Staaten und internationale Organisationen wie die NATO und die EU begreifen Cyberangriffe als zentrale sicherheitspolitische und militärische Bedrohung und bereiten sich seit Jahren auf derartige Szenarien vor. Die sicherheitspolitische Fachwelt sieht in Russland einen besonders aggressiven Akteur im Cyberraum und rechnete damit, dass die Führung in Moskau Cyberangriffe gegen kritische Infrastrukturen ihrer Gegner im Vorfeld von und parallel zu kinetischen militärischen Operationen durchführen würde. Verglichen mit diesen Erwartungen sehen wir im russischen Krieg gegen die Ukraine bisher nur wenig Anzeichen für solche Angriffe aus dem digitalen Raum.
Vier Wochen nach dem Beginn des russischen Überfalls auf die Ukraine, der weitflächigen Zerstörung ziviler Infrastruktur und der Terrorisierung der Bevölkerung ausgerechnet in den eher russisch-sprachigen Teilen des Landes erscheint vieles am russischen Vorgehen unbegreiflich. Unbegreiflich nicht nur in dem Sinne, dass ein ständiges Mitglied des VN-Sicherheitsrats die zentrale Norm des Gewaltverbots mit Füßen tritt und seine Aggression bestenfalls mit Argumenten begründet, die so fadenscheinig sind, dass sie offensichtlich nur darauf abzielen, den kommunikativen Raum zu vergiften. Unbegreiflich und beängstigend auch in dem Sinne, dass das Entscheidungssystem einer atomaren Weltmacht so verengt und gegen Einspruch immunisiert ist, dass die Ein-Mann-Führung sich zwar berechnend gibt, aber zu krassen Fehleinschätzungen kommt. Beides hat in der öffentlichen Debatte breite Aufmerksamkeit erfahren. Dagegen wird ein Aspekt dieser Aggression, der ebenso unverständlich ist, bisher kaum zur Kenntnis genommen. Wahrscheinlich deshalb, weil es sich um ein Ereignis handelt, das zwar zu erwarten war, aber bisher nicht stattfindet. Die Rede ist von russischen Operationen im Cyberraum. Antworten auf die Frage, warum dieser Hund nicht bellt, sind zwar spekulativ, können dennoch zur Diskussion über die Hintergründe des russischen Überfalls beitragen.
Warum Cyberangriffe zu erwarten wären
Die Forschung hat sich zwar mehrheitlich von alarmistischen Prognosen verabschiedet, die Welt trete ein in das Zeitalter der Cyberkriege. Allerdings ist die sogenannte Cyber Revolution Theory nach wie vor en vogue und damit die Annahme, Cyber-Operationen stellten für Staaten ein effizientes und effektiv nutzbares strategisches Instrumentarium unterhalb der Schwelle des Krieges oder kombiniert mit kinetischen Operationen bereit. Richtig an dieser Diagnose ist, dass wir im Zeitalter von hybriden Bedrohungen und Cyber-Operationen leben. Den meisten Schaden richten vermutlich die kriminellen Aktivitäten nicht-staatlicher Hackergruppen an. Laut dem Cyber Operations Tracker des Council on Foreign Relations nehmen daneben die von Staaten verantworteten Cyberangriffe dramatisch zu. Die mit Abstand meisten dieser Angriffe entfallen dabei auf die Kategorie „Spionage“. Die Sabotage bzw. Angriffe aus dem digitalen Raum auf kritische Infrastrukturen wie Stromnetze, Kraftwerke oder Staudämme ist zwar seltener, richtet aber größere und potenziell so große Schäden an, dass sie in der Wirkung einem militärischen Angriff gleichkommen könnte. Die NATO hält sich daher ausdrücklich die Option offen, auf einen derartigen Angriff mit der Aktivierung des Artikel 5 zu reagieren.
Die wichtigsten Akteure im Cyberraum sind die großen und technologisch führenden Länder, aber auch Pariastaaten wie Nordkorea oder Entitäten wie der IS. Sie unterscheiden sich deutlich in ihrem Verhalten und ihren Zielen. China betreibt im großen Stil Wirtschafts- und militärische Spionage; Nordkorea geht es auch um Erpressung; Israel um die Entdeckung und Bekämpfung kritischer militärischer Maßnahmen seiner verfeindeten Nachbarländer. In diesem Reigen stechen zwei Staaten heraus: einerseits die USA aufgrund ihrer besonderen technischen Fähigkeiten und ihrer aktivistischen Strategie der Vorneverteidigung im Cyberraum, andererseits Russland aufgrund seines besonders aggressiven und destruktiven Vorgehens.
USA und Russland – die vorherrschenden Akteure im Cyberraum
Die USA und das US Cyber Command folgen seit 2018 einer neuen Strategie des Persistent Engagement. Sie begnügt sich nicht mehr damit, eigene Computernetze gegen Hackerangriffe böswilliger ausländischer Gruppen zu härten und Abwehr- sowie datenforensische Aufklärungsmaßnahmen zu ergreifen, nachdem ein Angriff erfolgt ist. Stattdessen versuchen die Teams des Cyber Command feindliche Aktivitäten auch in fremden Netzen permanent zu beobachten, böswillige Angriffsversuche frühzeitig zu entdecken und präemptiv dagegen vorzugehen, etwa indem die USA die Computer und Netze dieser Gruppen mit Schadsoftware lahmlegt. Darüber hinaus wollen die USA über die Fähigkeit zur gezielten Sabotage kritischer militärischer Infrastrukturen verfügen. Die bisher komplexesten Cyber-Operationen unter dem Namen Stuxnet gegen das iranische Nuklearprogramm zerstörte immerhin 1.000 Zentrifugen zur Anreicherung von Uran. Ein Bericht der New York Times spekuliert zudem, dass eine vom Cyber Command eingeschmuggelte Schadsoftware zu einer Reihe von Fehlstarts nordkoreanischer Raketen führte. Schließlich geht es den USA um Abschreckung und die Fähigkeit, in einer Art Gegenschlag ihrerseits kritische zivile Infrastruktur in anderen Ländern digital angreifen zu können. Die Befürworter der Strategie des Persistent Engagement vertrauen darauf, die Eskalationsrisiken dieser aktivistischen Strategie seien beherrschbar. Der Terminologie Hermann Kahns klassischer Studie über Eskalation folgend, argumentieren sie, der Cyberraum ließe sich durch permanente Interaktion und in einer Art Sozialisation böswilliger Akteure zu einer Arena der Agreed Competition machen, in der andere die Superiorität der USA anerkennen und gewisse Leitplanken der Konfrontation beachten.
