Illustration: Absmeier
Hitesh Sheth, President und CEO von Vectra AI, einem Unternehmen für Bedrohungserkennung und -abwehr im Cyberumfeld, kommentiert die gegenwärtige Perspektive auf staatliche Möglichkeiten die Bürger und Unternehmen im Falle eines Cyberkriegs zu schützen.
»Inmitten unseres ersten globalen, multilateralen und völlig unvorhersehbaren Cyberkriegs liegt es an jedem von uns, sich zu verteidigen. Kein Geheimdienst weiß, wie sich die Cyberdimension des Ukraine-Konflikts entwickeln wird, kein Militär kann einen Cyberangriff aufhalten. Die Situation katapultiert jedes digitale Unternehmen in bislang unbekanntes Terrain.
Für wen die Luft-, Land- und Seeschlachten alle Erwartungen übertroffen haben, der sollte auch einmal an den parallelen Cyberkonflikt denken. Drei nüchterne Tatsache machen diesen Moment für uns alle gefährlich, zumal die logistischen Rückschläge der russischen Armee eine verstärkte Cyberaggression gegen private Interessen noch verlockender machen könnten.
Die erste Tatsache: In der digitalen Sphäre haben Präsidenten und Generäle nicht immer die Kontrolle. Einige Cyberkrieger sind freiberufliche Freibeuter, die ihre eigenen Ziele verfolgen. Die ukrainische Regierung rekrutierte weltweit digitale Adepten über Telegram und versorgte sie mit einer Art Chaos-Handbuch: »Wir schaffen eine IT-Armee«, twitterte der ukrainische Minister für digitale Transformation, Mykhailo Fedorov. »Wir brauchen digitale Talente. (…) Wir kämpfen weiter an der Cyberfront.«[i] Laut der Kiewer Journalistin Anastasiia Lapatina meldeten sich 285.000 sympathisierende Cyberkrieger. »Dutzende von strategisch wichtigen Websites wurden bereits lahmgelegt, darunter die der belarussischen Nationalbank.[ii] Darüber hinaus erklärte die rätselhafte Hackergruppe Anonymous, sie befinde sich »offiziell im Cyberkrieg gegen die russische Regierung« und beanspruchte die Lorbeeren für die Abschaltung der Kreml-Website und die Störung der offiziellen russischen Rundfunkkanäle.[iii]
Ukrainische Websites und Computer wurden ebenso von Malware heimgesucht, die wahrscheinlich von russischen staatlichen Angreifern oder deren Stellvertretern gestartet wurde. Die typische Instabilität dieser asymmetrischen Mehrfronten-Kriegsführung stellt ein ernsthaftes Risiko für private Interessen dar. Dies gilt unabhängig davon, wie weit die Schauplätze geografisch entfernt sind. Wie um diesen Punkt zu unterstreichen, stellte British Airways am 26. Februar aufgrund eines mysteriösen, katastrophalen IT-Ausfalls alle Kurzstreckenflüge ein – genau zu dem Zeitpunkt, als die russische Fluggesellschaft Aeroflot von praktisch allen europäischen Märkten ausgesperrt wurde.[iv] Toyota stoppte am 28. Februar die Fahrzeugproduktion in ganz Japan, da die Kommunikation mit den Zulieferern einer »Systemstörung« zum Opfer fiel, die vermutlich durch einen Cyberangriff verursacht wurde. »Das ist noch nie zuvor passiert«, sagte Tomohiro Takayama vom Toyota-Zulieferer Kojima Industries.[v]
Anfällige Unternehmen können sich nicht auf ihre Regierungen berufen, um vor solchen Cyberangriffen geschützt zu werden, selbst wenn sie nur unbeabsichtigte Ziele sind. Eine solche Abschirmungsmöglichkeit auf nationalstaatlicher Ebene ist entweder nicht vorhanden oder wird bisher sehr gut verheimlicht.
Die zweite harte Tatsache: Die Schuldzuweisung für einen Cyberangriff ist fast immer eine heikle Angelegenheit. Selbst bei »routinemäßigen« Angriffen finden sich zwischen den Zeilen des Codes zahlreiche Ablenkungsmanöver, die eine Vergeltung erschweren. Diese Unfähigkeit, einen Schuldigen eindeutig zu identifizieren, hat bisher als Bremse für impulsive Racheangriffe gedient. Die Tatsache, dass Anonymous so schwer zu fassen ist, bietet eine Chance für russische Operationen unter falscher Flagge. Russland könnte sich selbst einen Cyberschaden zufügen, die Schuld auf Anonymous schieben und einen neuen Vorwand für weitere Offensivmaßnahmen schaffen. Ein Vergeltungsschlag könnte auf unerwartete Weise erfolgen und unvorhergesehene Schäden anrichten.
