Cybersöldner: Wenn Kriminelle dem Staat unter die Arme greifen

Ende Februar sind russische Truppen in die Ukraine einmarschiert - und mit ihnen kamen Malware, Fake-News und weitere Cyberwaffen des 21. Jahrhunderts. Und doch hat gerade der Cyberaspekt des Krieges in der Ukraine etwas sehr Altmodisches und eigentlich längst Vergangenes an sich: Er wird nämlich mehrheitlich von mehr oder weniger legitimierten Kriminellen ausgetragen.

Paris, 16. April 1856: Die Weltmächte der damaligen Zeit kommen zusammen, um dem Krimkrieg ein Ende zu setzen. Zugleich unterzeichnen 55 Nationen - darunter auch die Schweiz - die Pariser Seerechtsdeklaration. Diese widmet sich primär dem Ziel, die Freibeuterei abzuschaffen.

Im Wesentlichen handelt es sich bei Freibeutern um legalisierte Piraten. Mit dem Kaperbrief wurden Privatpersonen offiziell durch eine Regierung beauftragt, auf hoher See quasi-militärische Aktivitäten gegen befeindete Staaten durchzuführen. Die Freibeuter blieben aber Privatpersonen und waren somit nicht Teil der Marine der Nation, von der sie beauftragt wurden. Mit ihren eigenen Schiffen fuhren die Freibeuter zur See, raubten Handelsschiffe aus, plünderten Siedlungen und bereicherten sich, indem sie die Weltmeere unsicher machten. Wichtig war einfach, dass sie ihre Aggressionen gegen feindliche Nationen richteten. Dann wurden ihre Taten von der eigenen Regierung geduldet. Taten, die in jedem anderen Kontext als kriminell gelten würden.

Beispiel eines Kaperbriefes. Dieses Schreiben wurde 1618 von Moritz, Prinz von Oranien, für Johan de Moor für Südamerika erstellt. (Source: Wikimedia Commons / Public Domain)

Für einige Länder war dies nicht nur nützlich, sondern essenziell. Die USA verfügen heute über die wohl grösste Marine der Welt. Als das Land Ende des 18. Jahrhunderts erstmals auf den eigenen Beinen stand und sich gegen das Vereinigte Königreich behaupten musste, spielten Freibeuter eine entscheidende Rolle. Denn zu Beginn des Unabhängigkeitskrieges hatten die USA noch keine eigene Seemacht, die es mit der Royal Navy hätte aufnehmen können.

Wenn Cyberkriminelle sich für einen Staat einsetzen

Die Art, wie gewisse Staaten derzeit das Thema Cyberwarfare - die Kriegsführung mit Cybermitteln - anpacken, zeigt gewisse Parallelen zur Freibeuterei von früher. "Viele Hacker, die heutzutage im Auftrag eines Staates agieren, sind eigentlich Cybersöldner", erklärt Jon Clay im Interview. Er ist seit 26 Jahren für den Cybersecurity-Anbieter Trend Micro tätig - aktuell als VP of Threat Intelligence. In der Funktion gehört es zu seinen Aufgaben, die Forschungsergebnisse des Unternehmens publik zu machen. So sprach er etwa am WEF 2022 in Davos über das Thema Hybrid Warfare - also die Vermischung von Kriegsaktivitäten mit konventionellen Waffen und Cyberangriffen. So wie man es aktuell beim Krieg in der Ukraine sieht. Das Ziel sei es, Staaten zu helfen, Richtlinien für diese Art der Kriegsführung aufzustellen. "Dies soll verhindern, dass Zivilisten ins Kreuzfeuer geraten, wenn Nationen sich mit Cyberwaffen bekriegen", sagt Clay.

Jon Clay, VP of Threat Intelligence bei Trend Micro. (Source: zVg)

Erschwert wird dieses Vorhaben jedoch dadurch, dass mit Cybersöldnern erstens Zivilisten die Kriegshandlungen ausüben und zweitens die Motivation, nur militärische Ziele anzugreifen, nicht immer gegeben ist. Denn eine finanzielle Entlöhnung durch den Staat gibt es für die Cybersöldner gemäss Clay wohl nicht. Solange sie den Staat aber unterstützen, duldet dieser ihre Einkommensquelle: Cybercrime. Ein Beispiel hierfür ist Russland. "Viele cyberkriminelle Gruppierungen, wie etwa Conti, sind zu Cybersöldnern für den Staat geworden", sagt der Cybersecurity-Experte.

"Derartige Cybersöldner führen im Namen eines Staates Spionageoperationen aus, lancieren destruktive Cyberattacken oder legen Regierungsseiten per DDoS-Attacken lahm", sagt Clay. Hauptsache, die attackierte Nation wird in ihrer Handlungsfähigkeit eingeschränkt. "In der Ukraine sieht man etwa, wie russische Hacker mit Desinformationskampagnen Menschen in die Irre führen, oder zerstörerische Wiper-Schadprogramme in Umlauf bringen."

Mehr zu den Wiper-Schadprogrammen und wie gross das Risiko ausserhalb der Ukraine ist, lesen Sie hier im Interview mit Thomas Uhlemann, Security Specialist & Evangelist bei Eset.

Cybersöldner können im Handumdrehen zur Cyberkriminalität zurückkehren

Nicht entweder oder, sondern beides

Diese digitalen Freibeuter lassen ihr cyberkriminelles Dasein nicht komplett hinter sich, wenn sie einem Staat die Treue schwören. "Cybersöldner können im Handumdrehen zur Cyberkriminalität zurückkehren", sagt Clay. "Diese Bewegung funktioniert in beide Richtungen jederzeit." Sie können auch beides zugleich sein: Cybersöldner und Cyberkriminelle. In der Ukraine attackieren sie strategische Ziele für die russische Regierung - aber ausserhalb des Krisenherdes attackieren sie weiterhin alles und jeden, um Geld zu verdienen. Und der Staat schaut in die andere Richtung. Ein Unterschied zu den Freibeutern von früher. Diese mussten nämlich einen Teil ihrer Beute, die sogenannte Prise, dem Staat abgegeben.

Aus Sicht der Staaten ist es eher eine "Der Feind meines Feindes ist mein Freund"-Situation - zumindest so lange es diesen gemeinsamen Feind gibt. "Ist der Krieg vorbei, werden die Cybersöldner wieder zu Cyberkriminellen. Vielleicht auch schon früher", sagt Clay. Denn irgendwann brauchen alle diese Gruppierungen wieder Geld - viel Geld. Conti Beispielsweise ist ein regelrechtes Unternehmen mit 140 Mitarbeitenden und klaren Arbeitsaufteilungen, was wiederum eine hohe Lohnsumme erfordert. "Geld verdienen geht entweder legal oder illegal. Und wenn das Skillset dieser Gruppierungen auf Ransomware, Hacking und andere Cyberattacken ausgerichtet ist, werden sie wieder zu diesen Methoden zurückkehren." Vor allem wenn man bedenkt, dass der durchschnittliche Lohn eines Programmierers in Russland, wie Clay es sagt, "nicht sehr hoch" ist. "Und mit Scams kann man viel mehr Geld machen."

Wenn man wieder den Vergleich zu den Freibeutern zieht, dürfte diese Entwicklung von Cybersöldnern zurück zu Cyberkriminellen nicht überraschen. Viele der Piraten, deren Namen man heute noch kennt, wie etwa Edward "Blackbeard" Teach, Benjamin Hornigold und Klaus Störtebeker, perfektionierten ihr seeräuberisches Handwerk als Freibeuter unter dem Schutzschirm eines Kaperbriefes. Einen anderen Lebensstil kannten sie nicht. Als die Kriege vorbei waren und mit ihnen die Daseinsberechtigung für Freibeuter - oder als sie schlicht der Befehle anderer überdrüssig waren - schien die Piraterie der einzige Weg zu sein.

Zurück im 21. Jahrhundert führt diese Entwicklung über das Ende eines Konflikts hinaus zu einigen Problemen: So könnte sich eine Gruppierung etwa als Cybersöldner Zugriff auf ein Netzwerk verschaffen und Backdoors einbauen. Nach dem Ende des Krieges hindert sie nichts daran, sich als Cyberkriminelle über dieselben Hintertüren wieder Zugriff zu diesem Netzwerk zu verschaffen und sich zu bereichern.

"Diese Backdoors warten in der Zwischenzeit still und heimlich, bis sie wieder aktiviert werden." Das kann Monate oder Jahre dauern. Für Unternehmen ist dies ein grosses Problem. Denn viele verfügen weder über die Ressourcen, noch über die Fähigkeiten, ständig nach derartigen verborgenen Zeitbomben zu scannen.

Ein moralischer Konflikt nach dem Konflikt

Man kann Cybersöldner allerdings auch nicht nur als Cyberkriminelle sehen. Ein moralischer Konflikt scheint vorprogrammiert zu sein, wenn ein Staat nach dem Ende eines Krieges gegen diese Gruppierungen vorgeht. Denn der Staat würde nicht bloss irgendwelche Cyberkriminelle strafrechtlich verfolgen, sondern Individuen, die dem Staat während eines Krieges unterstützend zur Seite standen und vielleicht sogar einen entscheidenden Beitrag zum Kriegsverlauf beigetragen haben.

"Es wird spannend sein zu sehen, wie die Ukraine ihre IT-Army anpackt, wenn sie nicht mehr darauf angewiesen ist. Es wird auch spannend sein zu sehen, was die USA machen, wenn sie nach Kriegsende wieder von ukrainischen Cyberkriminellen angegriffen werden. Von denselben Gruppierungen, die nun auf der Seite der USA den russischen Streitkräften das Leben schwer machen", sagt Clay.

Ich denke, kriminelle Gangs zu rekrutieren wird die Zukunft von Cyberwarfare sein

Werden Kriege künftig nur mit Cyberwaffen geführt und durch Cybersöldner ausgetragen? "Nein" zum ersten Teil der Frage; "vermutlich" zum zweiten Teil, prognostiziert Clay. "Warum sollte ein Staat sich mit einer Cyberattacke auf ein Kraftwerk bemühen, wenn er die Mittel hat, die Anlage einfach in die Luft zu jagen? Wenn man das Strom- oder Kommunikationsnetzwerk eines Landes lahmlegen will, ist es noch immer am einfachsten, eine Bombe abzuwerfen", sagt er. Cyberattacken als Teil der Kriegsführung werden in Zukunft wohl primär darauf abzielen, die Bevölkerung in die Irre zu führen - wie die russischen Desinformationskampagnen im Ukraine-Krieg es aktuell versuchen. Wenn eine Seite nicht weiss, was wirklich passiert, kann sie sich nicht effektiv organisieren und Widerstand leisten. Zerstörerische Cyberattacken werden nur noch dort zum Einsatz kommen, wo sie dem Staat dienlich sind. "Aber ich denke, kriminelle Gangs zu rekrutieren, um eine militärische Cybermacht zu demonstrieren, die grösser ist als die, über die man eigentlich verfügt, wird die Zukunft von Cyberwarfare sein", sagt Clay.

Cybersöldner kommen daher nicht nur bei Staaten zum Einsatz, die keine eigenen Cyberkapazitäten besitzen. Sie können auch ein bereits vorhandenes Cyberarsenal ergänzen. Russland etwa setzt Cybersöldner ein, gehört aber zu den Top-3-Ländern im Cyberbereich gemäss Clay. "Russland, China und die USA verfügen über militärische Cybereinheiten, die sehr fortschrittlich und gut finanziert sind", sagt er. "Die wissen, was sie tun." Die Hackergruppe Sandworm beispielsweise ist seit mindestens 2014 aktiv. Seitdem griff die Gruppe die ukrainische Stromversorgung an, sie versuchte Präsidentschaftswahlen in den USA und in Frankreich zu stören und hetzte die Malware Olympic Destroyer auf die olympischen Winterspiele in Pyeongchang. Ende 2020 identifizierte das Justizministerium der Vereinigten Staaten von Amerika die Gruppe offiziell als die Militäreinheit 74455 des leitenden Zentralorgans (GRU) des russischen Militärnachrichtendienstes. Die Einheit führt auch im aktuellen Cyberkrieg in der Ukraine Cyberoperationen aus.

Unklare Linien zwischen physisch und digital

Beim Thema der hybriden Kriegsführung, wenn Schadprogramme und ballistische Raketen gemischt werden, kommt auch eine andere Frage auf: Inwiefern ist es legitim, mit konventionellen Waffen auf Cyberattacken zu antworten?

Die erste Reaktion auf diese Frage mag für viele ein klares "Nein" sein. Keine IT-Infrastruktur, mag sie noch so toll sein, könnte die absichtliche Gefährdung oder Tötung von Menschen rechtfertigen. Aber auch eine Cyberattacke kann Leben in Gefahr bringen. Legt man in einem kalten Winter ein Kraftwerk lahm und damit auch sämtliche Heizungen in einer Region, kann dies schnell eine lebensbedrohliche Situation herbeiführen. Bringt man ein Krankenhaus zum Stillstand, sind die Auswirkungen auf Menschenleben noch direkter.

"Wenn man mit einer Cyberattacke Zivilisten gefährdet oder tötet, ist die Frage nach der Rechtfertigung plötzlich eine ganz andere", sagt Clay. "Aber - als Privatperson und Vertreter einer privatwirtschaftlichen Firma - werde ich dies nicht entscheiden. Das müssen die Länder unter sich und für sich ausmachen."

"Glücklicherweise sind die meisten Staaten diesbezüglich eher zurückhaltend. Denn wenn Raketen auf Hacks folgen, können Situationen sehr schnell eskalieren", sagt Clay. Das wahrscheinlich erste und bislang einzige Land, das einen Hackerangriff direkt mit einem Luftangriff beantwortet hat, ist Israel. Anfang Mai 2019 lancierte die Hamas eine Cyberattacke auf israelische Ziele. Um diesen und künftige Angriffe zu stoppen, zerbombten die Israelischen Verteidigungsstreitkräfte ein Gebäude im Gazastreifen, zu dem sie die Attacke zurückverfolgt hatten.

Abgesehen von moralischen Bedenken wird so eine Entscheidung zusätzlich durch das Problem der Attribution erschwert. Einen Cyberangriff einem bestimmten Land zuzuordnen, ist nämlich oft schwierig, selten definitiv und manchmal absichtlich irreführend. Und auch wenn man sicher ist, dass eine Attacke von einem bestimmten Land ausging, sind damit noch nicht alle Fragen geklärt. "Bevor man reagiert, muss man entscheiden, ob es sich um einen Cyberangriff von einem Staat auf einen anderen handelt, um eine Attacke von zivilen Cybersöldnern auf einen Staat oder ob es das Werk von unabhängigen Cyberkriminellen ist", sagt Clay.

Massnahmen sind gefordert

Zwar ist es nicht gewiss, dass Cybersöldner die Zukunft der hybriden Kriegsführung tatsächlich dominieren werden. Dennoch ist Clay der Meinung, dass schon jetzt mehr getan werden muss, um diese digitalen Freibeuter einzuschränken. "Es gibt Bereiche, von denen man sich einfach fernhalten sollte, wenn man Cyberattacken ausübt", sagt Clay und erinnert an die Konsequenzen, die Angriffe auf das Stromnetz oder Krankenhäuser haben können. Daher brauche es klare Regeln und Vorschriften, was erlaubt ist und was nicht. Denkbar sei auch, dass diese mit möglichen Sanktionen durchgesetzt werden müssten.

Die Idee der Regulierung des Cyberraums griff bereits Brad Smith, President & Vice Chair von Microsoft, auf. 2017 sprach er an der Security-Konferenz RSA über die Notwendigkeit einer Digitalen Genfer Konvention. Diese solle Regierungen dazu verpflichten, Zivilisten vor Angriffen von Nationalstaaten zu schützen.

Die Idee erhielt seitdem viel Rückenwind - aber nicht nur. Das NATO Cooperative Cyber Defence Centre of Excellence (NATO CCD COE - ein der NATO angeschlossener Thinktank für die Cyberabwehr) vertritt zum Beispiel den Standpunkt, dass die bestehenden Regeln der Genfer Konvention auch für den Cyberraum gelten. Eine Digitale Genfer Konvention brauche es daher nicht.

Wenn es bei der Meinung des NATO CCD COE bleibt, werden Cybersöldner jedoch weiterhin nicht reguliert werden. Denn obwohl die Genfer Konvention Zivilisten und reguläre Soldaten schützt, gelten diese Bestimmungen nicht für Söldner. Diese werden sogar ausdrücklich vom Schutz ausgenommen.

Um den Cybercrime aus dem Cyberkrieg heraus zu halten, werden die Staaten wohl wieder zusammenkommen müssen. So wie sie 1856 die Freibeuterei verbannten, um die Piraterie aus der Seekriegsführung zu tilgen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.