„Gefahr durch Cyberwar ist real“
In der Ukraine tobt der Krieg nicht nur auf dem Boden, sondern auch im Cyberraum. Auch österreichische Unternehmen und die kritische Infrastruktur könnten darunter leiden. Lambert Scharwitzl, Direktor des Militärischen Cyber-Zentrums (MilCyZ) des Österreichischen Bundesheeres, spricht im Interview über Gefahrenabwehr in Zeiten des Cyberwar.
Der Krieg in der Ukraine wird auch mit den Waffen des Internets geführt: Wie in keiner Auseinandersetzung zuvor spielen Falschinformationen, Hackerangriffe und sonstige Elemente der Cyberwarfare in diesen Konflikt hinein – vielleicht sogar entscheidend. Welche Informationen sind vertrauenswürdig? Welche strategisch wichtig? Und können auch österreichische Unternehmen zu Schaden kommen? Lambert Scharwitzl, Direktor des Militärischen Cyber-Zentrums (MilCyZ) des Österreichischen Bundesheeres, erklärt im Interview, wie die aktuelle Cyberbedrohung von den Expertinnen und Experten eingeschätzt wird, wie gefährdet Österreich ist und wie man sich verteidigen kann. „Message Control ist ein wesentlicher Bestandteil der Kriegsführung“, sagt er – und ruft vor allem Unternehmen dazu auf, spätestens jetzt ihre IT-Security aufzurüsten.
Welche Aufgaben hat das Österreichische Bundesheer bei der Gefahrenabwehr in der Cyberwarfare?
Lambert Scharwitzl: Die Aktivitäten des Bundesministeriums für Landesverteidigung (BMLV) basieren auf den Aufgaben des Wehrgesetzes. Im Cyberraum stützt sich das Österreichische Bundesheer (ÖBH) derzeit auf drei tragende Organisationen: Den Nachrichtendiensten Heeres-Nachrichtenamt (HNaA), das Abwehramt (AbwA), sowie das Militärische Cyber-Zentrum (MilCyZ) der Direktion 6 (IKT&Cyber) für die Cyber-Verteidigung. Diese drei Akteure arbeiten bei der Abwehr von Gefahren auf das BMLV und das Bundesheer aus dem Cyberraum eng zusammen. Außerdem vertreten sie das Verteidigungsministerium im Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK), in dem sich unter anderem die Cyberspezialisten aus allen sicherheitsrelevanten Ministerien über aktuelle Bedrohungen austauschen.
Hinweis
Der Innere Kreis der Operativen Koordinierungsstruktur (IKDOK) ist das Gremium für die technische Beurteilung von Cyber-Bedrohungen auf gesamtstaatlicher Ebene. Cyberspezialisten aus dem Bundeskanzleramt, den Bundesministerien für Inneres, für Landesverteidigung und für Europäische und Internationale Angelegenheiten tauschen sich normalerweise in periodischen Sitzungen über aktuelle Cyberbedrohungen aus. Mögliche Gegenmaßnahmen werden diskutiert, es erfolgt auch ein Austausch auf europäischer und internationaler Ebene (zum Beispiel mit europäischen CERTS). Die Informationen über mögliche Bedrohungen werden dann auch an Einrichtungen der kritischen Infrastruktur (zum Beispiel Energieunternehmen) weitergegeben, damit diese gegebenenfalls Maßnahmen ergreifen können. Aufgrund der aktuellen Bedrohungslage ist ein permanenter Informationsaustausch innerhalb des IKDOK gegeben.
Was unterscheidet Cyberwar und Cyberdefence von einem „klassischen“ Hackerangriff und „normaler“ Cybersecurity in Unternehmen und wann kommt hier das Bundesheer ins Spiel?
Scharwitzl: Sobald der Cyberraum zur Unterstützung der konventionellen Kriegsführung verwendet wird, spricht man von hybrider Kriegsführung, wodurch auch direkte Auswirkungen auf Gesellschaft und Wirtschaft gegeben sind. Diese kann etwa in direkter Begleitung von militärischen Operationen stattfinden, wenn zum Beispiel kritische Infrastruktur durch einen Cyberangriff lahmgelegt wird. Eine Cyber-Operation kann aber auch vorbereitend erfolgen – beispielsweise durch die gezielte Verbreitung von Fehlinformationen (Information Warfare), oder Störung von Kommunikationssystemen. Im Fall der Ukraine hat der Cyberwar lange vor den konventionellen Kriegshandlungen begonnen: Seit 2014 hat die Ukraine etwa 5000 Cyberangriffe auf ukrainische staatliche Einrichtungen registriert.
