FM4-Logo

jetzt live:

Aktueller Musiktitel:

Seifenblasen mit verblasster russischer Flagge

CC0

Erich Moechel

Warum die Cybertruppen Russlands verschwunden sind

Zwischenbilanz des russischen Angriffskriegs auf die Ukraine im Cyberraum. Analyse im Dialog mit dem einschlägigen Experten Sven Herpig.

Von Erich Moechel

Im achten Monat des Ukrainekriegs rätselt die globale Cybersicherheitsbranche zunehmend über eine einzige Frage, nämlich wo die gefürchteten russischen Cybertruppen geblieben sind. Bis jetzt ist nur ein einziger kapitaler Angriff Russlands bekannt, der sein Ziel erreicht hat.

Das war die erfolgreiche Attacke auf den zivilen Kommunikationssatelliten KA-SAT, der von der ukrainischen Armee als Fallback-System genutzt wurde. Sven Herpig, Projektleiter für Internationale Cybersicherheitspolitik des Thinktanks „Stiftung Neue Verantwortung“ hat für das Ausfallen von Cyberarmageddon eine Erklärung.

Screenshot, Text über Cyberkriminalität

secureworks

In seinem neuen Quartalsbericht stuft die IT-Sicherheitsfirma Secureworks das aktuelle Niveau der bisherigen russischen Attacken gerade einmal als „lästig“ ein. Die Auswirkungen auf die Kunden der Firma, seien bis jetzt minimal gewesen. Im ersten Halbjahr 2022 hätten Verschlüsselungserpressung eine weitaus größere Gefahr dargestellt, als staatliche Angriffe aus Russland. Die Großkunden des Unternehmens rund um den Globus seien vor allem in den Bereichen „Behörden, Finanzdienstleistungen und dem Gesundheitssektor“ angesiedelt.

In allen drei Domänen gescheitert

Eine Direktorin des britischen Geheimdiensts GCHQ gehört, hatte öffentlich bereits erklärt Russlands Cyber-Armageddon ist ausgefallen. Angriffe und Desinformationskampagnen aus Russland der vergangenen Monate seien „rundum gescheitert“.

Gerade am Anfang des Krieges habe man "einiges an Cyberoperationen gegen ukrainische kritische Infrastrukturen und Behörden gesehen. Diese Operationen passten in die initiale Strategie einer russischen „Special Operation“, das heißt sie waren auf Disruption ausgelegt, um ein Vorgehen zu unterstützen, das man als „Shock and Awe“-Taktik bezeichnen könnte, schrieb Herpig an ORF.at. Dieser Begriff wurde während des zweiten Golfkriegs gegen den Irak 2003 geprägt, Attacken über den Cyberraum hatten damals noch kaum eine Rolle gespielt. Die US Air Force hatte in einer ersten Angriffswelle damals so gut wie alle Radars ausgeschaltet. Die irakische Luftabwehr war in Folge blind, Saddam Hussains Jets und Helikopter mussten in den Hangars bleiben.

Eine ganz ähnliche Strategie hatte die russische Armee zu Beginn der Invasion verfolgt. Mit Erstschlägen auf Kommandostellen, Flughäfen und Stellungen der Luftabwehr wurde versucht, die Steuerung der ukrainischen Armee auszuschalten und die Lufthoheit zu erringen. Ergänzt wurde das im Cyberraum durch „den massivsten Einsatz unterschiedlicher destruktiv-degradierender Wiper-Schadsoftware, der bis dato beobachtet werden konnte“, so Herpig weiter. Gemeint sind damit reine Destruktionsangriffe mit einer Schadsoftware, die darauf optimiert ist, so viele Speicherinhalte wie möglich zu zerstören und die betreffenden Rechner temporär außer Gefecht zu setzen. Wie zu sehen war, ist dieser „Russian Blitz“ in allen drei Domänen - zu Lande, im Cyberraum und in der Luft - spektakulär gescheitert.

