Verteidigung der Ukraine: Erste Lehren aus dem Cyberkrieg

Es überrascht nicht, dass Russland in einem frühen Marschflugkörperangriff das Rechenzentrum der ukrainischen Regierung ins Visier nahm, und auch andere lokale Server waren Angriffen mit konventionellen Waffen ausgesetzt. Russland hat seine zerstörerischen "Wiper"-Angriffe auch gegen lokale Computernetzwerke gerichtet. Die ukrainische Regierung konnte jedoch ihre zivilen und militärischen Operationen aufrechterhalten, indem sie schnell handelte und ihre digitale Infrastruktur in eine öffentliche Cloud verlagerte, wodurch sie nun in über ganz Europa verteilten Rechenzentren gehostet wird.

Dies erforderte schnelle und außergewöhnliche Maßnahmen seitens des gesamten Technologiesektors, einschließlich Microsoft. Obwohl die Anstrengungen des Technologiesektors von entscheidender Bedeutung waren, ist es auch wichtig, über die längerfristigen Lehren nachzudenken, die aus diesen Anstrengungen gezogen werden können.

Da Cyberaktivitäten für das bloße Auge unsichtbar sind, sind sie für Journalisten und sogar für viele Militäranalysten schwerer zu verfolgen. Microsoft konnte beobachten, wie das russische Militär mehrere Wellen zerstörerischer Cyberangriffe gegen 48 verschiedene ukrainische Behörden und Unternehmen startete. Diese Angriffe zielten darauf ab, in Netzwerkdomänen einzudringen. Dabei wurden zunächst Hunderte von Computern kompromittiert, um dann Malware zu verbreiteten, die Software und Daten auf Tausenden von anderen Computern zerstören sollte.

Die russischen Cybertaktiken in diesem Krieg unterscheiden sich von jenen, die beim NotPetya-Angriff auf die Ukraine im Jahr 2017 eingesetzt wurden. Damals wurde zerstörerische "Wurm-fähige" Malware eingesetzt, die von einer Computerdomäne auf eine andere überspringen und so die Grenzen zu anderen Ländern überwinden konnte. Im Jahr 2022 achtete Russland darauf, dass destruktive "Wiper"-Software auf bestimmte Netzwerkdomänen in der Ukraine selbst beschränkt blieb. Die jüngsten und andauernden destruktiven Angriffe sind jedoch ausgefeilter und weitreichender als in vielen Berichten dargestellt. Und das russische Militär passt diese zerstörerischen Angriffe laufend an die sich wandelnden Erfordernisse der Kriegsführung an, indem es u.a. Cyberangriffe mit dem Einsatz konventioneller Waffen kombiniert.

Die Stärke und der relative Erfolg der Cyberabwehr waren bei diesen destruktiven Angriffen bisher ein entscheidender Faktor. Auch wenn sie nicht perfekt sind und einige destruktive Angriffe erfolgreich waren, hat sich die Cyberabwehr als stärker erwiesen als die offensiven Cyberkapazitäten. Darin lassen sich zwei wichtige aktuelle Trends erkennen. Erstens haben Fortschritte in der Threat Intelligence, einschließlich des Einsatzes künstlicher Intelligenz, dazu beigetragen, dass diese Angriffe zuverlässiger erkannt werden können. Und zweitens ist es durch den Schutz von Endgeräten, die mit dem Internet verbunden sind, möglich geworden, Schutzsoftware schnell sowohl an Clouddienste als auch an andere mit dem Internet verbundene Computergeräte zu verteilen, um diese Malware zu identifizieren und zu deaktivieren. Durch laufende Innovationen und Maßnahmen in Zusammenarbeit mit der ukrainischen Regierung während des Krieges wurde dieser Schutz weiter verbessert. Es ist jedoch wahrscheinlich, dass ständige Wachsamkeit und Innovation weiterhin erforderlich sein werden, um diesen Verteidigungsvorteil aufrechtzuerhalten.

Microsoft hat russische Eindringversuche in Netzwerke von 128 Organisationen in 42 Ländern außerhalb der Ukraine festgestellt. Obwohl die Vereinigten Staaten das Hauptziel Russlands sind, steht auch Polen im Mittelpunkt dieser Aktivitäten, wo ein Großteil der logistischen Lieferungen von militärischer und humanitärer Hilfe koordiniert wird. Russische Aktivitäten richteten sich auch gegen baltische Staaten, und in den letzten zwei Monaten war eine Zunahme ähnlicher Aktivitäten gegen Computernetzwerke in Dänemark, Norwegen, Finnland, Schweden und der Türkei zu verzeichnen. Ähnliche Aktivitäten wurden auch gegen die Außenministerien anderer NATO-Länder festgestellt.

Im Visier Russlands stehen vor allem Regierungen, insbesondere unter den NATO-Mitgliedern. Aber auch Think Tanks, humanitäre Hilfsorganisationen, IT-Unternehmen sowie Energieversorger und andere kritische Infrastrukturen gehören zu den Zielen. Seit Beginn des Krieges waren die von uns identifizierten russischen Angriffe in 29 Prozent der Fälle erfolgreich. Ein Viertel dieser erfolgreichen Infiltrationen führte zu einer nachgewiesenen Exfiltration von Daten einer Organisation, wobei jedoch, wie im Bericht erläutert, das tatsächliche Ausmaß des russischen Erfolgs wahrscheinlich noch unterschätzt wird.

Die größten Sorgen bereiten uns nach wie vor Behördencomputer, die lokal und nicht in der Cloud betrieben werden. Dies entspricht dem aktuellen und weltweiten Stand der offensiven Cyberspionage und des defensiven Cyberschutzes. Wie der SolarWinds-Vorfall vor 18 Monaten gezeigt hat, verfügt der russische Geheimdienst über äußerst ausgefeilte Möglichkeiten, Code einzuschleusen und als Advanced Persistent Threat (APT) zu betreiben, der kontinuierlich sensible Informationen aus einem Netzwerk abgreifen und exfiltrieren kann. Seitdem wurden erhebliche Fortschritte bei der Abwehr erzielt, aber die Umsetzung dieser Fortschritte ist in den europäischen Ländern noch uneinheitlicher als in den Vereinigten Staaten. Infolgedessen bestehen nach wie vor erhebliche Abwehrlücken.

Dabei werden Taktiken, die vom KGB über mehrere Jahrzehnte entwickelt wurden, mit neuen digitalen Technologien und dem Internet kombiniert, um Aktivitäten zur Einflussnahme im Ausland eine größere geografische Reichweite, ein größeres Volumen, eine höhere Zielgenauigkeit sowie mehr Geschwindigkeit und Flexibilität zu verleihen. Leider bieten solche Cyberoperationen zur Einflussnahme bei entsprechender Planung und Raffinesse durchaus die Möglichkeit, die traditionelle Offenheit demokratischer Gesellschaften und die für die heutige Zeit charakteristische öffentliche Polarisierung erfolgreich auszunutzen.

Währen der Krieg in der Ukraine fortschreitet, konzentrieren russische Akteure ihre Einflussnahmeoperationen im Cyberspace zunehmend auf vier verschiedene Zielgruppen: auf die russische Bevölkerung, um die Unterstützung für den Kriegseinsatz aufrechtzuerhalten; auf die ukrainische Bevölkerung, um das Vertrauen in die Entschlossenheit und Fähigkeit des Landes, den Angriffen Russlands Widerstand zu leisten, zu schwächen; auf die amerikanische und europäische Bevölkerung, um die Einheit des Westens zu schwächen und von der Kritik an den Kriegsverbrechen Russlands abzulenken. Sie beginnen außerdem, die Bevölkerung blockfreier Staaten ins Visier zu nehmen, unter anderem vielleicht, um deren Unterstützung bei den Vereinten Nationen und anderswo zu gewinnen.

Russische Einflussnahmeoperationen im Cyberspace bauen auf Taktiken auf, die für andere Cyberaktivitäten entwickelt wurden, und sind mit solchen verknüpft. Wie die APT-Teams innerhalb der russischen Geheimdienste, agieren auch die mit russischen Regierungsstellen verbundenen APM-Teams (Advance Persistent Manipulator) über soziale Medien und digitale Plattformen. Sie verbreiten zunächst Falschinformationen, ähnlich wie Malware und anderer Softwarecode vor einem Angriff eingesetzt werden. Anschließend starten sie eine breit angelegte und zeitgleiche "Berichterstattung" über diese Themen auf Websites, die von der Regierung betrieben und beeinflusst werden, und verstärken ihre Narrative mithilfe technologischer Instrumente, die für den Exploit von Social-Media-Diensten entwickelt wurden. Jüngste Beispiele sind Berichte über Biolabors in der Ukraine sowie mehrere Versuche, militärische Angriffe auf zivile Ziele in der Ukraine zu verschleiern.

Im Rahmen einer neuen Initiative hier bei Microsoft setzen wir künstliche Intelligenz, neuartige Analysewerkzeuge, größere Datensätze und eine wachsende Zahl von Experten ein, um diese Cyberbedrohung zu verfolgen und vorherzusagen. Dank dieser neuen Möglichkeiten konnten wir berechnen, dass die Verbreitung russischer Propaganda durch russische Einflussnahmeoperationen im Cyberspace nach Ausbruch des Krieges in der Ukraine um schätzungsweise 216 Prozent und in den USA um 82 Prozent zugenommen hat.

Diese anhaltenden russischen Operationen knüpfen an die jüngsten ausgeklügelten Aktivitäten zur Verbreitung falscher COVID-19-Narrative in mehreren westlichen Ländern an. Dazu gehörten etwa staatlich finanzierte Einflussnahmeoperationen im Cyberspace im Jahr 2021, in deren Rahmen durch englischsprachige Internetberichte von der Verwendung des Impfstoffs abgeraten und gleichzeitig über russischsprachige Websites für die Verwendung des Impfstoffs geworben wurde. In den letzten sechs Monaten wurde bei ähnlichen russischen Einflussnahmeoperationen versucht, in Neuseeland und Kanada öffentlichen Widerstand gegen COVID-19-Maßnahmen zu schüren.

Microsoft wird seine Arbeit in diesem Bereich in den kommenden Wochen und Monaten weiter ausbauen. Dazu gehören sowohl interne Verstärkung als auch die letzte Woche bekannt gegebene Übernahme von Miburo Solutions, einem führenden Unternehmen für die Analyse und Erforschung von Cyberbedrohungen, das sich auf die Erkennung von und die Reaktion auf ausländische Einflussnahmeoperationen im Cyberspace spezialisiert hat.

Wir sind besorgt darüber, dass viele der aktuellen russischen Cyberoperationen monatelang unentdeckt bleiben, nicht analysiert werden und nicht an die Öffentlichkeit gelangen. Dies hat zunehmend Auswirkungen auf ein breites Spektrum wichtiger Institutionen im öffentlichen und privaten Sektor. Und je länger der Krieg in der Ukraine andauert, desto größer werden die Auswirkungen dieser Operationen auf die Ukraine selbst. Dies liegt daran, dass ein längerer Krieg aufgrund der unvermeidlichen Herausforderung einer größeren Ermüdung verstärkte Maßnahmen zur Aufrechterhaltung der öffentlichen Unterstützung erfordern wird. Umso wichtiger ist es, dass der Westen seine Schutzmaßnahmen gegen diese Art ausländischer Cyberangriffe verstärkt.

Wie der Krieg in der Ukraine zeigt, sind diese Bedrohungen zwar unterschiedlich, aber die russische Regierung setzt sie nicht getrennt voneinander ein, und wir sollten sie in der Analyse nicht isoliert voneinander betrachten. Darüber hinaus müssen Verteidigungsstrategien die Verknüpfung dieser Cyberoperationen mit kinetischen Militäroperationen berücksichtigen, wie sie in der Ukraine zu beobachten ist.

Um diesen Cyberbedrohungen effektiv entgegenwirken zu können, sind weitere Fortschritte erforderlich, für die vier gemeinsame Grundsätze und – zumindest auf einer höheren Ebene – eine gemeinsame Strategie von entscheidender Bedeutung sind. Der erste Verteidigungsgrundsatz sollte von der Erkenntnis ausgehen, dass russische Cyberbedrohungen von Akteuren innerhalb und außerhalb der russischen Regierung vorangetrieben werden und sich auf ähnliche digitale Taktiken stützen. Um diesen Bedrohungen effektiv zu begegnen, sind daher Fortschritte in den Bereichen digitale Technologien, künstliche Intelligenz und Daten erforderlich. Ein zweiter Grundsatz sollte dementsprechend anerkennen, dass die Reaktion auf Cyberangriffe anders als bei traditionellen Bedrohungen in der Vergangenheit auf einer verstärkten Zusammenarbeit zwischen öffentlichen und privaten Akteuren beruhen muss. Ein dritter Grundsatz sollte auf die Notwendigkeit einer engen und gemeinsamen multilateralen Zusammenarbeit zwischen Regierungen zum Schutz offener und demokratischer Gesellschaften fokussiert sein. Und ein vierter und letzter Verteidigungsgrundsatz sollte auf das Recht auf freie Meinungsäußerung und die Vermeidung von Zensur in demokratischen Gesellschaften ausgerichtet sein, auch wenn neue Maßnahmen erforderlich sind, um dem gesamten Spektrum der Cyberbedrohungen, einschließlich der Einflussnahme im Cyberspace, zu begegnen.

Eine wirksame Reaktion muss auf diesen Grundsätzen in Form von vier strategischen Säulen aufbauen. Diese sollten die gemeinschaftlichen Fähigkeiten stärken, ausländische Cyberbedrohungen effektiver (1) zu erkennen, (2) abzuwehren, (3) zu stoppen und (4) zu verhindern. Dieser Ansatz findet sich bereits in vielen Bemühungen der Gemeinschaft zur Bekämpfung destruktiver Cyberangriffe und Cyberspionage. Er gilt auch für die kritische und laufende Arbeit, die zur Bekämpfung von Ransomware-Angriffen erforderlich ist. Jetzt brauchen wir einen ähnlichen, umfassenden Ansatz mit neuen Möglichkeiten und Mitteln zur Abwehr russischer Einflussnahmeoperationen im Cyberspace.

Wie in diesem Bericht erörtert, können aus dem Krieg in der Ukraine nicht nur Lehren gezogen werden, sondern er macht auch deutlich, dass wirksame Maßnahmen ergriffen werden müssen, die für den Schutz der Zukunft der Demokratie unerlässlich sind. Als Unternehmen haben wir uns verpflichtet, diese Bemühungen zu unterstützen, unter anderem durch laufende und neue Investitionen in Technologie, Daten und Partnerschaften, um Regierungen, Unternehmen, NGOs und Universitäten zu helfen.

Alle Details finden Sie im vollständigen Bericht.