kremls empfindlich gestört und fügten der zivilen Infrastruktur Russlands erheblichen Schaden zu. Sie erschwerten größere russische Cyberattacken auf westliche kritische Infrastrukturen, da die russischen IT-Fachkräfte mit der Abwehr dieser dezentralen Hackerangriffe ausgelastet seien.[48] Der Ukraine ist es gelungen, eine freiwillige „IT-Armee“ aus zivilen Hackern aus der ganzen Welt zusammenzustellen; sie stellte Anfang März eine neue Reihe von Zielen auf, zu denen auch das belarussische Eisenbahnnetz, Russlands satellitengestütztes Navigationssystem GLONASS und Telekommunikationsbetreiber wie MTS und Beeline gehören.[49]

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am 15. März 2022 vor der Verwendung des russischen Virenschutzprogramms Kaspersky Anti-Virus und anderer Produkte von Kaspersky Lab: „Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“[50] Kaspersky scheiterte Ende März mit einer Klage auf Unterlassung und Widerruf gegen diese Empfehlung vor dem Verwaltungsgericht Köln.[51]

Ansonsten sieht das BSI „eine abstrakt erhöhte Bedrohungslage für Deutschland. Der Konflikt wird weiterhin von verschiedensten Formen von Cyber-Angriffen begleitet […] Das BSI weist außerdem darauf hin, dass die allgemeine Cyber-Bedrohungslage – durch Cyber-Crime, Fake News, Desinformationen und andere Phänomene – weiterhin besteht.“[52]

Ein Sprecher des slowakischen Unternehmens für Sicherheitssoftware ESET erklärte Mitte März zur Sicherheitslage: „Es ist nicht unwahrscheinlich, dass bei einer weiteren Eskalation des Konflikts auch Deutschland in den Fokus staatlich motivierter Cyberangriffe gerät. Es ist daher nicht auszuschließen, dass Computersysteme kleinerer Versorgungsunternehmen, z. B. lokale Energieversorger, bereits infiltriert sind.“ Diese Einschätzung wird vom Cyber-Sicherheitsrat Deutschland bestätigt. Internationale Fachleute sehen Deutschland besonders gefährdet, da hier die Cybersicherheit hinter anderen westlichen Staaten zurückbleibe.[53]

Am 21. März warnte US-Präsident Biden eindringlich vor russischen Cyber-Attacken und rief die Wirtschaft seines Landes dazu auf, die Computersysteme von Unternehmen stärker gegen Angriffe zu wappnen. Es lägen Geheimdiensthinweise vor, wonach die russische Regierung Optionen für Cyberattacken gegen die USA prüfe.[54] Die amerikanische Bundespolizei FBI verzeichnet nach einer Meldung der Nachrichtenagentur Associated Press vom 23. März zunehmend Versuche russischer Hacker, in wichtige Infrastruktur-Unternehmen einzudringen. So seien mindestens fünf Energieunternehmen und 18 weitere Unternehmen in der Rüstungsindustrie und bei Finanzdienstleistern auf Schwachstellen gescannt worden.[55]

Rezeption zur Cyberkriegslage im März[Bearbeiten | Quelltext bearbeiten]

Für die auch Ende März gegebene Funktionsfähigkeit der digitalen ukrainischen Infrastruktur werden mehrere Gründe genannt: Die Kriegsplanung der Russen sah vor, das Land schnell einzunehmen und dann die Infrastruktur selbst zu nutzen. Als dieser Plan scheiterte, war es für die Vorbereitung ausgeklügelter und überraschender Cyberattacken zu spät. Das Kommunikationssystem der russischen Armee habe weitgehend versagt und so sei sie auf die Nutzung ukrainischer Infrastruktur angewiesen; dafür spreche, dass der ukrainische Geheimdienst oft die militärische Kommunikation der russischen Streitkräfte abfangen kann, da sie über ukrainische Infrastrukturen abgewickelt werde. Der ausschlaggebende Grund sei jedoch die besondere Dezentralität: Es gibt in der Ukraine eine hohe Zahl an Internet-Providern, die unabhängige Infrastrukturen betreiben. Abgesehen davon ist die in den 1970er Jahren festgelegte Struktur des Internets selbst und dabei vor allem das Transmission Control Protocol im Zusammenspiel mit dem Internet Protocol „ein technisches Monument der Dezentralität“ (Sascha Lobo), das auch im konkreten Fall helfe, die Funktion des Internets aufrechtzuerhalten.[56]

