Aus Rache für empfindliche Sanktionen und Waffenlieferungen an die Ukraine fürchten Sicherheitsbehörden russische Hackerangriffe auf Deutschland. Gegen wen oder was könnten sich solche Attacken wenden? Wie wahrscheinlich sind sie und wie gefährlich könnte so eine Eskalation werden?

Russlands Präsident Putin hat dem Westen unverhohlen mit extremen Konsequenzen gedroht, sollte man es wagen, sich ihm in der Ukraine in den Weg zu stellen. Die Folgen würden so sein, wie man sie in der Geschichte noch nie gesehen hat, sagte er. Was genau er damit meint, weiß man wie so oft bei ihm nicht genau. Die weitreichenden Sanktionen und beschlossenen Waffenlieferungen an die Ukraine könnte er aber durchaus entsprechend auslegen. Einen Atomkrieg wird er deshalb zwar kaum auslösen, aber Sicherheitsexperten sehen eine relativ große Gefahr, dass sich Putin mit Cyberattacken rächen könnte.

Sicherheitsbehörden bereiten sich vor

Dass der russische Präsident nicht vor Hackerangriffen auf Behörden, Infrastruktur und Unternehmen anderer Länder zurückschreckt, hat er immer wieder bewiesen. Auch Deutschland ließ er in der Vergangenheit schon mehrmals attackieren. Für westliche Ermittler gilt es unter anderem als erwiesen, dass Moskau auch 2015 Drahtzieher der Cyberattacken auf den Bundestag war, um sich für Sanktionen nach der russischen Annexion der Krim zu rächen. Zuletzt gingen der Invasion der Ukraine offenbar von Putin angeordnete Hackerangriffe voran.

Experten schätzen die Gefahr russischer Cyberattacken auf deutsche Ziele groß ein. Bundesinnenministerin Nancy Faeser sagte vergangene Woche, "die Sicherheitsbehörden hätten Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren".

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Eigenschutz und seine Krisenreaktion gestärkt sowie das Nationale IT-Krisenreaktionszentrum aktiviert. Außerdem habe man seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen sensibilisiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen, teilte die Behörde mit. Man sehe zwar aktuell keine akute Gefährdung, erkenne aber eine erhöhte Bedrohungslage.

Die Zusammenarbeit des BSI mit Verfassungsschutz, Bundeskriminalamt und anderen Behörden und Einrichtungen wird vom Nationalen Cyber-Abwehrzentrum (Cyber-AZ) koordiniert.

Es gibt viele mögliche Ziele

Grundsätzlich unterscheidet man dabei zwischen zwei Schutzbereichen. Bei den kritischen Infrastrukturen (KRITIS) handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Deren Ausfall oder Beeinträchtigung hätte nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen.

Zur kritischen Infrastruktur gehören Wasser- und Energieversorgung, Ernährung, Finanz- und Versicherungswesen, der Gesundheitssektor, Informationstechnik und Telekommunikation, Transport und Verkehr, Staat und Verwaltung, Medien und Kultur und seit dem vergangenen Jahr auch die Siedlungsabfallentsorgung.

Der zweite Bereich sind Unternehmen im besonderen öffentlichen Interesse (UBI). Zu ihnen gehören Rüstungsbetriebe oder Firmen, die Produkte oder Komponenten herstellen, die bei der IT-Sicherheit staatlicher Verschlusssachen zum Einsatz kommen.

UBI sind laut BSI-Gesetz außerdem Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen des Landes gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Unter Umständen zählen auch deren Zulieferer dazu. Schließlich legt man noch besonderes Augenmerk auf Betriebe, wo bestimmte Mengen an gefährlichen Stoffen vorhanden sind.

Umstrittene Rolle der Bundeswehr

Auch die Bundeswehr ist mit dem Kommando Cyber- und Informationsraum (CIR) im Cyber-AZ vertreten. Ihre Rolle ist allerdings umstritten. Unter anderem gilt auch in diesem Bereich, dass die Bundeswehr nur im Krisen- und Verteidigungsfall eingesetzt werden darf, der vom Bundesparlament festgestellt werden muss.

