,

Cyber-Sicherheit in Zeiten des Ukraine-Krieges: Wie schützt sich die NATO vor zunehmenden Gefahren?

Manuel Heim

Aktuelle Lage

In einer stärker technologisierten Welt haben Cyber-Angriffe größere Auswirkungen und es bieten sich mehr Plattformen, um Angriffe durchführen zu können. Dabei werden Angriffe immer häufiger genutzt um gezielt politische bzw. militärische Ziele erreichen zu können. Besonders beim russischen Überfall auf die Ukraine haben die Dimensionen des sogenannten „Cyber-Warfare“ neue Dimensionen erreicht. Die Anzahl staatlich unterstützter Cyber-Angriffe aus Russland auf die Ukraine, sind im Jahr 2022 z.B. um 250% gestiegen, Angriffe auf NATO-Staaten wurden im Vergleich dazu sogar um 300% erhöht. Angriffe spielen dabei auf die Hauptziele der Schwächung der ukrainischen Regierung und der internationalen Unterstützung für die Ukraine, sowie der Aufrechterhaltung der Unterstützung des Krieges in Russland ab.

Ziele der Angriffe sind dabei hauptsächlich Regierungs- und Militärinfrastruktur, wie z.B. das Verteidigungs- und Außenministerium oder Sicherheitsinstitutionen wie der Staatsgrenzschutz. Wie Abbildung 1 zeigt werden jedoch auch vermehrt Cyber-Angriffe auf zivile Infrastrukturen durchgeführt z.B. die Behörde zur Wasserversorgung oder die ukrainische Eisenbahngesellschaft.


Abbildung 1: Anzahl der Cyber-Angriffe auf verschiedene staatliche und militärische Institutionen in der Ukraine [1]

Dabei wurden verschiedenste Arten von Angriffen durchgeführt wie z.B. DDOS-Angriffe auf Regierungs-Websites, oder Phishing-Angriffe. Seit März 2022 wurde außerdem vermehrt die Malware CaddyWiper in Organisationen entdeckt [1]. Dieser „Datenwiper“ löscht alle Daten unter dem Laufwerk C:\Users sowie alle Daten unter den verfügbaren Laufwerken D: bis Z: [2].


Die Google Threat Analysis Group (GAT) hat bei ihren Untersuchungen der Auswirkungen des Ukraine-Konflikts einen Wandel im Bereich der Cyberkriminalität festgestellt. Angriffe zwischen privaten Akteuren mit finanziellen Motiven verschwimmen demnach zunehmend mit staatlich organisierten Angriffen. So wurde ein Angriff auf staatliche Organisationen mit einer Malware, welche beim Öffnen eines XLS-Files eine EXE-Datei ausführt, durchgeführt. Diese lädt die IcedID-Malware herunter. IcedID ist ein Banking Trojaner, der ursprünglich weltweit zum Stehlen von Benutzerdaten, vor allem beim Online-Banking von Privatpersonen genutzt wurde, jetzt aber auch gezielt auf staatliche Organisationen in der Ukraine eingesetzt wird [1].


Nachdem wir anhand des Ukraine-Konflikts beispielhafte Trends und konkrete Szenarien im Bereich Cyber-Warfare gesehen haben, soll nun eine allgemeinere Übersicht auf das Thema Cyber-Warfare gezeigt werden. Dabei soll auf „Threat Actors“ und „Threat Types“ eingegangen werden und gezeigt werden, wie eine Verteidigung gegen Angriffe erfolgen kann. In den folgenden Abschnitten steht dabei im Fokus, welche Gefahren aus Sicht von der NATO gesehen werden und wie sich diese gegen Gefahren vorbereitet.

Welche Gefahren sieht die NATO im Bereich Cyberspace?

In der Allied Joint Doctrine for Cyberspace Operations der NATO beschreibt diese die Relevanz von Cyberspace Operationen. Dabei wird die Relevanz von funktionierenden Netzwerken und dem freien Datenfluss für die Zivilgesellschaft, sowie für das Militär als kritisch hervorgehoben. Demnach bieten Informationssysteme attraktive Angriffsziele und müssen entsprechend geschützt werden. Durch die NATO wird dabei die Kontrolle des Cyberspace als ebenso wichtig angesehen, wie die Kontrolle über herkömmliche Domänen wie z.B. Land, Luft, Weltraum oder See.