Der Begriff „Krieg“ ist im Cyberraum aber grundsätzlich verschwommen: Ein Krieg kann ja rechtlich nur von einem Staat erklärt werden, das Hackerkollektiv Anonymus hat nun aber Russland den Krieg erklärt. Die Auswirkungen einer solchen „Kriegserklärung“ unterscheiden sich im Cyberraum aber nicht wirklich von jener eines Staates. Allerdings sind diese Gruppierungen nicht staatlich gesteuert und agieren im „eigenen Auftrag“.
Das Bundesheer kommt im Rahmen der Aufgaben gemäß dem Wehrgesetz auch im Cyberraum zum Einsatz, etwa im Fall der militärischen Landesverteidigung, beim Schutz der verfassungsmäßigen Einrichtungen oder Hilfeleitung bei Elementarereignissen. Der Fall der militärischen Landesverteidigung muss durch die Politik beschlossen und „ausgerufen“ werden. Bisher war dies im Cyber-Raum noch nicht der Fall, das Bundesheer hat bei der Cyberattacke auf das Außenministerium 2020 aber einen Cyber-Assistenzeinsatz geleistet.
Der Krieg in der Ukraine führt laut CERT.at zu einer „sehr hohen allgemeinen Gefährdungslage im Cyberraum“. Was bedeutet das für Österreich?
Scharwitzl: Der Cyberraum ist seit Monaten Brennpunkt. Ob Log4Shell oder Ukraine-Krise: Wir laufen von einer massiven Gefährdungslage in die nächste. Russland ist bekannt für Cyberaktivitäten – daher ist die Gefahr, dass es zu weitreichenden Cyberangriffen oder unkontrollierten Kollateralschäden kommt, durchaus real. Die Gefahr von Störungen als Auswirkung der Kampfhandlungen steigt durch die starke weltweite Vernetzung und den Umstand, dass fast alle Systeme auf der Grundlage von IT funktionieren. Nach aktueller Einschätzung ist Österreich aber aktuell noch kein Primärziel von Angriffen. Besonders wichtig ist derzeit, die internationalen Cyber-Attacken zu beobachten, Auswirkungen (bestehende und mögliche) zu beurteilen und den permanenten Informationsaustausch in Österreich, aber auch in der EU und mit internationalen Partnern zu verstärken. In einer derart angespannten Situation ist es besonders wichtig, Ruhe und einen kühlen Kopf zu bewahren.
Tipp
Die aktuelle Bedrohungslage im Cyberspace durch den Ukraine-Krieg wird von CERT.at tagesaktuell verfolgt. Auf ihrer Website finden Sie nähere Infos zum Thema, relevante Sicherheitstipps, wichtige Meldungen und akute Warnungen.
Vor welchen Arten von Angriffen sollten sich die Österreicherinnen und Österreicher in Acht nehmen und wie können sie sich dagegen schützen? Welche Angriffsszenarien gibt es in derartigen Krisensituationen?
Scharwitzl: Eine mögliche Bedrohung für Bürgerinnen und Bürger ist die Ausnutzung von Schwachstellen und anschließende Übernahme von Netzwerkkomponenten und Servern. Zum Beispiel werden durch DDoS-Attacken Geräte in ihrer Verfügbarkeit gestört. Eine weitere Gefahr stellen aktuell Phishing-Angriffe auf Mitarbeiterinnen und Mitarbeiter kritischer Infrastruktur, relevanter Behörden oder Zulieferer dar. Hauptsächlich werden Österreicherinnen und Österreicher mit Information Warfare und Desinformation konfrontiert. Die Lage entwickelt sich zurzeit so schnell, dass es schwer ist, sichere und vertrauenswürdige Informationen zu erhalten. Das BMLV verzeichnet derzeit pro Woche 250 bis 350 gezielte Angriffe auf seine Infrastruktur. Wir versuchen, herauszufinden, was die Angreifer wollen und welche Maßnahmen wir dagegen ergreifen können. Diese Informationen geben wir dann über den IKDOK an Unternehmen weiter, denn es könnte ja auch andere Einrichtungen treffen.
Österreichische Firmen haben in Russland 650 Niederlassungen, in der Ukraine sind es 200 – wie groß ist die Gefahr, dass diese Unternehmen zum Ziel von Hackerangriffen werden? Welche Branchen sind potenziell besonders betroffen?
