Wir ziehen in den Cyber-Krieg!

Die jüngsten Fälle von Computerattacken gegen die Telekom Austria, den Flughafen Schwechat oder die Nationalbank zeigen, dass sich Österreich von einer neuen Bedrohung nicht abkoppeln kann. Aber auch die Reaktion darauf birgt Risiken: Mehr Überwachung, mehr Befugnisse für Polizei und Bundesheer und eine generelle Wende hin zu einer Militarisierung der inneren Sicherheit.

Was wäre, wenn plötzlich Bildschirme schwarz würden, Lichtschalter nicht mehr funktionieren, die Ampeln ausfallen und keine Öffis mehr fahren? Kein TV, kein Handy, kein Internet. Nach ein paar Stunden läuft außer batteriebetriebenen Radios praktisch kein Kommunikationsmittel mehr. Selbst Krankenhäuser haben Notstromsysteme für gerade einmal zwei Tage. Viele Produktionsprozesse müssten komplett gestoppt werden – bis hin zu den ganz selbstverständlichen Dingen wie Abwasserentsorgung. Innerhalb kürzester Zeit wäre „Alltag“ nur mehr eine ferne Erinnerung. Es ist die komplexe Vernetzung, die die Achillesferse unserer Zivilisation darstellt. Moderne und hochtechnologisierte Gesellschaften sind auf „kritische Infrastruktur“ angewiesen. Dazu zählen unter anderem Energie, Informationstechnik, Telekommunikation, Wasser, Ernährung, Finanzwesen und staatliche Verwaltung. Ausfälle in diesen Bereichen würden unmittelbare volkswirtschaftliche Schäden nach sich ziehen und uns alle betreffen.

Solche katastrophalen Störungen lassen sich mit relativ geringem Aufwand gezielt und massiv herbeiführen. Und zwar indem Schadprogramme (malware) wie Trojaner, Viren und Spyware in die Steuerzentralen von Versorgern oder Netzbetreibern eingespeist werden und dort Abläufe manipulieren – bis hin zum Netzausfall. Mittlerweile haftet solchen Szenarien nichts Fantastisches mehr an. Im Verfassungsschutzbericht von 2015 heißt es:

„Ausfälle im Energie- bzw. Elektrizitätssektor stellen aufgrund der Abhängigkeiten anderer Sektoren mitunter die größte Bedrohung dar. Ein großflächiger, längerfristiger Stromausfall (‚Blackout‘) würde sich auf alle wesentlichen Bereiche der Daseinsvorsorge auswirken. Lebensmittelgroßlager, Rechenzentren von Banken, das U-Bahn-Netz sowie – auch wenn nicht auf den ersten Blick erkennbar – die Versorgung mit Treibstoffen sind stark von einer funktionierenden Stromversorgung abhängig.“

Vom „Schattenboxen“ zum Systemausfall

„Kybernetik“ ist die Wissenschaft, die sich mit der Steuerung und Regelung von Systemen in der Biologie, Soziologie und Technik beschäftigt. Abgeleitet davon versteht man unter dem Stichwort „cyber“ computergesteuerte Prozesse und die durch sie geschaffene virtuellen „Welten“ des Internets. Diese sind freilich genauso Schauplatz von Kriminalität, Spionage oder Krieg. Je nach Quelle werden täglich etwa 200.000 neue Programme bzw. Mutationen entdeckt, die schädliche Funktionen auszuführen: Fernsteuerbarkeit, Informations- und Datendiebstahl, Betrug, Manipulation, etc. Auch hier warnt der Verfassungsschutzbericht nicht umsonst:

„Die starke Verbreitung und vor allem der leichte Zugang zu diesbezüglichen Tools ermöglicht es immer größeren Tätergruppen – mittlerweile praktisch ohne Vorkenntnisse – Schadsoftware mit sehr hohem Bedrohungspotenzial im Internet zu beziehen und zu verbreiten.“

