News

Der Ukraine-Konflikt und der Cyberwar

Angesichts des fortlaufenden Konflikts um den Osten der Ukraine gab es in der Vergangenheit auch einige Meldungen zu Vorfällen im Cyberspace. In Bezug auf die nach wie vor offenen Fragen nach der Ausprägung eines möglichen Cyberwars liefern diese Vorkommnisse einige Antworten darauf, wie digitale Hilfsmittel in zwischenstaatlichen Konflikten eingesetzt werden könnten.

Zum einen gab es insbesondere um den Krim-Konflikt im Frühjahr/Sommer 2014 verstärkt Berichte über Malware-Attacken und DDoS-Angriffe auf ukrainische und russische Webseiten:

On the day of the disputed vote over Crimean secession, Ukranian government websites were hit by a wave of 42 cyberattacks during Crimea’s vote to secede from Ukraine and join Russia. All of those were DDoS attacks, which clog websites with bogus data, echoing DDoS attacks by Russia when it invaded the former Soviet state of Georgia in 2008.

The day after the Crimean vote, however, saw a huge, apparently retaliatory, counter wave of attacks against Russia, including 132 separate DDoS blasts slamming Russian websites. One 18-minute DDoS attack that hit Russia March 17 was 148 times more powerful than anything Russia did in Georgia in 2008, and four times larger than a large attack emanating from Russia just days earlier, according to Arbor Networks of Burlington, Mass., which tracks such attacks. (Q: CS Monitor, lokale Kopie, 7.4.2014)

Weitere Berichte sprechen von Attacken gegen NATO-Webseiten und die russische Zentralbank sowie Angriffen gegen Telefone des ukrainischen Parlaments. Keiner dieser Vorfälle lässt sich mit Sicherheit nachprüfen oder auf staatliche Akteure zurückführen und angesichts der Bedeutung, die in aktuellen internationalen Debatten dem Cyberspace und dessen Schutz beigemessen wird, müssen solche Verlautbarungen auch als Gegenstand politischer Ziele betrachtet werden. Nicht zuletzt spielen in derart stark mit Nationalbewusstsein aufgeladenen Konflikten auch zwischenstaatliche Akteure wie Hackergruppen eine wichtige Rolle.

Der Verlauf dieser Ereignisse verdeutlicht jedoch, dass sich die Entstehung und der Verlauf zwischenstaatlicher Konflikte auch im Cyberspace spiegeln und verfolgen lassen. Zu diesem Ergebnisse kommt auch eine aktuelle Studie (lokale Kopie) der IT-Sicherheitsfirma FireEye, die das Kommunikationsaufkommen von Malware auf Rechnern von Industrie- und Regierungskunden untersucht haben. Zu diesem Zweck wurden die Command & Control-Server (C&C Server) der über viele Monate beobachteten Malware identifiziert. Dabei gelangen die Analysten zur einer, angesichts der Debatte über die erschwerte Attribution im Cyberspace interessanten Antwort:

Zwar versuchen Malware-Betreiber manchmal, ihre Position zu verschleiern und lassen die Callback-Nachrichten zwischen Computern verschiedener Ländern hin- und herspringen. In diesen Fällen konnte FireEye jeweils nur die erste Station bestimmen. Da sich die Programmierer aber nicht immer die Mühe gäben, ein solches System aus Umschaltstationen aufzusetzen, ließen sich aus ausreichend großen Datensätzen trotzdem akkurate geografische Muster bestimmen (Q: heise.de aus der Vorstellung der Studie auf der Black Hat Sicherheitskonferenz 2014)

Die Analysten konnten anhand aktueller weltpolitischer Konflikt wie dem Krieg im Gaza-Streifen und dem laufenden Konflikt in der Ukraine den Anstieg von Kommunikation der Schadsoftware  mit ihren C&C Server feststellen, was auf ein Deployment der Malware hindeuten könnte.

Obgleich die Aussagekraft derartiger Analysen kritisch hinterfragt werden muss, können sie für die Debatten über die Entwicklung und den Einsatz staatlicher Cyberwaffen wichtige Indizien liefern, insbesondere zu Fragen des Monitoring von offensiven Einsätzen solcher Mittel und der Verifikation möglicher zwischenstaatlicher Abkommen.

Share Button