Ukraine Tausende Freiwillige ziehen in den Cyberkrieg

Im Informationskrieg um die Ukraine mischen neben Hackern und Kriminellen auch Aktivisten mit – und vermelden »Erfolge«. Doch Experten warnen: Manche Aktionen könnten kontraproduktiv sein.
Russische Panzer werden verladen (Bild vom 18. Februar): Angriffe auf alles, was den Nachschub ermöglicht?

Russische Panzer werden verladen (Bild vom 18. Februar): Angriffe auf alles, was den Nachschub ermöglicht?

Foto: Russian Defence Ministry / imago images/ITAR-TASS

Um das Hacktivistenkollektiv Anonymous war es nach mehreren Verhaftungen und Verurteilungen zwischen 2011 und 2013 eher still geworden. In den letzten Tagen meldete es sich jedoch auf der Weltbühne zurück – mit Macht und markigen Ankündigungen. Man befinde sich »offiziell im Cyberkrieg« gegen Putin und seine Alliierten, schrieben die Aktivisten  auf ihrem Hauptkanal bei Twitter, der 7,6 Millionen Follower hat.

Dort verbreiteten die Unbekannten in den letzten Tagen auch zahlreiche »Erfolgsmeldungen« ihrer »Operation Russland«: Es sei gelungen, den russischen Propagandakanal RT, die Seite des Energieversorgers Gazprom sowie die Webseiten der Staatsagentur Tass und regierungsfreundlicher Medien zeitweise unerreichbar zu machen, vermeldeten sie. Auch einen Angriff auf das russische Verteidigungsministerium reklamierte das Kollektiv für sich – hier habe man es geschafft, auf interne Datenbanken zuzugreifen. Teils hinterließen die Hacktivisten auf den angegriffenen Seiten »Anonymous«-Schriftzüge und Nachrichten.

Bei den meisten der Attacken handelt es sich um vergleichsweise simple Angriffe aus dem bekannten Anonymous-Repertoire, also das massenhafte zeitgleiche Zugreifen auf bestimmte Webadressen, um die Server zu überlasten und die Angebote damit unerreichbar zu machen (»Distributed Denial of Service«, DDoS). Teils veröffentlichten sie auch angeblich zuvor erbeutete Daten, etwa des belarussischen Rüstungsherstellers Tetraedr.

»Wir führen keine Kampagne gegen Russland«

Auch deutsche Anonymous-Aktivisten beteiligen sich nach eigenen Angaben an aktuellen Aktionen im Netz. »Wir führen keine Kampagne gegen Russland, sondern gegen Putin und sein Regime«, hieß es von einer Gruppierung, die in der Vergangenheit unter anderem Attila Hildmann und rechte Verschwörungstheoretiker angegriffen hatte. Zu Details wollten sich die Aktivisten nicht äußern, jedoch greife man unter anderem russische Propagandakanäle an, streue Informationen und trolle Putin, teilte ein Mitglied der Gruppierung dem SPIEGEL mit.

Unabhängig lassen sich die Behauptungen, dass tatsächlich Anonymous-Aktivisten hinter Ausfällen und Leaks stecken, kaum verifizieren – schon weil das Kollektiv lose und dezentral agiert und jeder sich mit ihm assoziieren kann. Es gibt Anzeichen dafür, dass manche der geleakten Daten aus früheren Raubzügen stammen. Und manche spektakulär klingenden Nachrichten entpuppen sich bei genauerem Hinsehen als weniger aufregend: So hatte ein Anon-Kanal berichtet , es sei dem Kollektiv gelungen, die Kommunikation russischer Militärs mitzuschneiden. Tatsächlich handelte es sich um unverschlüsselte, für jedermann frei zugängliche Funk-Kommunikation der Küstenwache Murmansk, wie ein aufmerksamer deutscher Wirtschaftsinformatiker bemerkte, der in einem Twitter-Thread  auch auf weitere irreführende Behauptungen und »Fake-Ankündigungen« der Aktivisten hinweist.

Auch die deutschen Anonymous-Aktivisten sagen, dass sich kaum messen oder realistisch abschätzen lasse, wie erfolgreich man sei. »Aber wir treffen definitiv den richtigen Nerv«, so die Gruppierung zum SPIEGEL. Der internationale und nationale Propaganda-Apparat, den Putin in den letzten zehn Jahren aufgebaut habe, werde zehn Tage nach seinem Angriffskrieg in weiten Teilen in Trümmern liegen, so die Aktivisten. »Wir wissen nicht, ob Putin das beeindruckt, aber es wird ihm Kopfschmerzen bereiten.«

Politische Botschaften an die russische Zivilbevölkerung

Linus Neumann, einer der Sprecher des Chaos Computer Club, sagt: »Das ist robuster politischer Protest. Die Aktionen haben den gleichen Effekt wie Demonstrationen.« Mit Cyberkrieg als flankierender Maßnahme zum kinetischen Krieg habe das aber nichts zu tun, entsprechend dürfe man auch keine militärisch relevanten Resultate erwarten.

