Als Cyberwaffen werden solche digitalen Mittel bezeichnet, mit denen sich Cyberattacken abwehren lassen. Zu den populärsten, auch aktuell im Ukrainekrieg, gehören die reaktiven Cyberweapons, mit denen man den Angreifer mit Gegenangriffen traktieren kann. Die Triade vervollständigen die sogenannten detektiven Waffen, mit denen man den Angriff aufdeckt, bevor oder während er passiert, und die präventiven Maßnahmen. Mit Letzteren sollen sich insbesondere Angriffe verhindern lassen. Durch all diese Werkzeuge soll die Demokratie wehrhaft bleiben, denn die Attacken erreichen durch sie erst gar nicht ihr Ziel. Deshalb ist es erstaunlich, wie wenig Beachtung die für präventive Maßnahmen verantwortlichen Cyber-Peacemaker – im Krieg wie im Frieden – dennoch genießen.

In den Wochen, die unmittelbar dem russischen Angriff auf die Ukraine vorangingen, warnten Experten vor einem drohenden Cyberkrieg, der alle Szenarien, die sich die Cyber-Militärstrategen zuvor ausgedacht hatten, in den Schatten stellen sollte. Lennart Maschmeyer, Senior Researcher im Bereich Cybersecurity an der ETH Zürich, fasste die üblichen Expertenwarnungen im Deutschlandfunk wie folgt zusammen: Falls Russland in die Ukraine einmarschieren sollte, wird man mit viel schlimmeren Cyberangriffen als bisher konfrontiert werden. Der kinetische Krieg sollte demnach nur eine Art Nebenschauplatz der im Vordergrund stehenden und Wochen bis Monate – ja, vielleicht sogar Jahre – im Voraus geplanten Cyberoperationen werden.

Gezielte Angriffe auf kritische Infrastrukturen, auf die Wasser- oder Stromversorgung sowie eine systematische Deaktivierung der Grundversorgung der Bevölkerung durch die Aktivierung früher eingeschleuster Schadsoftware wurden erwartet. Seit Jahren beobachteten Geheimdienste und Sicherheitsanalysten verstärkte Aktivitäten staatlicher Akteure in den Netzen und Systemen verschiedener Länder, unter anderem der Ukraine, Großbritannien, den USA und Deutschland, deren Urheberschaft den »russischen Hackern« zugeschrieben wurde. Diese Aktivitäten, so die Prognosen, sollten nur ein Vorgeschmack darauf sein, was im Falle eines Angriffs oder Krieges möglich wäre.

Doch es kam anders. Als am 24. Februar 2022 der Angriff auf die Ukraine begann, wurde schnell klar, dass es sich bei diesen Expertenmeinungen möglicherweise um »kühne Fantasien, was alles theoretisch möglich gewesen wäre«, handelte, so Maschmeyer. Bei einem bewaffneten Konflikt scheinen die konventionellen militärischen Waffen immer noch die ersten Mittel der Wahl zu sein. Cyberfähigkeiten werden dagegen höchstens zur Aufklärung oder zur Spionage, also ergänzend eingesetzt, erklärte Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) im Deutschlandfunk.

Anfang März hatten die Analysten des Sicherheitsunternehmens Kaspersky die aktuelle Situation in der Ukraine bezüglich der Cyberaktivitäten im Land als »komplex« eingestuft: Man hätte etwas Ähnliches noch nie in der Geschichte der Cyberattacken gesehen, urteilte Costin Raiu, doch man erwarte mehr und komplexere (sophisticated) Attacken in der Zukunft und behalte deswegen die Entwicklung der Situation im Auge. Das Bild sei komplex, unter anderem aus folgenden Gründen:

