München – Die Angriffe lagen nah beieinander, zeitlich wie räumlich. Ende Januar gab das Hamburger Tanklogistikunternehmen Oiltanking bekannt, Ziel einer Cyberattacke geworden zu sein. Nur wenige Tage später meldeten die belgischen Häfen Antwerpen und Gent ähnliche Aktionen, auch im niederländischen Rotterdam, dem größten Hafen Europas, war das Entladen der Tanker zeitweise unmöglich. „Im Grunde ist das Betriebssystem ausgefallen“, klagte ein Manager.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist man sofort hellhörig geworden. Vergangenes Jahr war in den USA eine Ölpipeline Ziel einer ähnlichen Attacke, damals identifizierten die Ermittler eine russische Hackergruppe als Täter. Auch in Norddeutschland sollen nun russische Codes eingesetzt worden sein. In der aktuellen Situation, in der Energieversorgung ein zentrales Machtinstrument Moskauer Außenpolitik ist, lag der Gedanke nahe, der Kreml könne in die Angriffe verstrickt sein.
Mittlerweile glaubt man in der Bundesbehörde, dass die Motive viel profaner sind: „Das BSI hat keine Hinweise, dass es sich um etwas anderes handelt als Kriminalität.“ Mit einem Verschlüsselungsprogramm werden Systeme blockiert und nur gegen Zahlung eines Lösegeldes freigegeben (Ransomware). „Ein sehr lukratives Geschäftsmodell“, bestätigt ein BSI-Sprecher.
Das heißt nicht, dass solche Aktionen zwangsläufig nur von der privaten Schattenwirtschaft ausgehen. Onlinekriminalität bewege sich in einer Grauzone, sagt Sven Herpig, Direktor für Cybersicherheitspolitik beim Thinktank Stiftung Neue Verantwortung. „Da gibt es kein Schwarz und Weiß. Gerade in Russland gibt es Gruppen, die Daten kopiert und an den Staat weitergereicht haben, gleichzeitig aber auch die Firmen mit Ransomware erpresst haben.“
In solchen Fällen verschmelzen zwei Interessen: hier das schnelle Geld, dort Chaos und Destabilisierung. Herpig hält es für möglich, dass es in den jüngsten Fällen „einen Fingerzeig“ von oben gab. „Nach dem Motto: Wenn ihr eh Operationen gegen westliche Ziele durchführen wollt, dann vielleicht aktuell nicht gerade gegen amerikanische, aber europäische.“
Neben China, wo staatliche Hacker nach Feierabend auf eigene Rechnung aktiv sind (Moonlighting), ist Russland eine treibende Kraft im digitalen Raum. Moskaus Experten steckten hinter der Attacke auf den Bundestag 2015 und hinter Manipulationsversuchen rund um die US-Präsidentenwahl 2016. Auch die Warnungen vor der Bundestagswahl 2021 zielten Richtung Osten, konkret auf den Militärgeheimdienst GRU.
Beim Gipfeltreffen zwischen Joe Biden und Wladimir Putin im Juni 2021 war Cybersicherheit dann auch eines der Hauptthemen. Auf Bitten der Amerikaner zerschlug Russland vor wenigen Wochen die Gruppe „REvil“ und nahm acht Personen fest. Die Hacker sollen für einen Angriff auf einen amerikanischen IT-Dienstleister verantwortlich gewesen sein, der tausende Firmen weltweit traf.
IT-Experte Herpig glaubt nicht, dass man Moskaus Eingreifen „als großen Erfolg feiern sollte“. Vielleicht gehe es den Behörden auch nur um den Schein: „Wir geben dem Druck ein bisschen nach, dass es aussieht, als würden wir etwas tun.“ Er würde nicht ausschließen, dass die Hacker sich am Ende entschließen, „statt Gefängnis das Angebot von FSB (Inlandsgeheimdienst) oder GRU anzunehmen und für etwas weniger Tageslohn im russischen Staatsdienst zu arbeiten“.
Bereits im Herbst sprach BSI-Chef Arne Schönbohm von „Alarmstufe Rot“ in Teilbereichen der Informationssicherheit, die Lage wurde hochgestuft auf „angespannt bis kritisch“. Ein Allianz-Report bezeichnete Cyberangriffe jüngst als weltweit größte Gefahr für die Wirtschaft – verheerender als Naturkatastrophen und Pandemien.
Die Ziele sind beliebig austauschbar. Neben Ölfirmen waren in den letzten Wochen auch das französische Justizministerium und der US-Medienkonzern News Corp betroffen. Moralische Bedenken spielen für Hacker dabei keine Rolle. Ihre Angriffe trafen sogar das Rote Kreuz.