In an interconnected world where military success may depend as much on the ability to control one’s narrative as the ability to create physical effects, freedom of action in cyberspace may be as important as control over land, air and space, or sea.“ [3]

Aufgrund der hohen Vernetzung und Allgegenwärtigkeit des Cyberspace können mit geringen Mitteln Angriffe durchgeführt werden, die große Auswirkungen besitzen können. Im Vergleich zu physischen, militärischen Angriffen lassen sich Angriffe außerdem leichter verschleiern. Dies bietet Akteuren, die sonst (gerade z.B. gegen die NATO) keine Möglichkeiten eines Angriffs haben würden, eine asymmetrische Alternative. Angriffe können dabei von verschieden sogenannten „Threat Actors“ ausgeführt werden, in der Joint Doctrine for Cyberspace Operations der NATO werden dabei die folgenden Akteure beschrieben [3]:

  • State Actors: Staatliche Akteure die Angriffe auf z.B. andere Staaten bzw. staatliche Organisationen, militärische Einrichtungen oder Unternehmen durchführen. Direkte Angriffe einzelner Staaten sind bisher selten aufgetreten, können jedoch weitreichende Konsequenzen haben.
  • Non-state Actors: Sind Akteure, die prinzipiell für sich selbst agieren. Häufig werden solche Akteure jedoch als Proxies von Staaten eingesetzt, dies kann Gründe wie größeres Know-How der Akutere haben. Häufig werden Proxy-Actors jedoch eingesetzt, damit Staaten Angriffe besser bestreiten können [3]. Die im ersten Abschnitt erwähnten Angriffe mit CaddyWiper sind z.B. voraussichtlich auf das Hackerkollektiv Sandworm bzw. Sofacy zurückzuführen [4]. Diese Gruppe wird auch auf einen Angriff auf den Deutschen Bundestag im Jahr 2015 bezichtigt. Laut westlichen Geheimdiensten und einem großen Teil der IT-Sicherheitsforscher ist diese Gruppe Teil des russischen Militärgeheimdienstes, was jedoch nicht durch gerichtsfeste Beweise nachgewiesen ist [5]
  • Kriminelle: Deren Aktivitäten unter Umständen auch militärische Operationen beeinflussen. Nicht direkt auf militärische bzw. staatliche Einrichtungen gezielte Cyberangriffe privater Personen/Gruppen fallen dabei jedoch in die Zuständigkeit nationaler Gerichte.
  • Insiders: Wie bei Unternehmen spielen Insider-Attacks auch bei militärischen Einrichtungen eine große Rolle. Angriffe können dabei willentlich durch Mitarbeiter oder ehemalige Mitarbeiter durchgeführt werden oder auch versehentlich, wenn z.B. Sicherheits-Guidelines umgangen oder ignoriert werden [3].

Als Angriffsarten bzw. „Threat Types“, die besonders häufig sind, werden in der Joint Doctrine for Cyberspace Operations z.B. Denial-of-Service erwähnt [3]. Generell sollen DoS-Angriffe ca. 90% aller Angriffe ausmachen [6]. Weitere gängige Angriffsarten sind demnach z.B. das Täuschen befugter Nutzer, um Sicherheitsgefährdende Aktionen durchzuführen, dies ist zum Beispiel bei Phishing-Angriffen der Fall. Angriffe über Malware-Installationen (wie bei CaddyWiper) sind weitere Angriffsmuster [3]. Anstelle der Löschung von Daten, kann ein solcher Angriff auch genutzt werden, um ein System weiter zu infiltrieren. Die Folgen der beschriebenen Angriffe können je nach Ziel sehr weitreichend sein. Besonders im militärischen Kontext können groß angelegte Angriffe zum Ausfall oder der Zerstörung von z.B. Energieinfrastrukturen wie Stromnetzen oder Kraftwerken eingesetzt werden. Folgen solcher Angriffe können zum Teil ähnliche Ausmaße besitzen, wie Naturkatastrophen [6].