Neben tatsächlichen und vermeintlichen Angriffen auf offizielle russische Ziele übernahm Anonymous auch die Idee eines polnischen Twitter-Nutzers, der dazu aufgerufen hatte, Antikriegsbotschaften in Restaurantbewertungen großer Plattformen wie Google-Maps zu hinterlassen. Als Anonymous die Idee über seine Kanäle verbreitete, bekam sie Breitenwirkung.

Seither finden sich Putin-kritische Kommentare in den Bewertungen von Restaurants und Cafés in Russland und anderswo, etwa beim kremlnahen »Beluga« in Moskau: »Das Essen ist großartig«, schreibt dort einer, es sei aber »durch den Einmarsch in die Ukraine verdorben. Glauben Sie nicht der falschen Staatspropaganda, die von den Medien verbreitet wird!«

Mittlerweile haben sich die Versuche, mit politischen Botschaften vorbei an der staatlichen Zensur zur russischen Zivilbevölkerung vorzudringen auch auf Plattformen wie Tripadvisor, das russische Yandex und auf Tinder ausgeweitet. Bekannte deutsche Twitterstimmen wie @Hoellenaufsicht  schildern ihre Erfahrungen, teilen Beispieltexte auf Russisch und sprechen vom »Tindern für den Weltfrieden«.

Doch es sind nicht nur Protest und die Ohnmacht angesichts des Angriffskrieges im Osten, die weltweit Aktivistinnen und Aktivisten an die Tastaturen treibt. Sie wurden offiziell dazu eingeladen und ermuntert. Schon am ersten Kriegswochenende hatte der Vizepremierminister der Ukraine Freiwillige dazu aufgefordert , der »IT-Armee der Ukraine« beizutreten und sie in einen gleichnamigen Telegram-Kanal eingeladen. Der listete zunächst mehr als 30 mögliche russische Angriffsziele auf, darunter Gazprom und Lukoil sowie diverse Regierungsbehörden wie den Kreml, das Verteidigungsministerium und die Kommunikationsaufsichts- und Zensurbehörde Roskomnadzor; zwischenzeitlich hatte der Kanal bereits sechsstellige Abonnentenzahlen. Über Twitter rief die Ukraine zudem Nutzer auf , sich mit Informationen über Schwachstellen oder Hintertüren in russischen Systemen zu melden – sie würden von ukrainischen Cyberexperten im Kampf gegen den Besatzer genutzt.

Auch im Land hat sich eine neue Cyberpartisanengruppe gebildet, auf Initiative eines ukrainischen Geschäftsmannes und Cybersicherheits-Experten. Ein führendes Mitglied der Guerilla sagte gegenüber Reuters , man plane Angriffe auf kritische russische Infrastruktur wie Schienennetze und die Stromversorgung sowie alles, was den russischen Nachschub an Militärgerät in die Ukraine ermögliche.

Die Grenze zwischen den eher symbolischen Aktionen von Anonymous und militärisch möglicherweise relevanten Operationen verschwimmt damit zusehends. Eine ständig aktualisierte Zusammenstellung der angeblich beteiligten Gruppierungen  umfasst mittlerweile mehr als 30 Namen. Tatsächlich haben die Akteure und ihre Handlungen wenig bis gar nichts miteinander zu tun und sind auch kaum vergleichbar.

»Es gibt viel Aktivität, aber das ist nicht kohärent, da wird kein größerer Plan sichtbar«, sagt Shane Huntley, der Leiter von Googles Threat Analysis Group (TAG) dem SPIEGEL am Telefon. Google TAG beobachtet normalerweise staatliche und kriminelle Hackingaktivitäten in aller Welt. Die Einmischung von Freiwilligen sieht Huntley kritisch: »Vorsicht ist jetzt ganz wichtig. Es ist leicht, das Falsche zu tun, etwas mit unbeabsichtigten Konsequenzen. Man kann sich zu Hause am Computer schnell für einen großen Cyberkrieger halten.« Aber auch mit DDoS-Angriffen könne man unbeteiligten Menschen das Leben schwermachen oder andere von der Sammlung wichtiger Informationen abhalten.

Hacken auf offizielle staatliche Einladung – das ist ein Novum

Sogenannte »patriotische Hacker« haben schon in früheren Konflikten eine Rolle gespielt, auch in den Anfangszeiten des Ukrainekonflikts. So hatte im Konflikt um den Donbass 2014 eine Truppe namens »CyberBerkut« die Webseiten ukrainischer Behörden und Unternehmen mit Überlastungsangriffen bombardiert.

Dass eine demokratische Regierung internationale Hacker und Hacktivisten offiziell dazu aufruft, Ziele des Gegners anzugreifen, ist indes ein Novum. Angesichts des russischen Angriffskrieges wurde sie vielerorts wohlwollend aufgenommen. Allerdings bergen die Operationen der schwer zu steuernden Hacktivisten auch Gefahren.