Unternehmen, die private Gegenmaßnahmen im Cyberspace in Erwägung ziehen, müssen sich zweimal überlegen, ob sie nicht einen Flächenbrand auslösen. Die von den Regierungen erstellten Modelle für Eskalationsszenarien sind erschreckend. Die Ergebnisse reichen von der Unterbrechung von Trinkwassersystemen bis zur Abschaltung von Stromnetzen, Pipelines und Raffinerien.
Die dritte schmerzliche Tatsache: Cyberabwehr ist heute eine fragmentierte Mischung aus öffentlichen und privaten Initiativen. Banken, Gesundheitssysteme und Energieunternehmen unterhalten keine Privatarmeen, lassen keine Panzer rollen und werfen keine Bomben ab. Im Cyberspace jedoch müssen private Unternehmen ihre eigenen Investitionen in Verteidigungsmaßnahmen tätigen – und diese auf dem neuesten Stand halten. Im Falle eines groß angelegten Cyberangriffs werden sie selten von den Regierungen informiert.
In diesem undurchsichtigen, instabilen Kriegsschauplatz hängt die Sicherheit westlicher demokratischer Institutionen und sozialer Systeme also nicht nur von staatlicher oder militärischer Macht ab, sondern auch von den Entscheidungen zahlloser privater Unternehmen. Schwäche ist ansteckend. Ein Unternehmen, das sich nicht selbst schützt, bietet einen Angriffspunkt für Black Hats, die sie gegen andere einsetzen können.[vi]
Viele scheinen das jedoch noch nicht begriffen zu haben. Eine beunruhigende Umfrage von Vectra AI ergab, dass 80 Prozent der Sicherheitsteams in Unternehmen glauben, sie hätten einen »guten« oder »sehr guten« Einblick in Angriffe, die Firewalls durchdringen. Sie bestätigen das, obwohl die Kosten infolge von Cyberkriminalität im Jahr 2021 schätzungsweise sechs Billionen US-Dollar erreichten und bereits vor der Ukraine-Krise gestiegen sind. Praktisch alle Unternehmen, die Opfer von Cyberangriffen wurden, glaubten, dass sie über robuste Schutzmaßnahmen verfügten.
Diese schwierigen Tage dürften das letzte Flackern dieser Selbstzufriedenheit auslöschen. Der Ukraine-Konflikt lehrt uns, in die Cyberprävention zu investieren, nicht in ein Post-hoc-Krisenmanagement. Jedes Unternehmen muss seine Cyberrisikotoleranz überprüfen – und seine Pläne zur Aufrechterhaltung des Geschäftsbetriebs für den Fall, dass Cyberprobleme den realen Betrieb stören.
Cyberabwehr, die sich auf den Schutz der Grenzen von Unternehmensnetzwerken konzentriert, ist modernen Cyberangriffen zunehmend unterlegen. Dies gilt insbesondere in Zeiten, in denen Remote-Mitarbeiter mit unsicheren Heimsystemen und Cloud-Datenspeichern arbeiten. KI-gestützte schnelle Erkennung und Behebung bietet eine weitaus effektivere Sicherheitsstrategie. Die gesamte digitale Landschaft scheint unkontrolliert und gesetzlos zu sein. Die öffentlichen Ressourcen sind nicht in der Lage private digitale Werte zu schützen. Daher haben Unternehmen keine andere Wahl, als ihre eigene Cyberabwehr zu optimieren.
Die konzertierten, bedeutsamen Schritte, die in den letzten Tagen im Westen zur Unterstützung der Ukraine unternommen wurden, lassen aber auch hoffen. Die kooperativen, kraftvollen Maßnahmen, die auf diplomatischem, militärischem und wirtschaftlichem Gebiet gesetzt wurden, sind im 21. Jahrhundert ohne Beispiel. Wir müssen uns für ähnlich konzertierte, innovative, KI-gestützte Verteidigungsmaßnahmen im Cyberspace einsetzen. Die sicherere digitale Zukunft, die wir uns alle wünschen, ist in greifbarer Nähe, wird sich aber nicht von selbst entwickeln. Sie wird nicht von Präsidenten oder Generälen herbeigeführt werden. Sie muss von uns allen erkämpft werden.«