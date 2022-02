Der Name der Gruppe ist eindeutig: "IT Armee der Ukraine". Wer der Gruppe im sozialen Netzwerk Telegram beitritt, sieht sofort zwei Wunschlisten: Ziele, die von freiwilligen Hackern angegriffen werden sollen: Russische Großunternehmen stehen drauf – der Gaskonzern Gazprom und die IT-Firma Yandex zum Beispiel – aber seit Sonntagmorgen auch belarussische Ministerien. Den Telegram-Kanal hat unter anderem der ukrainische Digitalminister Mychajlo Fedorow geteilt.

Erste Seiten lahmgelegt

Die Wahl des Angriffs wird den Hackern freigestellt. Sowohl technisch einfachere Mittel wie DDoS-Angriffe – bei denen Webseiten so oft aufgerufen werden, dass sie unter der Last zusammenbrechen – kämen in Frage als auch generell "jeder Vektor im Bereich Cyber". Denkbar wären somit auch Angriffe, bei denen komplette Firmennetzwerke verschlüsselt werden.

Sonntagnachmittag waren mehr als 150.000 Menschen Teil der Gruppe. Einige der Webseiten sind nicht zu erreichen gewesen. Ob das auf DDoS-Angriffe zurückgeht oder auf Schutzmaßnahmen der Firmen selbst, ist unklar.

87 Vorfälle seit November 2021

Die IT-Freiwilligenarmee der Ukraine ist einer von 87 Einträgen, die Matthias Schulze gemeinsam mit anderen Experten gesammelt hat. Schulze leitet bei der Stiftung Wissenschaft und Politik (SWP) den Forschungsbereich für Cybersicherheit und verfolgt den digitalen Aspekt rund um den russischen Angriffskrieg gegen die Ukraine: "Die Liste ist eigentlich Resultat von Ohnmacht, man will aber irgendwie was machen. Dann fangen Wissenschaftlerinnen und Wissenschaftler eben an, Daten zu sammeln." Da die Liste auch Einträge enthält, die noch nicht abschließend verifiziert wurden, ist sie nicht öffentlich, BR24 konnte sie jedoch einsehen.

Die Liste dokumentiert sehr eindrücklich, welche IT-Vorfälle es bisher gegeben hat. Aufgeführt werden unter anderem DDoS-Angriffe gegen ukrainische Webseiten im Januar und im Februar und eine Schadsoftware, die IT-Sicherheitsexperten “Hermetic Wiper” nennen. Ihr Zweck ist es gewesen, die Rechner komplett zu löschen und damit unbrauchbar zu machen. Anscheinend wurden einige Systeme bereits Monate vorher gehackt, die Schadsoftware selbst wurde aber erst am 23. Februar aktiv.

Die Suche nach freiwilligen Hackern der Ukrainer bewertet Matthias Schulze von der SWP kritisch: "Militärs haben dafür Zielprozesse, um abzuschätzen, was sind die Folge-Effekte, die wir erwarten können, wenn wir das machen. Bei Hacker-Kollektiven würde ich das bezweifeln."

Deutsche Sicherheitsbehörden warnen

Deutsche Sicherheitsbehörden verfolgen genau, was in der Ukraine passiert und schicken Warnungen an Betreiber von sogenannten kritischen Infrastrukturen. Das sind Firmen, deren Ausfall weitreichende Konsequenzen haben könnte, zum Beispiel Stromkonzerne. In den Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird die "IT-Bedrohungslage" als orange gekennzeichnet, das BSI geht also von "massiven Beeinträchtigungen" aus.

Auch der Verfassungsschutz warnt. In einem Schreiben, das BR24 vorliegt, werden Informationen geteilt, mit denen sich Unternehmen schützen können. Einer der Hackergruppen, vor denen gewarnt wird, werden von IT-Sicherheitsexperten “Ghostwriter” genannt. Sie arbeiten nach Angaben der IT-Sicherheitsfirma Mandiant für Belarus, deutsche Stellen vermuten den russischen militärischen Geheimdienst GRU hinter den Hackern. Ghostwriter war bereits in Deutschland aktiv – die Hacker nahmen vor allem Politiker ins Visier und versuchten, sich Zugang zu ihren E-Mail-Postfächern zu verschaffen.

Konstantin von Notz: "Maximal ernst nehmen"

Der stellvertretende Vorsitzende der Grünen im Bundestag, Konstantin von Notz, sagt, dass es in Deutschland eine "massive Vernachlässigung dieses relevanten Sicherheitsbereiches" gegeben habe und man die Gefahr "maximal ernst nehmen" müsse: "Wir haben in den letzten Jahren immer wieder gesehen, dass Russland nicht davor zurückscheut, auch zivile Infrastrukturen im Cyber-Raum zu attackieren." So haben mutmaßlich russische Hacker den Deutschen Bundestag angegriffen und dabei 16 Gigabyte Daten entwendet.

Auch Matthias Schulze von der SWP hält das Risiko für "nach wie vor hoch". Er wundert sich aber auch, dass "die digitale Domäne nicht so umkämpft ist, wie ich es befürchtet hätte." Seine Erklärung: "Wenn ich die Wahl habe, ein Stromkraftwerk mit einem Cyberangriff auszuschalten oder mit einer Rakete und ich sowieso gerade mit Raketen hantiere, da nehme ich lieber die Rakete. Da weiß ich, dass das Kraftwerk kaputt ist am Ende des Tages."