Russische Cyberattacken: „Es wird manipuliert, auch spioniert”

Russische Cyberattacken könnten nicht nur die Ukraine, sondern auch Deutschland treffen. Ein Gespräch mit dem Sicherheitsexperten Mischa Hansel.
Cyberattacken treffen meistens Unternehmen, Universitäten oder andere öffentliche Einrichtungen. (Foto: Mika Baumeister)
Cyberattacken treffen meistens Unternehmen, Universitäten oder andere öffentliche Einrichtungen. (Foto: Mika Baumeister)

Stromnetze, Krankenhäuser und Banken in Deutschland könnte eine russische Cyberattacke treffen, sagt der Experte für Internetsicherheit, Mischa Hansel. Denn Russland führe Kriege nicht nur militärisch, sondern gehöre zur ersten Liga der Cybermächte. Ein Gespräch über die mögliche Bedrohung.

Mischa Hansel, SPD-Bundesinnenministerin Nancy Faeser hat erklärt, dass sich die Sicherheitsbehörden auf mögliche russische Cyberangriffe vorbereiteten. Wie groß ist die Gefahr?

Stromnetze ließen sich attackieren. Ebenso Krankenhäuser. Im Jahr 2020 konnte die Düsseldorfer Uniklinik ein lebensgefährlich verletztes Unfallopfer nicht versorgen, weil das IT-System gehackt worden war. Auch Banken könnte es treffen, so dass niemand mehr wüsste, ob das eigene Geld noch da ist. Das würde Panik erzeugen. Solche Angriffe brauchen immer eine lange Planung. Aber wir wissen, dass Russland die Fähigkeiten hat. Die Frage ist nur, ob Präsident Putin sie auch nutzen will. Ausschließen lässt sich das nicht. Er könnte sie möglicherweise als Vergeltung für Wirtschaftssanktionen starten.

Kann eine russische Cyberattacke das Land existenziell treffen?

Sollte sich Russland entscheiden, alles einzusetzen – dann ja. Russland gehört mit den USA und China zur ersten Liga der Cybermächte. Wir beobachten das in der Ukraine schon seit längerem. Die Ukraine ist für Russland zum Testgelände geworden, seit diese sich 2014 mit der Maidan-Revolution dem Westen zugewandt hat.

„2015 übernahmen Hacker das Stromnetz, eine Viertelmillion Ukrainer waren im Winter ohne Strom.”

Was beobachten Sie genau?

Bei der ersten Parlamentswahl nach der Revolution manipulierten Hacker die Website der Wahlkommission. 2015 übernahmen sie das Stromnetz, eine Viertelmillion Ukrainer waren im Winter ohne Strom. 2016 ähnlich. Natürlich kann oft nicht zweifelsfrei geklärt werden, von wo die Hacker genau angreifen, aber Fachleute vermuten dahinter die russischen Sicherheitsbehörden. Es wird manipuliert, auch spioniert.

So wie Ende 2020, als Teile der US-Regierung betroffen waren?

Es war einer der bisher spektakulärsten Fälle von Cyberspionage. Und ja, auch da kamen die Hacker vermutlich aus Russland. Diese kaperten ein Update einer Netzwerk-Software der texanischen Firma SolarWinds. Das luden tausende Behörden, Unternehmen und Betreiber kritischer Infrastruktur weltweit runter. So fingen sie sich die Späher ein. Betroffen waren etwa das US-Energieministerium, Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium und Teile des Pentagons. Die Täter hatten monatelang Zeit sich umzusehen und vertrauliche Informationen mitzulesen.

„Die Löhne in der offiziellen Wirtschaft können nicht ansatzweise mit dem großen Geld, das Cyberkriminelle auch als Neueinsteiger machen, mithalten.”

Wie sind die Hacker ausgebildet?

Zunächst einmal gibt es Cyberspionage schon seit Jahrzehnten. Cyberangriffe auf kritische Infrastrukturen sind auch nicht neu. Die Risiken sind spätestens vor zwölf Jahren praktisch demonstriert worden. Da wurde ein Computervirus, Stuxnet, entdeckt. Den hatten wahrscheinlich die USA und Israel entwickelt, um Irans Atomprogramm zu sabotieren. Attacken auf kritische Infrastrukturen sehen wir jetzt immer öfter. 2017 traf es jene, die in der Ukraine Steuern zahlen oder auch Geschäfte betreiben. Beiersdorf zum Beispiel. Auch den US-Pharmakonzern Merck. Über ein Update einer Buchhaltungssoftware breitete sich der Computerwurm NetPetya rasend schnell aus. Im vergangenen Jahr legte ein Angriff die größte Ölpipeline der USA lahm, betrieben vom Unternehmen Colonial Pipeline. Hacker sperren oder verschlüsseln dann mit Schadprogrammen, mit Ransomware sagen Experten, die Computersysteme. Sie erpressen für die Freigabe der Daten Geld. Solche Angriffe sind meist kriminell motiviert. Es ist nicht so, dass das nur ganz wenige könnten.

Sondern?

Es gibt vielerorts gut ausgebildete Menschen mit IT-Kenntnissen, die aber keinen Job finden. Zum Beispiel in Ländern wie Nigeria, die gerade in der Pandemie wirtschaftlich besonders zu leiden hatten. Andernorts können die Löhne in der offiziellen Wirtschaft nicht ansatzweise mit dem großen Geld, das Cyberkriminelle auch als Neueinsteiger machen, mithalten. Das gilt sicherlich auch für Russland. Es gibt eine systematische Rekrutierung durch Cyberkriminelle. Und überhaupt ist die Arbeitsweise dieser Gruppen hochprofessionell.

„Niemand sollte darauf vertrauen, dass es eine virtuelle Grenze gibt, die nicht überschritten wird.”

Wie läuft das Geschäft?

Das nötige Wissen um Schwachstellen und die Werkzeuge, die Tools werden im Darknet, dem Online-Schwarzmarkt, gehandelt. Dort lassen sie sich mieten, so dass im Grunde jede und jeder sie einsetzen kann, quasi als Subunternehmer. Im Austausch gibt es eine Gewinnbeteiligung der Verleiher. Gingen alle Staaten dagegen vor, gäbe es viel weniger Attacken. Nur gibt es Staaten, die ein Auge zudrücken oder auch diese Dienste selbst nutzen, um politisch motivierte Attacken zu verschleiern oder um an Devisen zu kommen. Das wird auch Russland vorgeworfen. Auch bei NetPetya waren es vermutlich russische Täter.

Ist Deutschland gegen russische Cyberattacken gewappnet?

Im vergangenen Jahr gab es einen Hackerangriff auf die Server des Landkreises Anhalt-Bitterfeld. Die gesamte Verwaltung war blockiert, es konnten wochenlang keine Sozialleistungen ausgezahlt werden. Kommunen haben oft zu wenig Personal für IT. Da ist meist gespart worden. Das rächt sich jetzt. Hacker greifen auch gerne Universitäten oder mittelständische Unternehmen an. Niemand sollte darauf vertrauen, dass es eine virtuelle Grenze gibt, die nicht überschritten wird. Behörden, Unternehmen, Krankenhäuser und so weiter müssen Notfallpläne erstellen. Und sie sollten regelmäßig ein Backup aller Daten auf einer externen Festplatte machen.

„Estland hat viele Lehren aus einer massiven Server-Blockade durch russischsprachige Hacker schon 2007 gezogen.”

Wer macht es besser?

Estland. Das Land ist hochgradig digitalisiert, selbst Wahlen finden online statt. Und Staat und Gesellschaft haben viele Lehren aus einer massiven Blockade von Servern durch russischsprachige Hacker schon 2007 gezogen. Entsprechend gibt es ein großes Bewusstsein auch für die Risiken der Digitalisierung. Dort gibt es eine Art freiwillige IT-Feuerwehr, Ehrenamtliche, die den Notfall proben, im Ernstfall helfen. Die Ampel-Regierung verspricht im Koalitionsvertrag nun auch ein Cyber-Hilfswerk, ein CHW ähnlich dem Technischen Hilfswerk THW. Das ist schon mal gut. Allerdings entlässt die Sicherheitsbehörden das nicht aus ihrer Pflicht, eng miteinander zusammen zu arbeiten, um Angriffe schnell zu erkennen, Warnungen zu veröffentlichen, Nothilfen zu starten.

Über Mischa Hansel

Mischa Hansel, 42, ist einer der wichtigsten Experten für sicherheitspolitische Risiken im Internet und Gegenmaßnahmen auf europäischer und globaler Ebene. Er leitet den Forschungsschwerpunkt Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik in Hamburg, das unter anderem die Bundesregierung mit wissenschaftlichen Analysen berät.

Journalistico_Logo

Erhalten Sie unsere Highlights. Immer Samstags. Kostenlos.

Verwandte Beiträge