April und Mai 2022[Bearbeiten | Quelltext bearbeiten]

Chronik im April und Mai[Bearbeiten | Quelltext bearbeiten]

Anfang April gab Bundesinnenministerin Nancy Faeser bekannt, dass sie vor dem Hintergrund des russischen Kriegs dem Bund bei der Cybersicherheit mehr Kompetenzen geben und dafür das Grundgesetz ändern will. Bisher sei die Gefahrenabwehr überwiegend Ländersache, komplexen und länderübergreifenden Gefahren durch Cyberattacken könne aber nur der Bund effektiv entgegentreten. In der Ampelkoalition bildete sich jedoch Widerstand, Grüne und FDP stoßen sich daran, dass Faeser Cyber-Gegenattacken, sogenannte Hackbacks, ermöglichen will.[57][58]

Die US-Regierung gab am 6. April bekannt, dass sie in Computernetzwerken von öffentlichen Einrichtungen und Firmen im großen Maßstab russische Malware entdeckt und entfernt habe.[59] Nach anderen Angaben konnte die Malware noch nicht überall entfernt werden. Der Angriffcode betrifft insbesondere Geräte, die in Anlagen für verflüssigtes Erdgas verwendet werden und in den USA eine Schlüsselrolle bei der Energieversorgung spielen. Das Schadprogramm setzt nicht bei unbekannten Schwachstellen in Betriebssystemen an, die sich relativ leicht mit einem Update beheben lassen, sondern manipuliert Steuerungssysteme auf mehreren Ebenen.[60] Betroffen sind Industrial Control System- und Supervisory-Control-and-Data-Acquisition-Strukturen, sobald sie mit der Operational Technology (OT) verbunden werden.[61]

Anonymous drang am 6. April in das Überwachungssystem des Kremls ein und veröffentlichte Videomaterial von Überwachungskameras auf Twitter.[62]

Zwei Tage später begann die russische Hackereinheit 74455 mehrere Angriffe auf Umspannwerke, die jedoch rechtzeitig vereitelt wurden.[63]

Microsoft hat nach eigenen Angaben vom 7. April von sieben Internetdomains ausgehende Angriffe russischer Hacker auf Einrichtungen in der Ukraine, Europa und den USA unterbrochen. Hinter den Spionageangriffen steckt laut Microsoft die Hackergruppe Strontium, die auch unter den Namen APT28, Sofacy, Pawn Storm und Fancy Bear bekannt ist. Die Ziele der Hacker seien unter anderem Medien und Regierungsbehörden gewesen. Mithilfe eines richterlichen Beschlusses habe Microsoft die fraglichen Domains übernommen. Um die Angriffe verpuffen zu lassen, hat Microsoft den Datenstrom der Hacker in DNS-Sinkholes umgeleitet, d. h. den Angreifern wird von Servern des Sinkholes Daten übermittelt, dass sie einen Angriff erfolgreich durchgeführt hätten, obwohl dies nicht der Fall war.[64][65]

Im Laufe der ersten Aprilwoche 2022 gab das Netzwerk von Anonymous über verschiedene Medien die von den internen Webseiten des Kremls gehackten Identitäten all der 120.000 Soldaten bekannt, die von Anfang an an dem Überfall auf die Ukraine beteiligt waren.[66][67][68] Man stellte diese zeitnah online,[69] um im Zusammenhang mit eventuell begangenen Kriegsverbrechen die spätere individuelle Verfolgung der Soldaten zu ermöglichen.[67]

