Cyberangriffe und Informationsoperationen mit dem Ziel, kritische Infrastrukturen zu stören und die öffentliche Meinung zu beeinflussen, nehmen ständig zu. In diesem Zusammenhang sprach MENA Research Center mit Andrzej Kozłowski, Assistenzprofessor an der Universität Łódź, dessen Forschungsschwerpunkte Cybersicherheit und Informationsoperationen sind. Das Gespräch wurde von Denys Kolesnyk geführt, einem französischen Berater und Analysten, der sich besonders für Operationen im kognitiven Bereich interessiert.
_Kürzlich habe ich Ihren Artikel über russische Aktivitäten im ukrainischen Cyber- und Informationsraum gelesen. Beginnen wir also mit der Frage, was die russischen Taktiken und Strategien im Cyberbereich sind. Wie haben sie sich in den letzten Jahren entwickelt? Und schließlich: Gibt es regionale Besonderheiten in Bezug auf Cyberoperationen?
Zunächst einmal muss ich anmerken, dass ich keine signifikante Entwicklung beobachte. Und es ist wichtig hervorzuheben, dass Russland die Cyberangriffe als Teil eines umfassenderen Konzepts des Informationskriegs wahrnimmt. Das ist etwas, was Russland von der westlichen Welt unterscheidet, wo wir Cybersicherheit hauptsächlich aus technischer Sicht verstehen, während der kognitive Bereich mit strategischer Kommunikation und Information voneinander getrennt ist. Und so sehen das die Russen nicht.
Sie sind Cybersicherheit oder den Cyberspace nicht gewohnt. Die Russen geben vor, die Begriffe Informationssicherheit zu verwenden, und Informationskrieg und Cyberangriffe sind ein Teil davon. Aber wie ich sagte, es ist nur ein Teil davon, Informationsdominanz und Informationsüberlegenheit zu erreichen, weil das gemäß der russischen Doktrin ihr Hauptziel ist.
Während dieser ganzen Zeit hat sich Russland auf mehrere Aspekte konzentriert, und in erster Linie auf Spionage. Und Spionage im Cyberbereich bietet enorme Möglichkeiten. Im traditionelleren menschlichen Bereich war Russland ebenfalls sehr aktiv. Daher begaben sich die Russen mit diesen drei Hauptorganen des russischen Geheimdienstes und Spionageabwehrsystems, nämlich GU (früher bekannt als GRU), SVR und FSB, in den Cyberspace. Somit wurde Cyberspionage zu ihrer Hauptdomäne.
Der zweite Aspekt sind die Angriffe auf kritische Infrastrukturen, die bereits vor der groß angelegten Invasion stattfanden. Man sollte verstehen, dass die Ukraine ein Testgelände für russische Cybertaktiken war. Die Russen probierten viele Techniken und Angriffe aus, darunter auch solche, die 2015 und 2016 gegen ukrainische Kraftwerke stattfanden. Diese erfolgreichen Versuche verursachten kurzfristige Stromausfälle mitten im Winter, und angesichts der harten Winter in der Ukraine stellte der Energiemangel die Menschen vor erhebliche Probleme.
Es gab auch massive Angriffe, die darauf abzielten, ganze Länder lahmzulegen. So gab es 2007 einen massiven Distributed-Denial-of-Service-Angriff (DDoS), um Estlands interne Dienste zu stören, was Estland dazu zwang, seine politische Entscheidung, eine der Roten Armee gewidmete Bronzestatue an einen anderen Ort zu verlegen, zu überdenken.
2016 wurde der NotPetya-Virus eingesetzt, um ukrainische Systeme zu stören, was viele IT-Systeme von Flughäfen, der Metropolregion Kiew sowie des staatlichen und privaten Sektors betraf. Obwohl diese Operationen zunächst erfolgreich waren, erreichten sie letztendlich ihre langfristigen Ziele nicht. Schließlich müssen wir auch die Rolle von Informationsoperationen und die Bedeutung der Hack-and-Leak-Strategie bei diesen Bemühungen im Auge behalten.
Daher ist das Hacken der Systeme bestimmter Organisationen, um Daten zu stehlen, sie zu exfiltrieren und sie später mit erfundenen oder gefälschten Dokumenten zu verwenden, eine Taktik, die verwendet wird, um Entscheidungsprozesse zu beeinflussen. Diese manipulierten Dokumente werden im Internet verbreitet, um bestimmte Prozesse oder Entscheidungen zu beeinflussen.
Während der groß angelegten Invasion Russlands in die Ukraine umfassten die ersten Angriffe eine massive Salve von Wiper-Programmen, die darauf abzielten, Daten zu stören und zu zerstören, anstatt sie zu stehlen. Sie versuchen nicht, unsichtbar zu bleiben; ihre Präsenz signalisiert eine klare Absicht, Systeme zu beschädigen oder zu zerstören. Dies war die bisher größte Salve in der Geschichte des Cyberkonflikts.
Trotz des Ausmaßes des Angriffs gelang es ihnen kaum, ukrainische Systeme wie geplant zu treffen, da sich die Ukrainer gut verteidigten. Aufgrund begrenzter Ressourcen konzentrierte sich Russland daraufhin wieder auf seine Spezialoperationen und mehr auf Spionage als auf Einflussoperationen. Dies beinhaltete verstärkte Anstrengungen zur Datenexfiltration und zum Ausspionieren von IT-Systemen, um bessere Informationen für Militäroperationen und im Voraus geplante konventionelle Angriffe bereitzustellen.
Doch seitdem hat Russland seine Fähigkeiten, darunter die destruktiven Wiper-Programme, wieder aufgebaut und sie erneut gegen kritische Infrastrukturen eingesetzt. Sie scheinen zunehmend erfolgreich zu sein, wie ein kürzlich erfolgter schwerer Cyberangriff auf das ukrainische Mobilfunknetz zeigt, der erhebliche Dienstunterbrechungen verursachte und normale Bürger betraf. Darüber hinaus gab es Angriffe auf andere kritische Infrastrukturen, obwohl Einzelheiten zu diesen Angriffen, einschließlich ihres Erfolgs und ihrer Auswirkungen, nicht öffentlich zugänglich sind.
Wir erleben immer häufigere und erfolgreichere Eindringen in ukrainische Systeme. Darüber hinaus zielen russische Operationen auch auf westliche Länder ab und beinhalten Spionage- und Sabotageversuche, die darauf ausgerichtet sind, die westliche Militärunterstützung für die Ukraine zu behindern oder zu verzögern.
Und um den letzten Teil Ihrer Frage zu beantworten: Ich glaube nicht, dass wir Cyberoperationen nach Regionen differenzieren können, da sie im Allgemeinen denselben strategischen Zielen dienen. Diese Operationen zielen darauf ab, unbefugten Zugriff auf Systeme zu erlangen, und sobald der Zugriff erreicht ist, können die Ziele unterschiedlich sein. Die Informationen können zu Spionagezwecken gestohlen, zur Verstärkung von Informationsoperationen verwendet oder die Daten vernichtet werden. Die Techniken sind überall ziemlich ähnlich.
Bei Informationsoperationen gibt es jedoch deutliche Unterschiede. Bei reinen Cyberoperationen bleiben die Strategien jedoch gleich.
Was Europa und insbesondere Polen betrifft, beobachte ich die Aktivitäten seit mindestens sechs Monaten, und es scheint, dass die groß angelegten Operationen nach der umfassenden Invasion Russlands in der Ukraine ernsthaft begonnen haben. In der Region Kaliningrad gibt es Geräte, die GPS-Signale fälschen können, und es gab Fälle, in denen dies GPS-Signale in fast der Hälfte Polens gestört hat.
Können Sie das näher erläutern? Warum tun sie das? Hat es wirklich Auswirkungen auf dem Boden in Polen?
Die einfachste Antwort auf Ihre letzte Frage ist, dass es keine Auswirkungen auf normale Polen hat, die GPS verwenden. Die Störungen betreffen jedoch nicht nur Cyberfähigkeiten, sondern vielmehr elektronische Kriegsführungsfähigkeiten der Russischen Föderation.
Es gibt mehrere Interpretationen dieses Problems, da es nicht nur in der Nähe der Region Kaliningrad, sondern auch nahe der estnischen Grenze auftritt. Kürzlich haben wir gehört, dass Finnair Flüge nach Tartu aufgrund dieser GPS-Störungen eingestellt hat. Die erste Interpretation ist, dass es Teil hybrider Aktivitäten gegen NATO-Länder ist. Diese Aktivitäten schaden den NATO-Staaten, liegen aber unter der Schwelle eines konventionellen Krieges und bewaffneten Angriffs, wie sie in UN-Dokumenten definiert ist. Dies ist wahrscheinlich der erste Schritt einer solchen Strategie.
Eine andere Interpretation ist, dass diese massiven GPS-Störungen dem Schutz vor Drohnen dienen sollen, insbesondere vor ukrainischen Drohnen. Während moderne Jets über alternative Techniken zur Standortbestimmung verfügen, ist GPS immer noch das gängigste System für kommerzielle Fluggesellschaften und kleinere Triebwerke. Daher stellen diese Störungen eine echte Gefahr für Flüge dar und es könnten möglicherweise Unfälle auftreten.
Das Problem besteht auch darin, solchen Aktionen entgegenzuwirken. Ich bin mir nicht sicher, ob es beispielsweise möglich ist, diese Maßnahmen mit nicht-kinetischen Mitteln zu stören – die Störung sozusagen zu stören. Ich weiß nicht, ob das überhaupt möglich ist. Dennoch ist dies eine der schädlichen Aktivitäten, die Russland gegen den Westen richtet.
Und könnten Sie eigentlich etwas mehr über Polen sagen? Welche Strategien verfolgt Ihr Land, um die russische Cyberbedrohung und allgemeiner die russischen Informationsaktivitäten einzudämmen? Welche Art von Gesetzgebungsinstrumenten haben Sie und welche Aktivitäten unternimmt der Staat, um diese Probleme anzugehen und das Land vor solchen bösartigen Aktivitäten zu schützen?
Was Cyberangriffe angeht, denke ich, dass wir ganz gut zurechtkommen, da es keine bedeutenden erfolgreichen Angriffe auf polnische Systeme gab. Das deutet darauf hin, dass wir gute Arbeit leisten.
Eine wichtige Entscheidung der Regierung, die zwei Tage vor der groß angelegten Invasion getroffen wurde, war, die Alarmstufe von Alpha, der niedrigsten, auf Charlie, die höchste, zu erhöhen, bevor es zu einem Vorfall kam. Delta ist die höchste Stufe, wird aber erst durchgesetzt, wenn tatsächlich ein Vorfall eingetreten ist.
Die Stufe Charlie zeigt an, dass zuverlässige Informationen vorliegen, die auf einen potenziellen Cybervorfall hindeuten, der eine ernsthafte und erhebliche Bedrohung für Systeme darstellt. Diese Stufe legt den Administratoren kritischer Infrastrukturen und öffentlichen Verwaltungseinheiten besondere Verpflichtungen auf. Zu diesen Verpflichtungen gehört es, die Mitarbeiter auf die Bedrohungen aufmerksam zu machen, Informationskampagnen zur Verbesserung der Cyberabwehr zu organisieren und sicherzustellen, dass rund um die Uhr ein Cybersicherheitsteam bereitsteht, um alle Bedrohungen zu neutralisieren.
Statistiken unseres CERT (Computer Emergency Response Team) zeigen einen deutlichen Anstieg der versuchten Cyberangriffe. Wie ich bereits erwähnte, gibt es jedoch keine eindeutigen Beweise für einen signifikanten erfolgreichen russischen Cyberangriff.
Wir müssen jedoch eines betonen: Im März 2022, einen Monat nach der Invasion, kam es zu einer Störung unseres Zugsystems. In Anbetracht der Tatsache, dass das Schienennetz für Polens Wirtschaft, die Militärhilfe für die Ukraine und den Flüchtlingstransport von entscheidender Bedeutung ist, deuteten erste Berichte darauf hin, dass es sich um einen russischen Cyberangriff handeln könnte. Es wurde jedoch festgestellt, dass es sich um eine Fehlfunktion der IT-Ausrüstung handelte.
Wir müssen bedenken, dass das Ziel von Cyberangriffen oft darin besteht, Fehlfunktionen der Ausrüstung zu verursachen. Manchmal ist es sehr schwierig festzustellen, ob eine Fehlfunktion auf ein technisches Problem oder einen Cyberangriff zurückzuführen ist. Im Fall der Zugprobleme war es eine technische Fehlfunktion, aber eine ähnliche Störung könnte durch einen russischen Cyberangriff verursacht werden.
Leider ist Polen im Kampf gegen den Informationskrieg weniger erfolgreich. Es gibt derzeit Reformen, wie die Ernennung eines Sonderberaters im Außenministerium zur Bekämpfung ausländischer Desinformation und die Einrichtung eines neuen Zentrums bei der NASK unter dem Ministerium für Digitale Angelegenheiten. Ich sehe jedoch keine Koordinierung oder den Aufbau eines umfassenden Systems.
Es mangelt uns an Programmen zur Medienkompetenz, wodurch die Menschen anfällig für Desinformation sind. Noch problematischer ist, dass manche Menschen, darunter Behörden und Experten, glauben, dass wir aufgrund unserer Geschichte mit Russland immun gegen russische Desinformation sind. Die russische Desinformation in Polen funktioniert jedoch auf andere Weise und stellt weiterhin eine erhebliche Herausforderung dar.
Es gibt auch einen belarussischen Beitrag dazu, der von den polnischen Behörden und Experten oft missachtet wird. Diese sagen, dass die belarussischen Geheimdienste und die Propaganda und die Cyberangriffe fast dieselben seien wie die russischen, was nicht stimmt, denn sie arbeiten zusammen, sie kooperieren eng, aber es sind dennoch zwei verschiedene Strukturen mit unterschiedlichen Zielen.
Wir müssen diese Faktoren also im Auge behalten. Wenn man sich die statistischen Erhebungen ansieht, die eine Unterstützung für die Ukraine zeigen, nimmt diese leider erheblich ab. Dieser Rückgang ist nicht nur auf russische Desinformation zurückzuführen, sondern auch auf schädliche Äußerungen ukrainischer Politiker. So deuteten Präsident Selenskyjs Äußerungen vor den Vereinten Nationen an, dass Polen Russland helfe, indem es ukrainische Getreideimporte blockiert. Bedauerlicherweise laufen derzeit aktive Informationskampagnen, und es scheint keine wirksamen Strategien zu geben, um ihnen entgegenzuwirken oder sie zu stoppen.
Könnten Sie vielleicht einen Einblick in die neuesten Narrative geben, die Russland im Rahmen des Desinformationskriegs in Polen verbreitet?
In ihren Desinformationskampagnen verbreiten Russland und Weißrussland derzeit Narrative im Zusammenhang mit einem ehemaligen polnischen Richter, der nach Weißrussland übergelaufen ist und nun als Einflussagent agiert. Dies ist nicht nur eine typische Trollfabrik oder Online-Operation; es werden alte KGB-Techniken wie der Einsatz von Einflussagenten eingesetzt.
Prorussische Kanäle auf Plattformen wie Telegram und Twitter (X) verstärken dieses Narrativ. Der ehemalige Richter hat auch eigene Social-Media-Konten, darunter Twitter, Facebook und Telegram. Interessanterweise scheint er möglicherweise nicht direkt für den Inhalt dieser Konten verantwortlich zu sein, da es zahlreiche Fehler gibt, die für Nicht-Muttersprachler typisch sind, sodass sie relativ leicht zu identifizieren sind. Aber das ist natürlich das Hauptnarrativ.
Es gab auch ein Narrativ im Zusammenhang mit dem Attentat auf den slowakischen Premierminister Robert Fico, das auf eine Beteiligung von Ukrainern oder Amerikanern hindeutet.
Und schließlich wurden frühere Proteste von der russischen Propaganda ausgenutzt, um die Europäische Union als Bedrohung für die Zukunft der polnischen Landwirte darzustellen. Es wurde sogar angedeutet, dass Wladimir Putin ihr Retter sein könnte, neben anderen EU-feindlichen Narrativen. Das sind also die drei wichtigsten Narrative, die derzeit in der polnischen Infosphäre sichtbar sind.
Nach dem Angriff der Hamas auf Israel nutzten die Israelis verschiedene Techniken, um Unterstützung aus der Bevölkerung zu gewinnen, ähnlich denen, die die Ukraine während der russischen Invasion eingesetzt hatte. Können Sie Einblicke in iranische Cyber-Informationsoperationen im Allgemeinen und insbesondere in diesem Zusammenhang geben?
Ja, absolut. Nach dem israelischen Stuxnet-Angriff auf die Iraner im Jahr 2010 investierte der Iran erheblich in seine Cyber-Fähigkeiten. Infolgedessen ereignete sich einer der ersten erfolgreichen Cyber-Angriffe der Iraner 2012 gegen das Unternehmen Saudi Aramco. Später gab es sogar Versuche, kritische Infrastrukturen in den Vereinigten Staaten anzugreifen.
Es ist jedoch interessant, dass es vor dem Angriff der Hamas auf Israel keine bedeutende vorherige Cyber-Kampagne gab, anders als bei dem, was Russland gegen die Ukraine getan hatte. Obwohl die Hamas nur über begrenztes Potenzial im Cyberbereich verfügte, entschied sie sich, dieses nicht zu nutzen. Nach dem Angriff entschieden sich jedoch zahlreiche iranische Gruppen und Stellvertreter, darunter die Hisbollah und die Hamas, sowie andere im Nahen Osten, die gegen Israel sind, dazu, sich an Cyberaktivitäten zu beteiligen.
Trotzdem waren die meisten dieser Cyberangriffe aus technischer Sicht relativ einfach. Und angesichts der Tatsache, dass Israel über eine der höchsten Cyberabwehrstufen verfügt, waren diese Angriffe meist harmlos. Es gab jedoch nur wenige erfolgreiche Angriffe, und darunter befand sich der Einbruch in Systeme einer lokalen Regierungsbehörde, der dann für Einflussoperationen genutzt wurde. Es wurden Nachrichten an Israel gesendet, die ihre Präsenz hervorhoben und die Fähigkeit der Regierung, die Sicherheit zu gewährleisten, in Frage stellten.
Darüber hinaus gab es Informationsoperationen mit falschen Websites, die Blutspenden für die Opfer der Angriffe anforderten. Eine dieser Websites versuchte, sich als Israels größtes Krankenhaus auszugeben. Als Reaktion auf diese Angriffe revanchierte sich Israel, indem es im Dezember Tankstellen im Iran angriff und deren Aktivitäten für einige Stunden vorübergehend lahmlegte.
Zwar bleibt der Iran der aktivste Akteur in diesem Konflikt, doch ist seine Bedeutung im Cyberkrieg nicht so ausgeprägt wie im Falle eines russisch-ukrainischen Krieges.
Über welche Mechanismen verfügt die NATO, um die Zusammenarbeit zwischen den Mitgliedsstaaten im Cyber- und Informationsbereich zu verbessern? Wie hat die Einbeziehung des Cyberspace in die Kriegsführung auf dem NATO-Gipfel in Warschau 2016 die Schwelle beeinflusst, ab der wir von einem konventionellen Konflikt sprechen können? Und welche Kriterien bestimmen, wann Cyberangriffe die Schwelle zum Krieg überschreiten?
Die NATO hat sich dafür entschieden, jede Cyberoperation einzeln zu analysieren, wenn sie die Berufung auf Artikel 5 oder sogar Artikel 4 des Washingtoner Vertrags in Erwägung zieht. Es ist jedoch wichtig zu erkennen, dass diese Entscheidungen in erster Linie politischer Natur sind. Es geht weniger um das Ausmaß und die Größe des Angriffs, sondern mehr um den politischen Willen, darauf zu reagieren.
Die Forschung der NATO und angeschlossener Institutionen konzentriert sich in der Regel auf die Größe, den Zeitpunkt und das Ausmaß von Angriffen, aber vor allem auf die Folgen. Die NATO hat auch entschieden, dass eine Anhäufung mehrerer Cyberangriffe, nicht ein einziger großer Angriff, eine Reaktion auslösen könnte. Diese Angriffe könnten im Rahmen einer breiteren Kampagne auf kritische Infrastrukturen wie Staudämme, Energiesysteme, Transportmittel und militärische Einrichtungen abzielen.
Die NATO verfügt über Instrumente wie das NATO Cyber Security Centre, das für Aktivitäten, Entwurf, Implementierung und Betrieb verantwortlich ist: Wissenschaftliches und technisches Fachwissen, Unterstützung bei der Beschaffung, Wartung und Instandhaltung, Durchführung von Operationen und Reaktion auf Vorfälle. Es ist jedoch wichtig, sich daran zu erinnern, dass einzelne Staaten über ihre eigenen Cyberfähigkeiten verfügen, während die NATO selbst keine bedeutenden Cyberfähigkeiten besitzt.
Die NATO akzeptiert zunehmend das Konzept des permanenten Engagements, was darauf hindeutet, dass die Unterscheidung zwischen Frieden und Krieg im Cyberspace falsch ist. Staaten sind ständig in Cyberaktivitäten auf niedrigem Niveau verwickelt, die unterhalb der Schwelle eines bewaffneten Angriffs bleiben. Dieses ständige Engagement beinhaltet oft Spionage, die es schon lange vor der NATO gab und die nie zu Konsultationen nach Artikel 5 oder Artikel 4 geführt hat.
Und abschließend: Verfügen Länder des Nahen Ostens wie die Türkei, Saudi-Arabien und Ägypten über ähnliche Cyber- und Informationsoperationsfähigkeiten und -richtlinien wie der Iran und Israel?
Ich habe keine spezifischen Kenntnisse über die Fähigkeiten dieser Länder. Was ich aber sagen kann, ist, dass es sich um sehr reiche Monarchien aus dem Golf handelt, die ehemalige NSA- und Cyber-Command-Mitarbeiter oder ehemalige Geheimdienst- und Militärangehörige aus dem Westen für ihre eigenen Zwecke angeheuert haben. Wir wissen zum Beispiel vom Pegasus-Skandal und anderen Spyware-Problemen. Es gab auch Hacker, die von den Golfmonarchien angeheuert wurden, um ihre strategischen Ziele zu erreichen. Das ist ziemlich üblich, weil sie viel Geld haben und es sich leisten können.
Es gibt auch Bestrebungen in den Vereinigten Staaten, Gesetze einzuführen, um solche Situationen zu verhindern. Es gibt Vorschläge, ehemaligen Mitarbeitern der NSA oder des US Cyber Command zu verbieten, für bestimmte autokratische Länder wie die Golfmonarchien zu arbeiten.
Alle Veröffentlichungs- und Urheberrechte sind dem MENA Research Center vorbehalten.