Erstens, nur wenige Stunden nach dem kinetischen Angriff erklärte das Hackerkollektiv Anonymous Russland den Krieg. Via Twitter. Unter dem Hashtag #OpRussia wurden Screenshots gehackter Websites russischer Radiosender oder Regierungsseiten gepostet, Kurzfilme zu erfolgreichen Datenlecks präsentiert, Flugzeuge oder Luxusboote russischer Oligarchen getrackt oder Ausschnitte der übernommenen Kommunikation des russischen Militärs veröffentlicht. Sie wurden von der Öffentlichkeit bejubelt, während sich die Politik und die Regierungen anderer Länder in zustimmendes Stillschweigen hüllten. Bis auf die deutsche Staatsanwaltschaft, die prompt daran erinnerte, dass in Deutschland Hacking und teilweise sogar Sicherheitsforschung auf Grundlage des sogenannten Hackerparagrafen 202c des Strafgesetzbuches illegal und somit strafbar seien.

Attacken, zu denen sich Anonymous bekennt, lassen sich allerdings sehr schwer auf Gültigkeit prüfen. Zugleich wird die Operation zunehmend von den Sicherheitsexperten kritisiert. Aktuell würden die Ergebnisse der #OpRussia eher auf psychologische Effekte abzielen oder seien »schlicht Show«, bewertete etwa Johannes Kuhn die Lage im Deutschlandfunk. Außerdem seien sie weit von dem entfernt, was möglich gewesen wäre. Man könne sie höchstens als digitale Protestaktionen oder Demonstrationen verstehen, wie der Sprecher des deutschen Chaos Computer Clubs (CCC) dem Spiegel erklärte.

Zweitens, am 26. Februar rief der ukrainische Minister für digitale Transformation, Mykhailo Fedorov, dazu auf, eine IT-Armee aufzustellen und sich so an der Verteidigung des Landes zu beteiligen. Via Telegram. »We already know that they [Russland] are quite good at cyberattacks. But now we will find out how good they are in cyberdefense«, zitierte die Computerzeitschrift Wired aus einer regierungsnahen Quelle. Die freiwillige #ITArmy kommuniziert und organisiert ihre Aktivitäten über verschlüsselte Kommunikationskanäle auf Telegram. Auch sie soll gezielte Denial-of-Service-Attacken auf russische Banken oder Regierungsseiten durchgeführt haben, die im schlimmsten Fall zum Zusammenbruch eines Systems führen können. Im Unterschied zu der #OpRussia des Kollektivs Anonymous handelt es sich bei der Cyberarmee um eine zwar freiwillige, dennoch offizielle Einrichtung der ukrainischen Regierung.

Die Struktur der Angreifer und Akteure, die aktuell Cyberaktivitäten in der Ukraine durchführen, ist sehr heterogen und unübersichtlich, die Zuschreibung der Attacken sehr schwierig. Das Sicherheitsunternehmen Kaspersky identifizierte gleich mehrere Kategorien, von staatlich gesteuerten über unbekannte bzw. nicht identifizierbare Akteure bis hin zu Hacktivisten und schlichten privaten Cyberkriminellen.

Als Gegner stehen der – organisierten und/oder nichtorganisierten – Cyberverteidigung der Ukraine unter anderem auch nichtstaatliche Akteure, etwa die Gruppierung Conti gegenüber, die für Ransomware-Attacken, bei denen Dateien verschlüsselt werden, sodass man nicht mehr darauf zugreifen kann, bekannt ist und für Lösegelderpressungen. Diese hat Vergeltungsschläge gegen alle angekündigt, die Cyberangriffe auf die russische kritische Infrastruktur oder die Zivilbevölkerung wagen würden. Via Blog.

Hack-Back-Strategien

Wenn man der Fantasie freien Lauf lassen würde, wie es die Analysten im Fernsehen taten, könnte man sich sogar vorstellen, dass auf Angriffe der antirussischen Cyberaktivisten (zum Beispiel Anonymous) auf die russische Infrastruktur, Unternehmen oder Medien Cyberattacken der prorussischen Cyberaktivisten (etwa Conti) auf Infrastrukturen der EU-Länder folgen. Auch wenn es lediglich darum ginge, zu prüfen, wie gut solche Länder wie Deutschland, die seit Jahren über Cyberkriege und Hack-Back-Strategien sinnieren, tatsächlich auf die Angriffe auf ihre kritischen Infrastrukturen vorbereitet sind.

