Der eigentliche „Cyberkrieg“ beginnt erst nach Friedensschluss

Kommentar von Richard Werner, Business Consultant bei Trend Micro

Der Begriff Cyberkrieg ist derzeit in aller Munde. Aber wer erklärt den Cyberkrieg, was ist zu erwarten, und wie geht es nach einem hoffentlich baldigen Friedensschluss zwischen der Ukraine und Russland weiter? Aber zunächst ein Wort vorab: Als Unternehmen ist es nicht unsere Aufgabe, politisch Stellung zu beziehen. Trotzdem, der russische Einmarsch in der Ukraine und seine Folgen für die Zivilbevölkerung sind schrecklich, und wir hoffen auf eine schnelle Beendigung des Krieges. Unsere Aufgabe als Sicherheitsanbieter ist es, die Konsequenzen aktueller Ereignisse zu beurteilen und unsere Kunden im Rahmen unserer Möglichkeiten vor deren Auswirkungen zu schützen. Aus professioneller Sicht sehen wir die Gefahr, dass Reichweite und Motivation von Cyberakteuren falsch eingeschätzt wird und wollen deshalb zur Aufklärung beitragen.

Wer erklärt den „Cyberkrieg“?

Kriege können grundsätzlich nur von Nationen und deren legitimen Führern erklärt werden. Privatpersonen können für sich entscheiden im Krieg zu sein, haben aber dabei keinen Anspruch auf Legitimierung. Im aktuellen Konflikt zwischen Russland und der Ukraine wird der Kampf im Rahmen eines konventionellen Krieges auch mit Cyberwaffen geführt. Die Störung bzw. Zerstörung der jeweils gegnerischen Infrastruktur ist dabei keine Erfindung des Informationszeitalters. Lediglich die Methoden, mit denen dies nun möglich ist, haben sich geändert. Im Vergleich zu eher traditionellen Mitteln der Zerstörung bieten digitale Waffen dabei den „Vorteil“, überraschend und kostengünstig zuzuschlagen. Sie haben aber den „Nachteil“, dass der angerichtete Schaden in der Regel nicht dauerhaft ist und das Opfer nach Abbruch der Attacke oder durch selbst organisierte Verteidigung/Wiederherstellung erneut in den Ausgangsstatus zurückkehren kann. Ein gut vorbereitetes Opfer ist zudem unter Umständen in der Lage, die Attacke direkt und praktisch ohne Schaden abzuwenden. Aus diesem Grund eignen sich solche Waffen für kurzfristige Erfolge und Propagandamaßnahmen. Es handelt sich deshalb weniger um einen Cyberkrieg als einen Informationskrieg mit dem Ziel, vor allem die gegnerische Bevölkerung zu demoralisieren.

Die Rolle „privater Gruppen“

Politiker beider Seiten haben private Hacker und Gruppen dazu aufgerufen, sie im „Cyberkrieg“ zu unterstützen. Auch dies ist keine Erfindung der Neuzeit. Söldner, Freibeuter oder Spione haben schon seit Jahrhunderten kriegführende Nationen „unterstützt“. Die Motivation der einzelnen Akteure reicht von ideologischen Ideen (man bekämpft „das Böse“) bis hin zu wirtschaftlichen Überlegungen. Der Unterschied liegt darin, dass finanziell motivierte Kämpfer nach Beendigung der Kampfhandlungen und damit dem Versiegen der Geldquelle aufhören. Bei ideologisch motivierten Kämpfern dagegen besteht eine hohe Wahrscheinlichkeit – vor allem bei Niederlagen – den Kampf aus dem Untergrund weiterzuführen. Im Cyberraum entfällt dabei die Gefahr für Leib und Leben, Akteure können damit ihrer Profession in ihrer Freizeit nachgehen. Dies wird künftigen Aktivisten neue Möglichkeiten bieten, um Rekruten für ihre Ziele zu motivieren.

Warum droht eine Eskalation „nach“ dem Krieg?

Ransomware-Gruppen wie Conti haben ihre offene Unterstützung für die russische Regierung erklärt und zudem dem „Westen“ mit Eskalation gedroht. Diese und andere Gruppen hatten bereits vor dem Krieg westliche Unternehmen angegriffen und durch Ransomware lahmgelegt. Den Zusammenhang zwischen Ransomware-Akteuren und der russischen Politik haben wir mehrfach erklärt. Es stand und steht nicht zur Debatte, dass diese Akteure nach einem Friedensschluss ihr Geschäftsmodell aufgeben. Also warum dann solche Drohungen?

Zum einen dürfte es für Ransomware-Gruppen derzeit schwierig sein, Lösegeld einzutreiben. Westliche Unternehmen, die bei einem Ransomware-Angriff aktuell bezahlen, laufen Gefahr, einen verbotenen Handel mit einer „feindlichen“ Nation zu betreiben. Das kann für beteiligte Geschäftsführungen unerwünschte persönliche Folgen haben. Schon jetzt müssen einige Unternehmen befürchten, dass Untersuchungen stattfinden, weil durch Leaks bekannt wurde, wer Lösegeld zahlte aber den unerlaubten Zugriff auf personenbezogene Daten nicht meldete.

Zum anderen jedoch dürften diese Äußerungen im eigenen Land den Kriminellen das Wohlwollen der Regierung sichern und ihnen vor allem Kontakt zu ideologisch motivierten Kämpfern ermöglichen. Erfahrene Ransomware-Akteure werden dabei zu Ausbildern talentierter, junger Menschen mit Idealen, die ihren Staat verteidigen wollen.

Auch nach Friedensschluss werden diese sozialen Bindungen nicht verschwinden. Weitere Spannungen zwischen West und Ost wird es auch künftig geben. Längerfristig haben diese Ransomware-Gruppen damit Zugriff auf ideologisch motivierte und in Cyberangriffen erfahrene Rekruten – dann jedoch ohne die Bindung an die staatlich vorgegebenen Ziele einer „offiziellen Kriegsführung“ und ohne das Stigma, ein Verbrechen zu begehen. Schließlich greift man ja nur den ideologischen Feind an. Der Begriff „Cyberkrieg“ dient nur einem Zweck, und das ist der Vorwand, „Cyber-Soldaten“ zu rekrutieren, also genau diese idealistischen Menschen, die nicht wirklich böse oder kriminell sind, sondern für das aus ihrer Sicht „Gute“ gegen das aus ihrer Sicht „Böse“ kämpfen wollen.

Konsequenzen für Unternehmen

Lassen Sie sich nicht davon irritieren, dass trotz aktiver Kriegsführung aktuell verhältnismäßig wenig Cyberangriffe geschehen. Zwar gab es in der Ukraine Angriffe mit neuer Malware – aber das ist nichts Ungewöhnliches. Im Durchschnitt zählte man vor dem Krieg 394.000 neue Malware Samples pro Tag. Wenn nun über einige davon näher berichtet wird, dann weil gerade öffentliches Interesse daran besteht und nicht, weil diese nach aktuellem Wissensstand besonders herausragen. Es ist auch viel dazu zu hören, dass Systeme und Webseiten der beiden Kriegsparteien vom jeweiligen Gegner getroffen wurden. Dabei geht es eher darum, die Moral der eigenen Partei zu heben und die der anderen zu treffen.

Geschäftsführungen vieler Unternehmen sind sich der Auswirkung eines Cyberangriffs bewusst. Es ist richtig, mit erhöhter Wachsamkeit seine Umgebung zu beachten – mit oder ohne Krieg. Die größte Gefahr sehen wir deshalb darin, dass Unternehmen nach dem erfolgten Friedensschluss auch den so genannten „Cyberkrieg“ als beendet ansehen und in ihrer Wachsamkeit nachlassen.

Ransomware-Akteure sowie andere private Gruppen werden unter dem Deckmantel der „Cyber-Kriegsführung“ Unternehmen angreifen. Sie werden sich in einen „Privatkrieg“ begeben und das aus ihrer Sicht „Böse“ bekämpfen. Dabei sollten wir nicht vergessen, dass „böse“ eine subjektive Wahrnehmung ist, die zudem durch Medien und Propagandamaßnahmen beeinflusst wird. Und schon immer galt: „Böse Taten“ sind gerechtfertigt, wenn sie gegen den richtigen Feind gezielt eingesetzt werden – oder umgangssprachlich, „Der Zweck heiligt die Mittel.“

Es sollte uns allen bewusst sein, dass es nach Beendigung dieses realen Krieges eine ganze Menge mehr Personen geben wird, die so denken und handeln – und zudem erfahren darin sind, die Cyberwaffen zu bedienen. Die Herausforderung, dass dann private Gruppen einen Privatkrieg auf dem Rücken der Wirtschaft austragen, dürfte es Politikern auf beiden Seiten erschweren, Entspannungspolitik zu betreiben.

Die Welt der IT-Sicherheit – Unternehmen, Organisationen und Behörden – rufen schon lange dazu auf, sich besser gegen Cyberangriffe zu wappnen. Es gibt keinen Grund zum Optimismus, dass sich dies in absehbarer Zeit ändert. Aufgrund des Krieges muss dauerhaft mit einer zunehmenden Eskalation gerechnet werden – auch und gerade nach Friedensschluss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.