Bundesregierung sieht „Alarmstufe Rot“: Cyberkrieg zwischen Russland und dem Westen droht

Der russische Angriff auf die Ukraine könnte sich zu einem hybriden Krieg zwischen Russland und dem Westen ausweiten. US-Präsident Joe Biden erwägt offenbar massive Cyberangriffe auf Internetverbindungen, die Stromversorgung und den Zugverkehr in Russland. Das berichtete am Donnerstag der US-Fernsehsender NBC News unter Berufung auf amerikanische Sicherheitskreise.

Demnach haben US-Nachrichtendienste und das Militär dem Präsidenten den Einsatz amerikanischer Cyberwaffen in einem bislang ungekannten Ausmaß vorgeschlagen. Über Attacken auf Internetverbindungen, Stromversorgung und Zugverkehr soll vor allem die russische Armee getroffen und ihr Vormarsch in der Ukraine gestört werden. Eine Entscheidung soll Biden allerdings noch nicht getroffen haben.

[Verfolgen Sie die aktuellen Entwicklungen zur russischen Invasion in der Ukraine in unserem Liveblog.]

Das Putin-Regime scheint hingegen weniger zögerlich zu sein. Die Ukraine wird schon seit Jahren von Attacken mutmaßlich russischer Hacker heimgesucht. Als am Donnerstagmorgen Explosionen die ukrainische Hauptstadt Kiew und andere große Städte erschütterten, begannen hatten neue Cyberattacken. Die Websites des ukrainischen Verteidigungs-, Außen- und Innenministeriums waren nach einer Welle von DDoS-Angriffen unerreichbar oder nur sehr langsam zu laden.

Zusätzlich entdeckten Cybersecurity-Forscher:innen, dass nicht identifizierte Angreifer Hunderte von Computern mit zerstörerischer Malware infiziert hatten, einige davon auch in den Nachbarländern Lettland und Litauen.

Die Sicherheitsfirmen ESET, Symantec und SentinelOne beschreiben die mittlerweile unter dem Namen „Hermetic Wiper“ bekannte Malware. Bei einem Wiper handelt es sich um eine Schadsoftware zur Datenvernichtung, der unwiederbringlich elektronische Speichermedien löscht. Die Software ist in technischer Hinsicht ähnlich dem Wiper „WhisperGate“, der schon bei einem Angriff im Januar in der Ukraine verwendet wurde.

Bei „Hermetic Wiper“ werden notwendige Daten für den Systemstart des Computers im Master Boot Record (MBR) der Festplatte überschrieben. Dadurch wird der Computer vollständig unbenutzbar. Wiper überschreiben den Speicherbereich bis zu 35-fach, wodurch selbst mit einem Magnetkraftmikroskop keine physikalischen Spuren der ursprünglichen Daten mehr rekonstruierbar sind.

Laut einer Analyse von SentinelOne wird dabei ein signierter Treiber verwendet, um Windows-Geräte und Schattenkopien zu löschen und den MBR nach einem Neustart zu manipulieren. ESET Research meldete am Mittwochabend auf Twitter, dass der Zeitstempel für die Erstellung der Software auf den 28. Dezember 2021 zeige, was darauf hindeute, dass der Angriff möglicherweise seit fast zwei Monaten vorbereitet worden sei. Am Freitag meldete zudem Polen Hackerangriffe auf Rechner der Regierung. Wer dahinter steckt, ist noch nicht geklärt.

Deutsche Sicherheitsbehörden fahren Schutzmaßnahmen hoch

Auch die Sicherheitsbehörden der Bundesrepublik befürchten massive Hackerattacken, sobald der Westen auf die russische Invasion in der Ukraine mit gravierenden Sanktionen reagiert. „Wir haben Alarmstufe Rot“, heißt es seit Tagen im Umfeld der Bundesregierung. Die Sicherheitsbehörden seien selten zuvor „so sehr auf der Hut gewesen wie jetzt“. Es gehe darum, rechtzeitig zu „detektieren“, was auf die Bundesrepublik zukommen könnte.

Am Donnerstag berichtete Bundesinnenministerin Nancy Faeser über den aktuellen Stand. "Die Sicherheitsbehörden haben die Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren und relevante Stellen sensibilisiert", sagte Faeser nach einer Beratung mit den Innenministern der Länder. Man gehe von einer erhöhten Gefahr durch Cyberangriffe aus.