Scharwitzl: Unser derzeitiger Informationsstand ist, dass primär ukrainische Unternehmen, etwa der Bankensektor, betroffen sind. Das kann sich aber schnell ändern. Kollateralschäden können allerdings schon jetzt nicht ausgeschlossen werden: Der Energiesektor, Telekommunikation und andere Teile der kritischen Infrastruktur sind, wie auch Elemente entlang der Lieferkette, so stark miteinander verbunden, dass auch österreichische Unternehmen in diesen Bereichen sicherlich potenzielle Ziele sind. Die Unternehmen müssen spätestens jetzt ihre Hausaufgaben machen, sich im IT-Sicherheitsbereich absichern und ihre Notfallprozesse prüfen.
Ist auch Cyberspionage eine ernstzunehmende Bedrohung?
Scharwitzl: Historisch gesehen haben russische Akteure eine Vielzahl an erfolgreichen Cyberspionage-Aktionen vorzuweisen. Cyberspionage ist auf jeden Fall eine ernstzunehmende Bedrohung für Behörden, kritische Infrastruktur und Unternehmen mit Verbindungen in die Konfliktgebiete und zu den Konfliktparteien. Die Verteidigung gegen Cyberspionage und gegen sogenannte Advanced Persistant Threats (APT), also die dauerhafte Bedrohung durch Gruppierungen, die einzelnen Staaten zugeordnet werden, ist besonders anspruchsvoll.
In der Ukraine hat Vize-Regierungschef Mykhailo Fedorov erklärt, Kiew stelle eine „IT-Armee“ gegen russische Cyber-Attacken auf. Gleichzeitig wurden Hacker auf der ganzen Welt gebeten, russische Schwachstellen auszuforschen und diese der Ukraine mitzuteilen. Welche Rolle spielt Cyberwar generell als Teil der strategischen Kriegsführung?
Scharwitzl: Verschiedene Gruppierungen haben sich bereits nach einigen Tagen mit einer der beiden Konfliktparteien solidarisch erklärt und diese unterstützt. Der bekannteste Vertreter ist vermutlich Anonymous auf der Seite der Ukraine. Die Erfolge dieser Gruppierungen ließen auch nicht lange auf sich warten – am Anfang kam es vor allem zu DDoS-Attacken und kleineren Defacements (unerlaubte Veränderungen von Websites, Anm.), unter anderem wurden das russische Staatsfernsehen RT und die Seite des Kremls mehrfach offline genommen. Eine der bekanntesten Cybercrime-Gruppierungen, Conti, hat sich auch sehr früh der russischen Seite angeschlossen. Diese Gruppierung verfügt über ein beachtliches Skill-Set, allerdings teilen nicht alle Mitglieder der Gruppe die pro-russische Einstellung, daher kam es zu Datenleaks innerhalb der Gruppe. Medienberichten zufolge haben es Gruppierungen auch geschafft, E-Ladestationen zwischen Moskau und St. Petersburg mit pro-ukrainischen Nachrichten zu versehen. Was sich auf jeden Fall sagen lässt, ist, dass sich dieser Konflikt massiv im Cyberraum abspielt.
Geht es bei Cyberwarfare in erster Linie um Demoralisierung der Bevölkerung? Um das Verbreiten von Fake News oder um taktische/strategische Kriegsführung zum Beispiel durch das Abschneiden von Kommunikationskanälen und Versorgungslinien?
Scharwitzl: Ja – man kann derzeit alle diese genannten Punkte der Cyberwarfare von beiden Konfliktparteien beobachten. Einfach gesagt: Verschiedene Akteure haben verschiedene Ziele im Cyberraum.
Welche Rolle spielen die großen Social-Media-Konzerne wie Meta oder Alphabet? In der Ukraine hat Google Maps beispielsweise die Echtzeit-Verkehrsdaten ausgeschaltet, um Flüchtende zu schützen. Besteht grundsätzlich eine Kommunikationslinie der Staaten mit diesen Unternehmen oder werden derartige Aktionen – wie im aktuellen Fall – anlassbezogen vereinbart?
Scharwitzl: Private Konzerne kontrollieren ihre Eigenentwicklungen und handeln grundsätzlich nach Interessen des Unternehmens. Das gilt auch für die Entscheidung, welche Services sie wo zur Verfügung stellen. Somit ist eine Einflussnahme durch staatliche Stellen nur im gesetzlich vorgegebenen Rahmen möglich und wird sich überwiegend auf Vereinbarungen in Anlassfällen stützen.
In der Ukraine wurden nicht nur Hacker um Hilfe gebeten, ein großes Unternehmen hat auch Satelliten zur Verfügung gestellt, durch die die Internetleitungen aufrechterhalten werden sollen. Inwieweit sind Staaten in der Cyberdefence generell auf Hilfe von Privatpersonen, Hackerkollektiven oder Unternehmen angewiesen? Ist das nicht auch eine potenzielle Sicherheitslücke?
Scharwitzl: Der Staat und das Militär gehen in solchen Konflikten zielgerichtet und koordiniert vor. Die Ukraine hat nun alle Hacker weltweit zur Unterstützung aufgerufen – das Problem ist: Ihr Engagement ist nicht zielgerichtet und koordiniert. Denn man weiß nicht, wer diese Hacker sind, welche Fähigkeiten sie haben und wer vielleicht hinter ihnen steht. Ein Kollateralschaden kann da immer passieren.
Auch in Österreich werden Systeme immer wieder – gewollt (Stichwort Hacker-Wettbewerb „Verboten gut“) oder ungewollt – von Hackern „getestet“. Wie gefährdet ist die öffentliche Infrastruktur in Österreich, gerade zum Beispiel, was die Stromversorgung oder die Aufrechterhaltung anderer kritischer Infrastruktur betrifft?
Scharwitzl: Diese Frage kann nicht pauschal beantwortet werden. Allerdings ist klar, dass die EU mit der Netz- und Informationssicherheitsrichtlinie (NIS) und der demnächst kommenden Novellierung NIS-2 eine sehr gute Grundlage für die Erhöhung der Cyber-Resilienz in Europa gelegt hat. Kurz gesagt sind die Mitliedstaaten dazu aufgefordert, sich im nationalen Kontext intensiver mit Cyberkrisenmanagement auseinanderzusetzen. Zusätzlich sind auch Betreiber der kritischen Infrastruktur nun rechtlich dazu verpflichtet, entsprechende Vorkehrungen zu treffen.
Hinweis
Das Netz- und Informationssicherheitsgesetz (NISG) basiert auf der „EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ aus 2016, die wiederum Teil der Europäischen Cybersicherheitsstrategie ist. Demnach unterliegen sogenannte Betreiber wesentlicher Dienste – beispielsweise aus den Bereichen Energie, Luftfahrt, Schiene, Straße, Gesundheitswesen oder Trinkwasserversorgung – besonders hohen Auflagen bei der IT-Sicherheit. Sie müssen nicht nur präventiv tätig werden, sondern sind auch zur Meldung erheblicher Störfälle verpflichtet. In die Novelle, die noch für heuer erwartet wird, sollen die bisherigen Erfahrungen einfließen. Etwa wird der Umfang der betroffenen Unternehmen erweitert
Cyberoffence, also aktive Angriffe im digitalen Raum, kennt man neben Russland etwa auch aus den USA – ist das auch in Österreich ein Thema?
Scharwitzl: Derzeit ist Cyberoffence in Österreich kein Thema und auch rechtlich nicht abgedeckt. Das Bundesheer dient in diesem Zusammenhang ausschließlich dem Schutz der Republik Österreich auf Basis des gesetzlichen Rahmens.
Wagen wir zum Schluss noch einen Blick in die Zukunft: Werden Kriege irgendwann nur noch (oder zumindest zum Großteil) im digitalen Raum stattfinden?
Scharwitzl: Durch die immer stärkere Vernetzung der Gesellschaft, der Industrie, der kritischen Infrastrukturen eines Staates und des gesamten öffentlichen und privaten Lebens, ist der Cyberraum ein immer stärkerer Faktor in Konflikten aller Art. Aus meiner Sicht werden Konflikte aber auch in Zukunft auf allen Ebenen ausgetragen – der Cyberraum ist dabei immer ein wesentlicher Bestandteil.
Hinweis
Zur Person: Lambert Scharwitzl ist seit 1984 in IT-Bereichen militärischer Organisationen mit Spezialfokus auf Informationssicherheit tätig. Neben einer umfangreichen Informatikausbildung ist er zertifizierter Krisen- und Risikomanager und studierte Informationssicherheitsmanagement an der Donauuniversität Krems und an der FH Hagenberg. Scharwitzl leitet das Militärische Cyber-Zentrum (MilCyZ) in der Direktion 6 (IKT und Cyber) des Österreichischen Bundesheers und ist für die zentralen Elemente der Cyber-Verteidigung im Bundesheer zuständig.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria