Cyber-Kriegsführung: Von Nationalstaaten gesponserte Cyberangriffe
Was ist Cyber Warfare?
Das Internet hat die Art und Weise, wie wir die Welt sehen und mit ihr interagieren, auf bemerkenswerte Weise verändert. Leider beschränkt sich dieser Wandel nicht nur auf Aktivitäten in Friedenszeiten. Auch die Art und Weise, wie Kriege geführt werden, ist von dieser Entwicklung betroffen. Jetzt, da jeder Nationalstaat bei Nachrichten, Wahlen, der Kommunikation mit seinen Bürgern und der Erbringung öffentlicher Dienstleistungen auf das Internet angewiesen ist, hat sich die traditionelle physische Kriegsführung auf die Cyber-Kriegsführung ausgeweitet.
Aber die Cyber-Kriegsführung ist nicht so einfach zu definieren wie die konventionelle Kriegsführung. Der Grund dafür? Bei der Cyber-Kriegsführung geht es nicht darum, physisches Territorium zu erobern oder Truppen und Ausrüstung zu bewegen, auch wenn sie die konventionelle Kriegsführung bei der Erreichung solcher Ziele unterstützen kann; es geht um das Sammeln von Informationen, finanziellen Gewinn, die Beschädigung der digitalen und physischen Infrastruktur, die Behinderung der Kommunikation und den Diebstahl geistigen Eigentums. Da es sich bei der Cyber-Kriegsführung um einen virtuellen Prozess handelt, der keine offene Kriegserklärung erfordert, ist es in der Regel sehr schwierig, die Verantwortung eines bestimmten staatlichen Akteurs zu beweisen. Die Cyber-Kriegsführung unterscheidet sich daher stark von der konventionellen Kriegsführung:
"... der moderne Krieg ist eine chaotische Angelegenheit und kein sauberer und glitzernder Hollywood-Film. Das Auftauchen des Cyberspace als eigenständiger Bereich der Kriegsführung bietet nicht unbedingt magische Lösungen und wundersame Abkürzungen zur Erreichung strategischer Ziele. Im November 2015 hat sich gezeigt, dass zerstörerische Cyber-Operationen (noch) kein Allheilmittel im Arsenal von Staaten sind, die aufgrund rechtlicher und politischer Erwägungen und Unsicherheiten in Bezug auf die Eskalation immer noch unterhalb bestimmter Schwellenwerte operieren." - Cyber War in Perspective: Russische Aggression gegen die Ukraine
Die verdeckte Natur der Cyber-Kriegsführung
Der derzeitige, sehr chaotische physische Krieg, den Russland gegen die Ukraine führt und dender Kreml als spezielle Militäroperation bezeichnet, verdeutlicht, wie stark diese Einschränkungen die russischen Cyberangriffe und die verdeckte Cyberkriegsführung einschränken. Tatsächlich gibt es schon seit langem russische Cyberangriffe auf die Ukraine. Der erste ernsthafte Angriff auf die Ukraine war die Operation Armageddon, die im Jahr 2013 begann. Es folgten weitere russische Cyberangriffe, darunter , mehrere russische Cyberangriffe auf das ukrainische Wahlsystem, ebenfalls im Jahr 2014, und der weltweit erste erfolgreiche Cyberangriff auf ein Stromnetz im Jahr 2016, der zu einem bis zu sechsstündigen Stromausfall für rund 230 000 Verbraucher in der Ukraine führte.
Seitdem wurden die russischen Cyberangriffe auf die Ukraine fortgesetzt, und die Ukraine schlug mit einer Reihe von Cyberangriffen zurück, die - soweit wir wissen - im Jahr 2016 begannen. Ein wichtiges Ergebnis dieser Gegenangriffe waren die Surkov-Leaks im Jahr 2016. Dabei wurden 2.337 E-Mail-Nachrichten mit Hunderten von Anhängen exfiltriert, die Russlands Pläne zur Annexion der Krim und zur Schaffung separatistischer Unruhen im Donbass enthüllten.
Warum also hat Russland im Rahmen seiner aktuellen Offensive nicht das auf die Ukraine losgelassen, was einige Kommentatoren als "Cybergeddon" bezeichnet haben? Laut Russia Matters:
Eine Gruppe von Wissenschaftlern vertritt seit langem die Ansicht, dass die Erwartungen an eine Cyber-Apokalypse übertrieben sind. Die Schwarzmaler ignorieren, dass Cyber- und Militärkampagnen unterschiedlichen Zwecken dienen. Cyber-Operationen, so diese Experten, sind weder "katastrophale Zerstörungswaffen" noch eignen sie sich zur "Steuerung der Zerstörung in großem Maßstab" - was bedeutet, dass sie wahrscheinlich nicht die von vielen erwarteten Veränderungen in der modernen Kriegsführung bewirken werden. "Es ist viel einfacher", schreiben vier dieser Autoren, "für Russland, ein Artilleriesperrfeuer auf ein [ukrainisches] Umspannwerk abzufeuern, als es von Moskau aus zu hacken." -
Im Konflikt von 2022 gibt es auch Zweifel daran, ob russische Cyber-Sicherheitsmitarbeiter in die anfängliche Kriegsplanung des Kremls eingebunden waren, so dass sie möglicherweise zu sehr mit Desinformationskampagnen beschäftigt waren, um nennenswerte Infrastrukturangriffe durchzuführen. Schließlich gibt es die Vermutung, dass Russlands Fähigkeiten zur Cyber-Kriegsführung möglicherweise nicht so weit fortgeschritten sind wie angenommen, wodurch die Auswirkungen russischer Cyber-Angriffe begrenzt werden.
