Russischer Cyberwar: "Je stärker der Druck, desto weniger hat Russland zu verlieren"

ZEIT ONLINE Russischer Cyberwar: "Je stärker der Druck, desto weniger hat Russland zu verlieren" Jakob von Lindern - Vor 2 Std. Die Angst ist groß: Zwischen Russland und dem Westen droht ein Cyberwar – im schlimmsten Fall mit Folgen für die Grundversorgung, fürchten Fachleute aus den USA. Die Zapfsäulen leer, Fabriken an der Ostküste stillgelegt: Im Mai 2021 gab es in manchen Orten in den USA plötzlich keinen Kraftstoff mehr. Hacker hatten eine wichtige Pipeline lahmgelegt und forderten Lösegeld, um die Systeme wieder in Gang zu bringen. Der Angriff auf das Unternehmen Colonial Pipeline sorgte dafür, dass die Regierung den Notstand ausrief. Die Angreifer ließen damals verlauten, es gehe ihnen nur um Geld. Die Attacke sei keine politische Aktion. Doch der Fall zeigte, wieder einmal, dass es möglich ist, kritische Infrastrukturen mit digitalen Mitteln lahmzulegen – und welche Folgen das haben kann. Jetzt, während des russischen Angriffskrieges in der Ukraine, stellt sich umso mehr die Frage, wie gut gesichert kritische Infrastrukturen sind – in den USA, aber auch in Europa. Denn der Krieg wird nicht nur vor Ort ausgetragen, sondern auch im Netz. Am ersten Tag des Krieges fielen zahlreiche Regierungswebsites in der Ukraine aus, die wiederum Russland dafür verantwortlich machte – auch wenn solche Zuschreibungen bei digitalen Attacken schwer zu belegen sind. Sicherheitsfirmen berichteten auch von Angriffen auf ukrainische Systeme mit sogenannter Wiper-Malware, die alle Daten löschen können. Die Ukraine wiederum mobilisierte eine Cyberarmee aus Freiwilligen, die russische Websites lahmlegte. Bisher scheint es dabei eher um Machtdemonstration und Verunsicherung zu gehen. Jedenfalls ist der Krieg Russlands gegen die Ukraine nicht so digital, wie manche Experten erwartet hatten. Doch das bedeutet nicht, dass nicht auch kritische Infrastrukturen wie das Stromnetz oder die Wasserversorgung in den Fokus des Krieges geraten könnten. Dass solch ein Angriff von russischer Seite möglich ist, halten Expertinnen und Experten durchaus für möglich. In der Ukraine hatten russischen Hacker schon 2015 Energieunternehmen attackiert, sodass es in mehr als 100 Städten stundenlang keinen Strom gab. Jetzt besteht die Sorge, dass sich solche Aktionen wiederholen könnten. Und zwar nicht nur gegen die Ukraine, sondern gegen alle Staaten, die gegen Russland Sanktionen verhängt haben. Angst vor dem Ausfall "Was, wenn Russland eine Colonial-Pipeline-Attacke auf Steroiden startet?", fragte die Cybersicherheitsexpertin Nicole Perlroth am Sonntag auf der Tech-Konferenz South by Southwest (SXSW). Schon damals habe ein interner Bericht des Energieministeriums ergeben, dass die Wirtschaft der USA den Ausfall der Pipeline nur wenige Tage länger durchgehalten hätte. "Und jetzt stellen Sie sich eine koordinierte Attacke auf mehrere Pipelines im Land vor", sagte Perlroth. Die Botschaft: Die Folgen könnten katastrophal sein. In dem 60 Minuten langen Gespräch Cyberwar 2022: Von Osteuropa um den ganzen Globus zeichneten sie und ihr Mitredner, der Cybersicherheitsexperte Jonathan Reiber, ein ernstes Bild der Lage: "In der Cybersecurityindustrie haben alle so viel Angst wie nie zuvor", sagte Perlroth. Die USA seien besonders verwundbar. Mehr als 80 Prozent der kritischen Infrastruktur des Landes liege in der Hand privater Firmen und deren Netzwerke seien zum Teil schlecht geschützt und liefen mit veralteter Software. Tatsächlich wurde berichtet, dass der Colonial-Pipeline-Hack dank eines einzelnen Passworts und fehlender Zwei-Faktor-Authentifizierung gelang. Russland habe bereits Zugang zu vielen Systemen, sagte Perlroth. Dass das Land die USA angreifen könnte, wenn es wolle, sei keine Frage. "Sie können das ganz sicher", sagte Perlroth. »Was, wenn Russland eine Colonial-Pipeline-Attacke auf Steroiden startet?« IT-Sicherheitsexpertin Nicole Perlroth Die Einschätzungen der beiden ist auch deshalb bemerkenswert, weil sie eng mit der US-Regierung verknüpft sind. Perlroth arbeitet als Beraterin für ​​die Cybersecurityabteilung des US-Ministeriums für Innere Sicherheit (Department of Homeland Security); sie hat zuvor ein Jahrzehnt als Cybersecurityreporterin für die New York Times geschrieben. Reiber ist Senior Director für Cybersicherheitsstrategie bei AttackIQ, einem IT-Sicherheitsunternehmen. Unter Präsident Barack Obama war er Chief Strategy Officer für Cyberpolitik im Verteidigungsministerium und verfasste die ersten beiden nationalen Cyberverteidigungsstrategien der Vereinigten Staaten. Zwar sprechen sowohl Perlroth als auch Reiber nicht offiziell für die Regierung; aber sie kennen den Apparat von innen – und mutmaßlich auch deren Probleme. In Europa sieht Reiber die Lage teils etwas weniger dramatisch als in den USA. Manche europäischen Länder seien etwas