Unmittelbar mit dem Angriff auf die Ukraine ist jenes Satellitenkommunikationsnetzwerk ausgefallen, mit dem Windkrafträder in Deutschland gesteuert und aus der Ferne gewartet werden. Der Ausfall betraf den Anbieter Euroskypark, der zu den kritischen Infrastrukturen zählt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte beide Ereignisse im Nachhinein in einen Zusammenhang und erkannte eine »abstrakt erhöhte Bedrohungslage für Deutschland«. Jedoch sei »keine akute unmittelbare Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich«. Vorbehaltlich künftiger Entwicklungen kann sich diese Einschätzung natürlich ändern.

Die Enttäuschung der Experten, der Cyberkrieg würde sich nicht so entwickeln wie vorhergesagt, ist nachvollziehbar. Eventuell findet diese Art Krieg aber dennoch statt, und zwar so, wie Stanislaw Lem es in Der futurologische Kongress beschrieben hat. Das Sicherheitsunternehmen Kaspersky hat in seiner Einschätzung der aktuellen Lage zu den Cyberaktivitäten in der Ukraine einen »sehr intensiven« Informationskrieg (Infowar) beobachtet. Dieser manifestiert sich – aus der Sicherheitsperspektive – in Desinformation, Misinformation oder verschiedenen Arten von Datenlecks: Fake-Leaks, aber auch echten Leaks. »Ein echter Panzer kostet jetzt fast eine Million Dollar, ein halluzinierter etwa einen Hundertstelcent pro Betrachter«, fantasierte Lem über die Kriege der Zukunft.

Auch außerhalb der Sicherheitsperspektive hat man zunehmend den Eindruck, dass der Konflikt sehr intensiv via Social Media ausgefochten wird. Sowohl der Präsident der Ukraine als auch andere Mitglieder der Regierung und Prominente scheinen die Kunst gut zu beherrschen, den Krieg auch mittels YouTube oder Twitter zu betreiben. Der Redakteur des Online-Magazins 1E9, Michael Förtsch, stellte sogar kürzlich fest, dass der ukrainische Präsident Wolodymyr Selenskyj mehr Follower auf Instagram hat als der Ex-Ehemann von Kim Kardashian, Kanye West.

Während die Berichterstattung russischer staatlicher Medien, wie Russia Today (RT) oder Sputnik, von der EU wie auch von der Deutschen Medienkommission unterbunden wurde und ihre Informationsangebote via Social Media nicht abrufbar sind, ruft Präsident Selenskyj mittels Videobotschaften zur Verteidigung des Landes auf, richtet aber auch Botschaften an Russland oder dessen Unterstützer.

Der Präsident und sein Stab, aber auch Wladimir Klitschko, der Bruder des Bürgermeisters von Kiew Vitali Klitschko, setzen sich gerne in Szene – in Militärausrüstung, während Mahlzeiten mit ihren Waffenbrüdern, im Krisenstab, auf dem Kriegsfeld und bei Ansprachen an die Nation, die nicht mehr in Hemd und Krawatte, sondern in der Armeeunterwäsche in Khakigrün abgehalten werden. Via Twitter informiert Wladimir Klitschko über die Einrichtung von Bankkonten, auf die man Geld für die Verteidigung der Ukraine überweisen kann. Sie genießen eine Popularität, um die sie nicht nur so manche TikTok-Prominente, sondern auch einige westliche Politiker beneiden dürften.

Bisweilen hat man den Eindruck, dass der Krieg auf Instagram geführt wird, ähnlich, wie früher der US-Präsident Donald Trump via Twitter regiert hat. Doch der Erfolg und die Gunst der Internetplattformen sind trügerisch, bedenkt man, mit welcher Vehemenz dieselben sozialen Medien, die Trump zum kometenhaften Aufstieg verholfen haben, ihn nach der verlorenen Wiederwahl bekämpften. Die dreijährige Sperre, die Facebook über die Nutzerkonten des Ex-Präsidenten verhängt hat, hält an.

