Als Russland in die Ukraine einfiel, war der Angegriffene im digitalen Raum deutlich unterlegen. Das Land rief Freiwillige weltweit dazu auf, den Aggressor im Cyberspace anzugreifen und gab Ziele über einen Telegramkanal aus: Die IT-Army der Ukraine war geboren. Die Sympathien in Europa waren gross, viele Bürgerinnen und Bürger des Kontinents schlossen sich an, ihre gemeinsamen DDoS-Attacken schrieben Schlagzeilen.

Mittlerweile ist es um die Gruppe ruhiger geworden. Viele Freiwillige sind abgesprungen, die Medienaufmerksamkeit hat abgenommen, die Kommunikation auf Telegram wurde heruntergefahren, der Ansatz wird zunehmend auch in Europa kritisch beurteilt – zugleich ist aber die Power für DDoS-Angriffe der IT-Army gestiegen. Ihr Aufbau, die internationale Mobilisierung und die Folgen dürften den digitalen Raum, aber auch internationale Normen in Sachen Cyberaktivitäten nachhaltig verändert haben – mit potenziell gravierenden Konsequenzen.

Das befürchtet zumindest Stefan Soesanto, der am Center for Security Studies (CSS) der ETH Zürich das Cyberdefense Project leitet. Der Politologe hat eine umfassende Analyse der IT-Army der Ukraine vorgelegt. Zudem hat er wiederholt zur Eskalationsdynamik im Cyberraum und zu geopolitischen Folgen publiziert. Soesanto bemängelt eine Doppelmoral und sagt: Auch die Regierungen wissen gar nicht so genau, was vor sich geht.

Stefan Soesanto, 2007 wurde das NATO-Mitglied Estland von DDoS-Attacken heimgesucht: Internetdienste, Services von Banken und staatliche Websites fielen aus. Russland wurde als Angreifer ausgemacht, die Empörung war laut. Was ist der Unterschied zu heute, wenn Länder mit DDoS-Attacken angegriffen werden?

In Estland wurde der Vorfall damals sogar mit einem Atomschlag verglichen. Das ist ein krasser Kontrast zu dem, was wir heute aus dem Land, aber auch sonst aus Europa und den USA hören. Dabei stützt sich etwa die IT-Army der Ukraine auf Bürgerinnen und Bürger von EU- und NATO-Staaten und nutzt Proxyserver auf deren Hoheitsgebiet für DDoS-Attacken gegen russische Ziele. Die Staaten sind aber verantwortlich für Angriffe, die von ihrem Territorium ausgehen.

Welche Konsequenzen drohen?

Russland kann sagen, dass die Länder ihre Sorgfaltspflicht verletzen und Cyberkriminelle beherbergen würden – ein Vorwurf, der bislang vor allem an den Kreml selbst gerichtet wurde. Die demokratischen Staaten im Westen haben lange an einem normativen Rahmen im Cyberspace gearbeitet. Es dämmert ihnen nun langsam, dass sie für ihre eigenen Normen zur Verantwortung gezogen werden könnten. Ihre Regeln – etwa die Budapest-Konvention über Cyberkriminalität – drohen gerade zu erodieren.

Fallen wir in Zeiten ohne Normen zurück?

Das Problem hat enorm viele Facetten. Derzeit tauchen zum Beispiel Hacktivisten-Gruppen auf, die vermutlich bloss als Deckmantel für Operationen von Geheimdiensten fungieren. Wir erleben also eine Militarisierung des "Hacktivismus". Zugleich sehen wir, wie Privatpersonen quasi im Regierungsauftrag in der Durchführung von Cyberangriffen geschult werden – vorerst noch in DDoS-Attacken, aber wieso sollte das nicht erweitert werden, wenn die Bemühungen nicht fruchten?

Was befürchten Sie?