Im April und Mai versuchten russische Hacktivisten unter dem Pseudonym Killnet einige Websites deutscher Behörden, Ministerien und Flughäfen per DDoS-Attacken zu überlasten. Dies gelang ihnen in den wenigsten Fällen und dann nur vorübergehend.[70]

Weiterführende Chronik[Bearbeiten | Quelltext bearbeiten]

Nach eigenen Angaben gelang es ukrainischen Hackern im Sommer 2022, den Aufenthaltsort von russischen Truppen mithilfe von Fake-Frauenprofile zu lokalisieren. Sie nutzten die Profile eigenen Angaben zufolge um russische Soldaten dazu zu animieren, Photos zu schicken, durch die sie ihren Standort verrieten.[71]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Einzelverweise[Bearbeiten | Quelltext bearbeiten]

  1. a b c Ukraine cyber-attack: Government and embassy websites targeted. In: BBC News, 14. Januar 2022. 
  2. a b c d Pavel Polityuk, Tom Balmforth: ‘Be afraid’: Ukraine hit by cyberattack as Russia moves more troops (en). In: Reuters, 14. Januar 2022. 
  3. a b c Ukraine banking and defense platforms knocked out amid heightened tensions with Russia (en) In: NetBlocks . 15. Februar 2022. Archiviert vom Original am 24. Februar 2022.
  4. a b Ukraine’s defence ministry and two banks targeted in cyberattack (en) In: euronews . 15. Februar 2022. Archiviert vom Original am 23. Februar 2022.
  5. Marcel Kolvenbach: Putins Cyber-Krieg. tagesschau.de, 18. März 2022, abgerufen am 18. März 2022.
  6. a b c Andrew E. Kramer: Hackers Bring Down Government Sites in Ukraine (en). In: The New York Times, 14. Januar 2022. 
  7. a b Pavel Polityuk: Exclusive. Hackers likely used software administration rights of third party to hit Ukrainian sites, Kyiv says (en). In: Reuters, 14. Januar 2022. Abgerufen am 16. Januar 2022. 
  8. Pavel Polityuk: Exclusive. Ukraine suspects group linked to Belarus intelligence over cyberattack (en). In: Reuters, 16. Januar 2022. 
  9. a b Destructive malware targeting Ukrainian organizations (en) In: Microsoft Security Blog . 16. Januar 2022. Archiviert vom Original am 24. Februar 2022. Abgerufen am 17. Januar 2022.
  10. a b c Cyberattacks knock out sites of Ukrainian army, major banks (en) In: AP News . 15. Februar 2022. Archiviert vom Original am 24. Februar 2022. Abgerufen am 17. Februar 2022.
  11. David E. Sanger: Microsoft Warns of Destructive Cyberattack on Ukrainian Computer Networks (en). In: The New York Times, 16. Januar 2022. Abgerufen am 20. Januar 2022. 
  12. a b Kyle Alspach: Microsoft discloses new details on Russian hacker group Gamaredon. In: VentureBeat. 4. Februar 2022. Abgerufen am 22. März 2022.
  13. a b Charlie Osborne: Ukraine warns of InvisiMole attacks tied to state-sponsored Russian hackers. 21. März 2022. Abgerufen am 22. März 2022.
  14. Warren Mercer, Vitor Ventura: Gamaredon – When nation states don’t pay all the bills. In: Cisco. 23. Februar 2021. Abgerufen am 22. März 2022.
  15. Cyberangriff auf russisches Verteidigungsministerium. In: t-online. 25. Februar 2022, abgerufen am 25. Februar 2022.
  16. Robert McMillan, Dustin Volz: Ukraine Hacks Signal Broad Risks of Cyberwar Even as Limited Scope Confounds Experts (en). In: Wall Street Journal, 20. Januar 2022. Abgerufen am 26. Januar 2022. 
  17. News Ukraine government websites hacked in ‘global attack’. In: Deutsche Welle . Archiviert vom Original am 14. Januar 2022. Abgerufen am 14. Januar 2022.