Wann das genau der Fall ist, ist nicht eindeutig geklärt. In einem Arbeitspapier der Bundesakademie für Sicherheitspolitik heißt es, "erst wenn ein Cyberangriff in seiner Intensität und seinen Auswirkungen einem bewaffneten Angriff gleicht, kann man völkerrechtlich von einem Angriff sprechen."

Eine völkerrechtliche Definition eines "bewaffneten Angriffs" gibt es zwar nicht. Das Arbeitspapier geht jedoch davon aus, dass dies der Fall ist, wenn Cyber-Operationen zu Toten sowie großflächiger materieller Zerstörung führen.

Ohne Mandat nur Selbstverteidigung

Solange sie nicht selbst betroffen ist, ist die Abwehr von Hackerangriffen in Friedenszeiten grundsätzlich nicht Sache der Bundeswehr. Auch sogenannte Hackbacks zur Vergeltung eines Cyberangriffs sind vom Grundgesetz nur im Verteidigungsfall gedeckt, die neue Bundesregierung hat sie im Koalitionsvertrag ausgeschlossen. Nicht ganz klar ist auch, wie weit die Befugnisse des CIR zur militärischen Aufklärung gehen.

Die Rolle der Bundeswehr in der Cyber-Abwehr könnte künftig gestärkt werden. So schreibt der Präsident des Cyber-Sicherheitsrats Deutschland, Hans-Wilhelm Dünn: "Mit unserer Solidarität für die Ukraine wird auch Deutschland zum Ziel russischer Aggressionen, sei es durch Sanktionen oder Cyberattacken. Die Bundeswehr als Verteidigungsarmee muss in die Lage versetzt werden, das Land an seinen verwundbarsten Punkten zu schützen: in der kritischen Infrastruktur mit Energieversorgern, Krankenhäusern, Transportunternehmen, Banken, Medien und Kommunikationsnetzen."

Verpflichtung zum IT-Selbstschutz

Zunächst aber sind diese Einrichtungen und Unternehmen dazu verpflichtet, selbst ihre IT-Sicherheit zu gewährleisten. Das BSI steht ihnen dabei beratend zur Seite. Man habe seinen Eigenschutz und seine Krisenreaktion gestärkt und hat dazu das Nationale IT-Krisenreaktionszentrum aktiviert, sagte ein BSI-Sprecher dem "RND". Außerdem seien die Bundesverwaltung, Betreiber kritischer Infrastrukturen und weitere Organisationen und Unternehmen sensibilisiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen worden.

Ob deutsche Behörden, Versorger oder andere systemkritische Einrichtungen und Unternehmen ausreichend vor Cyberattacken geschützt sind, gilt als fragwürdig. Im Oktober vergangenen Jahres schrieb der Branchenverband Bitkom zum BSI-Lagebericht 2021, 86 Prozent der deutschen Unternehmen seien zuletzt durch Cyberangriffe geschädigt worden. Eine Recherche des BR und von "Zeit Online" ergab vergangenen Sommer, dass in den vergangenen sechs Jahren mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte Opfer von Hackerangriffen wurden.

Noch viel Luft nach oben

Man kann davon ausgehen, dass KRITIS und UBI besser geschützt sind, allerdings verpflichten sie BSI-Gesetz oder Energiewirtschaftsgesetz nur zu Mindestanforderungen. Zwar müssen sie Störungen melden. Aus der Antwort der Bundesregierung auf eine kleine Anfrage der FDP-Fraktion ging im vergangenen Jahr aber hervor, dass beispielsweise Netzbetreiber keine expliziten Meldungen zu Cyberangriffen machen müssen. Man weiß also nicht, ob eine Störung ein Fehler oder eine Hackerattacke war.

Manches Unternehmen scheint auch seine Verpflichtung zur IT-Sicherheit nicht so ernst zu nehmen, wie es vorgeschrieben ist. So haben sich die Berliner Verkehrsbetriebe (BVG) laut "Tagesspiegel" nach jahrelanger Weigerung erst unter massivem politischen Druck bereit erklärt, im vollen Umfang mit dem BSI zu kooperieren.

Hackerangriffe benötigen Vorbereitung und Ressourcen

Hackerangriffe auf gut abgesicherte Ziele sind nicht von heute auf morgen möglich, sondern sind aufwändig und benötigen Vorbereitung. Zunächst benötige man kompetentes Personal, das auf dem Stand der Technik ist, sagt Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) in Berlin. Dazu kommt die Infrastruktur, zum Beispiel Botnetze und Command-and-Control-Server.

Systeme müssten gescannt, Schad-Software geschrieben oder vorher auch noch eine bisher unbekannte Schwachstelle entwickelt werden. Dann müsse die Schad-Software noch ins Ziel geführt werden, beispielsweise mit Phishing, so Schulze. Das klappe dann vielleicht nicht oder die Schad-Software funktioniere möglicherweise nicht wie geplant und müsse nachjustiert werden. Anschließend müssten die Hacker das System ausspähen "und erst ganz am Ende der Kette kann ich einen Effekt auslösen, also Daten löschen, Daten verschlüsseln oder ein physisches System stören, das vielleicht dranhängt."

Warum sieht man noch nichts?

Trotzdem wundert sich der Sicherheitsforscher, "dass man bisher noch nichts gesehen hat." Dafür gäbe es mehrere mögliche Erklärungen, sagt er. Eventuell sehe man gar nicht, was vorgehe, vielleicht wurden Angriffe schon erfolgreich abgewehrt. Es könne aber auch sein, dass Putins Hacker nichts von seinen Plänen wussten, es gäbe ja Berichte, russische Einheiten im Feld seien von einer Übung ausgegangen.

Der russische Staat sei schließlich paranoid und teile Nachrichten und Informationen ungern. Auch die Nachrichtendienste, die die Cyber-Einheiten beherbergten, seien sich nicht grün und stünden im Wettbewerb zueinander. Das sei aber reine Spekulation, betont Schulze.

Es sei auch möglich, dass die Hacker schon Zugänge zu Systemen hätten, sie aber noch nicht eingesetzt wurden, weil Putin noch zögere, in westlichen Ländern kritische Infrastruktur anzugreifen. "Vielleicht haben sie auch keine Zugänge oder die Verteidigung war erfolgreich."

Gefährliche Kaskadeneffekte

Entwarnung kann der Berliner Sicherheitsforscher aber nicht geben. Er glaube zwar, dass Putin die Geschlossenheit der NATO sehe und ein Cyberangriff auf Westeuropa im Sinne eines konventionellen Angriffs interpretiert werden könnte. "Andererseits sind wir ja schon im nuklearen Säbelrasseln und damit in der Eskalationsdynamik bereits weiter", so Schulze.

Gegenwärtig geht er davon aus, dass man sich auf einen längerfristigen Konflikt mit Moskau einstellen müsse. Russische Cyberangriffe würden künftig auf der Tagesordnung sein, beispielsweise um strategische Vorteile zu erlangen oder um die Europäische Union zu schwächen.

Schulze befürchtet, dass es dabei zu sogenannten Kaskadeneffekten kommen könnte - auch aus scheinbar banalen Ereignissen. So könne es passieren, dass beispielsweise ein Server, der die Uhrzeit von Systemen steuert, bei einem Angriff in Mitleidenschaft gezogen wird. Als Folge könne irgendwo am anderen Ende des Internets "irgendetwas Dummes passieren."

Sehr riskanter Hacktivisten-Einsatz

Dem Sicherheitsforscher bereiten derzeit auch weniger "offizielle" Cyberangriffe Sorgen. Für die Ukraine griffen eine IT-Armee aus Freiwilligen und die selbsternannten belarussischen Cyper-Partisanen wahllos russische Ziele an. An die Seite Putins habe sich unter anderem die kriminelle Ransomware-Gruppe "Conti" gestellt. Wenn diese Hacker sich jetzt gegenseitig beharkten, "wird das auch unschön."

Schulze rät deutschen Hacktivisten dringend davon ab, sich daran zu beteiligen. Es könne zu einer unkontrollierbaren Eskalation führen, und wenn die Spur einer Cyberattacke in die Bundesrepublik führe, werde dies höchstwahrscheinlich von russischer Seite als eine vom Westen konzertierte Aktion interpretiert. "Das sehe ich sehr, sehr kritisch."