Computer sind nicht dafür gemacht, Menschen zu töten. Deswegen spielten Cyberangriffe im Krieg keine entscheidende Rolle, sagt ein ETH-Forscher. Aber sie haben einen grossen Vorteil: die Ungewissheit.
Mobile elektronische Anlage statt Cyberangriffen: Russland setzt sehr erfolgreich Störsender ein, um die Kommunikation oder Radarsysteme des Gegners zu stören.
Der Krieg in der Ukraine wird auch im Cyberraum geführt. Doch welche Ziele die Angreifer ins Visier nehmen und welchen Schaden sie anrichten, bleibt häufig nebulös. Russland ist zwar eine Grossmacht im Cyberraum. Doch die Wirkung seiner Cyberangriffe auf kritische Infrastrukturen scheint beschränkt.
Lennart Maschmeyer ist Forscher an der ETH Zürich und beschäftigt sich intensiv mit dem Einsatz von Cybermitteln in Konflikten. Er glaubt, dass die Wirkung von Cyberangriffen überschätzt wird. Im Gespräch führt er aus, warum das so ist.
Seit einigen Wochen läuft die Offensive der Ukrainer. Spielen da auch Angriffe im Cyberraum eine Rolle?
Nein, aber das habe ich auch nicht erwartet. Wir haben seit Beginn der Invasion vor anderthalb Jahren von keiner Seite, weder von den Ukrainern noch von den Russen, grosse Cyberangriffe auf kritische Infrastrukturen gesehen. Warum sollte sich das jetzt ändern? Der Krieg geschieht bereits jeden Tag. Es gibt keine Schranken der Eskalation im Cyberraum mehr, die mit der Offensive hätten fallen können.
Anders als erwartet kam es im Krieg mit der Ukraine nur vereinzelt zu schweren Cyberangriffen. Werden Cyberangriffe im Krieg überschätzt?
Ja. Es gab die Erwartungen, dass wir schlimmere Cyberangriffe sehen würden als je zuvor. Das ist nicht passiert. Faszinierend ist, dass sich diese Vorstellung vom Cyberkrieg trotzdem hält. Es gibt da ein Missverständnis: Ein Cyberkonflikt ist kein wirklicher Krieg. Krieg ist organisierte Gewalt, Zerstörung, Leid und Tod. Genau darin sind Cyberoperationen aber schlecht.
Warum?
Die meisten Computersysteme sind nicht darauf ausgelegt, grosse Zerstörung anzurichten oder Leute umzubringen. Es ist deshalb äusserst komplex, mit einer Cyberoperation ein System so zu manipulieren, dass es dies trotzdem tut. Wir können uns zwar mögliche Szenarien ausdenken. Aber in der Praxis sind Cyberangriffe kein besonders geeignetes Mittel. Das sehen wir zurzeit in der Ukraine: Konventionelle Waffen sind effektiver.
Im Krieg können auch Cyberangriffe nützlich sein, die nicht unbedingt Tod und Zerstörung bringen. Ab 2014 gab es in der Ukraine wiederholt Attacken auf kritische Infrastruktur, die zum Beispiel Stromausfälle verursachten. Die Angst, dass Russland diese Angriffe verstärken könnte, war nicht ganz unbegründet.
Natürlich gibt es in einem Krieg begleitende Cyberoperationen. Aber bei den erwähnten Beispielen in der Ukraine vor 2022 ging es eigentlich um eine Alternative zum Krieg. Es gibt die Vorstellung, dass Staaten mit Cyberaktionen als Teil einer hybriden Kriegsführung strategische Ziele erreichen können, für die sie früher in den Krieg ziehen mussten.
Diese Annahme ist falsch?
Ja. Russland hat in den letzten Jahren versucht, die Ukraine langsam zu schwächen und zu unterwandern. Dazu gab es Cyberangriffe auf das Stromnetz, die vermutlich auch das Vertrauen der Bevölkerung in die Regierung untergraben sollten. Das hat aber offensichtlich nicht funktioniert.
Ist der hybride Krieg ein Mythos?
Nein. Der hybride Krieg findet ganz offensichtlich statt. Russland hat gegen die Ukraine jahrelang solche Mittel angewendet und damit Schaden angerichtet. Der hybride Krieg Russlands hat auch einen grossen Erfolg erzielt: die Übernahme der Krim. Aber Cyberoperationen waren dort gerade nicht relevant. Zur Anwendung kamen die traditionellen Mittel der Subversion wie Infiltration oder angeblich spontane Proteste der Bevölkerung. Russische Spezialeinheiten ohne Hoheitszeichen halfen mit, die Kontrolle über die Regierungsgebäude zu übernehmen und dann rasch ein Referendum durchzuführen. Das war alles traditionelle Subversion, und sie war sehr erfolgreich.
