FM4-Logo

jetzt live:

Aktueller Musiktitel:

Putin und Biden

APA/AFP/Brendan Smialowski

Erich Moechel

NATO droht Russland mit verschärfter Cyberdoktrin

Die NATO-Staaten haben Putin ultimativ aufgefordert, die vielen Ransomware-Erpresserbanden auf russischem Territorum nicht länger zu protegieren. Die G7-Staaten fordern dasselbe, nur etwas weniger
unverblümt.

Von Erich Moechel

Rund um das Gipfeltreffen des russischen Präsident Wladimir Putin mit US-Präsident Joe Biden kommt sowohl aus der NATO wie den G7-Staaten volle Unterstützung für die Position der USA. Die G7 fordern Russland öffentlich auf, die vielen Ransomware-Erpresserbanden auf seinem Territorium nicht länger zu protegieren.

Die NATO geht noch einen Schritt weiter und droht in ihrer Erklärung gar damit, „kumulative bösartige Cyberaktivitäten“ gegen NATO-Staaten „unter gewissen Umständen bewaffneten Angriffen gleichzusetzen“. Wie diese Aussage einzuschätzen ist und welche Gefahren dadurch entstehen, erklärte der Sicherheitsforscher Lukasz Olejnik im Gespräch mit ORF.at.

Screenshot aus NATO-Dokument

Screenshot aus NATO-Dokument

Die gesamte NATO-Erklärung ist mit „Cyber“ nur so gespickt und das ist längst nicht die einzige Passage, in der in diesem Zusammenhang Russland mit Vergeltung gedroht wird.

„Kumulation bösartiger Cyberaktivitäten“

Im Frühjahr wurden die vier wichtigsten zivilen Regierungsämter für Cybersicherheit in der Administration Joe Biden mit Militärs der NSA besetzt.

Was dieser Passage Gewicht verleiht, ist ihr semantisches Umfeld. Sie steht nicht irgendwo, sondern wird quasi in einem Atemzug mit dem neuen NATO-Beschluss für eine „Comprehensive Cyber Defence Policy“ genannt. Darin geht es um umfassende Abschreckung auf allen Ebenen, die Allianz sei nämlich „entschlossen, jederzeit alle verfügbaren Mitteln gegen das gesamte Spektrum von Cyberbedrohungen anzuwenden, inklusive jener Aktionen, die Teil von hybriden Kampagnen sind“. Die Schlussfolgerung daraus ist dann: „Die Auswirkungen einer Kumulation signifikanter bösartiger Cyberaktivitäten könnte unter bestimmten Umständen einem bewaffneten Angriff gleichgesetzt werden.“

Für den Sicherheitsforscher Lukasz Olejnik stellt sich dadurch die Frage, wie so ein „signifikanter Vorfall“ denn überhaupt definiert sei und wie viele von diesen Vorfällen zusammentreffen müssten, um einen Gegenschlag mit kinetischen Waffen auszulösen. Der Ansatz erinnere jedenfalls sehr an die „Theorie der Vorfallshäufungen“ - auch bekannt als „Nadelstichtheorie“ - in der kontinuierliche niederschwellige Angriffe als ein einziger Vorfall angesehen werden, der dann weit über der Schwelle für einen bewaffneten Gegenschlag liege. In den 1970ern hatte Israel diese Argumentation benutzt, um seine wiederholten Einmärsche im Libanon vor der UNO zu rechtfertigen. Allerdings vergeblich, denn der UN-Sicherheitsrat hatte die Argumentation nicht akzeptiert.

Screenshot aus NATO-Dokument

Screenshot aus NATO-Dokument

In der 27 Seiten umfassenden G7-Erklärung wird das Thema „Cybercrime“ zwar erst unter 51 aufgegriffen. Es ist allerdings auch der erste Punkt der Erklärung, der direkt an einen Drittstaat, nämlich Russland, adressiert ist. Die Akkumulations- bzw. Nadelstichteorie erklärt im Lawfare-Blog.

Zur derzeitigen Situation im US-Cyberraum würde das allerdings doch einigermaßen passen. Die Lieferkettenattacke auf das Unternehmen SolarWinds wurde dazu benützt, eine Reihe von US-Ministerien und Behörden auszuspionieren. Das fällt unter technische Nachrichtenaufklärung, wie sie auch die NSA am laufenden Band betreibt. Da die restlos kompromittierte Software und die SolarWinds-Geräte zur Netzwerksteuerung aber in fast allen Top-500-US-Konzernen und allen wichtigen US-Ministerien lief und auch noch die Azure-Cloud von Microsoft betroffen war, ging dieser Angriff in eine bisher noch nie dagewesene Breite.

Lukasz Olejnik

Lukasz Olejnik

Der Sicherheitsanalyst und unabhängige Consultant Lukasz Olejnik, war davor unter anderem Berater für „Cyberwar“-Fragen für das Internationale Komitee des Roten Kreuzes.

Auf diese Ende 2020 aufgeflogene Aktion, die dem russischen Geheimdienst SVR zugeordnet wurde, folgte im Frühjahr eine Serie von vergleichsweise primitiven Ransomware-Angriffen auf US-Unternehmen, die immer noch andauert. Ende Mai hatte es den US-Fleischkonzern JBS erwischt, alle JBS-Schlachthöfe weltweit mussten daraufhin temporär den Betrieb einstellen. JBS produziert knapp ein Viertel aller in den USA verkauften Fleischprodukte. Davor war die Colonial Pipeline angegriffen worden und musste ihre Lieferungen stoppen. Da etwa 45 Prozent aller an der US-Ostküste verbrauchten Kraftstoffe über diese Pipeline transportiert werden, kam es an den Tankstellen zu wochenlangen Versorgungsproblemen.

Die Angriffe konnten in beiden Fällen schnell zugeordnet werden, da es sich um seit Jahren bekannte kriminelle Gruppen handelt. REvil (JBS) und DarkSide (Colonial Pipeline) sind die Betreiber der mithin größten Ransomware-Plattformen, die ihre Infrastrukturen und Technologien an andere Kriminelle vermieten. Über beide kriminellen Plattformen werden grundsätzlich keine Unternehmen oder Behörden in Russland angegriffen.

„Dann ist Schluss mit lustig“

Bis jetzt sei immer klar gewesen, dass Cyberattacken ein bestimmte Breite und Intensität erreichen müssten, um sie mit kinetischen Angriffen gleichzustellen, sagte Olejnik abschließend. Werde diese Schwelle jedoch gesenkt, dann „könnte das zwar Abschreckungseffekte bringen, allerdings auch Destabilisierung durch verminderte Berechenbarkeit der Lage. Wenn mehrere solcher schwerer Vorfälle zusammen als Angriff gewertet werden, der über der Schwelle für einen bewaffneten Angriffs liegt, dann ist Schluss mit lustig.“

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: