Jamie Collier ist Associate Fellow am Royal United Services Institute und Senior Threat Intelligence Advisor bei Mandiant. Jamie MacColl ist Research Fellow für Cyberbedrohungen und Cybersicherheit am Royal United Services Institute.
Das jüngste Leck der Erdgaspipeline Nord Stream hat die Anfälligkeit der europäischen Energieinfrastruktur aufgezeigt. Doch zusätzlich zu solchen physischen Bedrohungen muss sich der Kontinent in diesem Winter auch auf die Aussicht auf verstärkte Cyberangriffe einstellen.
Diese potenziellen Cyber-Bedrohungen für die Energieversorgung werden zu reichlich Untergangsstimmung führen, wenn wir uns den kälteren Monaten nähern – aber jetzt ist es an der Zeit, sich vorzubereiten, nicht in Panik zu geraten. Und sowohl die europäischen Regierungen als auch die Energieversorger sollten sich auf die Möglichkeit konzentrieren, für die möglichen Gefahren, die vor uns liegen, Vorsorge zu treffen.
Welchen Arten von Cyber-Bedrohungen könnte der Kontinent also ausgesetzt sein, wenn die Temperaturen sinken?
Europäische Energieversorger sind ein offensichtliches Ziel für staatlich geförderte russische Gruppen, da Cyberoperationen die Möglichkeit bieten, Druck auf Länder auszuüben, die an Sanktionen gegen Russland teilnehmen, oder derzeit ihre Abhängigkeit von russischer Energie verringern. Wie jede andere Maßnahme unterhalb der Schwelle eines bewaffneten Konflikts sind auch solche Cyberoperationen attraktiv, da sie mit einem Anschein der Verleugnung geschmückt sind. Und aus Sicht des Kremls wird die Untergrabung des öffentlichen Vertrauens genauso wichtig sein wie jede verursachte physische oder technische Störung.
Russlands aggressive Operationen haben bereits routinemäßig die Grenzen dessen, was als „akzeptables Verhalten“ im Cyberspace gilt, verschoben. Beispielsweise verursachten russische Cyberangriffe auf ukrainische Stromanbieter in den Jahren 2015 und 2016 Stromausfälle im tiefsten Winter. Und seit Beginn der Invasion wurde auch zusätzliche destruktive Malware mit der Fähigkeit entdeckt, den Betrieb herunterzufahren, industrielle Prozesse zu sabotieren und Sicherheitssteuerungen zu deaktivieren, um physische Zerstörung zu verursachen.
Über solche destruktiven Operationen hinaus verbreiten russische Geheimdienste und ihre assoziierten Scheinfirmen wahrscheinlich auch falsche Narrative durch Informationsoperationen. Diese Kampagnen versuchen, aus innenpolitischen Spannungen Kapital zu schlagen, indem sie Alarm und Spaltung hervorrufen. Auf diese Weise könnten Bedenken hinsichtlich der europäischen Energieversorgung und des Drucks der Lebenshaltungskosten geschürt werden, um mehr Druck auf die europäischen Regierungen auszuüben, die versuchen, sich von der russischen Energie zu entwöhnen.
Zusätzliche Bedrohungen können auch von Cyberkriminellen ausgehen, von denen viele mit stillschweigender Zustimmung und sogar Ermutigung des russischen Staates operieren. Cyberkriminelle könnten in erster Linie finanziell motiviert sein, doch die Sicherheits- und Geheimdienste von Five Eyes haben davor gewarnt, dass viele russische Ransomware-Betreiber der Regierung ihre Unterstützung zugesagt haben. Und diese Gruppen haben eine Erfolgsbilanz bei der Ausrichtung auf Schlüsselsektoren und -dienstleistungen – wie ihre unerbittliche Ausrichtung auf Gesundheitsdienstleister in den Vereinigten Staaten und Europa während der Pandemie zeigt –, was den Energiesektor in den kommenden Monaten zu einem offensichtlichen Ziel macht.