Dies sind die Art von Einschränkungen, die erklären, warum sich die Cyber-Kriegsführung - zumindest im Moment - von der konventionellen Kriegsführung unterscheidet und nichts mit der Science-Fiction-Vision zu tun hat, die von den Mainstream-Medien verbreitet wird. Es gibt auch einen strategischen Grund, warum Nationalstaaten zögern, bei digitalen Angriffen aufs Ganze zu gehen: Staatliche Akteure wollen ihre effektivsten Werkzeuge und Techniken nur dann für einen Cyberangriff einsetzen, wenn sie unbedingt müssen, denn wenn sie es tun, wird der Feind den Angriff schließlich zurückentwickeln und nicht nur lernen, wie er sich dagegen verteidigen kann, sondern auch, wie er ihn für seine eigenen Zwecke nutzen kann. Die wertvollsten dieser Tools sind die Zero-Day-Exploits, von denen bekannt ist, dass sie von Cybersicherheitsorganisationen wie der U.S. National Security Agency, dem U.K. Government Communications Headquarters und dem Special Communications and Information Service des Federal Protective Service der Russischen Föderation sowohl selbst entwickelt als auch für Millionen von Dollar gekauft wurden.
Die letzte Einschränkung für die Cyber-Kriegsführung ist das Völkerrecht. Im Mai 1999 veröffentlichte das General Counsel Office des Pentagon "An Assessment of International Legal Issues in Information Operations", eine Reihe von Leitlinien für die Führung eines Cyberkriegs:
In dem Dokument wird darauf hingewiesen, dass zwar nicht klar sei, ob Informationsoperationen (IO) rechtlich als "Waffen" betrachtet würden, dass aber das traditionelle Kriegsrecht auf einen militärischen Cyberangriff anwendbar sei. / Viren oder Logikbomben, die auf zivile Ziele wie Banken und Universitäten abzielen, könnten daher ein Kriegsverbrechen darstellen. / In einem Beispiel heißt es in dem Pentagon-Dokument: "Es wäre möglich, mit Hilfe von Computer-Morphing-Techniken ein Bild des gegnerischen Staatschefs zu erzeugen, das seine Truppen darüber informiert, dass ein Waffenstillstand oder ein Waffenstillstandsabkommen unterzeichnet worden ist. Sollte dies falsch sein, wäre dies ebenfalls ein Kriegsverbrechen. - Das Pentagon hält den Cyberwar im Kosovo geheim", The Guardian, 8. November 1999
Die aktuelle Cyber-Kriegsführung durch Nationalstaaten zeigt, dass sie für folgende Zwecke eingesetzt wird
- Desinformation und Propaganda: Russlands auf soziale Medien gestützte Desinformationskampagnen für die Präsidentschaftswahlen 2016 in den USA zeigen , wie digitale Angriffe gegen immaterielle Ziele wie das Vertrauen in soziale und traditionelle Medien und das Vertrauen in die Integrität von Wahlen eingesetzt werden können.
- Cyber-Spionage: Cyberspionage ist keine Kriegsführung im eigentlichen Sinne, sondern vielmehr eine fortlaufende Aktivität von Nationalstaaten, um die Stärken und Schwächen nicht nur von Feinden, sondern auch von befreundeten oder anderen Staaten zu ermitteln. Es gibt viele dokumentierte Fälle, in denen eine staatlich geförderte Cyberspionagegruppe verdächtigt wurde oder in denen gelegentlich festgestellt wurde, dass sie andere Länder zu Cyberspionagezwecken ausspioniert hat. So hat beispielsweise die Nationale Sicherheitsbehörde der USA fast jedes Telefongespräch auf den Bahamas aufgezeichnet, ohne dass die bahamaische Regierung dem zugestimmt hat, sowie ähnliche Programme in Kenia, den Philippinen, Mexiko und Afghanistan.
- Cyber-Terrorismus: Cyber-Terrorismus ist der Einsatz nichtstaatlicher Akteure (die von einem staatlichen Akteur finanziert werden) für Cyber-Angriffe, um physischen, politischen, psychosozialen, wirtschaftlichen oder sonstigen Schaden zu verursachen. Ziel ist es, Angst und Misstrauen zu erzeugen und staatliche oder politisch wichtige Aktivitäten und Infrastrukturen zu destabilisieren oder zu beeinträchtigen.