Es war hybride Kriegsführung ohne Cyberaktionen.
Der Mythos beim hybriden Krieg ist, dass technologische Innovation die Art, wie Konflikte geführt werden, grundlegend revolutioniert habe. Das ist nicht der Fall, zumindest heute noch nicht. Denn sonst wäre Russland nicht in der Ukraine einmarschiert.
Heisst das, Cyberangriffe bringen gar nichts?
Das nicht. Zumindest aus russischer Sicht haben sie einen Nutzen, sonst würde Russland damit aufhören. Aber der Nutzen ist sehr begrenzt. Man kann durch Cyberoperationen keinen Krieg gewinnen und keinen Krieg verhindern. Cyberangriffe bringen strategische Vorteile, aber die sind marginal und verschieben die Machtverhältnisse nicht grundlegend.
Cyberangriffe gelten als ein Mittel zur Kriegsführung, das im Verbund mit konventionellen militärischen Operationen eingesetzt wird. Aber der Ukraine-Krieg zeigt, dass diese kombinierten Operationen nicht so einfach sind. Warum nicht?
Im Idealfall lassen sich mit Cyberangriffen die Waffensysteme des Gegners sabotieren. Dafür muss die Militärtechnik computerisiert und vernetzt sein. Wir sehen im Ukraine-Krieg aber viel alte Sowjettechnologie, bei der dies gar nicht möglich ist. Ebenfalls naheliegend wäre es, die Kommunikationskanäle des Feindes zu unterbrechen. Das ist jedoch nur eingeschränkt möglich, weil Cyberoperationen eine lange Vorbereitungszeit brauchen. Für taktische Vorteile auf dem Schlachtfeld muss man rasch einen Effekt erzeugen können. In den meisten Fällen ist dies mit Cyberangriffen gar nicht möglich – und auch nicht nötig.
Warum nicht nötig?
Russland setzt oft sogenanntes Jamming ein, bei dem Störsender den Funkverkehr des Gegners ausschalten oder das GPS-Signal verfälschen. Diese elektronische Kriegsführung scheint sehr effektiv zu sein. Deshalb haben die Russen eigentlich gar keinen Grund, spezielle Cyberoperationen zu entwickeln. Denn sie können einfach einen Lastwagen mit der entsprechenden elektronischen Anlage hinstellen, um die Funksignale des Gegners zu stören.
Gibt es für Sie trotzdem ein Beispiel für eine erfolgreiche Cyberoperation im Ukraine-Krieg, die Schaden angerichtet hat?
Der Angriff auf den Kommunikationssatelliten von Viasat zu Beginn der Invasion war auf technischer Ebene offensichtlich erfolgreich. Die Operation hat es geschafft, in ganz Europa grossflächig Satellitenmodems unbrauchbar zu machen. Man musste die Geräte schliesslich sogar austauschen. Weil die ukrainische Armee unter anderem über diesen Satellitendienst kommuniziert hat, war der Angriff militärisch relevant. Die Frage ist jedoch, ob die Aktion auch militärisch erfolgreich war.
War sie es nicht?
Die ukrainische Armee hatte offenbar verschiedene Kommunikationskanäle zur Verfügung und konnte deshalb auf einen alternativen Kanal ausweichen. Wir können nach jetziger Beweislage nicht von einem militärischen Erfolg sprechen. Denn der Angriff hatte offensichtlich keinen grundlegenden Nachteil für die militärischen Operationen auf dem Schlachtfeld gebracht.
Russland ist im Cyberbereich eine Grossmacht. Und trotzdem gelingt es dem Land nicht, erfolgreiche Cyberangriffe durchzuführen. Warum nicht?
Russland ist einer der besten Akteure im Bereich Cyberoperationen. Das muss man betonen. Aber jetzt hat selbst ein so fähiger Akteur Mühe, mittels Cyberangriffen grössere Schäden anzurichten. Das lässt einen aufatmen angesichts der vielen Untergangsszenarien, die heraufbeschworen wurden. Wir sehen nun, dass es extrem schwierig ist, gegnerische Systeme zu manipulieren, dass signifikante Schäden entstehen.
Warum ist es so schwierig?
Nehmen wir das Beispiel des Stromausfalls, wie das Russland in der Vergangenheit gemacht hat. Dafür muss man jene Computersysteme finden, welche Umspannwerke oder das Stromnetz steuern. Es braucht eine Schwachstelle, um erst einmal überhaupt in das System hineinzukommen. Dann muss man das System so manipulieren, dass es etwas macht, wofür es eigentlich nicht vorgesehen ist.
Das alles ist aufwendig und kostet viel Zeit.
Genau. Man muss lernen, wie das System funktioniert, und gleichzeitig vorsichtig sein, dass man nicht entdeckt wird. Und selbst wenn man viel Zeit hineingesteckt und alle Hürden überwunden hat, gibt es keine Garantie, dass die Manipulation tatsächlich funktionieren wird. Der Angriff kann komplett nach hinten losgehen und unerwartete Effekte haben. Solche Operationen lassen sich nur begrenzt kontrollieren.
Das klingt sehr unberechenbar.
Es gibt bei Cyberoperationen drei Faktoren, die voneinander abhängen: Geschwindigkeit, Intensität und Kontrolle. Versucht man eine der drei Variablen zu erhöhen, nehmen die anderen zwei ab. Zum Beispiel: Je grösser die Zerstörungskraft sein soll, die man mit einem Angriff erreichen will, desto mehr Zeit braucht er und desto eher gerät er ausser Kontrolle. Eine militärisch relevante Cyberoperation kostet tendenziell so viel Vorbereitungszeit, dass sie nicht kurzfristig durchgeführt werden kann.
Dank Satellitenbildern gibt es heute viele Informationen über konventionelle Angriffe im Krieg. Cyberangriffe hingegen sind für Aussenstehende schwierig zu beurteilen. Es fehlen wichtige Informationen darüber, welche IT-Systeme betroffen waren und welche Folgen das hatte. Was bedeutet dieses Unwissen für Sie als Forscher?
Das ist das Kernproblem: Wir haben keinen allgemein akzeptierten Ansatz, um den Erfolg einer Cyberoperation zu bewerten. Ob sie erfolgreich war oder ein Fehlschlag, liegt im Auge des Betrachters. Wenn man einzig die technische Ebene anschaut, wie das die Experten der privaten Cybersicherheitsfirmen meist tun, ist ein Angriff wie jener auf den Viasat-Satelliten ganz offensichtlich ein riesiger Erfolg. Technisch hat der Cyberangriff funktioniert, fraglos. Aber die Frage, welche Auswirkungen der Angriff auf die betroffenen Organisationen hatte, gehört nicht zur Analyse.
Das ergibt ein unvollständiges Bild?
Als unabhängiger Beobachter, als Akademiker oder als Journalist hat man nicht einmal Zugriff auf die Daten der Cybersecurity-Firmen. Die einzige öffentliche Information ist dann: «Es gab einen Cyberangriff auf eine grosse Organisation im Finanzsektor.» Da nimmt man automatisch an, dass der Angriff auch wirtschaftlich einen grossen Schaden angerichtet haben muss. Aber vielleicht waren die Systeme innert Kürze wiederhergestellt. Welche Auswirkungen ein Angriff hatte, bleibt komplett der Vorstellungskraft überlassen.
Warum ist das ein Problem?
Diese Unsicherheit ist im strategischen Zusammenhang vermutlich der grösste Vorteil von Cyberoperationen. Man kann nie sicher sagen, was ein Erfolg und was ein Fehlschlag war. Staaten, welche Cyberangriffe einsetzen, können immer behaupten, dass ihre Aktion ein Riesenerfolg gewesen sei. Aussenstehende Beobachter haben keine Beweise für das Gegenteil. Das spielt jenen Staaten in die Hände, die entsprechende Operationen durchführen.
Also zum Beispiel Russland?
Genau. Selbst offenkundig fehlgeschlagene Aktionen Russlands wie die «Triton»-Operation 2017 gegen eine petrochemische Anlage in Saudiarabien wurden als Erfolge dargestellt. Man sprach etwa davon, Russland wolle Warnsignale an den Westen schicken und seine Fähigkeiten im Falle einer Eskalation demonstrieren – obwohl diese Fehlschläge eigentlich genau das Gegenteil zeigen. So wurde die Angst vor dem russischen Cyberkrieg geschürt. Diese übertriebene Angst hat Russland über die letzten Jahre in die Hände gespielt.
Was ist die Lehre daraus?
Wir sollten die Bedrohung realistischer einschätzen. Fiktive Szenarien, wie zum Beispiel ein Überraschungsangriff, der eine ganze Gesellschaft lahmlegt, sind extrem unwahrscheinlich.
Welche Bedrohungen sind aus Ihrer Sicht realer?
Cyberoperationen können ganz subtil einen grossen Schaden anrichten. Wir haben in der Ukraine gesehen, dass es oft um das langfristige Unterwandern und das Schwächen der Gesellschaft durch Beeinflussungsoperationen geht. Aber auch für Unternehmen oder Einzelpersonen können Cyberangriffe eine reale Bedrohung sein und grosse Schäden anrichten. Die Angst vor dem Cyberkrieg lenkt von der realen Gefahr ab.
