Unternehmen / Ausland

Cybercrime-Experte: «Westen wird häufiger attackiert werden»

Der Cyberkrieg zwischen der Ukraine und Russland ist ein Kampf privater Gruppen. Auch westliche Unternehmen geraten in ihre Schusslinie, sagt Lotem Finkelstein.

Russland hat in der Vergangenheit in der Ukraine mehrmals Ziele im Cyberspace attackiert. Der wohl prominenteste Fall ist die NotPetya-Attacke, die sich auch auf die Computer anderer Länder ausbreitete und weltweit hohe Schäden verursachte. Der Ukrainekrieg hat eine ähnlich verheerende Konfrontation im Cyberspace bisher vermissen lassen. Die aktuellen Attacken gehen vor allem von der Cyber-Community aus, was wiederum eigene Gefahren mit sich bringt, findet Sicherheitschef Lotem Finkelstein des israelischen Cybersecurity-Unternehmens Check Point im Gespräch mit FuW.

Herr Finkelstein, der Cyberkrieg ist in der Ukraine bisher ausgeblieben, warum?
Jeder hat gedacht, dass die Cybersphäre ein Medium sein wird, das dem Bodenkrieg dienen würde, aber es ist anders gekommen. Wir haben Russland bisher nicht mit der vollen Cyberkapazität gesehen, und dafür gibt es mehrere Gründe. Russland kann nicht einfach die Stromversorgung per Cyberattacke abschalten, wie es das im Jahr 2015 gemacht hat. Den Strom braucht es jetzt für den eigenen Krieg. Es gibt abseits der reinen Regierungsziele auch nicht mehr so viele Ziele, nun, da die ukrainische Wirtschaft auf Sparflamme läuft.

Sind Russlands Kapazitäten im Cyberkrieg vielleicht nur schwächer als gedacht?
Es ist kein symmetrischer Krieg. Wenn Russland sich dafür entscheiden würde, die volle Cybermacht zu nutzen, dann könnte es die Ukraine vom Internet abschneiden. Momentan macht das für die Russen aber keinen Sinn. Keiner zweifelt daran, dass Russland sehr fähig ist.

Was hat es mit der Attacke auf das ukrainische Stromnetz im Jahr 2015 auf sich?
2015 hatten die Russen die Stromversorgung im Westen der Ukraine durch einen Hackerangriff abgeschaltet. Das war zwar nur ein Stromausfall von ein paar Stunden, was aber für Krankenhäuser einen grossen Unterschied macht. Das war eigentlich nur eine Machtdemonstration. 

Die Cyberattacke NotPetya war aber mehr als eine Machtdemonstration. Was ist passiert?
Mit der NotPetya-Attacke wurden 2017 die offiziellen Steuerbescheide der Ukraine durch Schadsoftware der Russen ersetzt. Am Steuertag haben die Ukrainer die Dateien dann heruntergeladen, dahinter versteckte sich aber ein Wiper namens NotPetya, der den Inhalt der Festplatte unbrauchbar gemacht hat. Obwohl es keine signifikanten Auseinandersetzungen gab, war die Aggressivität der Russen im Cyberspace sehr stark sichtbar. Auf beiden Seiten haben wir viele Cybercrime-Aktivitäten beobachtet.

Wie schaut der Cyberkrieg derzeit aus?
Anfangs hatten die Russen Attacken mit drei Typen von Wipern durchgeführt. Das hat aber die Fähigkeit der Ukrainer, ihr Land zu verteidigen, nicht wesentlich behindert. Die Cyber-Community hat mittlerweile das Ruder in diesem Krieg übernommen — sowohl in der Ukraine als auch in Russland. Der Krieg hat die Cyber-Community weltweit polarisiert und gezwungen, sich einer Seite anzuschliessen. Die meisten haben sich den Ukrainern angeschlossen. Der Krieg im Netz wurde praktisch von der Community übernommen. Die Ukrainer teilen ihre Ziele mit 300’000 Menschen über den Nachrichtendienst Telegram und versuchen so, ihre Gemeinschaft an Hackern anzuleiten. Wenn man mit diesen unterschiedlichen Gruppen arbeitet, kann man den Schaden aber nur schwer zielgerichtet einsetzen.

Das kann schnell nach hinten losgehen.
Ja, denn man ist abhängig davon, dass die Hacker entscheiden, was sie für richtig erachten. Das Resultat ist vielleicht gar nicht im Interesse des Staates und kann sogar den strategischen Interessen im Bodenkrieg widersprechen. 

Welche Ziele im Cyberspace hat die Ukraine momentan?
Die Ukraine bekämpft vor allem Fake News. Das Ziel sind in erster Linie staatlich gelenkte russische Medienunternehmen wie RT. Es ist zwar ein wenig wie David gegen Goliath, aber es gab Gruppen, die russische TV-Übertragungen für mehrere Minuten unterbrechen konnten. Waren sie deswegen in der Lage, die Meinung der Russen zu verändern? Nein, weil die Propaganda stärker ist.

Ist diese Privatisierung des Cyberkrieges für nationale Interessen eine neue Erscheinung?
Das ist nicht ganz neu. Zwischen dem Iran und Israel hat sich diese Dynamik im letzten Jahr ebenso entwickelt. Cyberkriminelle kämpfen auf beiden Seiten. Es gibt konstante Attacken gegen Israel durch Gruppen aus dem Iran. Auf der anderen Seite gibt es Attacken gegen kritische Infrastruktur im Iran. Die Verantwortung übernehmen aber Cybercrimegruppen der Oppositionellen im Iran und Einzelpersonen in Israel. Wir sehen also einen Krieg zwischen zwei Ländern, aber die Attacken werden durch Kriminelle ausgeführt. Sehr schnell kann dadurch allerdings ein realer Krieg entstehen.

Was bedeuten die wirtschaftlichen Sanktionen gegen Russland für den Cyberkrieg?
Wenn Russland unter den Sanktionen leidet, dann wird der Westen häufiger mit Ransomware attackiert werden. Cyberkriminelle erpressen auf diese Art Geld. Vergangenen Mai hat eine russische Hackergruppe die Colonial-Ölpipeline in den USA attackiert. Sie hat das System für die Abrechnung der Öllieferungen angegriffen, und man musste alles für eine Woche abdrehen. Das Unternehmen hat mutmasslich 4,4 Mio. $ an Lösegeld bezahlt, um das Computersystem wieder zum Laufen zu bekommen.

Sind Unternehmen, die sich nun aus Russland zurückziehen, besonders gefährdet?
Ja, die sind jetzt eben nicht nur ein Ziel wie alle anderen. Solche Unternehmen haben eine Seite gewählt, und es gibt Gruppen auf der russischen Seite, die sie jetzt als Feind in einem ökonomischen Krieg sehen.

Der ganze Text ist für Abonnentinnen und Abonnenten reserviert. Abonnieren Bereits abonniert?