Russland wiederum fällt im Cyberraum und darüber hinaus durch ein breites Spektrum von Aktivitäten und weiter gesteckten Ziele auf. Russland spioniert ebenfalls, und das im großen Stil. Der Angriff auf die Computersysteme des Bundestags geht vermutlich ebenso auf das russische Konto wie der legendäre Solarwinds Angriff vom Dezember 2020. Informationsgewinnung ist aber nur eines der russischen Ziele. Ein zweites ist die Beeinflussung der politischen Prozesse in anderen Ländern. Am bekanntesten ist der Angriff auf die Computer der Democratic National Convention und die anschließende strategische Verbreitung gestohlener Dokumente mit dem Ziel der Manipulation der Präsidentschaftswahl 2016. Das ist aber nur die Spitze des Eisberges. Zwischen 2004 und 2018 versuchte Russland die politischen Prozesse in 27 europäischen und nordamerikanischen Ländern zu beeinflussen. Schließlich betreibt Russland im großen Stil Sabotage, um unliebsames Verhalten zu bestrafen und Gegner zu schwächen. Schon 2007 legten Hacker, die später mit russischen Diensten in Verbindung gebracht wurden, als Reaktion auf die Verlegung eines Denkmals in Tallin estnische Regierungsseiten mit Distributed Denial of Service (DDoS) Angriffen lahm. Noch schlimmer erwischte es die Ukraine. Nach 2014 führten Hackergruppen, die dem russischen Militärnachrichtendienst zugerechnet werden, gleich eine ganze Reihe von Angriffen auf ukrainische Netze durch. Das ukrainische Stromnetz wurde dabei gleich zweimal hintereinander angegriffen. Der schwerwiegendste Angriff mit einer sich selbst ausbreitenden Schadsoftware (der sog. NotPetya Wurm) zielte auf die Vernichtung von Daten in ukrainischen Computernetzen, richtete dort erheblichen Schaden an, und verbreitete sich dann unkontrolliert weit über die Ukraine hinaus. Der Einsatz hybrider Instrumente auch im Cyberraum und die gezielte Sabotage, stünden, so etwa Mark Galeotti, in der russischen Tradition nicht-linearer Kriegführung. Es müsse daher damit zu rechnen sein, dass Russland im Vorfeld von und parallel zu kinetischen Angriffen auch Attacken im digitalen Raum und aus dem digitalen Raum heraus auf kritische zivile und militärische Infrastrukturen des Gegners führen werde.
Warum wird kaum Cyberkrieg geführt?
Für dieses Szenario sehen wir vier Wochen nach Beginn des Krieges wenig Anzeichen. Zwar führen beide Seiten Cyberoperationen durch. Auf der einen Seite überziehen aktivistische Hackergruppen wie Anonymus und die sich selbst so nennende „IT Army of Ukraine“, die sich ebenfalls größtenteils auf Freiwilligen zusammensetzt, russische Server mit Angriffen. Auf der anderen Seite sehen wir vermutlich von russischen Diensten durchgeführte DDoS Angriffe und in der Wirkung beschränkte Angriffe gegen Kommunikationseinrichtungen. Unter anderem wurden Server der ukrainischen Regierung gehackt und genutzt, um Angstbotschaften zu verbreiten. Was dagegen zu erwarten stand, aber bisher nicht zu beobachten ist, sind großflächige Angriffe auf kritische zivile und militärische Infrastrukturen.
Das wirft die Frage auf, warum wir nicht sehen, was zu erwarten stand. Hierauf lassen sich drei Antworten geben. Die erste lautet, dass die russische Führung in dem Moment, in dem sie kinetische Mittel einsetzt, Cyberangriffen keine Bedeutung mehr zumisst. Die zweite lautet, die amerikanische Strategie des Persistent Engagement funktioniert. Den USA sei es gelungen, russische digitale Angriffsversuche früh zu erkennen und präventiv zu verhindern. Die dritte Antwort lautet, dass die Hackergruppen der russischen Geheimdienste von der politischen Führung nicht auf den Überfall vorbereitet wurden und keine Zeit hatten, die Netze der kritischen ukrainischen Infrastruktur zu infiltrieren und die für großangelegte Angriffe notwendige Schadsoftware in Stellung zu bringen. Eine Analyse der russischen digitalen Angriffe auf die Ukraine im Zeitraum 2014-2017 zeigt etwa, dass zwischen dem Beginn der Vorbereitung für die russischen Operationen und der Ausführung zwischen 3 und 31 Monaten lagen. Folgt man der dritten Antwort, wäre dies ein weiteres Indiz dafür, dass der russische Überfall viel stärker von ad-hocism als von sorgfältiger Planung und Vorbereitung geprägt war.
