Ukraine und Cyberkrieg | "Für Deutschland sehe ich schwarz"

Der Krieg zwischen Russland und der Ukraine wurde von Beginn an auch im Internet ausgetragen. Cybersicherheitsexperte Rüdiger Trost über die verschiedenen Gruppen, tatsächliche Schäden und die Folgen für den Westen.

Der Einmarsch der russischen Truppen in die Ukraine wurde begleitet von heftigem Cybergewitter: Innerhalb kürzester Zeit formierte sich im Netz eine virtuelle Frontlinie: Cyberkriminelle, Hacktivisten und Cybermilizen bezogen umgehend Stellung und starteten unterschiedlichste Angriffe gegen die jeweils andere Seite, auf Twitter wurde vielfach von den mutmaßlichen Erfolgen berichtet.

Doch was ist substanziell dran, am Cyberkrieg um die Ukraine, wer mischt tatsächlich mit und welche Folgen hat das für direkt und indirekt beteiligte Staaten?

Über diese Fragen hat die t-online-Redaktion mit Rüdiger Trost gesprochen. Er ist "Head of Cyber Security Solutions" für den deutschsprachigen Raum bei WithSecure. – das bis letzte Woche noch unter dem Namen F-Secure firmierte.

t-online: Ist der Ukraine-Krieg der erste echte Cyberkrieg? Oder gab es so was auch schon vorher – nur hat es keiner mitbekommen?

Rüdiger Trost: Diesmal sind tatsächlich ein paar Dinge anders. Natürlich haben auch vorher schon Nationalstaaten mit Cybermaßnahmen gegeneinander agiert – ein paar Vorzeichen haben sich jetzt aber geändert. Also dass von einem Land dazu aufgerufen wird, dass die Hacker eine Cybermiliz bilden, das ist tatsächlich neu. Auch die hohe Zahl der Akteure. Es ist medial natürlich ein Thema, vielleicht weil man heute allgemein ein besseres Verständnis dieser Cyberthematik hat. Auch der Durchschnittsbürger versteht es jetzt, wenn man erklärt, dass ein Hacker etwa eine kritische Infrastruktur angreift. Und deswegen wird auch mehr darüber berichtet.

Spielt für die große Aufmerksamkeit eine Rolle, dass Russland seit Jahren als sicherer Hafen für kriminelle Cyberbanden gilt?

Es spielt auf jeden Fall eine Rolle. Wir wissen ja inzwischen, dass etwa die Hackergruppe Conti ganz stark in Russland und der Ukraine organisiert ist. An diesem Konflikt sind sie jetzt ja auch zerbrochen. Und natürlich weiß jeder, dass sehr viele dieser Ransomware-Cyberkriminellen in Russland sitzen, keine Frage. Die interessante Frage ist jetzt: Wie geht das weiter? Also konzentrieren diese Gruppen sich jetzt weiter auf ihre Ransomware-Thematik oder gehen sie mehr in diese Richtung: "Wir wollen einfach nur kaputtmachen und wollen unsere Gegner schwächen."

Es kann natürlich sein, dass man jetzt erst einmal versucht, Infrastruktur einfach zu blockieren oder lahmzulegen, sobald aber das Geld ausgeht, dass man dann wieder auf sein ursprüngliches Geschäftsmodell zurückkommt. Also irgendwann wird das natürlich durch die Sanktionen auch bedingt eine Möglichkeit sein, an Geld zu kommen. Wir sehen das ja in Nordkorea ebenfalls.

Aber kommen wir noch mal auf das Hacking-Geschehen rund um den Ukraine-Krieg zurück: Wer sind denn da eigentlich die wichtigsten Akteure? Hacker? Cyberaktivisten? Oder auch staatliche Cyberkämpfer?

Da kann man nur spekulieren. Offiziell weiß man natürlich nicht, wer da genau dabei ist. Natürlich gibt es auch staatlich gesteuerte Gruppen. Ich denke aber, aktuell sind das größere Problem eher diese Cybermilizen. Diese Attacken sind natürlich nicht dadurch gerechtfertigt, dass man sagt: "Okay, wir stehen auf der Seite des Guten, deswegen können wir bei den anderen alles kaputtmachen." Ich habe durchaus Respekt vor den Kollateralschäden, die da entstehen können. Und wenn ich jetzt in Russland irgendeine Raffinerie knacke und da dann die Schalter umlege – weiß ich doch gar nicht, was da passiert, ob da dann vielleicht Menschen zu Schaden kommen.

Also könnten die Aktionen solcher Hackermilizen auch für die Ukraine und die westlichen Staaten eher problematische Effekte haben?

Ja, so etwas gibt natürlich auch eine Legitimation für Gegenschläge. Also wenn eine Miliz aus Europa in Russland agiert, dann kann das wieder als Anlass für einen russischen Hackback genommen werden. Übrigens halte ich Hackbacks generell für eine sehr schlechte Idee, das Thema kommt ja auch in Deutschland immer wieder hoch. Aber grundsätzlich sind solche Aktionen natürlich eine Legitimation, die man dem Aggressor aktuell nicht geben muss.

Es wurde in den vergangenen Tagen auch immer wieder berichtet, dass sich auch chinesische Hacker in den Konflikt eingeschaltet haben. Können Sie das in Ihren Daten sehen?

Wir sehen Angriffe aus ganz verschiedenen Quellen, da ist auch China dabei. Man kann sagen, dass in diesem Konflikt in den letzten vier Wochen extrem viele verschiedene neue Quellen aufgetaucht sind, von denen die Attacken kommen, das ist deutlich mehr als man normalerweise sieht. Da ist auch China Thema. Man muss aber immer genau hinschauen, wo der Angreifer denn wirklich herkommt. Nur weil die IP-Adresse jetzt zu einem Land gehört, heißt das noch nicht, dass der Angreifer auch da sitzt. Wenn ich jetzt sehe, ich werde hier von einer russischen IP-Adresse gescannt, kann der Angreifer genauso gut auch in Österreich oder in Schweden sitzen.

Gerade zu Beginn des Ukraine-Kriegs haben Hacktivisten prominent auf Twitter Ziele und Erfolge gepostet. Waren das alles große Hack-Erfolge oder war da auch Effekthascherei dabei?

Was ich bis jetzt gesehen habe, war sehr viel Hype und wenig Substanzielles. Also, da waren Behörden-Webseiten dabei, die geknackt wurden. Aber das hat keinerlei Auswirkung auf deren täglichen Betrieb oder die Infrastruktur. Es ist einfach egal. Dann wurde berichtet, man habe das russische IPTV geknackt – und nachher kam raus: Das ist ein IPTV-Kanal, der in einem bestimmten Bereich in Russland im Prinzip außerhalb der Öffentlichkeit stattfindet. Also da ist viel dabei, was Medienaufmerksamkeit bekommt, sie aber nicht unbedingt verdient hat.

Eine der spektakulärsten Aktionen im Rahmen des Ukraine-Kriegs war ja, dass Mitglieder der Ransomware-Gruppe Conti eigene Chatprotokolle, Quellcode und weitere Daten veröffentlicht haben, weil sie nicht mit dem politischen Kurs der Gruppe einverstanden waren. Was hat dieser Fall für Sicherheitsforscher wie Sie bedeutet?

Ja, das ist natürlich superinteressant zu sehen, wie sich die Gruppe organisiert. Natürlich sind auch die Quellcodes für die Analyse sehr viel wert. Aber spannend waren vor allem auch Dinge wie das Schulungsmaterial. Wenn man diese Schulungsunterlagen durcharbeitet, dann ist man schon recht gut ausgebildet. Da geht es inhaltlich teilweise ins Eingemachte.

Hat Sie das überrascht?

Was mich überrascht hat, war der Detailgrad und wie strukturiert das Material aufgebaut ist. Da bekommt man ein richtiges Schulungspaket mit Kapiteln wie 'Windows Server', 'Windows Client' und so weiter. Wir haben natürlich angenommen, dass diese Gruppen sehr gut organisiert sind, sonst kann man diesen Betrieb nicht aufrechterhalten. Aber das mal schwarz auf weiß zu sehen, das war schon sehr, sehr spannend.

Sind diese Gruppen in den vergangenen Jahren noch einmal besser geworden?

Ich würde das eher umkehren und sagen: Dadurch, dass sich in den letzten Jahren die Digitalisierung noch einmal weiterentwickelt hat und dass wir jetzt mit Corona im Homeoffice sitzen, was ganz neue Herausforderungen für die Unternehmen darstellt, haben diese Gruppen oft einen einfacheren Zugang. Ich arbeite jetzt seit 17 Jahren bei F-Secure, seit wenigen Tagen heißt das Unternehmen nun ja WithSecure, und seit über 20 Jahren in der IT-Sicherheit. Was ich damals gelernt habe, ist heute alles obsolet. Diese ganze Planung, wie man Netzwerke sicher aufbaut, wie man sich und die Mitarbeiter schützt und so weiter. Das kann man mittlerweile alles vergessen. Dadurch, dass die Firmen so viele verschiedene Services in der Cloud haben und Mitarbeiter im Homeoffice arbeiten und die Datenströme so mannigfaltig sind, gilt das alles nicht mehr.

Also ist vor allem auch die Arbeit der IT-Verantwortlichen viel schwerer geworden?

Das alles zu überblicken, ist unfassbar schwer, gerade bei großen Unternehmen. Auch wenn man dort meist etwas besser aufgestellt ist. Kleinunternehmen sind vielleicht weniger komplex, haben aber das Know-how nicht, um sich abzusichern. Also haben die Gruppen momentan ein relativ einfaches Spiel.

Ist auch Ihr Job in den vergangenen Jahren schwerer geworden?

Als ich angefangen habe, ging es um Antivirus und da haben wir gerade eine proaktive Engine gelauncht, die quasi eine Verhaltensanalyse macht. Da gab es noch keine Smartphones und so weiter. Und heute reden wir über Cyberwar. Und wie wir die ganze Gesellschaft schützen können. Der Job hat sich schon massiv gewandelt. Also, es ist definitiv nicht einfacher geworden.

Sollte sich jetzt eine große Bewegung unter russischen Hackern formieren, die beschließen, gezielt Deutschland anzugreifen – hätten die deutschen Unternehmen da eine Chance?

Ich sehe da schwarz für den Mittelstand und für Deutschland im Allgemeinen. Die Unternehmen verbessern ihren Schutz meist erst, wenn es einen Sicherheitsvorfall gab. Vorher sehen sie meist keinen Anlass, viel Geld für die Verbesserung der Sicherheitsmaßnahmen auszugeben – schließlich ist ja die vergangenen 25 Jahre auch nichts passiert. Das führt zu der falschen Annahme, man sei wohl kein Ziel. Was natürlich nicht stimmt. Jeder externe Experte wird einem sagen: "Du bist sehr wohl ein Ziel, du warst nur noch nicht dran." Leider kommt die Einsicht oft erst, wenn die Daten schon verschlüsselt sind.

Was machen die Unternehmen dann?

Die rufen dann uns an und sagen: "Wir haben hier eine Attacke. Könnt ihr bitte mal einen schicken, der das wieder löst?" Ich kann natürlich jemanden schicken, der guckt, wo die Angreifer reingekommen sind, und diese Lücken schließt. Aber wir können die Daten nicht wiederherstellen. Keine Chance. Dann bleibt nur der Tipp zu sagen: "Nehmt diese verschlüsselten Daten, legt sie in den Tresor und hofft, dass diese Gruppe irgendwann mal aus Versehen die Schlüssel dafür veröffentlicht."

In der Bundespolitik wird ja gern gefordert, dass doch bitte eine Behörde die Unternehmen vor solchen Cyberangriffen schützen möge. Fehlt Deutschland wirklich eine weitere Cybersicherheitsbehörde?

Also ich sehe eher das Problem, dass wir hier gegenläufige Ziele haben. Einerseits sollen Unternehmen und Behörden vor Cyberangriffen geschützt werden, auf der anderen Seite haben wir aber auch ein Ministerium, das sagt, wir wollen auch einen Hackback machen. Oder wir wollen Möglichkeiten haben, einen Staatstrojaner einzuspielen. Das bedeutet ja letzten Endes, dass Deutschland dafür bewusst Schwachstellen offenhält. Da sehe ich ein großes Problem.

"Wie sieht es denn mit der Sicherheit bei den Behörden selbst aus?"

Behörden-IT ist auch ein wichtiges Thema. Wir sehen ja, dass reihenweise lokale Verwaltungen umfallen, weil sie mit einer Ransomware infiziert sind. Da muss man sich die Frage stellen, ob die tarifliche Bezahlung für IT-Stellen in den Behörden noch zeitgemäß ist. Selbst wenn ich bereit bin, die Verwaltung in meinem Landkreis als IT-Experte zu unterstützen, weiß ich, dass ich bei einem Unternehmen das Drei- oder Vierfache verdiene. Das macht diesen Job nicht gerade attraktiver. Von den schleppenden Prozessen dort ganz abgesehen. Also da muss sich etwas tun in der Denke – da hilft auch ein BSI nichts.

Also statt eine neue Behörde zu schaffen, sollte es erst einmal bessere Strukturen und Gehälter in den einzelnen Verwaltungen geben?

Es ist ja kein Geheimnis, dass man in der freien Wirtschaft meist mehr verdient als in einer Behörde. Insbesondere im Bereich IT-Security, wo wir einen immensen Fachkräftemangel in Deutschland haben, sind die Gehaltsunterschiede dann noch mal größer. Das gleiche Problem hat die Bundeswehr auch. Die suchen ja auch Cyberexperten, können sie aber nicht bezahlen. Dazu kommt noch das Problem, dass sehr viele Cyberexperten ohnehin eine andere politische Ausrichtung haben und nicht zur Bundeswehr gehen würden – man denke da etwa an das Umfeld des Chaos Computer Clubs. Und wer sich an der Bundeswehr nicht stört, findet halt andere, deutlich besser bezahlte Jobs.

Kommen wir noch mal zurück zum Ukraine-Krieg. Ist dort oder in Russland durch Cyberattacken tatsächlich substanzieller Schaden entstanden? Und wie geht es jetzt weiter: Wird das noch schlimmer? Flaut es ab?

Nein, substanziellen Schaden gibt es einfach nicht und das ist meiner Meinung nach auch nebensächlich. Diese ganzen Cyberaktivitäten werden im Vorfeld gemacht, bevor ein Einmarsch oder Ähnliches stattfindet. Während eines Krieges ist das total egal: Ob jetzt diese Behörde oder jenes Kraftwerk digital angegriffen wird, wenn vor dem Haus der Panzer steht, das spielt keine Rolle mehr. Und diese Schäden, die entstanden sind durch Anonymous und andere Gruppen, die sind natürlich sehr schwer zu beziffern, weil man nicht genau weiß, was wirklich passiert ist. Ich denke sogar in der Retrospektive, in fünf oder zehn Jahren, wird es schwer sein, das einzuschätzen. Wenn jetzt eine Ransomware-Gruppe Nestlé angreift, dann weiß man nicht: War es nur eine normale Ransomware-Gruppe? Oder ist das ein politisch motivierter Hacktivist, der aber auch noch im Vorbeigehen Geld durch Erpressung mitnimmt? Da verschwimmen die Grenzen.

Also ist der eigentliche Cyberwar gegen die Ukraine vorbei und jetzt werden sich die Angriffe gegen die westlichen Staaten richten, die mit Sanktionen gegen Russland vorgehen?

Die westlichen Länder rechnen damit und haben auch schon ihre Warnstufen hochgefahren. Aber es ist noch nicht die höchste Stufe. Man ist jetzt allgemein vorsichtiger und beobachtet die Lage genau, das Worst-Case-Szenario erwartet man derzeit aber nicht.

Wie sieht es denn auf Seiten der Ransomware-Gruppen aus. Die erklären zwar, dass sie jetzt verstärkt angreifen wollen – aber waren die mit ihren Operationen nicht schon vorher voll ausgelastet?

Ich gehe davon aus, dass die meisten Ziele, die demnächst umfallen, schon längst unbemerkt gehackt wurden. Normalerweise ist es nicht so, dass diese Gruppen einen Anruf bekommen: "Greif jetzt mal dieses Stromkraftwerk an" und dann fangen sie an, nach Schwachstellen zu suchen. Die Angreifer sind meist schon seit Wochen, Monaten oder Jahren drin und warten nur auf den Zeitpunkt, den Schalter umzulegen. Da ist diese Skalierung gar nicht mehr nötig. Im Gegenteil glaube ich eher, dass diese Gruppen gerade das Problem haben, dass sie auseinanderbrechen. In der Ukraine ist eine sehr starke IT-Branche und auch eine sehr große Cyberkriminellen-Szene aktiv. Und wie wir bei Conti gesehen haben, arbeiten Russen und Ukrainer gerade nicht so gerne zusammen, wenn es um solche politisch motivierten Ziele geht.