  18. Alexandra Brzozowski, Mathieu Pollet: EU pledges cyber support to Ukraine, pins hopes on Normandy format (en) In: www.euractiv.com . 14. Januar 2022. Archiviert vom Original am 1. Februar 2022. Abgerufen am 31. Januar 2022.
  19. Regina Zilbermints: Ukraine Defense Ministry, banks hit by cyberattack amid tensions with Russia (en) In: TheHill . 15. Februar 2022. Archiviert vom Original am 24. Februar 2022.
  20. Valerie Hopkins: A hack of the Defense Ministry, army and state banks was the largest of its kind in Ukraine’s history (en). In: The New York Times, 15. Februar 2022. Archiviert vom Original am 17. Februar 2022. Abgerufen am 17. Februar 2022. 
  21. Government response: UK assess Russian involvement in cyber attacks on Ukraine. UK government. 18. Februar 2022. Archiviert vom Original am 25. Februar 2022. Abgerufen am 25. Februar 2022.
  22. Biden says he's now convinced Putin has decided to invade Ukraine, but leaves door open for diplomacy. CNN. 19. Februar 2022. Archiviert vom Original am 19. Februar 2022.
  23. Нова кібератака на банки була "найбільшою в історії України" й досі триває. BBC. 16. Februar 2022. Archiviert vom Original am 24. Februar 2022. Abgerufen am 25. Februar 2022.
  24. Another cyberattack on government websites and banks. State Service of Special Communication and Information Protection of Ukraine, 23. Februar 2022, abgerufen am 28. März 2022.
  25. a b Cyber-attacks bring down many Ukraine websites (en). In: BBC News, 23. Februar 2022. Abgerufen am 24. Februar 2022. 
  26. HermeticWiper: New data‑wiping malware hits Ukraine (en) In: WeLiveSecurity . 24. Februar 2022. Archiviert vom Original am 25. Februar 2022. Abgerufen am 24. Februar 2022.
  27. Ukraine: Disk-wiping Attacks Precede Russian Invasion (en) In: symantec-enterprise-blogs.security.com . Archiviert vom Original am 25. Februar 2022. Abgerufen am 24. Februar 2022.
  28. Ukraine: EU deploys cyber rapid-response team (en). In: BBC News, 22. Februar 2022. Abgerufen am 24. Februar 2022. 
  29. Viasat: Satellitennetzwerk offenbar gezielt in Osteuropa gehackt. In: Der Spiegel. 5. März 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 6. März 2022]).
  30. Jannis Brühl: Angriff auf „Ka-Sat 9A“. In: Süddeutsche Zeitung. 4. April 2022, abgerufen am 8. April 2022.; Carly Page: Viasat cyberattack blamed on Russian wiper malware. In: TechCrunch. April 2022, abgerufen am 8. April 2022.
  31. Russland-Ukraine-News: Elon Musk sichert Ukrainern Internetzugang. In: Der Spiegel. 27. Februar 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 27. Februar 2022]).
  32. Ukraine nutzt Elon Musks Starlink für Drohnenangriffe. Deutsche Welle, 25. März 2022, abgerufen am 27. März 2022; Nick Allen, James Titcomb: Elon Musk’s Starlink helping Ukraine to win the drone war. In: The Telegraph, 18. März 2022, abgerufen am 27. März 2022.
  33. Elizabeth Culliford: Google temporarily disables Google Maps live traffic data in Ukraine. In: Reuters. 28. Februar 2022 (reuters.com [abgerufen am 2. März 2022]).
  34. Dieter Petereit: Antwort auf Anonymous: Cyberkriminelle von Conti drohen mit Vergeltung für Cyberangriffe auf Russland. In: t3n, 26. Februar 2022, abgerufen am 28. März 2022.
  35. Several W3C services unavailable. Abgerufen am 26. März 2022.
  36. a b Vgl. z. B. BT-Drs. 17/10379, S. 10 zu Nr. 17.
