Cyber-Krieg? Fünf Fakten zu Cyber-Angriffen
Anschauungsbeispiel: Hybrider Angriff während des russischen Einmarschs in die Ukraine 2022
Der russische Einmarsch in die Ukraine jährt sich in diesen Tagen zum zweiten Mal. Dass das ein hybrider Angriff war — also nicht nur konventionelle Mittel wie Artillerie und Panzer genutzt hat, sondern auch Cyber-Waffen — hat damals (zurecht) nicht so viel Raum in der Berichterstattung eingenommen. Sich beispielhaft eine der Cyber-Komponenten des Einmarschs anzuschauen, lohnt aber; denn an diesem Beispiel werden fünf typische Charakteristika von Cyber-Angriffen als Teil von Kriegshandlungen deutlich.
Cyber-Komponente des russischen Einmarschs: Angriff auf die Satellitenkommunikation
Im Schnelldurchlauf schauen wir uns die Cyber-Komponente des hybriden Angriffs am 24. Februar 2022 an. In Deutschland haben wir sie vor allem deshalb wahrgenommen, weil die Fernsteuerung deutscher Windkraftanlagen plötzlich nicht mehr möglich wahr. Sie erinnern sich vielleicht an solche Schlagzeilen:
Fernststeuerung von Windkraftanlagen? Ja, solche Anlagen stehen ja oft weit verstreut und an Orten, an denen möglicherweise kein DSL-Kabel für Internet im Boden liegt, zum Beispiel weit draußen im Meer. Für solche Szenarien gibt es die Satellitenkommunikation. Wenn Sie Wanderer Sind, ist Ihnen das vielleicht bekannt: auf dem Berg ohne Mobilfunkabdeckung helfen im Notfall ebenfalls nur Satellitentelefone. Und falls Sie sich nun dumpf an sowas ähnliches erinnern: Sie haben recht, Satelliteninternet macht auch dieser Elon Musk mit seiner Firma Starlink.
Der Windkraftanlagenbetreiber kann also mittels Satellitenkommunikation bequem von seinem Schreibtisch aus Windräder fernwarten; selbst die, die Offshore weit draußen im Meer stehen. Dafür braucht er ein spezielles Modem, das mit Satelliten eines Satellitenkommunikationsanbieters kommunizieren kann. Ein Beispiel für so einen Dienstleister ist VIASAT. Links ins Bild unten habe ich ein VIASAT-Modem auf den Tisch gestellt:
Bei einem Satellitenkommunikationsdienstleister muss man natürlich die vielen Modems, die man verschiedenen Kunden auf die Schreibtische stellt, auch administrieren. Zu diesem Zweck haben die Modems eine eigene Administrations-Schnittstelle, und ein Mitarbeiter des Satellitenkommunikationsdienstleisters kann sich via VPN auf diese Administrations-Schnittstelle aller Modems aufschalten, die er verwaltet. Das sind oft Modems unterschiedlicher Firmen an ganz unterschiedlichen Orten. Neben Modems bei Windkraftanlagenbetreibern in Deutschland waren das in unserem Beispiel eben auch Satellitenmodems, die in der Ukraine standen…
…und da wären wir auch schon bei einem weiteren Anwendungsfall für Satellitenkommunikation: Im Krieg. Auch Soldaten und Offiziere müssen über weite Strecken kommunizieren und können sich nicht immer darauf verlassen, dass sie vor Ort eine DSL-Leitung oder einen Mobilfunkmast vorfinden (der nicht vom Gegner zerstört wurde).
Auch da hilft also — genau wie bei den deutschen Windkraftanlagen — Internet per Satellit. Und genau wie in Deutschland braucht man auch in der Ukraine Satellitenmodems, um diese Kommunikation möglich zu machen.
Jetzt haben wir also ein (vereinfachtes) Gesamtbild, und das ist auch schon alles, was man wissen muss, um die Cyber-Komponente des hybriden Angriffs auf die Ukraine mitsamt ihren Auswirkungen auf deutsche Windkraftanlagen zu verstehen:
Derselbe Satellitenkommunikationsdienstleister administriert per VPN verschiedene Satellitenmodems, unter anderem für deutsche Windanlagenbetreiber (links) und für das ukrainische Militär (rechts). Die Angreifer haben eine Schwachstelle im VPN-Gateway ausgenutzt [1] und hatten damit Zugriff auf das Administrations-Netzwerk der Satellitenmodems. Ihr Ziel war es, die als besonders ausfallsicher geltende Satellitenkommunikation zu stören. Das ist vergleichsweise einfach: Kein Modem, keine Kommunikation.