Ukraine Major Cyber Event Timeline

secureworks

Und so hatte es begonnen. Eine als „Whispergate“ bekannte belarussiche Cybertruppe hatte mit der folglich „WiperGate“ genannten Schadsoftware auf offizielle Websites der Ukraine den Auftakt gesetzt. Das sah alles noch sehr nach den im Cyberspace üblichen Scharmützeln der letzten Jahre aus. Zeitgleich mit dem Invasionsbeginn wurde dann ein Paukenschlag gesetzt. Ein Lieferkettenangriff auf die VSAT-Modems des Sat-Betreibers Viasat, „neutralisierte“ das Fallback-Netz der ukrainischen Armee. Da dieser Angriff alle VSAT-Modems dieses Betreibers betraf, waren auch deutsche Windanlagen und andere Services vorübergehend nicht steuerbar.

Krieg der verbrannten Zugänge im Cyberspace

Bereits Ende Februar hatte sich abgezeichnet, dass Russland sowohl an der Cyberfront wie auch auf der Kommunikationsebene in die Defensive gerät.

Diese spektakuläre Aktion war die erste und bis jetzt die letzte in dieser Dimension. Seitdem war eine Serie von taktischen Scharmützeln zu beobachten, hinter denen keine übergreifende Strategie zu erkennen war. „Zum einen wurden zu Kriegsbeginn viele Zugänge in ukrainische IT-Systeme ‚verbrannt‘ und waren danach nicht mehr nutzbar“, so Herpig weiter. Zudem sei anzunehmen, dass die „Threat Hunting Teams“ der Alliierten weitere Zugänge von russischen APT-Akteuren neutralisiert hätten. Mit „Advanced Persistent Threats“ (APT) werden die Garde-Einheiten bzw. „Elitetruppen“ von Cyberarmeen umschrieben, deren Gefährlichkeit darin besteht, dass sie bereits lange vor der eigentlichen Attacke mehrere Angriffsmöglichkeiten auf ein strategisch wichtiges Netz in petto haben.

Sven Herpig

Sebastian Heise

Dr. Sven Herpig ist Projektleiter für Internationale Cyber-Sicherheitspolitik der Stiftung Neue Verantwortung und in dieser Funktіon in internationalen Expertengremien wie den Transatlantic Cyber Forums, EU Cyber Direct (EUCD) tätig.

Dass damit kaskadierende Angriffe in aufeinanderfolgenden Wellen möglich sind, hatten diverse Cybertruppen Russlands in Friedenszeiten ja seit Jahren demonstriert. Im Ukrainekrieg war davon nichts zu sehen, denn „da mussten erst einmal neue Zugänge geschaffen werden und das braucht Zeit“, sagt Herpig. Zudem habe der „gewandelte Charakter des Kriegs mit seiner eher konventionellen Kriegsführung“ eine andere Art des Vorgehens im Cyberraum erzwungen, in einem solchen Abnützungskrieg seien vor allem Spionageoperationen angesagt. Denkbar sei schon, dass die „Fähigkeiten und Infrastrukturen der russischen APTs durch Alliierte ‚Defend Forward‘-Einsätze gebunden und/oder disruptiert worden war.“ Einen Nachweis für solche „Enthauptungsschläge“ gegen einzelne Einheiten Russlands gebe es bis jetzt nicht.

Parva Strategica

Zusammenfassend lässt sich derzeit bereits sagen, dass der massive Erstschlag im Cyberraum an der soliden Abwehr der ukrainischen Verteidigung abgeprallt ist. Der einzige, nachgewiesene Volltreffer blieb ohne Auswirkung auf das weitere Kriegsgeschehen. Der Versuch eines Blitzkriegs der ersten Wochen endete mit gewaltigen Verlusten an Menschenleben und Material. Die schwersten Abnützungerscheinungen aber hatten die Cybertruppen zu verzeichnen, die im folgenden durchwegs symmetrisch-konventionellen Krieg kaum eine Rolle spielten. Aus der herzlosen Sprache der Strategen ins Zivile übersetzt, ist es ein Krieg der Feuerwalzen und Raketenschläge, zerstörter Städte und vieler Tote und Verletzte in der ukrainischen Zivilgesellschaft.

Was das große Bild des Kriegsgeschehens im Cyberraum betreffe, sagt Herpig, so halte er es mit Clausewitz. Es gelte abzuwarten, bis sich die „Nebel des Kriegs“ verzogen haben, „wer weiß, was wir alles noch sehen werden, wenn sich die gelichtet haben.“

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: