"Nur" militärische Gewalt war gestern
Nach dem Völkerrecht beginnt ein Krieg, wenn ein Staat gegen einen anderen militärische Gewalt einsetzt und dessen Eroberung oder Vernichtung zum Ziel hat. Dieser Denkansatz ist veraltet, weil die IT neue Fakten und Möglichkeiten geschaffen hat.
Am 05. September 2024 gab das Department of Justice (DoJ) der USA bekannt, dass Anklage gegen fünf namentlich genannte Offiziere des russischen Militärgeheimdienstes GRU – alle Angehörige der berüchtigten Unit 29155 – sowie eine zivile Person erhoben wird. Ihnen wird zur Last gelegt, im Januar 2022 an Cyber-Angriffen zur Vorbereitung des russischen Überfalls auf die Ukraine beteiligt gewesen zu sein. Neben der Ukraine waren auch 26 der damals 30 Mitglieder der NATO betroffen. Für die Ergreifung der sechs wurde eine Belohnung von 60 Millionen US Dollar ausgesetzt. Zum Vergleich: Osama Bin Laden, der Auftraggeber der Attacken auf die USA vom 11. September 2001, brachte es "nur" auf 25 Millionen. Die enorme Preissteigerung ist sicher nicht alleine auf die größere Zahl der Beschuldigten oder die hohe Inflation, welche die Welt seit 2022 geplagt hat, zurückzuführen.
Konkret wird ihnen der Versuch vorgeworfen, eine Malware namens "WhisperGate" in den Computern der betroffenen Länder zu platzieren. Genaueres zu der Software findet sich im "Malpedia" Katalog des Fraunhofer Institutes. Sie sollte verschleiern, wer hinter der Attacke steckt, da sie auch von gewöhnlichen Kriminellen für Erpressungen eingesetzt wird und bei ihrer Aktivierung eine vorgetäuschte Lösegeldforderung auf dem Bildschirm des Opfers zeigt.
Hier ging es aber in Wahrheit um die Vernichtung von Daten in großem Stil, weit über die Ukraine hinaus. Diese Form von Verschleierung ist ein nicht ungewöhnliches Vorgehen russischer Staatshacker, folgt man den Angaben von Mandiant, einem renommierten amerikanischen Cyber Security Unternehmen. Der GRU geht bei seinen Attacken sehr systematisch nach einem Playbook vor, welches Mandiant in der Zeit von Januar 2022 bis Mai 2023 ermittelt hat. Es reicht von der Suche nach "Einfallstoren" bis hin zur propagandistischen Erfolgsnarrativen, unabhängig von der tatsächlichen Effizienz des Angriffs.
Die Attacke wurde in letzter Minute abgewehrt, da eine sehr bemerkenswerte Allianz, bestehend aus dem US-Cyber Command und Unternehmen wie Microsoft, Google und Amazon den Betrieb der ukrainischen Regierung in die Cloud verlegte und so das Schlimmste verhindert hat. Den initialen Tipp hatte das Weiße Haus laut New York Times von Microsofts Threat Intelligence Gruppe erhalten.
Sicherer Hafen für Cyber-Kriminelle
Russland bedient sich bei seinen Attacken, nicht nur seit dem Jahre 2022, auch gewöhnlicher Krimineller. Ihnen wird als Gegenleistung für ihre Kooperation im Land ein sicherer Hafen für ihre kriminellen Aktivitäten, wie z.B. Erpressung mittels Ransomware oder den Betrieb von illegalen Dark Web-Servern, geboten. Der zivile und sechste Angeklagte auf der Liste des DoJ ist ein Vertreter dieser "Zunft". Es handelt sich bei ihm um einen im Oktober 2002 geborenen Tschetschenen, er war im Januar 2022 also nicht einmal 20 Jahre alt. Cyber-Söldner dieser Art sind inzwischen ein alltägliches Phänomen und ich habe sie in meinem Buch "Zeitenwende. Wie die IT unsere Welt verändert" ausführlicher beschrieben.
Es ist anzunehmen, dass es bei einer letztlich erfolglosen Anklage des DoJ bleibt, nur selten wird man der Hacker habhaft. Solange sie in Russland bleiben, sind sie vor ausländischer Strafverfolgung sehr weitgehend sicher. Dennoch setzt eine solch hohe Belohnung und die Tatsache, auf der weltweiten Fahndungsliste des FBI zu stehen, ihrer Bewegungsfreiheit Grenzen. – Und das Geld mag für so manchen ihrer "Freunde" durchaus eine Versuchung darstellen.
Lehren aus WhisperGate
Soweit mir bekannt ist, wurden Methoden des Cyber War erstmalig in so großem Stil als Eröffnungszug in einem massiven kriegerischen Konflikt von geopolitischer Tragweite eingesetzt. Immerhin zählten neben der Ukraine auch 26 NATO-Staaten zu den Angegriffenen. Die Grauzone, welche IT zwischen Krieg und Frieden schafft, wird hiermit deutlich. Dieser Angriff wurde offenbar bewusst nicht als Attacke auf das westliche Verteidigungsbündnis gewertet, obwohl man eine solche Einschätzung gut hätte begründen können. Statt dessen hat der Westen zugeschaut, wie Putin seinen Nachbarn überfällt und lange gebraucht, um überhaupt wirksam zu reagieren. Und immer noch scheut man sich, der Ukraine zum Sieg zu verhelfen, indem man sie lediglich in die Lage versetzt, sich zu verteidigen. Und nach wie vor spielen russische Staatshacker und ihre privaten Söldner im Ukrainekrieg eine wesentliche Rolle.
Auf beiden Seiten der virtuellen Front, allen voran die USA und Russland, zeigen sich interessante Muster. Ohne die massive Intervention privater amerikanischer IT-Firmen wäre WhisperGate wahrscheinlich von einem desaströsen Erfolg des Aggressors gekrönt gewesen. Das wirft aber nicht nur die Frage auf, was in der neuen Welt des Cyber War einen Kriegsbeginn darstellt. Es fragt sich auch, wer eigentlich Kriegspartei ist und wer an einer wirksamen Landesverteidigung beteiligt sein sollte. Es ist kaum zu glauben, dass die USA es dem Zufall überlassen haben, dass Microsoft dem Weißen Haus Tipps – wie im Falle von WhisperGate – gibt. Ebensowenig darf man annehmen, dass die anderen beteiligten privaten IT-Firmen innerhalb nur eines Tages aktiv wurden und dabei halfen, ukrainische Daten in ihre Clouds zu bewegen. Dem Ganzen lag wohl eine Plan zugrunde, der in de Schublade lag.
Offenbar sind besondere Public-Private Partnerships deutlich wirksamer, als staatliches Handeln alleine. WhisperGate zeigt, dass IT Unternehmen bei der Vereitelung von Angriffen und deren Früherkennung eine wesentliche Rolle spielen können. Bleibt noch die Frage, wer in Europa eine ähnliche Rolle spielen könnte? Auch hier sind wir wohl noch auf lange Zeit auf eine funktionierende Partnerschaft mit Amerika angewiesen.