Konkrete Hinweise auf Angriffe auf deutsche Stellen lägen derzeit aber noch nicht vor. Doch vor allem die Betreiber Kritischer Infrastrukturen seien für die erhöhte Gefährdungslage sensibilisiert worden und hätten "umfangreiche Handlungsempfehlungen" zur Verfügung gestellt bekommen.

© imago images/photothek

Faeser betonte, auch Unternehmen mit Bezügen zur Ukraine seien gebeten worden, ihre IT-Sicherheitsmaßnahmen hochzufahren". Alle Informationen liefen im Nationalen Cyberabwehrzentrum zusammen. Die Ministerin berichtete zudem von einer deutlichen Zunahme russischer Propaganda und Desinformation. Auch hieraus seien die deutschen Sicherheitsbehörden vorbereitet.

Die Bundesrepublik stellt sich zudem auf Hilfe für Polen und weitere Länder ein, sollten Ukrainer in großer Zahl aus ihrem Land flüchten. "Wir sind erschüttert über den russischen Angriff auf die Ukraine und das Leid, das Russland über die Ukraine bringt", sagte Faeser.

Niedersachsens Innenminister warnt vor Beeinträchtigung der Grundversorgung

Zuvor hatte bereits Niedersachsens Innenminister Boris Pistorius (SPD) mitgeteilt, "ich habe unsere Behörden angesichts möglicher Cyberangriffe aus Russland angewiesen, sich auf alle möglichen Szenarien vorzubereiten". Die Behörden der Landes- und auch Kommunalverwaltungen seien bereits vor Tagen vor dem Hintergrund der Ukraine-Krise auf besondere Schutzmaßnahmen vorbereitet und sensibilisiert worden.

Pistorius sprach von einem "hohen Bereitschafts- und Wachsamkeitsmodus, um etwaige Störungen der IT-Systeme frühzeitig zu erkennen und schnell dagegen vorzugehen". Auch die Betreiber Kritischer Infrastrukturen seien aufgefordert, "sich noch intensiver auf Cyberangriffe vorzubereiten". Der Minister warnte, "sollten Cyberangriffe gegen unsere Kraftwerke, Wasser- und Stromversorgungen und andere kritische Infrastrukturen Erfolg haben, könnte das unsere Grundversorgung beeinträchtigen".

[Wenn Sie aktuelle Nachrichten aus Berlin, Deutschland und der Welt live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Eine große Sorge der Sicherheitsbehörden ist ein hybrider Krieg gegen die Bundesregierung, den Bundestag sowie die Energieversorgung und weitere Bereiche der Kritischen Infrastruktur. Womöglich abgestuft, sagen Sicherheitskreise, mit einer zermürbenden Eskalation.

Als Warnschuss galt schon der Angriff mutmaßlich russischer Hacker im Januar auf das ukrainische Außenministerium. Auf der blockierten Homepage erschien auf Russisch, Ukrainisch und Polnisch die Drohung, „Ukrainer! All eure persönlichen Daten wurden gelöscht und können nicht wieder hergestellt werden. Alle Informationen über euch sind veröffentlicht, habt Angst und rechnet mit dem Schlimmsten.“

Angriffe in Berlin hätten hohen symbolischen Wert

Ein mutmaßliches Ziel russischer Hackerattacken als Vergeltung für westliche Sanktionen wäre nach Ansicht von Sicherheitskreisen Berlin.  Erfolgreiche Cyberangriffe in Deutschlands Hauptstadt hätten für die Täter einen hohen symbolischen Wert. Und nicht das erste Mal.

Im Frühjahr 2015 attackierten die Hackergruppe „Fancy Bear“ wochenlang den Bundestag und erbeutete Daten im Volumen von mindestens 16 Gigabyte. Hinter Fancy Bear steckt nach Erkenntnissen des Bundesamtes für Verfassungsschutz der russische Militärgeheimdienst GRU. Der Angriff war nach Ansicht deutscher Sicherheitsexperten eine Antwort auf die Sanktionen der Europäischen Union nach der Annexion der Krim durch Russland im Jahr 2014.

Treibende Kraft bei der Bestrafung des Putin-Regimes war die damalige Bundeskanzlerin Angela Merkel (CDU). Der Hackerangriff von Fancy Bear auf den Bundestag, getroffen wurde auch ein Rechner von Merkel, war offenkundig eine Racheaktion. Und Gruppen wie Fancy Bear würden auch jetzt, vermuten Sicherheitskreise, im Auftrag russischer Geheimdienste zuschlagen.

Es drohen Versorgungsengpässe

Cyberattacken könnten sich zudem gegen die Versorgung mit Strom oder Wasser in Berlin oder anderen deutschen Großstädten richten. Strom- und Wasserbetriebe gelten als Teile der Kritischen Infrastrukturen, „bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt.

Was das bedeuten kann, zeigte sich im Dezember 2015 im Westen der Ukraine. Russische Hacker nahmen 30 Umspannwerke vom Netz, 230.000 Menschen hatten drei Stunden keinen Strom.

Mehr zum russischen Angriff auf die Ukraine bei Tagesspiegel Plus:

• Putins Angriff erzwingt neue Antworten: Der russische Einmarsch ist eine Zeitenwende für Europa (T+)
• Spionagechef, Wirtschaftsboss, Oligarch: Diese Männer gehören zu Putins engstem Kreis (T+)
• Und plötzlich schweigt der Altkanzler: War Schröder nur ein Teilchen in Putins Spiel? (T+)
• Muss Kohle teures Gas ersetzen?: Was die Ukraine-Eskalation für die Energiewende bedeutet (T+)

Zwei Schwachpunkte in Berlins Kritischen Infrastrukturen scheinen allerdings, so wirkt es heute, noch rechtzeitig erkannt worden zu sein. Im Sommer 2020 berichtete der Tagesspiegel, dass die Beraterfirma Alpha Strike Labs bei einem „Penetrationstest“ in den Berliner Wasserbetrieben schwere Mängel in der IT-Sicherheit festgestellt hatte.

Ein Angriff professioneller Hacker hätte zum mehrwöchigen Zusammenbruch der Abwasserentsorgung führen können. Die Wasserbetriebe scheinen jedoch nach dem Schock mit einer „Task Force“ viele Mängel behoben zu haben.

Berliner Verkehrsbetriebe wollten nur eingeschränkt mit dem BSI kooperieren

Eine weitere Schwachstelle waren die Berliner Verkehrsbetriebe (BVG). Sie hatten sich jahrelang geweigert, in vollem Umfang bei der Überprüfung der IT-Sicherheit mit dem BSI zu kooperieren. Riskiert wurde, dass Hacker mögliche Lücken in der digitalen Steuerung der U-Bahn nutzen und den Zugverkehr gefährden.

Das änderte sich erst 2021, als der Fall bekannt wurde und die BVG unter politischen Druck geriet. Der damalige Innensenator Andreas Geisel (SPD) wie auch das Bundesinnenministerium mahnten angesichts der schon damals hohen Gefahr von Hackerangriffen zur raschen Zusammenarbeit mit dem BSI.

Die neue BVG-Chefin Eva Kreienkamp lenkte ein. Die Verkehrsbetriebe ließen den Zustand ihrer IT-Sicherheit von dem Berliner Unternehmen HiSolutions untersuchen - auf Basis der Vorgaben des BSI. So scheinen heute die BVG wie auch die Berliner Wasserbetriebe für den Fall russischer Hackerattacken bei einer weiteren Eskalation der Ukraine-Krise besser gewappnet zu sein als noch vor zwei Jahren.

Offen bleibt allerdings, ob russische Profihacker nicht längst in der IT von BVG, Wasserbetrieben und weiteren Kritischen Infrastrukturen in Berlin oder anderen Städten nisten. Der Geschäftsführer von Alpha Strike Labs, Johannes Klick, sagte im Januar dem Tagesspiegel, eine ausländische Macht, die Kritische Infrastrukturen angreifen wolle, müsste deren Systeme „weit vor dem geplanten Angriff kompromittieren und Schadsoftware als unerkannte ,Schläfer’ einsetzen“.

Die Schadsoftware warte dann „auf ein Kommando, ein Datum oder die Existenz einer bestimmten Website, bevor sie aktiv wird und Schaden anrichtet“. Ein solches Datum wäre in der aktuellen Krisenlage vermutlich der Beginn der Sanktionen gegen Russland.