Er halte die Strategie für »extrem gefährlich«, sagt Sven Herpig, der für die Berliner Denkfabrik Stiftung Neue Verantwortung seit Jahren zu Cybersicherheit und Cyberabwehr arbeitet. Schlecht vorbereitete und unkoordinierte Operationen könnten sowohl der Bevölkerung schaden als auch den Aktivisten selbst, besonders jenen, die weniger professionell agieren und sich in falscher Sicherheit wiegen. »Wer sich nicht optimal schützt, kann auf Listen russischer Geheimdienste landen«, warnt der Experte. Zudem könne die aktuelle Großjagd nach Schwachstellen in russischen Systemen die Administratoren auf bestehende Lücken aufmerksam machen und dafür sorgen, dass Zugänge, die bisher von westlichen Geheimdiensten genutzt wurden, geschlossen werden. »Trotz bester Absichten können solche Aktionen sogar kontraproduktive Folgen haben.«

»Nichts, was die Russen wirklich trifft«

Auch CCC-Sprecher Linus Neumann hält das für möglich. Allein schon, weil sich »der Geschädigte wegen der Attributionsproblematik aussuchen kann, wem er die Schuld gibt«: Wer wirklich hinter einem Hackerangriff steckt, ist oft schwer oder gar nicht zu beweisen – das könnte sich Russland für seine Propaganda zunutze machen.

Nach Ansicht des Cybersicherheitsforschers Lennart Maschmeyer vom Zentrum für Schweizer und Internationale Sicherheitspolitik an der ETH Zürich, der die russische Cyberkampagne gegen die Ukraine seit 2014 analysiert hat,  sind die bisherigen eher niedrigschwelligen Aktionen der Hacktivisten »nichts, was die Russen wirklich trifft, und keinesfalls vergleichbar mit der Wirkung der ökonomischen Sanktionen«. Bislang habe es keine Attacken auf kritische Infrastruktur oder Sabotageaktionen mit gravierenden Auswirkungen gegeben. Er rechne kurzfristig auch nicht damit, da dies lange Vorarbeit und strategische Planung erfordere, so Maschmeyer. Insgesamt sehe auch er den solidarischen Hacktivismus kritisch, so der Forscher: »Ich fürchte, derlei Aktivismus könnte den Russen den Vorwand für verstärkte eigene Cyberoperationen liefern, die sie dann glaubhaft eigenen patriotischen Hackern zuschreiben könnten.«

Insgesamt stellt sich auch die Frage, wie effektiv Cyberkampagnen von technisch versierten Amateuren gegen ein Regime sein können, das mit Raketen und Panzern einen Angriffskrieg führt, zunehmend auch gegen zivile Ziele. Manche Beobachter fürchten, die vielen von Hacktivisten reklamierten Nadelstiche könnten den Konflikt weiter anheizen – zumal sich offenkundig viele internationale Freizeithackerinnen und -hacker daran beteiligen. Neumann sagt, es sei natürlich denkbar, dass unter den Hacktivisten auch solche seien, »die ernsthaften Schaden anrichten können und wollen. Das wäre aber gefährlich, weil Russland mit militärischer Logik reagieren könnte.«

Die deutschen Anonymous-Aktivisten sehen in ihren Aktionen nicht die Gefahr, den Krieg weiter zu befeuern. »Putins Cyber-Informationskrieg fand bisher in westlichen Staaten statt, jetzt wird er nach Russland zurückgetragen.« Wenn man mit Cyberabwehr, Informationskampagnen und Maßnahmen, die Hacker und IT-Security-Experten in Russland anderweitig beschäftige und zurückdränge, sei das keine Eskalation, so die Aktivisten. Man verurteile aber Angriffe gegen kritische Infrastruktur, die die Sicherheit von Leib und Leben oder wichtige Versorgung zur Folge haben könnte.

Auch Kriminelle kündigen »Vergeltung« an

Eine dritte Seite ist jedenfalls eindeutig in der Lage, ernst zu nehmende Schäden anzurichten: Kriminelle. Die berüchtigte Ransomware-Gang Conti hat frühzeitig »Vergeltungsmaßnahmen« als Antwort auf amerikanische und westliche Drohungen angekündigt. Man werde die eigenen Ressourcen einsetzen, um kritische Infrastrukturen all jener anzugreifen, die Russland attackieren, heißt es in einer »Warnung«, die die Ransomware-Gruppe veröffentlichte.

Daraufhin wurden die Erpresser allerdings selbst zum Ziel: In den vergangenen Tagen wurden Tausende offenbar authentische interne Chats von Mitgliedern öffentlich, aus denen unter anderem hervorgeht, dass Conti enge Kontakte zu russischen Behörden pflegt. Der für den Leak verantwortliche Hacker schrieb dazu auf Twitter : »Ruhm der Ukraine.«