Die digitale Seite des Kriegs in der Ukraine

Durch die fortwährende Digitalisierung und die Menge an Informationen, sind viele Menschen deutlich näher an den Geschehnissen in der Ukraine dran als bei früheren Kriegen. Neben Massen an Posts in den sozialen Medien gibt es viele verschiedene Seiten, die möglichst umfassend Informationen sammeln und analysieren, z.B. MapHub und Ukraine Live Map. Dies wird auch als Open Source Intelligence (OSINT) bezeichnet. Wie überall sollte man alle Informationen hinterfragen, da auch viele Fake News und Propaganda verbreitet werden [1].

Digitale Angriffe auf die Ukraine im Voraus

Bereits seit Monaten und insbesondere kurz vor dem Einmasch der russischen Truppen in der Ukraine gab es zahlreiche digitale Angriffe (HermeticWiper, Sandworm/VoodooBear usw.) auf ukrainische Infrastrukturen, vgl. Ukraine-Cyber-Operations. Neben Spionage können somit auch von Angriffen auf kritische Infrastrukturen zur Debstabilisierung der Bevölkerung von innen aus dienen, vgl. Sun Tzu and Cyber War von Kenneth Geers.

Am Tag vor dem Einmarsch verbreitete sich z.B. die Wiper-Malware in zahlreichen ukrainischen Systemen, insbesondere in Unternehmen, die Vertragspartner der ukrainischen Regierung sind. Wiper ist ein Löschangriff, damit Computer bis hin zu ganzen Systemen nicht wieder hergestellt werden können. Die Malware wurde vrsl. ab November 2021 geschrieben und wird laut aktuellem Stand Russland attributiert.

Die Ukraine ist jedoch seit 2014 ein Spielplatz für digitale Angriffe. Es startete mit einem größer angelegten Angriff u.a. auf die Systeme des größten Medienunternehmers Starlight Media und einem Versuch die Wahl zu beeinflussen. Das hierfür verwendete Snake toolkit begann jedoch bereits ab 2010 das Computer-Netzwerk zu infiltrieren. 2015 und 2016 erfolgten u.a. Angriffe auf das ukrainische Stromnetz, die jeweils Stromausfälle von einigen Stunden zur Folge hatten. Die NotPetya-Angriffe im Sommer 2017 sorgten für großen Schaden im Land und auch vielen westlichen Unternehmen sorgten. Die Schadsoftware erschien als Ransomware (Zahlung von Lösegeld zur Entschlüsselung der Daten), war jedoch ein Wiper, der die Daten unwiederbringlich löschte. Die Schadsoftware verbreitete sich mit dem Update einer ukrainischen Steuersoftware und traf damit alle, die mit der Ukraine Geschäftsverbindungen hatten. Es ist möglich, dass Angreifer immer noch Hintertüren in einigen ukrainischen Systemen haben.

Durch die jahrelangen Angriffen hat sich Expertise in der Ukraine angesammelt. Basierend auf Gesprächen im Rahmen von EaPEC im Jahr 2018 (in Einklang mit einem EAP-Report), waren die Aktivitäten bis zu dem Zeitpunkt jedoch geringer ausgeprägt als in Estland (2007) und in Georgien (2008) nach Angriffen von Russland. Die NATO baute beispielsweise ein Jahr nach dem Angriff in Estland ein Cooperative Cyber Defence Centre of Excellence in Tallinn auf, während die Tätigkeit von Georgiens CERT.GOV.GE 2011 startete. Im Film „Russlands neue Söldner“ zeigt sich jedoch eine Änderung.

Durch die Begleitung der konventionellen Angriffe mit Cyber-Operationen in den vorangegangenen Konflikten gingen viele IT-Sicherheitsexperten, vgl. z.B. [2], von einer ähnlichen Vorgehensweise (DDoS, Angriffe auf militärische Kommandostellen, Desinformation, Angriffe auf kritische Infrastrukturen) aus. Davon ist vermutlich bisher weniger als weitläufig angenommen eingetroffen [3]. Genau kann man das vermutlich erst im Nachgang evaluieren, da die Informationen wie Puzzlesteine verteilt und ggf. auch noch nicht alle gelegt sind.

Digitale Angriffe auf Russland durch Anonymous und Einzelpersonen

Es gibt (bisher) keinen Cyber-Krieg, jedoch Unterstützung aus diesem Umfeld. Ein Angriff kann alles mögliche sein, was üblicherweise über das Internet ausführbar ist und auf ein IT-System abzielt, von Fake News über Phishing hin zu Systeme unberechtigt verschlüsseln oder Daten gewinnen.

Das Kollektiv Anonymous (ein loses Netzwerk an verschiedenen Gruppen und Akteuren) hat Putin den Cyber-Krieg erklärt und für den Hacktivismus teils Beifall bekommen. Viele russische Websites (Seiten der russischen Verwaltung, Regierungsseiten, Website des Kremels, Nachrichtenportal von RT) wurden am 24.02.2022 bei den DDoS-Angriffen durch etliche wiederholte Anfragen überlastet und damit lahmgelegt (aka Sitzblockade). Kurz darauf hat Russland den Zugriff auf ihren Internetdienste durch Geolocation eingeschränkt, was bedeutetet, dass viele Seiten nur noch aus dem IP-Bereich von Russland (also in Russland oder per VPN) aufrufbar sind.

Andere Behauptungen, wie der Leak von Daten des russischen Verteidigungsministeriums, erscheinen fragwürdig bis unglaubwürdig [4][5]. Ein relativ aktuelles Beispiel ist der Hack der Datenbank von Gazprom. Die komprimierte Datei Gazprom.7z ist 380 KB groß und besteht vor allem aus Python- und Javascript-Dateien, dazu YAML und Docker. Zwar sind ein paar Daten in den Javascript-Dateien enthalten, aber das geleakte Material ist auf dem ersten Blick keine Datenbank, sondern eine Website. Die Behauptungen klingen zunächst vielleicht plausibel, können aber nicht von jedermann einfach überprüft werden. Das macht es für die breite Öffentlichkeit schwierig, den Wahrheitsgehalt zu evaluieren. Im Prinzip kann jeder den Namen Anonymous verwenden und nicht jeder wird sich an diesen Codex halten. Diesem Zug haben sich auch viele Trittbrettfahrer und Möchtegernhacker angehängt.

Kritische Infrastrukturen werden immer (oder sollten) gesondert von den öffentlichen Diensten betrieben. Eine kritische Infrastruktur kann theoretisch nachhaltig durch Hackerangriffe zerstört werden, aber dies ist durchaus kompliziert, erfordert Detailwissen und gelingt nicht zwangsläufig (vgl. Stromversorgung in der Ukraine Ende 2015) [6]. Auch im Militär sind manche Geräte digital oder zumindest teildigital, wie Radar und Funkgeräte. Ein Angriff darauf ist alles andere als trivial und benötigt Zeit. Das zeigt, dass der Hacktivismus zwar ein Zeichen setzen und den Menschen Mut machen kann, aber wahrscheinlich keine Auswirkungen auf die kritischen Infrastrukturen von Russland hat. Der Krieg wird nicht im Netz entschieden.

Mit dem Tallinner Handbuch (The Tallinn Manual) Regeln, an denen sich Staaten im Fall von digitalen Angriffen orientieren können. Dies gilt jedoch nicht, wenn Privatpersonen oder Kollektive wie Anonymous tätig werden. Laut Prof. Dr. Dennis-Kenji Kipker sind diese Weltretter Aktionen damit riskant und rechtlich problematisch [7]. Der zur Einführung 2007 sehr umstrittene §202c StGB (Hackerparagraph) stellt die Herstellung, Beschaffung und Verbreitung von Computerprogrammen unter Strafe, deren Zweck die Begehung einer Straftat nach §§ 202a und 202b StGB ist. Dies ist jedoch bei einem passiven Scan (vgl. weiter unten) nicht der Fall, der eher unter §202a StGB fallen würde. Ein Netzsscan ist vor der Zugangssicherung und daher üblicherweise nur nicht gern gesehen, während das Ausnutzen gefundener Schwachstellen klar unter den § 202a StGB fällt, solange kein passender Rahmen (z.B. Vertrag für einen Pentest) vorliegt. Manuel Atug aka HonkHase dazu: „Ich sehe die Gefahr, dass unter dem Deckmantel der vermeintlichen Legitimation, viel Zerstörung und Vandalismus passieren wird, die nicht Putin trifft, sondern die Bevölkerung.[8]

Aktivismus kann je nach Ausführung gut sein und nicht alle Hacktivisten stecken unter einen Hut, jedoch ist es wichtig die Aktionen einzuordnen. Unrealistische Tatsachen sowie Aktionen, die Privatpersonen oder Tieren schaden zufügen, verfehlen aus meiner Sicht ihr Ziel. Ebenso können diese Aktionen als Beteiligung am Krieg angesehen werden; zumal unbekannt ist, wie die Reaktionen von Putin und Hackerinnen und Hackern auf die vielen Angriffe und Sanktionen (vgl. auch [9]) ausfallen wird. Letzteres halte ich persönlich für wahrscheinlicher. Diese könnten gegen einzelne gerichtet sein, aber auch einen massiven digitalen Angriff gegen Nato-Staaten nach sich ziehen. Durch die Asymmetrie wird der Angreifer bevorzugt (vgl. u.a. Sun Tzu and Cyber War), was auch für einen potentiellen Gegenschlag gilt. Zudem nutzen manche Cyber-Kriminelle die aktuelle Situation als Thema für ihre Malware, vgl. Mustang Panda.

Fazit

Es zeigen sich bisher digitale Aktivitäten auf beiden Seiten mit jeweils unterschiedlicher Intensitivität. Während etwas kaputt machen im richtigen Rahmen (z.B. in der eigenen Testumgebung) durchaus Spaß machen kann, hat es im Real-Life wie im Krieg eine andere Reichweite. Das eigene Wissen kann man besser einsetzen, in dem man z.B. Schwachstellen findet und meldet. Basierend auf den bisherigen Erfahrung, ist die Verbesserung der Defensive, also der Abwehr von Angriffen, wichtig, um die nötige Versorgung mit kritischen Infrastrukturen garantieren zu können. Dies zählt zur Cyber-Resilienz, also die Widerstandsfähigkeit insbesondere kritischer Infrastrukturen zu bewahren und zu verbessern. Schwachstellen in der Ukraine können beispielsweise an das ukrainische CERT gemeldet werden, damit die Versorgung sichergestellt ist (vgl. [9]).

Auch hierzulande finden sich Schwachstellen bei kritischen Infrastrukturen [10] und sollen entsprechend unmittelbar den Systembetreibern und den staatlichen Stellen, wie dem BSI oder dem CIRBw, (ggf. über Proxies) gemeldet werden. Die Tragweite der Netzmanagementsoftware Orion der Firma Solarwinds [11] ist in diesem Zusammenhang noch unbekannt.

Natürlich kann sich jeder an den vielen angelaufenen Hilfsaktionen beteiligen und versuchen, Fake-News zu entlarven. Aufklärung im Netz hilft, solange sie sachlich und freundlich ist – zumal es für alle Seiten wichtig, möglichst unterschiedliche Nachrichten zu lesen, um sich selbst ein Bild der Lage zu machen.

Was ich persönlich mitnehme sind (leider) viele praktische Beispiele für meine Vorlesungen, z.B. die Verwendung und Ausnutzung von Default Credentials [12]. Abschließend möchte ich auf kindgerechte Informationen u.a. durch die Sendung mit der Maus verweisen.