Das Täter-Spektrum reicht von gelangweilten „Script-Kiddies“ über destruktive Hacker (Black Hat) bis hin zu Cyber-Kriminellen. Letztere versenden etwa Ransomsoftware, die Daten per Verschlüsselung unlesbar macht. Dann verlangen die Angreifer von den Betroffenen Lösegeld für die Herausgabe des Schlüssels. Schutzgelder werden von mittelständischen Unternehmen und Konzernen auch mittels DDoS-Attacken erpresst. DDoS steht für Distributed Denial of Service und bezeichnet einen Vorgang, bei dem etwa Webseiten oder Programme mit so vielen Anfragen überschüttet werden, bis die Dienste ausfallen. Einer internationalen Studie von 2017 zufolge sind 57 Prozent der Unternehmen in der jüngsten Zeit Opfer von Cyber-Angriffen geworden. Insgesamt wurden Schäden in Höhe von 261 Milliarden Euro verursacht. Die Anzahl der betroffenen Firmen ist 2016 von 15 auf 21 Prozent gestiegen.

Für die Allgemeinheit am gefährlichsten sind freilich Aktivitäten von Nationalstaaten. Denn bereits seit Jahren tobt im Geheimen ein unerklärter und völlig regelloser Cyber-Krieg, der sich ständig weiter hochschraubt. Es geht um Informationsgewinn, Wirtschaftsspionage, Desinformation oder einfach darum, Chaos zu säen. Geopolitische Spannungen wie zwischen Russland und dem Westen oder die Konflikte rund um die Atomprogramme des Iran und Nordkorea werden zunehmend in den Untiefen des Internet ausgefochten. Noch handelt es großteils um „Schattenboxen“. Aber es könnte der Tag kommen, wo der „Heimatfront“ eines gegnerischen Staates mit massiven Cyber-Angriffen der Boden unter den Füßen weggezogen wird. Erste Ansätze hierfür gibt es bereits.

NSOC-2012
National Security Operations Center floor im Hauptquartier der NSA 2012 (Quelle: Wikimedia Commons)

Hybridkrieg und das Cyber-Schlachtfeld

2013 hat ein russischer Theoretiker mit einer Doktrin aufhorchen lassen: In künftigen Kriege werde das Verhältnis zwischen eingesetzten nicht-militärischen und militärischen Mittel vier zu eins betragen. Subversion, Spionage, Propaganda und Cyber-Attacken seien künftig notwendig, um den Gegner zu bezwingen – nicht nur rein militärische Mittel. Das bringt auch die Formel vom „Hybrid-Krieg“ zum Ausdruck, die die russische Invasion der Krim (2015) und den darauffolgenden Bürgerkrieg in der Ukraine umschreibt.

2010-05-14-USCYBERCOM_Logo
Logo des US Cyber Command, das mit der elektronischen Kriegsführung betraut ist (Credit: Wikimedia Commons)

Der Auftakt für den Cyberkrieg erfolgte aber bereits 2007 und zwar in Estland: Für drei Wochen „stotterte“ damals das Internet in dem kleinen baltischen Land. Webseiten der Regierung, von Parteien, Firmen, Banken, Handynetzbetreibern und Zeitungen brachen zusammen. Zuvor war es zwischen Estland und Russland zu Spannungen gekommen, nachdem die Esten ein russisches Kriegerdenkmal in Tallin abbauen wollten. Als es dann im Sommer 2008 zu Kämpfen zwischen russischen und georgischen Truppen um die abtrünnige Provinz Südossetien kam, legten DDoS-Angriffe Server in Georgien lahm. Webseiten wurden gehackt und verändert. Dadurch konnte die Bevölkerung keine Informationen abrufen und war dementsprechend verunsichert.

Erstmals 2010 wurde das sogenannte Stuxnet“-Computervirus entdeckt: Im iranischen Atomkraftwerk Natanz hatte es über einen längeren Zeitraum dafür gesorgt, dass 1.000 Zentrifugen außer Kontrolle gerieten und sich selber zerstörten. Damit wurde das iranische Atomprogramm über Jahre zurückgeworfen. Obwohl es keine Bestätigung gibt, gelten die USA und Israel als Urheber von Stuxnet. Für den Antivirus-Spezialisten Eugene Kaspersky war damit die Büchse der Pandora geöffnet worden:

„Ich denke, dass dies der Auftakt zu einem neuen Zeitalter ist: die Zeit des Cyberterrorismus, der Cyberwaffen und der Cyberkriege.“

Das Stuxnet-Schadprogramm sei nicht konzipiert worden, um Geld zu stehlen, Spam zu versenden oder persönliche Daten abzugreifen – so wie es Cyberkriminelle tun. Stuxnet sabotierte Steuerungssystemen in industriellen Anlagen, um physischen Schaden anzurichten. Der Code wies alleine vier besonders ausgefeilte und teure Zero Day Exploits auf. Diese ermöglichten es Stuxnet unbekannte Sicherheitslücken ausnutzen. Im Grunde war es eine Kriegshandlung. Und sie wurde entsprechend beantwortet.

Im Jahr 2012 befiel ein Virus 30.000 Computer der Erdölfirma Saudi Aramco. Zwei Jahre darauf drangen iranische Hacker in das Kontrollsystem eines kleinen Damms nahe New York vor. Und erst im Dezember 2016 berichtete Associated Press über Angriffe auf einen der größten Stromerzeuger der USA. Dabei wurden Netzwerke geentert, über die das amerikanische Stromnetz gesteuert wird. Die Eindringlinge erbeuteten Passwörter sowie Dutzende Pläne von Kraftwerken und Stromnetzen. Alles Informationen, mit denen man den gefürchteten „Blackout“ herbeiführen kann.

Nicht mit dem Iran in Zusammenhang gebracht werden eine Reihe von Attacken, die sich 2015/16 gegen das SWIFT-Finanznetwerk richteten und im Diebsstahl von Hunderten Millionen Dollar endeten.

Ein einfaches Word-Dokument wiederum war mitentscheidend dafür, dass 2016 700.000 Menschen im Südwesten der Ukraine vorübergehend vom Stromnetz abgeschnitten wurden. Gefälschte E-Mails waren an Mitarbeiter des Energieversorgers ergangen. Vermeintlicher Absender war Werchowna Rada, das ukrainische Parlament. Um den Inhalt zu lesen, mussten die Opfer das Ausführen eines Makros erlauben, einer Befehlssammlung, die bestimmte Aufgaben automatisiert. Wer dann auf „Aktivieren“ klickte, ließ die malware ins System.

Besonders brisant ist, dass nach Einschätzung der US-Geheimdienste der russische Präsident Wladimir Putin persönlich Cyberangriffe angeordnet hat. Dadurch sollten die Chancen des Republikaners Donald Trump bei den Präsidentschaftswahlen 2016 erhöht werden. Ziel sei es gewesen, den Glauben der Öffentlichkeit in die demokratischen Prozesse zu untergraben. „Wir gehen davon aus, dass Putin und die russische Regierung eine klare Präferenz für Trump hatten“, heißt es in dem diesbezüglichen Bericht. Über Enthüllungsplattformen wie WikiLeaks wurden Zehntausende teils brisante Emails publik gemacht habe, die „Cyber-Söldner“ zuvor von einem Server der US-Demokraten erbeutet hatte. All das schadete der Clinton-Kampagne massiv.

Aber nicht nur Russland und die USA sind in Sachen Cyber fixe Größen: Chinas „Hacker army“ wird auf zwischen 50.000 und 100.000 Personen geschätzt. Laut einer Untersuchung des Zeitraums Anfang 2013 bis Mai 2016 gelang es chinesischen Hackern 262 Mal, in die Computersysteme von Firmen oder Regierungsbehörden einzudringen – meistens in den USA, aber auch in der Schweiz, Deutschland oder Brasilien.

Zuletzt wurde Anfang 2017 bekannt, dass die USA seit drei Jahren elektronische und Cyberattacken gegen Nordkorea auszuweiten. Als dort einige Raketenstarts missglückten sei dies als Erfolg der geheimen Anstrengungen gewertet worden.

Österreich im Visier

Auch Österreich ist bereits mehrfach ins Visier geraten. Am 1. Februar 2016 wurde die Telekom Austria das Opfer von DDOS-Attacken. Mit dem massenhaften Versenden von Datenpaketen aus mehreren Herkunftsländern sollte das System lahmgelegt werden. Das Motiv war Geld: In einem Erpresserschreiben wurden zunächst 100.000 Euro in Bitcoins verlangt, die Forderungen wurden in den folgenden Stunden um das Mehrfache erhöht. Erst als die Erpresser erkannten, dass die Techniker imstande waren, den Angriff abzuwehren, gaben sie ihr Unterfangen auf.

Am 2. September 2016 zielte ein Hackerangriff darauf ab, die Website des Flughafens Wien-Schwechat außer Gefecht setzen. Das Vorhaben misslang. Diesmal bekannte sich ein türkisches Hackerkollektiv namens „Aslan Neferler“ dazu. Der Flughafen Wien hatte erst wenige Tage zuvor für Schlagzeilen gesorgt, als eine Computerpanne zahlreiche Starts und Landungen verhinderte und tausende Passagiere festsaßen. Damals hieß es, dass man eine Cyberattacke als Ursache ausschließen könne.

Den nächsten Schlag führte „Aslan Neferler“ am 9. September 2016 durch, nun gegen die Server der Österreichischen Nationalbank. Auch dieses Mal konnte der Angriff abgewehrt werden. Lediglich die Webseite war kurzfristig nicht erreichbar. Wenige Wochen später, am 25. November 2016, war die Website des Außenministeriums an der Reihe. Die DDoS-Attacke habe sich gegen den Server der Website gerichtet und von 18.30 Uhr bis 23.00 Uhr gedauert. Die Seite sei daraufhin rasch offline genommen worden, während das interne System nicht betroffen gewesen sein soll.

In der Nacht vom 27. auf 28. November 2016 war „www.bundesheer.at“ für einige Stunden offline. Andere Folgen hatte der DDoS-Angriff angeblich nicht. Schließlich war am 5. Februar 2017 die Website des Parlaments 20 Minuten lang nicht erreichbar. Wieder sollen keine Daten verloren gegangen sein.

Als mutmaßlichen Haupttäter wurde Ende Februar 2017 ein im US-Bundesstaat Kentucky lebender Türke enttarnt. Arslan A. alias „General Osman“ habe einen militärischen Hintergrund in der Türkei. Er postete Fotos, die ihn in der Uniform eines Fallschirmjägers auf einem türkischen Truppenübungsplatz zeigten. Beruflich gab er sich als Cyber-Sicherheitsfachmann aus. Arslan A. verwendete für seine Angriffe ein sogenanntes „Botnet“ mit 600 infizierten Servern aus 150 Ländern. Attackiert wurden Länder und Einrichtungen, denen von ihm und seinen Sympathisanten „Türkeifeindlichkeit“ nachgesagt werde.

Zu Cyberaktivitäten ausländischer Geheimdienste in Österreich gibt es dagegen praktisch keine Informationen. IT-Sicherheits-Experten bestätigen aber, dass deren Hacker auch in Österreich höchst umtriebig sind. So verfügt die National Security Agency (NSA) über eine spezielle Tailored-Access-Operations-(TAO-)Einheit. Diese führt pro Jahr einige Hundert Operationen pro Jahr durch – nach dem Motto „Getting the ungettable“, an das Unerreichbare herankommen. Die TAO hat nicht nur das UNO-Hauptgebäude in New York verwanzt, sondern mit ziemlicher Sicherheit auch die Internationale Atomenergiebehörde in der Wiener UNO City, die Organisation für internationale Zusammenarbeit (OSZE) und die Organisation Erdölexportierender Länder (OPEC). Die österreichische Hauptstadt hat für die US-Geheimdienste seit dem Kalten Krieg überhaupt eine „besondere Bedeutung“, meint der deutsche Experte Holger Stark:

„Es spricht alles dafür, dass neben den internationalen Organisationen auch die russische, iranische und nordkoreanische Botschaft in Wien zu den Hauptzielen zählen.“

IMG_3197
Im Visier: Die Wiener UNO-City mit der International Atomic Agency (Credit: Autor)

Aus Dokumenten, die Edward Snowden geleakt hat, geht jedenfalls hervor, dass Wien zu den wenigen Standorten zählt, wo sich ein Team des von NSA und CIA gemeinsam betriebenen Special Collection Service befindet. Das SCS verwendet Hochleistungstechnik, mit der beispielsweise das Handy der deutschen Bundesskanzlerin Angela Merkel abgehört wurde. Selbst Mikrofone in Smart-Fernsehgeräten von Samsung können jederzeit in Abhörgeräte verwandelt werden. Bei den Atomgesprächen im Wiener Palais Coburg (2015) war die Mikrowellenstrahlung von all dem Überwachungsequipment so stark, dass die Teilnehmer ins Freie gehen mussten, um wieder Handyempfang zu haben. Die im Hotel aufgefundenen Abhörwanzen beschäftigen die Behörden bis heute – aber Spionage ist hierzulande ja bekanntlich straffrei, solange sie sich nicht gegen Österreich richtet.

IMG_3186
Die angebliche „NSA-Hütte“ (ganz rechts) am Dach des Wiener IZD-Towers (Credit: Autor)

Cyberabwehr auf österreichisch

Für die Abwehr von Cyberangriffen gibt es in Österreich keine Alleinverantwortung, sondern vielmehr eine Konkurrenzsituation zwischen verschiedenen Strukturen. Geht es um Verbrechen und Terror, dann übernimmt das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) des Innenministeriums. Bei einer Gefahr für die Landesverteidigung kommt das Bundesheer ins Spiel. Und dort wiederum gibt es gleich mehrere zuständige Stellen: Die beiden Nachrichtendienste – das Heeresnachrichtenamt (HNaA) und das Abwehramt (AbwA) – sowie das im Mai 2013 geschaffene Koordinierungs- und Kompetenzzentrum für Cyber Defence (Military Computer Emergency Readiness Teams, milCERT).

Zu tun gibt es genug: Pro Woche werden 500.000 Zwischenfälle registriert. Neben automatisierten Prüfvorgängen werden etwa 1.000 Vorfälle detailliert untersucht. Täglich stellen sich fünf bis sechs Angriffe als gefährlich heraus.

Welchen Stellwert Cyberabwehr mittlerweile einnimmt, erkennt man daran, dass das milCERT im Endausbau 1.350 Mitarbeiter aufweisen soll. Für dieses Projekt sollen bis 2020 250 bis 350 neue Mitarbeiter gewonnen werden. Das HNaA wiederum wird neu adaptierte Räumlichkeiten in der Mariatheresienkaserne beziehen – inklusive Namensänderung in „Bundesnachrichtenamt“. Das AbwA mit seinem Cyber Defence Center wird bis 2018 in die freigewordenen Räume in der Hütteldorfer Kaserne umsiedeln. In die Ausstattung werden insgesamt 46 Millionen Euro investiert. Dazu gehören teure Software-Pakete. Weitere 13,5 Millionen werden in die Infrastruktur von drei Cyber-Schulungszentren und drei Cyber-Dokumentation-Research-Zentren investiert. Einen Teil der Ausbildung der heimischen Cybersoldaten übernimmt die NATO. Sie nehmen regelmäßig an Übungen des westlichen Militärbündnisses teil. Eine Zusammenarbeit wurde auch mit Israel angebahnt, das mit der Unit 8200 über eine besonders effektive Cybereinheit verfügt.

Dass beide Geheimdienste des Bundesheeres im selben Feld tätig sind, hat nicht dazu beigetragen, ihr historisch schwieriges Verhältnis zu entspannen. Eifersüchteleien und Kompetenzstreitigkeiten waren an der Tagesordnung. Mitarbeiter des AbwA sorgten öfters für Skandale, etwa durch Weitergabe sensibler Informationen an FPÖ-Politiker oder die Verstrickung eines Informanten in die Schändung einer sich in Bau befindlichen Moschee in Graz (spöttisch „Operation Schweinsohr“ genannt). Friktion garantiert auch das Konkurrenzdenken zwischen Innen- und Verteidigungsministerium. Zuletzt sorgte die Veröffentlichung von Ermittlungsergebnissen rund um den bereits erwähnten Hacker Arslan A. für Verstimmung beim BVT. Dieses sah die Fahndung torpediert, während sich das HNaA öffentlichkeitswirksam Lorbeeren einheimste.

konigswarte_horchstation-1
Lauschstation des HNaA auf der Königswarte bei Hainburg (Credit: Wikimedia Commons/Bwag)

Ein weiteres Hauptproblem besteht darin, dass ein Großteil der „kritischen Infrastruktur“ in Österreich in privater Hand ist – ebenso wie deren Schutz vor digitalen Bedrohungen. Vor allem die Energieversorger, aber auch die Telekommunikationsunternehmen, wenden dafür beträchtliche Mittel auf. Der Cyberangriff auf die Telekom Austria habe gezeigt, „dass die Firmen sich dadurch gut selbst wehren können“, sagt Otmar Lendl, Teamleiter des Computer Emergency Response Teams Austria (CERT.at), das für Sicherheitsteams heimischer Unternehmen und Institutionen Information und Koordination anbietet.

Das Bundesheer jedenfalls will künftig nicht mehr nur verteidigen, sondern auch Hackerangriffe aktiv bekämpfen. Gegenüber dem Standard hieß es:

„Derzeit wird analysiert, welche Maßnahmen im Falle von Angriffen gesetzt werden können, um einen solchen abzuwehren beziehungsweise ins Leere laufen zu lassen und damit den Schaden klein halten zu können.“

Militarisierung polizeilicher Aufgaben

2016 wurde überhaupt ein weitreichendes Sicherheitspaket auf den Weg gebracht. In Krisenfällen wie Terroranschlägen und Naturkatastrophen soll künftig auf Antrag der Bundesregierung ein „Sicherheitskabinett“ bestehend aus sechs Mitgliedern unter Vorsitz des Bundeskanzlers zusammentreten. Die Nachrichtendienste HNaA, AbwA und BVT sollen enger zusammenarbeiten und mehr Daten austauschen, die Cyber-Abwehr ausgebaut und das Auslandsengagement des Bundesheers ausgebaut werden.

Besonders umstritten ist, dass das Bundesheer mehr Kompetenzen im Inland erhalten soll. Darunter fällt der Schutz „kritischer Infrastruktur“, aber auch mögliche Einsätze zur „Crowd and Riot Control“, also Kontrollmaßnahmen bei Menschenansammlungen und Demonstrationen. Dafür sollen für 35 Millionen Euro unter anderem 17 neue Gruppenfahrzeuge, feuerfeste Overalls und „minder letale Wirkmittel“ besorgt werden, worunter etwa Gummigeschosse fallen. Überhaupt zeichnet sich beim Heeresbudget eine historische Wende ab: Bis 2020 werden insgesamt rund 1,2 Milliarden Euro in die Beschaffung von Ausrüstung, Fahrzeugen und Gerät fließen – und 535 Millionen Infrastruktur wie Kasernensanierungen. Österreich reagiert damit auf eine „gefährlicher“ gewordene Welt, aber die Folgen – insbesondere was die zunehmende Militarisierung der inneren Sicherheit betrifft – sind alles andere als absehbar.

Mehr Infos zum Nachlesen:

Fabian Schmid, Die gefährliche Cyberrivalität zwischen Heer und Polizei, in: Webstandard, 5. 3. 2017.

Markus Sulzbacher, Das Bundesheer zieht in den Cyberwar, in: Web-Standard, 29. 1. 2017.

Eva Konzett, Sarah Kleiner, Martin Tschiderer, Heimatfront, in: Datum; Nr. 11/2016, 16-25.

Markus Sulzbacher, Bundesheer setzt auf offensive Cyberwaffe, in: Web-Standard, 18. 10. 2016

Conrad Seidl, Bundesheer rüstet Geheimdienste nach, in: Der Standard, 29. 9. 2016.

Jürgen Streihammer, NSA-Affäre: Obama lässt OSZE ausspionieren, in: Die Presse, 21. 5. 2014.