- Cyber-Sabotage: Einer der berühmtesten Cyberangriffe, der zu physischer Sabotage führte, d. h. zurabsichtlichen Zerstörung, Beschädigung oder Behinderung (von etwas), insbesondere zum Zwecke eines politischen oder militärischen Vorteils, warder Angriff auf die iranische Kernbrennstoffaufbereitungsanlage im Jahr 2010, der zur physischen Zerstörung von fast 1.000 Zentrifugen zur Urananreicherung durch den Computerwurm Stuxnet führte. Die Beweise deuten darauf hin, dass der Wurm von den Vereinigten Staaten und Israel in einer gemeinsamen Anstrengung, die als Operation Olympic Games bekannt ist, entwickelt wurde.
Die Vereinigten Staaten haben bisher nur einen einzigen größeren Angriff auf die Cyberkriegsführung zugegeben, und zwar die Operation Glowing Symphony, die 2016 vom US Cyber Command, dem Cybersicherheitsoffensivteam der NSA, gegen ISIS/ISIL durchgeführt wurde. Dies wird in Episode 50: Operation Glowing Symphony des Darknet Diaries Podcasts ausführlich behandelt. Diese Folge gibt einen Einblick in die operative und bürokratische Komplexität einer Regierungsbehörde, die einen groß angelegten Cyberangriff durchführt, während sie gleichzeitig durch internationales Recht, die Notwendigkeit eines strategischen Einsatzes von Gewalt und die politische Komplexität eines nationalstaatlichen Cybersicherheitsengagements mit einer anderen Gruppe wie ISIS eingeschränkt wird.
Bei der Cyber-Kriegsführung geht es um ausgeklügelte und verdeckte Hackerangriffe durch nationalstaatliche Akteure oder deren Stellvertreter, um wirtschaftliche, politische oder reale Kriegsziele zu unterstützen. Die Wahrheit ist, dass digitale Angriffe nicht so dramatisch waren und vielleicht auch nie sein werden, wie sie in Science-Fiction und Mainstream-Medien dargestellt werden. Dennoch ist die Cyber-Kriegsführung, so wie sie praktiziert wird, gefährlich, und ein mögliches Übergreifen auf die Wirtschaft und das zivile Leben könnte erhebliche Auswirkungen haben. In einer anderen Folge der Darknet Diaries(EP 48: Operation Socialist) wurde Craig Mundie, ehemaliger Berater von Bill Gates, in einer Grundsatzrede an der Columbia University zitiert:
Das eigentliche Problem besteht darin, dass ein Unternehmen kaum eine Chance hat, wenn sich ein Staat dazu entschließt, sein gesamtes Arsenal an Fähigkeiten gegen ein noch so hoch entwickeltes Unternehmen einzusetzen. Ein Teil des Problems besteht darin, dass die Menschen immer noch glauben, dass sie mit konventionellen Abwehrtechniken zur Verbesserung der Sicherheit ihres Netzwerks keine Probleme haben werden. Das mag gegen böswilligen Unfug oder Kleinkriminelle ausreichen, aber gegen hochentwickelte Organisationen ist es fragwürdig, und als Verteidigungsstrategie gegen die Regierung ist es wahrscheinlich hoffnungslos.
Wie können Sie Ihre Cyber Defense Posture verbessern?
Angesichts einer potenziell überwältigenden Zahl von Angriffen besteht ein wichtiger Schritt darin, Ihre interne Cybersicherheit durch die Einführung einer Zero-Trust-Sicherheitsstrategie zu verstärken . Allein dadurch werden Einbrüche und seitliche Bewegungen von böswilligen Akteuren erheblich erschwert. Eine weitere wichtige Strategie zur Abwehr von Cyberangriffen besteht darin, den ein- und ausgehenden Netzwerkverkehr zu verwalten und sicherzustellen, dass das Unternehmen mithilfe der TLS/SSL-Prüfung vollen Einblick in den gesamten verschlüsselten und unverschlüsselten Datenverkehr hat.
Da DDoS-Angriffe immer billiger und einfacher zu starten sind - letzteres wird durch die Verfügbarkeit von über 15 Millionen DDoS-Waffen erleichtert - haben Cyberkriminelle diese immer wieder für ihre Cyber-Kriegsstrategien eingesetzt. Eine KI/ML-basierte, automatisierte DDoS-Abwehrstrategie ist unerlässlich, um kritische Infrastrukturen, Nutzer und Ressourcen vor DDoS-Angriffen zu schützen.
Wie A10 Networks helfen kann
A10 Networks ist ein branchenführendes Unternehmen im Bereich der Cyberabwehr, das erstklassige Cybersicherheitsprodukte anbietet. Das Thunder Threat Protection System (TPS ) von A10 setzt fortschrittliche DDoS-Schutz- und Abmilderungsstrategien ein, die vor jedem DDoS-Angriff schützen, während A10's Thunder SSLi Ihnen volle Transparenz des Netzwerkverkehrs bietet. Mit A10 Networks sind Sie auf alles vorbereitet, was die bösen Jungs Ihnen vorwerfen.