Die Hacktivisten, die sich im Dienst der guten Sache wähnen, könnten beginnen "Konflikt-Hopping" zu betreiben und sich in andere Kriege einmischen oder sie steigen mit ihrem Wissen in die Cyberkriminalität ein. Die Folgen kann man derzeit noch nicht abschätzen.

Es gab angesichts des russischen Angriffskrieges vorerst grosse Sympathien für den ukrainischen Ansatz der IT-Freiwilligenarmee. In der Schweiz wurde von einigen Politikern zu DDoS-Attacken aufgerufen. Das ist zwar gut gemeint, aber unüberlegt.

Die britische und schwedische Regierung haben nach dem russischen Überfall rasch betont, dass ihre Bürgerinnen und Bürger freiwillig auf dem Schlachtfeld kämpfen könnten. Die Frage lautet: Soll das auch online aus dem eigenen Zimmer gelten? Wissen die Hacktivisten, was sie tun? Und auch: Sind sie als Zivilisten zu behandeln? Hinter verschlossenen Türen wird sicher diskutiert, wie man mit Bürgerinnen und Bürgern umgehen soll, die sich der IT-Army angeschlossen haben.

Wie lautet die Antwort?

Man muss differenzieren: Viele Hacktivisten wissen nicht, worauf sie sich einlassen. Aber es gibt auch Profis, die sich dem internen Team der IT-Army angeschlossen haben und fortgeschrittene Cyberaktionen durchführen. Sie dürften faktisch für den ukrainischen Geheimdienst oder das Verteidigungsministerium arbeiten. Da sind wir dann schnell im Bereich des Söldnertums, vor allem wenn es sich um ehemalige Geheimdienstanalysten oder Militärangehörige handelt.

Das Söldnertum ist rechtlich und ethisch umstritten, aber international nicht einheitlich geregelt.

Diese Personen werden auch gar nicht bezahlt. Sie erfüllen also ein wichtiges Kriterium des Söldnertums nicht. Vermutlich brauchen wir erstmal eine bessere Definition von Söldnern, Aktivistinnen und Freiwilligen im Cyberraum – sowie eine rechtliche Grundlage. Das könnte nämlich nicht nur im offensiven Bereich, sondern auch bei der Spionage zu einem Problem werden. Viele Staaten wissen noch nicht, wie sie mit der Situation umgehen können.

Und was ist die Lösung?

Das wüsste ich auch gerne. Die Debatte ist aber faktisch zum Erliegen gekommen. Wohin die praktische Entwicklung nun drängt, lässt sich noch nicht vorhersagen. Es gibt noch viel zu viele unbekannte Elemente im digitalen Raum – von Kostenfaktoren über strategische Fragen bis zu der Art und Weise, wie Operationen durchgeführt werden. Wissenschaftlerinnen und Wissenschaftler diskutieren zum Beispiel seit Jahren, ob das Prinzip der Abschreckung hier funktioniert.

Im Prinzip wäre das eine atomare Aufrüstung im digitalen Raum.

In Ländern wie den USA hat sich nun erstmal ein aggressives Paradigma durchgesetzt: Man will den Gegner in operativen Phasen bereits beim Aufbau der Infrastruktur stören können. Egal wo auf der Welt ein Server steht, man will diesen bei Bedarf lahmlegen.

Dafür braucht es Zero-Day-Lücken, offensive Power und letztlich eine Missachtung nationaler Souveränität. Ihre Sorgen teilt auch das Rote Kreuz. Die Organisation hat kürzlich Regeln für Hacktivisten publiziert , sich dabei aber auch an Staaten gewendet.

Ja, es gab eine Reaktion der ukrainischen IT-Army auf die Regeln, auch weil sie merkte, dass ihre Aktivitäten teilweise kritisch beurteilt werden. Offenbar hat die Kerngruppe erkannt, dass sie die Unterstützung verlieren könnte oder zumindest unangenehme Fragen auftauchen. Sie hat die Strategie geändert. So kommuniziert sie nur noch selten per Telegram, meist gibt es bloss noch Berichte nach Aktionen.

Mitte Januar hat sich die IT-Army bei der Publikation einer Attacke explizit auf die IKRK-Regeln bezogen. Sie schrieb, bei einer erfolgreichen Attacke sei die Stromversorgung nicht bedroht gewesen, wie das in den Regeln gefordert werde. Ist das Augenwischerei?

Die IT-Army fokussiert sich auf Internetdienstleister in den besetzten Gebieten der Ukraine, statt wie zu Beginn auch offiziell auf zivile Infrastruktur in Russland abzuzielen – was informell noch immer geschieht. Zwar schaden die publizierten Angriffe auch Zivilisten, aber die Aktionen können Auswirkungen auf militärische Operationen und die Logistik der russischen Armee haben. Das wird nun betont, um die Regeln des Roten Kreuzes zu befolgen und die Sympathien in Europa nicht zu verlieren.

Mittlerweile sind weniger Hacktivisten für die Ukraine aktiv. Auf dem Höhepunkt waren 300'000 Leute im Kanal der IT-Army angemeldet.

Es herrschte aber damals ziemliches Chaos: Man wusste nicht genau, auf wen man hören sollte. Im Kanal wurden bösartige Links gepostet und Freiwillige mussten eigene DDoS-Tools suchen. Die IT-Army hat darum eine Website eingerichtet, wo sich Tools für Angriffe finden. Zudem gibt es ein Leaderboard für die eifrigsten Mitglieder. Dieses zeigt: Es sind heute nicht mehr wirklich Freiwillige, die am Feierabend noch rasch online gehen und DDoS-Tools anklicken. Wir sehen auf den Topplätzen der Rangliste eine ungeheure Rechenpower.

Auf Platz 1 findet sich derzeit ein Account, der mehr als 76 Terabit über 290 physische und virtuelle Server geschickt hat. Wer stellt diese Rechenkapazität zur Verfügung?

Das ist schwer zu sagen. Die Vermutung liegt aber nahe, dass viele Topshots in der Cyberkriminalität tätig sind und auf die dafür notwendige Infrastruktur zurückgreifen. Oder sie kommen aus dem Kryptobereich und nutzen ihre Mining-Hardware. Die IT-Armee hat den Schwerpunkt mittlerweile auf diese "High Roller" gelegt. Die Feierabendaktivisten sind zwar nicht ganz verschwunden, aber sie sind bei Weitem nicht mehr so relevant. Heute hat der Telegram-Kanal noch etwas über 150'000 Mitglieder. Zugleich ist aber die DDoS-Power gestiegen.

Das wären dann quasi Kryptominer, aber auch Cyberkriminelle in den Diensten einer Regierung. Man kann es aber – wie so oft im digitalen Raum – nicht mit Sicherheit sagen. Warum ist die Informationslage so schlecht?

Es gibt wenige Akteure, die über wirklich gute technische Informationen verfügen. Grosse Firmen spielen eine wichtige Rolle. Man denke etwa an Mandiant, Crowdstrike, aber vor allem auch an Google und Microsoft. Der Staat hat zwar eigene Möglichkeiten, aber die beiden Techriesen können allein aus ihrer Infrastruktur mehr Informationen abschöpfen als sonst jemand. Diese geben sie an politische Entscheidungsträger weiter und erhalten damit viel Einfluss darauf, wie die politischen Leader über die Bedrohungslage denken. Sie haben sich stark auf die grossen vier eingeschossen: Russland, China, Iran und Nordkorea.

Wir hören also viel von den Ländern.

Das hat dann zum Beispiel auch zur Folge, dass die Techriesen im Kontext des Ukrainekrieges fast ausschliesslich Berichte über russische DDoS-Gruppierungen und Cyber-Operationen der russischen Geheimdienste veröffentlichen. Die IT Army und ukrainische Cyber-Operationen werden indes kaum erwähnt.