  37. a b Jan Trieselmann, Sandra Kathe, Samira Müller: Ukraine-Krieg: Anonymous kapert russisches Fernsehen – „Nicht unser Krieg“. In: Frankfurter Rundschau, 20. März 2022, abgerufen am 23. März 2022.
  38. Oliver Wietlisbach: Anonymous und die „IT-Army der Ukraine“ im Cyberkrieg gegen Russland. In: IT-Markt, 8. März 2022, abgerufen am 9. März 2022; Markus Reuter: Hacktivism im Krieg: Zwischen digitaler Sitzblockade und Cyberwar. In: netzpolitik.org, 28. Februar 2022, abgerufen am 9. März 2022; BVerfG, Beschluss vom 7. März 2011, Az. 1 BvR 388/05, Volltext.
  39. Russland veröffentlicht Liste von IPs und Domains, die seine Infrastruktur mit DDoS-Attacken angreifen. alltechnews.de, 4. März 2022. Abgerufen am 25. März 2022.
  40. Ukraine-News: Russland kündigt Waffenruhe in Mariupol zur Evakuierung der Stadt an. In: Der Spiegel. 5. März 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 5. März 2022]).
  41. a b Brian Krebs: Recent 10x Increase in Cyberattacks on Ukraine. In: Krebs on Security . Abgerufen am 11. März 2022: „Während unser Gesamtverkehr in Kiew zurückging – und in Warschau aufgrund von Infrastrukturausfällen innerhalb der Ukraine leicht anstieg – ist das Verhältnis von ‚guten Anfragen‘ zu ‚blockierten Anfragen‘ in beiden Städten sprunghaft angestiegen. Am Mittwoch (9. März 2022) nachmittags war das Verhältnis der blockierten Anfragen in Kiew etwa 10-mal so hoch wie in anderen europäischen Städten. Dieser Sprung um eine Größenordnung ist beispiellos.“
  42. Ukraine Refugee Situation, UNHCR. 
  43. Svenja Wallocha: Anonymous soll russische Bundesbehörde gehackt haben – 360.000 Dokumente veröffentlicht. In: Frankfurter Rundschau, 11. März 2022, abgerufen am 12. März 2022.
  44. Oliver Wietlsbach: Cyberkrieg gegen Kreml-Propaganda: Anonymous hackt sich durch halb Russland. In: Watson, 24. März 2022, abgerufen am 26. März 2022; Oliver Wietlsbach: Anonymous hackt Putin-nahen Ölkonzern Rosneft und löscht iPhones. In: Watson, 14. März 2022, abgerufen am 26. März 2022.
  45. Wie ist die militärische Lage in der Ukraine einzuschätzen? Institut für Sicherheitspolitik an der Universität Kiel, 21. März 2022, abgerufen am 26. März 2022.
  46. Ukraine says major cyberattack against telecom has been ‘neutralized’. Venturebeat, 28. März 2022, abgerufen am 1. April 2022.
  47. Sicherheitshinweis für die Wirtschaft 01/2022 vom 4. März 2022: Krieg in der Ukraine (PDF). Bundesamt für Verfassungsschutz, abgerufen am 22. März 2022.
  48. Wie ist die militärische Lage in der Ukraine einzuschätzen? Institut für Sicherheitspolitik an der Universität Kiel, 4. März 2022, abgerufen am 10. März 2022.
  49. Russland veröffentlicht Liste von IPs und Domains, die seine Infrastruktur mit DDoS-Attacken angreifen. alltechnews.de, 4. März 2022. Abgerufen am 25. März 2022.
  50. BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten. Bundesamt für Sicherheit in der Informationstechnik, 15. März 2022, abgerufen am 16. März 2022.
  51. Die Justiz des Landes Nordrhein-Westfalen: Verwaltungsgericht Köln: Bundesamt für Sicherheit in der Informationstechnik darf vor Virenschutzsoftware von Kaspersky warnen. 1. April 2022, abgerufen am 2. April 2022.
  52. Cyber-Sicherheitsauswirkungen des russischen Angriffs auf die Ukraine. Bundesamt für Sicherheit in der Informationstechnik, 15. März 2022, abgerufen am 16. März 2022.
  53. Marcel Kolvenbach: Putins Cyber-Krieg. In: tagesschau.de, 18. März 2022, abgerufen am 18. März 2022.