Mit verschiedenen Angriffen haben die Angreifer daher in einem “Denial of Service (DoS)”-Angriff große Mengen Netzwerkpakete an die Modems geschickt [2,3], sodass diese ausgefallen sind. Eine ebenfalls genutzte Alternative war eine “Wiper”-Software, um die Konfiguration der Modems zu löschen [2,3], sodass sie heruntergefahren sind und nicht mehr hochgefahren werden konnten. In beiden Fällen war die Kommunikation des ukrainischen Militärs über Satellit nicht mehr möglich.
Und die deutsche Windkraftanlage? Die war einfach ein Kollateralschaden. Häufig ist es nämlich nicht möglich oder sehr aufwendig, die DoS- oder Wiper-Angriffe so fein zu steuern, dass nur die Zielkomponenten betroffen sind. Häufig ist es den Angreifern auch schlicht egal, wen sie neben ihrem intendierten Ziel noch so treffen.
Was lernen wir daraus? Fünf Fakten zu Cyber-Angriffen
1. Digitale Kommunikation ist eine komplexe kritische Infrastruktur
Wir sind immer vernetzter und die digitale Kommunikation wird immer wichtiger. Ohne Internet geht gar nichts mehr. Das macht Kommunikationsinfrastruktur zu einem attraktiven Ziel, wie auch in unserem Anschauungsbeispiel.
Das Beispiel zeigt auch, wie komplex unsere technischen Infrastrukturen miteinander vernetzt sind. Wer hätte gedacht, dass es ein Bindeglied zwischen ukrainischer Militärkommunikation und deutschen Windkraftanlagen gibt?
2. Cyber-Angriffe sind ineffizient — aber hybride Angriffe sind sehr effizient
Der totale Strom-Blackout, vergiftetes Trinkwasser, explodierende Reaktoren: es gibt vielfältige Weltuntergangsszenarien in denen Cyber-Angriffe Auswirkungen auf die physische Welt haben. Klar, das ist theoretisch möglich bei Angriffen auf sogenannte “operational technology” (OT), bei denen Cyber-Komponenten physische Prozesse steuern.
Aber mit Cyber-Angriffen wirklich physisch etwas kaputt zu machen, ist gar nicht so einfach. Man braucht spezifisches Know-How und muss viele Sicherheitsmechanismen überwinden — oft auch physische Maßnahmen wie Überdruckventile oder Not-Abschaltungen, die eigens für die Aufrechterhaltung der funktionalen Sicherheit programmiert wurden.
Auch unser Anschauungsbeispiel zeigt: Lediglich die Satellitenkommunikation zu stören war vergleichsweise leicht. Hätte man die Kommunikationswege aber ausnutzen wollen, um zum Beispiel ein Windrad zu beschädigen, wäre das ungleich komplizierter geworden; denn dann hätte man ja wissen müssen, wie man Windräder steuert und was ihnen schadet — und nicht nur, wie man ein Modem betriebsuntauglich macht. Wollte man mit einem Kriegsakt ein Windrad zerstören, wäre es wohl einfacher, eine Bombe darauf zu werfen. Das schreibt auch Mika Kerttunen schreibt in seinem lesenswerten Paper “The Absolute Ideal: Military Cyber Capabilities in War and Society”.
Jetzt kommt das Aber: Als Teil hybrider Angriffe sind Cyber-Angriffe hoch effizient. So auch beim russichen Einmarsch in die Ukraine: Während man eines physischen Angriffs, ist es sehr praktisch, wenn der ohnehin überrumpelte Gegner auch noch ohne seine Kommunikationssysteme auskommen muss.
3. Ziel von Cyberwaffen sind meist kritische Infrastrukturen oder Desinformation
Cyber-Angriffe außerhalb des militärischen Bereichs haben meist das Ziel, möglichst viel Geld zu verdienen — daher ist auch Ransomware, also Verschlüsselung oder Diebstahl von Daten verbunden mit einer Lösegeldforderung, um die Daten wieder freizukaufen, so weit verbreitet.
Wenn es um hybride Kriegsführung geht, sieht das anders aus. Da es um die Destabilisierung der Bevölkerung geht, sind kritische Infrastrukturen wie Strom- und Wasserversorgung, deren Ausfall die Bevölkerung unmittelbar zu spüren bekommt, interessante Angriffsziele. Denn wenn kritische Infrastrukturen nicht funktionieren, nervt das die Bevölkerung nicht einfach nur — es verunsichert zutiefst und macht Angst, denn das Funktionieren dieser Infrastrukturen sind die Grundpfeiler der Gesellschaft, die die Bürger (zurecht) als selbstverständlich funktionierend hinnehmen. Werden solche Selbstverständlichkeiten erschüttert, hat das eine besondere Wirkung.
Dabei darf man nicht vergessen, das “hybride Kriegsführung” nicht nur Cyber-Angriffe umfasst, sondern auch Desinformation und finanzielle Beeinflussung. Alles wunderbare unterstützende Mittel, um neben einem physichen Angriff die Bevölkerung noch weiter zu destabilisieren und die Stimmung zu lenken oder aufzuheizen.
Dass kritische Infrastrukturen und Desinformation strategisch für die Destabilisierung der Bevölkerung eingesetzt werden, ist übrigens keine Spekulation. Spätestens seit Bekanntwerden der “Vulkan Files” 2023 ist es gut dokumentiert, wie nüchtern kalkulierend mindestens die russische Regierung solche Cyber-Angriffe vorbereitet.
4. Cyber-Angriffe haben hohe Streuverluste, was Kollateralschäden wahrscheinlich macht
Es ist ziemlich aufwendig, Cyber-Angriffe auf die eigentlich Zielsysteme zu begrenzen, denn dann muss man vorher genau wissen, welche Zielsysteme eigentlich was tun. Viel leichter ist es, einen Haufen möglicherweise interessanter Systeme anzugreifen und zu hoffen, dass das richtige dabei ist.
Das “Wunderbare” an einem Cyber-Angriff im Vergleich zu physischen Waffen ist ja, dass er aus Software besteht, und Software kann man (fast) ohne zusätzliche Kosten unbegrenzt kopieren. Das bedeutet aber auch, dass es weniger kostet, einfach ein paar Systeme mehr anzugreifen und die Kollateralschäden in Kauf zu nehmen, als den Cyberangriff auf wenige Systeme zu begrenzen.
Dass die falschen Systeme getroffen werden, passiert auch dementsprechend oft. Nicht nur in unserem Beispiel während des russichen EInmarschs in die Ukraine, bei dem die Fernwartung der deutschen Windräder nur ein Kollateralschaden waren, sondern auch in vielen anderen Beispielen. Beim Angriff auf die Düsseldorfer Uniklinik beispielsweise wollten die Angreifer eigentlich die Düsseldorfer Uni treffen.
Und manchmal ist die Begrenzung des Kollateralschadens sogar technisch fast nicht möglich — nämlich, wenn der Schadcode ein “Wurm” ist, der sich selbstständig von System zu System fortpflanzt. Ist er einmal auf die Welt losgelassen, ist so ein Wurm kaum noch kontrollierbar. Ein prominentes Beispiel ist Stuxnet — der Computerwurm, der Zentrifugen im iranischen Urananreicherungsprogramm sabotieren sollte und nur aufgeflogen ist, weil er versehentlich Systeme kompromittiert hat, die gar keine Ziele waren.
5. Cyber-Angriffe haben fast immer Auswirkungen auf die Zivilbevölkerung
Die bittere Folge aus den vier bisherigen Punkten: Cyber-Angriffe haben fast immer Auswirkungen auf die Zivilbevölkerung.
Internet- und digitale Kommunikationstechnologien sind mittlerweile so wichtig für die Zivilgesellschaft und ihre kritischen Infrastrukturen, dass deren Verwundung interessant ist. Das Treffen der Zivilbevölkerung ist aus Angreifersicht “not a bug, but a feature” — nämlich nachweislich genau das, was sie mit Cyber-Angriffen erreichen wollen. Und selbst wenn sie das nicht wollen, sind bei Cyber-Angriffen Kollateralschäden wahrscheinlich, und diese werden wenn nicht intendiert, dann zumindest billigend in Kauf genommen.
Das eigentliche düstere Szenario des “Cyberwars” ist also weniger, dass allein mittels Cyber-Waffen unser Städte in Schutt und Asche gelegt oder Menschen getötet werden — dafür bleiben Bomben effizienter. Das düstere Szenario ist, dass Cyber-Waffen die Wahrscheinlichkeit erhöhen, dass Kriegshandlungen Auswirkungen auf Zivilisten haben.
Kein Wunder also, dass seit Jahren immer wieder die Forderung einer “Genfer Konvention für den Cyberspace” laut wird.