Eines der Hauptanliegen dabei wird die Störung physikalischer Prozesse wie Energiesensoren, Gasterminals, Generatoren und Stromnetze sein. Im Februar beispielsweise beeinträchtigte ein Ransomware-Angriff den Betrieb mehrerer großer Ölhafenterminals in Belgien, Deutschland und den Niederlanden – ein ähnlicher Vorfall, der während der Wintermonate Gasterminals betraf, könnte zu erheblichen Störungen führen. Und obwohl uns die Tatsache ermutigen kann, dass zunehmend manuelle Sicherheitsvorkehrungen getroffen werden, um die Auswirkungen von Cyberangriffen zu minimieren, bleibt der Energiesektor anfällig.
Solche Bedrohungen sind ernst und erfordern in den kommenden Monaten eine proaktive Reaktion, um Störungen zu vermeiden. Wir sollten uns jedoch nicht vor Angst lähmen lassen, da wir die Handlungsfähigkeit haben, um diesen Herausforderungen direkt zu begegnen.
Zum einen hat die NATO bereits davor gewarnt, dass „jeder vorsätzliche Angriff auf die kritische Infrastruktur der Verbündeten mit einer einheitlichen und entschlossenen Antwort beantwortet werden würde“.
Obwohl solche Warnungen willkommen sind, gibt es immer noch genügend Unklarheiten hinsichtlich der möglichen Reaktion der NATO auf einen Cyberangriff, der durchgeführt wurde, um den Kreml zu ermutigen. Darüber hinaus hatten normative und abschreckungsbasierte Beschränkungen bisher nur begrenzte Auswirkungen auf Ransomware-Betreiber – wie die rücksichtslosen Angriffe auf kritische Infrastrukturen in den letzten Jahren gezeigt haben.
Solche politischen Reaktionen müssen daher mit einem unermüdlichen Fokus auf den Aufbau operativer Widerstandsfähigkeit kombiniert werden. Anstatt nur zu versuchen, Angriffe zu verhindern, müssen sich die europäischen Energieversorger im Falle eines Angriffs auch schnell erholen können.
In dieser Hinsicht sollten europäische Führungskräfte und Energieversorger sich von den ukrainischen Erfahrungen inspirieren lassen. Über die bloße Schuldzuweisung an Russland hinaus tragen die langfristigen Bemühungen der Ukraine zum Aufbau von Cyber-Resilienz dazu bei, das Fehlen hochgradig destruktiver Cyber-Aktivitäten seit Beginn der Invasion zu erklären. Die Cyber-Verteidiger des Landes und Partner aus dem Privatsektor haben dies im März und April deutlich demonstriert, als sie russische Versuche vereitelt haben, durch einen Cyberangriff einen Stromausfall zu verursachen, der 2 Millionen Menschen betroffen hätte.
Die offensichtliche Effektivität der Cyber-Resilienz der Ukraine zeigt zwei Lehren für die transatlantische Gemeinschaft in diesem Winter:
Erstens müssen wir tiefe und sinnvolle operative Partnerschaften zwischen Regierung und Industrie pflegen. Politiker legen oft Lippenbekenntnisse zur Notwendigkeit des Informationsaustauschs und öffentlich-privater Partnerschaften in der Cybersicherheit ab. Aber anstatt nur hochrangige Verpflichtungen zur bloßen Zusammenarbeit einzugehen, ist es jetzt an der Zeit, viel tiefere Arbeitsbeziehungen zwischen NATO-Mitgliedern, Anbietern von Cybersicherheit und europäischen Energieversorgern aufzubauen. Dies bedeutet, sich intensiv mit den operativen Realitäten von Netzwerkverteidigern auseinanderzusetzen.
Der Aufbau von Resilienz muss auch über den Schutz von Netzwerken im Energiesektor hinausgehen – die Entwicklung von Entschlossenheit wird ebenso wichtig sein. Viele der Cyberoperationen, die auf den Energiesektor abzielen, werden letztendlich darauf abzielen, die europäische Gesellschaft zu verunsichern und die Unterstützung für die Ukraine zu untergraben, und angesichts von Cyberangriffen und Desinformationskampagnen müssen die europäischen Bürger geschlossen bleiben.
Wenn wir uns einem Narrativ der Angst anschließen, tun wir die Arbeit des Kremls dafür. Stattdessen ist es an der Zeit, Europas winterliche Cyber-Bedrohungen direkt zu planen und anzugehen.