Von Stefan Korinth

Das Weltwirtschaftsforum (WEF) und die russische Sberbank haben im Juli 2021 zum dritten Mal in Folge die jährliche Übung Cyber Polygon veranstaltet. 200 IT-Teams internationaler Firmen und Institutionen nahmen teil, doch nur wenige von ihnen konnten den simulierten Hackerangriff abwehren. Die Live-Veranstaltung wurde währenddessen von realen Hackern attackiert. Im öffentlichen Teil der Konferenz verzichtete WEF-Gründer Klaus Schwab diesmal auf apokalyptische Ankündigungen – trotzdem verschaffte die Veranstaltung einen Einblick in einige Vorhaben der Architekten der angestrebten digitalen Kontrollwelt.

Cyber Polygon – die laut WEF „weltweit größte technische Trainingsübung für Unternehmensteams“ – geriet zuletzt auf den Schirm der kritischen Öffentlichkeit, nachdem WEF-Gründer Klaus Schwab bei der Eröffnung der Veranstaltung 2020 in dramatischen Worten vor einer großangelegten Cyber-Attacke gewarnt hatte. Gelinge solch ein katastrophaler Hackerangriff auf die kritische Infrastruktur (wie Strom-, Wasser- und Nahrungsversorgung), wäre die gesamte Gesellschaft lahmgelegt. Die Corona-Krise würde dagegen nur wie „eine kleine Störung“ wirken, prophezeite Schwab damals und mahnte einmal mehr einen globalen Neustart – einen „Great Reset“ – an.

Zudem nährte die Ankündigung der Organisatoren, bei Cyber Polygon 2021 einen Angriff auf die digitale Lieferkette von Wirtschaftssektoren zu simulieren, bei Kritikern einen Verdacht: Hier könnte es sich um ein elitäres Planspiel handeln, das genau das vorwegnimmt, was währenddessen oder kurz darauf tatsächlich passieren soll. Hintergrund und Vorbild dieser Befürchtungen unter anderem: Event 201, ein Planspiel des WEF und der Bill-und-Melinda-Gates-Stiftung, das im Oktober 2019 eine Corona-Pandemie simulierte.

Konzerne und Behörden arbeiten zusammen

Cyber Polygon ist eines von mehreren Projekten, die das WEF in Kooperation mit internationalen Konzernen, aber auch mit vielen staatlichen Einrichtungen zu digitaler Sicherheit von Unternehmen betreibt. Die verschiedenen Initiativen sind seit 2018 in einem Centre for Cybersecurity versammelt. Dabei geht es nicht nur darum, Politiker und Strafverfolgungsbehörden in die Mitverantwortung für die digitale Sicherheit privater Konzerne zu nehmen, sondern Zweck ist auch, zivilen und staatlichen Vertretern die Mantras des Weltwirtschaftsforums permanent einzuimpfen.

Die wichtigste dieser Botschaften, die bei den Cybersicherheits-Projekten des WEF teils explizit, teils implizit ausgesprochen wird, lautet: Hacking sei ein globales Problem, das Staaten aufgrund der allgegenwärtigen Digitalisierung in ihren Grundfesten erschüttern könne. Dieser Gefahr könnten Regierungen und Behörden letztendlich nur begegnen, indem sie gemeinsam mit den Konzernen der Superreichen die digitale Überwachung auf sämtliche Lebensbereiche ausdehnen.

Cyber Polygon und die Sberbank

Bei Cyber Polygon spielt die staatsnahe russische Sberbank eine Hauptrolle. Deren IT-Sicherheitsdienstleister BI.Zone liefert das organisierende Fachpersonal für die Übung und aus den entsprechend aufgepeppten IT-Räumlichkeiten der Bank in Moskau wird der öffentliche Teil der jährlichen Cyber-Polygon-Veranstaltung in die Welt gesendet. Zudem holt Sberbank-Chef Herman Gref, der auch eine wichtige Rolle beim WEF spielt, hochrangige russische Staatsvertreter wie den Ministerpräsidenten Michail Mischustin an Bord der Konferenz.

Die Veranstaltung besteht aus zwei voneinander unabhängigen Elementen: Ein öffentlicher Teil mit Stellungnahmen und Talkrunden zugeschalteter Konzern- und Staatsvertreter. Meinungsverschiedenheiten gibt es in diesen Gesprächen in der Regel nicht, da alle Beteiligten auf Linie des WEF liegen. Der andere Teil der Veranstaltung ist eine zweitägige Übung in digitaler Unternehmenssicherheit, wobei die Zuschauer nur wenig Einblick erhalten. Lediglich für wenige Minuten berichten Teilnehmer von BI.Zone im Livestream zwischen den Talkrunden vom Fortgang der Übung. Auch der schriftliche Abschlussbericht bleibt in dieser Hinsicht schmallippig.

Nur eine Handvoll Teilnehmer kann die Angriffe abwehren

Bei Cyber Polygon 2021 traten nach Angaben der Veranstalter diesmal 200 Teams von IT-Spezialisten an, um unabhängig voneinander simulierte Hackerangriffe auf eine vorbereitete virtuelle Struktur abzuwehren und anschließend forensisch aufzuklären. Die Teilnehmerzahl des Formats stieg über die Jahre stark an. Mehr als 1.200 IT-Teams hatten sich diesmal für die begrenzten Plätze angemeldet, heißt es im Abschlussbericht. Bei der nächsten Veranstaltung im Sommer 2022 soll die Kapazität unbegrenzt sein.

Die Teams gehörten zu Unternehmen unter anderem aus den Sektoren Finanzen, Informationstechnologie und Beratung sowie zu öffentlichen Einrichtungen aus den Bereichen Strafverfolgung, Verwaltung, Wissenschaft oder Gesundheit. Die Teilnehmer blieben mehrheitlich anonym. Die Organisatoren verraten im Abschlussbericht nur so viel: Die meisten Teams kamen aus Russland, den USA, Großbritannien und Kasachstan (je über zehn). Auch aus der Schweiz und aus Deutschland waren jeweils fünf bis zehn Unternehmen dabei. Namentlich erwähnt wurde davon nur die Deutsche Bank.

Mehr als die Hälfte aller Teilnehmer bei Cyber Polygon 2021 wurde von IT- und Finanzunternehmen entsendet. Teams solcher Unternehmen waren dann laut Abschlussbericht auch die besten der Übung. Allerdings konnten nur „fünf oder sechs“ der 200 Teilnehmer alle verwundbaren Stellen der Manöver-Software in der vorgegebenen Zeit sichern, erläutert einer der Organisatoren von BI.Zone, der zum Angriffsteam der Übung gehörte.

Dieses verheerende Ergebnis wurde von den Akteuren im Livestream jedoch ungerührt hingenommen und im Abschlussbericht nicht mal erwähnt. Dort ist zu lesen, 15 Prozent der Teilnehmer konnten im ersten Szenario gar keinen Punkt erzielen, was aber dennoch eine deutliche Verbesserung zur Übung Cyber Polygon 2020 sei. Im zweiten Szenario schnitten die Teilnehmer diesmal hingegen um 13 Prozent schlechter ab als im Vorjahr. Die praktischen Konsequenzen solch ernüchternder Ergebnisse thematisieren die Cyber-Polygon-Organisatoren nicht öffentlich.

Angeblicher Angriff auf Cyber Polygon selbst

Nach gut 90 Minuten der fast sechsstündigen, per Livestream übertragenen Sendung behauptete Moderator Alexander Tushkanov, Cyber Polygon sei „gerade vor 15 Minuten“ per DDOS-Attacke von echten Hackern angegriffen worden.

„Man muss immer bereit sein, auch während des Trainings. Unnötig zu sagen, dass der Angriff abgewehrt wurde.“

Wie glaubwürdig das ist, bleibt dahingestellt, jedoch passt solch eine Nachricht hervorragend in das permanent wiederholte Bedrohungsmantra des WEF.

Nur wenige Tage vor Cyber Polygon fand ein sogenannter Lieferkettenangriff („supply chain attack“) auf den US-Softwareanbieter Kaseya große internationale Aufmerksamkeit. Erpresserische Verschlüsselungsprogramme gelangten am 2. Juli über die digitale Lieferkette des Unternehmens in die IT-Systeme von bis zu 1.500 Kaseya-Kunden – darunter die schwedische Eisenbahn, neuseeländische Schulen und deutsche Mittelständler – die daraufhin nicht mehr in ihre Computersysteme gelangten, ohne Lösegeld zu zahlen. Auf einem Lieferkettenangriff basierten auch die Übungsszenarien bei Cyber Polygon 2021.

Geopolitische Begleitmusik: Kaseya-Angriff beschäftigt Putin und Biden

Hier lohnt sich ein kurzer Exkurs: Der Kaseya-Angriff unmittelbar im Vorfeld von Cyber Polygon ging nach offiziellen Angaben von der Hackergruppe „REvil“ aus. Von dieser werde vermutet, dass sie in Russland sitze, da sie nie Ziele in ehemaligen sowjetischen Ländern angreife, heißt es in angelsächsischen Medien. REvil hatte im Frühling auch den weltgrößten Fleischkonzern JBS Foods gehackt.

Die angegriffene Firma Kaseya erhielt allerdings nur drei Wochen später einen digitalen Generalschlüssel zur Entsperrung der blockierten Daten. Zuerst sei unklar gewesen, woher die Firma den Schlüssel bekommen hatte. Manche Medien vermuteten, Kaseya habe das geforderte Lösegeld von 70 Millionen Dollar an REvil bezahlt. Das bestritten die Firmenverantwortlichen jedoch und sagten, sie hätten den Schlüssel von einer „vertrauenswürdigen dritten Partei” erhalten.

Laut Washington Post handelt es sich dabei um das FBI, das sich den Schlüssel durch Zugriff auf den REvil-Server selbst besorgt habe. Die Zeitung geht dieser Behauptung nicht weiter nach, doch auch hier darf an der Erklärung aus anonymen Kreisen Washingtons durchaus gezweifelt werden. Jeder, der den Schlüssel besitzt, kann selbst der Angreifer gewesen sein.

Dass das Ganze wie ein geopolitisches Blame-Game wirkt, erhält zudem Nahrung dadurch, dass der Kaseya-Vorfall zeitnah Thema in einem Gespräch zwischen den Präsidenten Joe Biden und Wladimir Putin war. Resultat: Punktsieg Biden. Denn REvil verschwand nur wenige Tage nach der Attacke aus dem Darknet. US-Medien stellen es so dar, als sei dies eine Folge von Bidens Ermahnungen gegenüber Putin, dieser solle etwas gegen russische Hacker tun, ansonsten werde Biden die US-Dienste anweisen, die Sache selbst in die Hand zu nehmen.

Wie dem auch sei, Kaseya-Chef Fred Voccola wurde im August 2021 trotz des verheerenden Lieferkettenangriffs auf sein Unternehmen und dessen Kunden nicht entlassen, sondern für erfolgreiche Unternehmensleistung und Produktstärke ausgezeichnet. Die Hackergruppe REvil tauchte im September wieder auf und führte weitere Erpressungen durch, bevor sie in den folgenden Monaten durch internationale Ermittler endgültig zerschlagen wurde. Verdächtige wurden in Rumänien, Polen, den USA und Südkorea festgenommen. Der Täter im Kaseya-Fall sei ein Ukrainer, wurde gemeldet. Im Januar 2022 verhafteten russische Behörden bei Razzien 14 weitere Verdächtige.

Russische Regierung ist Ziel von hochkomplexen Hackerangriffen

Zurück zu Cyber Polygon: Genau solche geopolitischen Verwicklungen und instrumentellen Täterspekulationen beim Thema Hacking bilden den Hintergrund eines der interessantesten Gespräche bei Cyber Polygon 2021. Es handelt sich um die Diskussion des leitenden Microsoft-Sicherheitsberaters Roger Halbheer mit Igor Lyapunov, dem Vizepräsidenten für Informationssicherheit der russischen Telekom.

In diesem Interview gibt es eine für westliche Ohren eher seltene Information. Lyapunov berichtet über Cyber-Attacken gegen die russische Regierung. Moskau habe mit hochkomplexen Angriffen zu tun, die versuchen, die Kontrolle über digitale Regierungssysteme zu erlangen. Seine Organisation schätzt die Kosten einer einzigen solchen Attacke auf 1,5 Millionen Dollar, erläutert der russische Experte. Die Angriffe seien sehr schwierig festzustellen und werden von IT-Sicherheitssystemen gar nicht bemerkt. Auf eine neue Ressource unter der Regierungsdomain gov.ru begann bereits fünf Tage, nachdem diese online ging, ein ausgefeilter Angriff.

Die Täterfrage spart Lyapunov zwar aus, aber unter Berücksichtigung von Ziel und offensichtlich vorhandenen Ressourcen ist es eher unwahrscheinlich, dass diese Angriffe von privaten Hackern ausgehen. Allein die indirekte Andeutung, dass westliche Regierungen und Geheimdienste beachtliche Mittel in Hackerangriffe gegen Russland investieren, ruft den Moderator und früheren CNN-Mann Ryan Chilcote auf den Plan, der hier nicht vertiefend nachfragt, sondern wie als Retourkutsche das Narrativ von russischen Hackern ins Spiel bringt, die im Auftrag des Kreml westliche Infrastruktur angreifen.

Microsoft kennt nur anti-westliche Hacker

Dieses in