  54. Biden warnt vor russischen Cyberangriffen. In: Deutsche Welle, 21. März 2022, abgerufen am 22. März 2022.
  55. USA: Russische Hacker greifen zunehmend Infrastruktur an. In: Deutschlandfunk, 23. März 2022, abgerufen am 23. März 2022.
  56. Sascha Lobo: Warum das ukrainische Internet noch immer läuft. Der Spiegel, 30. März 2022, abgerufen am 1. April 2022; Gerrit De Vynck, Rachel Lerman, Cat Zakrzewski: How Ukraine’s Internet still works despite Russian bombs, cyberattacks. The Washington Post, 29. März 2022, abgerufen am 1. April 2022; Ukraine’s internet connectivity: The degrading treatment of Ukraine’s internet. And how the Ukrainians are responding. The Economist, 26. März 2022, abgerufen am 1. April 2022.
  57. Innenministerin Faeser will Grundgesetzänderung zur Cybersecurity. In: Handelsblatt. 2. April 2022, abgerufen am 21. April 2022.
  58. Dietmar Neuerer: Ukraine-Krieg: Regierungspläne für Cyber-Gegenangriffe stoßen auf Ablehnung. In: Handelsblatt. 4. April 2022, abgerufen am 21. April 2022.
  59. Die militärische Lage in der Ukraine und die Aussichten für eine Beendigung des Krieges. Institut für Sicherheitspolitik, 8. April 2022, abgerufen am 9. April 2022.; Kate Conger, David E. Sanger: U.S. Says It Secretly Removed Malware Worldwide, Pre-empting Russian Cyberattacks. In: The New York Times. 6. April 2022, abgerufen am 9. April 2022.
  60. Marie-Astrid Langer: „Wird Jahre dauern, bis wir das behoben haben“ – Hacker greifen Amerikas Energiesektor an. In: Handelsblatt. 15. April 2022, abgerufen am 21. April 2022.
  61. Vilius Petkauskas: US warns a novel malware could disrupt nations' critical infrastructure. In: cybernews. 14. April 2022, abgerufen am 21. April 2022.
  62. Anonymous: Überwachungskameras im Kreml gehackt. Redaktionsnetzwerk Deutschland, 7. April 2022, abgerufen am 9. April 2022.
  63. Patrick Beuth: Ukraine: Wie russische Hacker den Strom abdrehen wollten. In: Der Spiegel. 14. August 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 15. August 2022]).
  64. Jörg Breithut: Microsoft greift in Cyberattacke gegen die Ukraine ein. In: Der Spiegel. 8. April 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 10. April 2022]).
  65. Disrupting cyberattacks targeting Ukraine. 7. April 2022, abgerufen am 10. April 2022 (englisch).
  66. Guerre en Ukraine : noms, dates de naissance, adresses, passeports, les Anonymous dévoilent les informations personnelles de 120 000 soldats russes. L’Indépendant, 4. April 2022, abgerufen am 7. April 2022.
  67. a b Andrew Stanton: Anonymous Apparently Behind Doxing of 120K Soldiers in Ukraine War. Newsweek, 3. April 2022, abgerufen am 7. April 2022.
  68. Olivia Devereux-Evans: Hackers Anonymous release ‘personal data of 120,000 Russian soldiers fighting in Ukraine’. Mail Online, 4. April 2022, abgerufen am 7. April 2022.
  69. Liste der Namen, Registrierungs~/Passnummern und Dienstorte der Russische Invasionskräfte (Stand 1. März 2022)
  70. Matthias Gebauer, Sven Röbel, Marcel Rosenbach, Wolf Wiedmann-Schmidt: Cyberangriffe von »Killnet«: Putin-Fans attackieren deutsche Behördenseiten. In: Der Spiegel. 6. Mai 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 6. Mai 2022]).
  71. Spionage mit Fakeprofilen: Hacker tricksten russische Soldaten angeblich mit Frauenfotos aus. In: Der Spiegel. 6. September 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 15. September 2022]).