Ein weiterer „Threat Type“, der in der Joint Doctrine der NATO nicht explizit erwähnt wurde, ist die Verbreitung von Falschmeldungen im Kontext des Informationskrieges. Von der GAT wird dies als ein weiterer Typ eines Cyber-Angriffes gesehen. In den letzten Jahren haben sich die Möglichkeiten zur Verbreitung von Falschmeldungen stark vereinfacht. Es können z.B. generative KI-Verfahren eingesetzt werden, um Deep-Fakes zu erstellen. Am 16. März 2022 wurde zum Beispiel die Website des ukrainischen Nachrichtensenders Ukraine 24 kompromittiert und ein Deep-Fake Video des ukrainischen Präsidenten Zelensky abgespielt. In diesem Deep-Fake verließt dieser die Kapitulation der Ukraine vor den russischen Streitkräften. Die Qualität des Videos ist zwar nicht besonders hoch und für viele vermutlich schnell als Deep-Fake zu erkennen. Jedoch ist davon auszugehen, dass die Qualität solcher Deepfake-Videos stark zunehmen wird und in Zukunft solche Videos vermehrt im Informationskrieg eingesetzt werden. Besonders wenn Original und Fälschung kaum mehr zu unterscheiden sind, wird es schwierig, gegen solche Arten der Angriffe vorzugehen [1].

Abbildung 2: Screenshot aus eines Deep-Fake Videos des ukrainischen Präsidenten Zelensky [1]

Welche Maßnahmen trifft die NATO als Schutz vor Gefahren?

Folgend soll beschrieben werden, wie die NATO sich gegen die genannten Gefahren vorbereitet. Auf dem NATO-Gipfel 2021 in Brüssel wurde eine neue Cyber Defense Policy beschlossen, diese sieht vor, dass die drei Kernaufgaben der Abschreckung, Verteidigung und Krisenprävention- bzw. bewältigung auch in der Domäne Cyberspace erfüllt sein sollen. Grundsätzlich besitzen die Streitkräfte einzelner Mitgliedsstaaten eigene, unabhängige Abteilungen für Cyber-Security. Innerhalb der NATO werden jedoch einige Maßnahmen für eine gemeinsame Cyber Defense Strategie getroffen [7].

Das NATO Cyber Security Centre dient als „first line of cyber defense” und ist zuständig für das akute Incident Management. Dies kann u. a. Folgendes umfassen: Einstufung von Vorfällen, Ereigniskorrelation, Behandlung und Reaktion auf Vorfälle, Alarmierung, Berichterstattung und Unterstützung bei der Wiederherstellung und Analyse von Vorfällen. Es dient außerdem als Zentrale Stelle um operative Aktivitäten der NATO im Cyberspace zu koordinieren und die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen [8].

Weiterhin definiert die NATO Ziele für ihre Mitgliedsstaaten, die diese in ihrer nationalen Cyber-Defense Strategie umsetzen sollen. Generell soll die Qualität der Cyber-Defense durch Informationsaustausch und den Austausch von Best-Practices verbessert werden. Über eine Malware Information Sharing Platform können außerdem Daten von Angriffen geteilt werden. So können andere Mitgliedsstaaten schneller erkennen, dass sie Ziel eines Angriffes sind, wenn z.B. ähnliche Indikatoren wie bei einem vergangenen Angriff auf einen anderen Mitgliedsstaat, vorliegen. Neben der technischen Ausstattung wird ein großer Wert auf gute Ausbildung des Personals gelegt. In diesem Zusammenhang werden wiederholt Weiterbildung und Trainings angeboten [7]. Im April 2023 wurde zum Beispiel die Übung Locked Shields durchgeführt. Diese weltweit größte Cyberübung mit mehr als 3000 Teilnehmern aus NATO-Staaten und weiteren, verbündeten Staaten erfolgt nach dem Prinzip einer Red-Team vs. Blue-Team Übung. Dabei agiert ein Red-Team als Angreifer und versucht die Systeme des Blue-Team zu kompromittieren, während dieses versucht den Angriff zu identifizieren und zu vereiteln bzw. Schaden zu minimieren und Systeme am Laufen zu halten (Resilienz wird getestet). Neben technischen Details werden dabei insbesondere auch strategische, rechtliche und kommunikative Aspekte in einem realen Szenario getestet [9].

Neben einer engen Zusammenarbeit mit Partnerorganisationen wie der EU wird eine enge Zusammenarbeit mit industriellen Partnern verfolgt. Besonders von der hohen Expertise des privaten Sektors kann die NATO profitieren [7]. Private Partner ermöglichen außerdem schnelle, globale Eingriffe. Nach dem russischen Angriff auf die Ukraine hat sich zum Beispiel die Cyber Defense Assistance Collaborative for Ukraine (CDAC) gebildet. Dies ist ein Zusammenschluss privater Organisationen aus dem Bereich Cyber-Security, die sich das Ziel gesetzt haben, die Cyberabwehr der Ukraine, sowie deren kritische Infrastruktur zu verbessern. Zur Rolle privater Organisationen im Bereich Cyber-Defense schreiben sie folgendes:

„Effective CDA (Cyber Defense Assistance) efforts will rely on private sector expertise and capabilities because private companies are the primary entities capable of providing adaptable and scalable tools and services quickly and across the globe. [10] “

Unterstützung wird dabei insbesondere durch die Bereitstellung von kommerziell verfügbaren Threat Intelligence Platformen, das Bereitstellen von Lizenzen für Cyber Defense Technologien, taktische Dienstleistungen und Beratungsdienstleistungen bereitgestellt [10].

Kann ein Cyber-Angriff den NATO-Bündnisfall auslösen?

Wie bereits erwähnt, stuft die NATO den Cyberspace als eine äquivalente Domäne zu Land, Luft und Wasser ein. Dies bringt die Frage mit sich, ob ein Cyber-Angriff demnach, wie ein konventioneller Angriff Artikel 5 des NATO-Vertrages und damit den Bündnisfall auslöst. Wörtlich lautet der Artikel 5:

„The Parties agree that an armed attack against one or more of them in Europe or North America shall be considered an attack against them all. [11] ”

Da nicht definiert wird, um welche Art eines Angriffs es sich dabei handeln muss und was unter „armed attack“ verstanden wird, müsste somit zumindest in der Theorie jeder staatlich geförderte Cyber-Angriff auf ein NATO-Mitgliedsland zum Bündnisfall führen. Tatsächlich gab es aber bereits wiederholt Angriffe auf einzelne Staaten (wobei die Urheber teils mit der russischen Regierung in Kontakt zu bringen sind, was jedoch nicht durch gerichtsfeste Beweise bewiesen wurde), die nicht zu einer Ausrufung des Bündnisfalles geführt haben. Um tatsächlich den Bündnisfall durch einen Cyber-Angriff auszulösen, müsste dieser wohl von besonders großem Ausmaß sein. Da die Ausrufung des Bündnisfalles wiederum weitreichende politische Konsequenzen hat. Der aktuelle NATO-Generalsekretär Stoltenberg sagte zu diesem Thema: „I am often asked, ‘under what circumstances would NATO trigger Article 5 in the case of a cyber-attack?’ My answer is: we will see.“ Die Formulierung der NATO ist in diesem Bereich sehr vage. Die NATO selbst spricht davon, bewusst vage Formulierungen zu wählen, um somit nicht ihre roten Linien zu offenbaren. Zudem ist unklar, wie eine Reaktion tatsächlich aussehen würde, je nach Ausmaß des Angriffes sind unter Umständen diplomatische oder wirtschaftliche Sanktionen eher angemessen wie eine Reaktion mit konventionellen Streitkräften. Fraglich ist auch, ob die erwähnten roten Linien überhaupt existieren und nur nicht veröffentlich werden, oder ob nach einem erfolgten Cyber-Angriff anhand der möglichen politischen Konsequenzen einer Reaktion individuell entschieden würde [12, 13].

Fazit

Ein ausgeprägter Schutz vor Cyber-Angriffen gewinnt in allen Bereichen an Bedeutung. Angriffe werden häufiger und aufgrund der Digitalisierung in nahezu allen Bereichen, können Angriffe viele Gebiete betreffen und schwerwiegende Folgen nach sich ziehen. Es ist demnach nur logisch, dass Cyber-Security auch im militärischen Bereich an Bedeutung gewonnen hat und weiter an Bedeutung gewinnen wird. Dies zeigt sich allein durch die vielen Angriffe, die im Rahmen des Ukrainekrieges durchgeführt wurden. Angriffe können zwar unter Umständen schwerwiegende Folgen haben, die meisten Angriffe sind jedoch eher von geringerem Ausmaß. Dies ist jedoch kein Grund zur Entwarnung, da gerade solche Angriffe häufig schwer zuzuordnen sind und asymmetrisch von Organisationen, die aus deutlich schwächeren Positionen agieren, durchgeführt werden können. Als ein besonders relevanter Teil der Cyber-Sicherheit sollte außerdem der Schutz vor Desinformation gesehen werden. Gerade durch die gestiegene Qualität von generativen KI-Verfahren, lassen sich falsche und echte Informationen deutlich schwerer unterscheiden. Auch hier ist davon auszugehen, dass der Informationskrieg mit solchen Fehlinformationen weiter an Bedeutung gewinnen wird. Zur Vorbereitung gegen die erwähnten Gefahren setzt die NATO in Ihrer Cyber-Defense Strategie hauptsächlich auf Kooperation, Informationsaustausch und gemeinsame Weiterbildung zusammen mit Ihren Mitgliedsstaaten, verbündeten Staaten und Organisationen sowie privaten Partnern. Zentrale Stellen wie das NATO Cyber Security Center dienen zudem als Unterstützung. Die NATO gibt ihren Mitgliedsstaaten Ziele im Bezug auf Cyber-Sicherheit vor, die konkrete, technische Umsetzung obliegt jedoch den einzelnen Mitgliedsstaaten. Auch die deutsche Bundeswehr besitzt seit 2017 eine zentrale Dienststelle zum Schutz von IT-Systemen und hat laut dem Bundesverteidigungsministerium „umfassende Maßnahmen gegen Angriffe aus der Cyber-Welt eingeleitet“ [14] . Für einige Experten gehen diese Maßnahmen jedoch nicht weit genug. Cyber-Sicherheitsrat Deutschland e.V. kritisiert zum Beispiel, dass die Cybersicherheit in dem Sondervermögen der Bundeswehr nicht berücksichtigt wurde [15].

Literaturverzeichnis

[1]S. Huntley, „Fog of War: how the Ukraine conflict transformed the cyber threat landscape,“ 16 Februar 2023. [Online]. Available: https://blog.google/threat-analysis-group/fog-of-war-how-the-ukraine-conflict-transformed-the-cyber-threat-landscape/.
[2]„Fraunhofer FKIE: Malpedia,“ [Online]. Available: https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper.
[3]N. A. T. O. (NATO), „AJP-3.20, Allied Joint Doctrine for Cyberspace Operations (Edition A),“ [Online]. Available: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/ file/899678/doctrine_nato_cyberspace_operations_ajp_3_20_1_.pdf.
[4]ESET Research, „Ein Jahr Wiper-Attacke in der Ukraine | WeLiveSecurity,“ 24 Februar 2023. [Online]. Available: https://www.welivesecurity.com/deutsch/2023/02/24/ein-jahr-wiper-attacken-in-der-ukraine/.
[5]J. T. H. Brühl, „Was Sie über den Hackerangriff auf das Regierungsnetz wissen müssen,“ Süddeutsche Zeitung, 1 März 2018. [Online]. Available: https://www.sueddeutsche.de/digital/hacker-regierungsnetz-fragen-1.3887668.
[6]„Next-Gen Cyber War,“ Security Degree Hub, [Online]. Available: https://www.securitydegreehub.com/future-of-cyber-war/.
[7]„NATO – Cyber Defense,“ NATO, 22 Juni 2023. [Online].
[8]„NATO Cyber Security Centre,“ [Online]. Available: https://www.ncirc.nato.int/.
[9]„World’s largest cyber defense exercise Locked Shields brings together over 3000 participants,“ The NATO Cooperative Cyber Defence Centre of Excellence, [Online]. Available: https://ccdcoe.org/news/2023/6016/.
[10]G. Rattary, G. Brown und R. Taj Moore, „The Cyber Defense Assistance Imperative Lessons from Ukraine,“ Aspen Institude, Februar 2023. [Online]. Available: https://www.aspeninstitute.org/publications/the-cyber-defense-assistance-imperative-lessons-from-ukraine/.
[11]„The North Atlantic Treaty,“ 4 April 1949. [Online]. Available: https://www.nato.int/cps/en/natohq/official_texts_17120.htm.
[12]M. Prucková, „Cyber attacks and Article 5 – a note on a blurry but consistent position of NATO,“ [Online]. Available: https://ccdcoe.org/library/publications/cyber-attacks-and-article-5-a-note-on-a-blurry-but-consistent-position-of-nato/.
[13]J. Stoltenberg, „Stoltenberg Provides Details of NATO’s Cyber Policy,“ NATO, 16 Mai 2018. [Online]. Available: https://www.atlanticcouncil.org/blogs/natosource/stoltenberg-provides-details-of-nato-s-cyber-policy/.
[14]B. d. Verteidigung, „Cybersicherheit,“ [Online]. Available: https://www.bmvg.de/de/themen/cybersicherheit.
[15]C.-S. D. e.V., „Sondervermögen ohne Investition in Cybersicherheit ist eine vertane Chance,“ 03 Juni 2022. [Online].

Comments

Leave a Reply