Dabei kann man die Talente der Programmierer oder Sicherheitsexperten auch ganz anders einsetzen als für Cybergegenschläge und -angriffe auf Regierungswebsites des Gegners. Zum Beispiel, indem man den Cyberfrieden zu sichern versucht. Thomas Reinhold vom Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) der TU Darmstadt und Matthias Schulze (swp) sprachen in ihrer 2017 verfassten Studie Digitale Gegenangriffe von sogenannter passiver Verteidigung. Diese umfasst einerseits Schutzverfahren wie etwa Firewalls, um den Zugriff aus dem Internet auf das eigene Unternehmensnetz zu verhindern, aber auch das Sperren von IP-Adressen, von denen Attacken gestartet wurden, Maßnahmen, um das Sicherheitsbewusstsein zu verbessern, und die Durchführung von regelmäßigen Software-Updates.

Passive Verteidigung setzt auf ein Set effektiver IT-Sicherheitskontrollen mit dem Ziel, den Gegner aus den eigenen (kritischen) Systemen herauszuhalten. Am anderen Ende des Spektrums finden sich Praktiken, die sich klar als offensive Cyber-Angriffe definieren lassen und darauf abzielen, in ein fremdes Zielsystem einzudringen und dort bestimmte Aktionen und/oder Effekte auszulösen. Die Palette der offensiven Angriffe reicht vom Infiltrieren durch Schadsoftware über Vandalismus und Hacktivismus bis hin zu Wirtschaftskriminalität, Sabotage und Spionage. Sowohl Anonymous als auch IT Army befinden sich zurzeit am Anfang des Spektrums offensiver Cyberaktivitäten. Die passive Verteidigung hat man im Westen möglicherweise, trotz zahlreicher Warnsignale, über Jahre hinweg vernachlässigt.

Sind etwa Konzepte wie Security by Design – also die Berücksichtigung und Einführung geeigneter Sicherheitsmaßnahmen bereits bei der Entwicklung von IT-Systemen und Produkten –, die konsequente Umsetzung der Zugangsberechtigungen zu den Daten und Systemen oder etwa genug Personal zur Auswertung der Logdateien, die Spuren erfolgter oder versuchter Angriffe enthalten könnten, oder Prüfung der Resilienz geeignete Maßnahmen, um den Cyberfrieden zu gewährleisten? Vermutlich.

Für die Cyberverteidigung werden im Wesentlichen drei Komponenten benötigt, sagte Mikko Hyppönen, Chef des finnischen Sicherheitsunternehmens F-Secure: »eine Menge Planung, eine Menge Führung und eine Menge Geld«. Ein/eine Sicherheitsbeauftragte*r einer Organisation, der/die bei seinem/ihrem Geschäftsführer oder Behördenleiter um zusätzliche Mittel und weitere Stellen vorstellig wird, war in der Vergangenheit nicht im Geringsten so erfolgreich wie beispielsweise das Spendenwerben des Bürgermeisters von Kiew via Twitter. Stattdessen bekam der/die Sicherheitsbeauftragte von den beantragten 50 Stellen oft mit Mühe zwei genehmigt. Und zwar befristet.

Die Cyber-Peacemaker treten relativ selten in Talkshows oder bei YouTube auf, es sei denn, um über einen Angriff Rechenschaft abzulegen, dem die Organisation zum Opfer gefallen ist. Sie sind aufgrund ihrer Aufgaben zu Vertraulichkeit und Geheimhaltung verpflichtet. Ihre Arbeit wird unterschätzt und oft unterbezahlt, ihre Bereiche sind unterfinanziert. Doch spielen sie eine essenzielle Rolle in der Herstellung beziehungsweise Wahrung des Cyberfriedens, indem sie sich dafür einsetzen und daran arbeiten, die (kritischen) Systeme ihrer Organisationen sicher und resilient zu machen – wie es im Koalitionsvertrag steht –, bevor ein Cyberangriff sie schwächen kann oder uns allen die Lichter ausgehen.