besser vorbereitet als die USA, zum Beispiel Großbritannien, sagte er im Anschluss an die Diskussion im Gespräch mit ZEIT ONLINE. In Großbritannien hat die Regierung eine 2,6 Milliarden Pfund schwere Cyberstrategie verabschiedet und plant neue Gesetze, um Unternehmen dazu zu bringen, Cybersicherheit ernst zu nehmen. Auch Länder, die schon länger die Bedrohung durch Russland spürten, hätten große Summen in IT-Sicherheit investiert, etwa Estland. Die Nato habe ebenfalls Fortschritte gemacht. In Deutschland unterliegen Unternehmen der kritischen Infrastruktur besonderen gesetzlichen Pflichten, müssen etwa Angriffe auf ihre Systeme unverzüglich melden. Das sei wichtig, sagt Reiber. In den USA gebe es solche Regelungen kaum. Dennoch hätten "Organisationen auf der ganzen Welt dieselben Probleme", sagt er. Wenn eine Software Sicherheitslücken hat, gefährdet das alle Unternehmen, die sie nutzen. Und selbst, wenn die Systeme technisch gut gesichert sind: In Unternehmen arbeiten Menschen, und Menschen können Fehler machen. Etwa, indem sie versehentlich auf einen Link in einer Spam-Mail klicken, mit dem sie Schadsoftware auf ihren Computer herunterladen. Oder indem sie, ohne es zu merken, auf einer gefälschten Website ihr Passwort eingeben, das Angreifer dann abgreifen und sich in die Systeme einschleusen. Social Engineering nennt man das in der Fachsprache. Bei diesen sehr gezielten Angriffen auf Unternehmen geht es häufig darum, Daten abzugreifen und so weit in die Systeme einzudringen, dass man sie im Zweifelsfall mit Schadsoftware infizieren und lahmlegen kann. Unternehmen und staatliche Organisationen müssten deshalb nicht nur bekannte Bedrohungen und Sicherheitslücken kennen und ihre Systeme entsprechend dagegen sichern, sagt Reiber. Sie müssten auch für den Notfall üben und die Systeme testen. Er spart dabei nicht mit Militärvergleichen: Die beste Marine der Welt könne in der Schlacht nicht bestehen, wenn sie immer im Hafen liege. "Wir kennen die Taktiken, die sie anwenden werden", sagt er. "Also sollten wir diese Taktiken durchspielen." Schutz ist nicht nur für Firmen wichtig, die ins Visier von Russland geraten könnten. Denn Angriffe können auch aus Versehen passieren – Schadsoftware befällt nicht immer nur die Systeme, für die sie gedacht war. Mit der Schadsoftware NotPetya wollte, nach allem, was man weiß, die russische Hackergruppe Sandworm im Jahr 2017 einen Cyberangriff auf die Ukraine starten. Tatsächlich aber schoss sie dann über das ursprüngliche Ziel hinaus und legte weltweit IT-Systeme lahm, zum Beispiel beim Logistikunternehmen Maersk, dem US-Pharmakonzern Merck und den deutschen Firmen Beiersdorf und DHL. Solche Vorfälle könnten im jetzigen politischen Klima zu einem ausgewachsenen Cyberkrieg führen. Sogar ein Nato-Bündnisfall ist denkbar: dass also in dem Moment, in dem ein Nato-Land digital angegriffen wird, ihm die anderen Mitglieder beispringen. "Dann stürzt er sich auf uns" Während Deutschlands Regierung sogenannten Hackbacks, also digitalen Gegenangriffe, zumindest skeptisch gegenübersteht, herrscht in den USA weniger Zurückhaltung. Attacken von russischen Akteuren würden wohl mit Gegenangriffen beantwortet, wenn sie in einem "Kriegskontext" stattfinden, sagt Regierungsberaterin Perlroth. "Ich denke, wir würden entsprechend antworten." Dass auch die USA dazu in der Lage sind, Infrastruktur anzugreifen, demonstrierte die Regierung unter anderem im Jahr 2019. Das United States Cyber Command griff das russische Stromnetz an und platzierte dort Schadsoftware. Begleitet wurde die Operation durch offensive Kommunikation. Russland oder andere Akteure, die Cyberangriffe auf US-Ziele starten, würden "einen Preis bezahlen", sagte der damalige Präsident Donald Trump. Das berge "ein erhebliches Risiko für eine Eskalation des digitalen Kalten Krieges zwischen Washington und Moskau", schrieb Perlroth damals in der New York Times. Heute ist sie der Meinung, der Warnschuss könnte tatsächlich abschreckende Wirkung gehabt haben. Möglicherweise sei Putin auch deshalb bisher eher zurückhaltend mit Cyberattacken, weil er wisse, dass die USA zurückschlagen könnten. "Ich glaube nicht, dass Putin eine direkte Cyberkonfrontation mit dem Westen riskieren will, bei der wir uns gegenseitig die Stromnetze abschalten", sagt Perlroth. Allzu sicher, dass es dabei bleibt, ist sie sich allerdings nicht. Je stärker der Westen Russland mit Sanktionen unter Druck setze, "desto weniger haben sie zu verlieren". Und das mache Cyberattacken auch gegen die USA wahrscheinlicher. Sie verweist auf eine häufig kolportierte Geschichte, nach der Putin als Kind zum Spaß eine Ratte gejagt und in eine Ecke getrieben habe. Plötzlich ging die Ratte zum Gegenangriff über. Das Erlebnis habe Putin nach eigenen Aussagen sehr beeindruckt und geprägt. Wenn nun Putin in die Enge getrieben werde, sagt Perlroth, "dann stürzt er sich auf uns".