Hinter dem Cyberangriff auf das Internationale Rote Kreuz dürfte ein Staat stehen

Die Meldung im Januar liess vieles offen: Das Internationale Komitee vom Roten Kreuz (IKRK) war Opfer eines Cyberangriffs geworden, bei dem Daten von über 500 000 Personen entwendet worden waren. Diese enthielten Angaben über Vermisste oder Inhaftierte und ihre Familien. Das IKRK appellierte an die Angreifer, die Informationen nicht zu verkaufen oder zu veröffentlichen. Es entstand der Eindruck, dass Kriminelle hinter dem Angriff stünden. Das ist falsch.

Diese Woche hat das IKRK weitere Details zum Cyberangriff publik gemacht. Auch wenn die internationale Organisation nicht explizit davon spricht, wird klar: Hinter dem Angriff steht ein Staat oder eine staatlich unterstützte Gruppierung.

Die Angreifer seien gezielt und technisch äusserst raffiniert («highly sophisticated») vorgegangen, schreibt das IKRK. Sie hätten eine Reihe von spezifischen Angriffswerkzeugen benutzt, die «nicht öffentlich verfügbar» seien und hauptsächlich von staatlich unterstützten Spionage-Gruppen, sogenannten APT, verwendet würden. Die Schadprogramme hätten Elemente enthalten, die spezifisch für den Angriff auf das IKRK entwickelt worden seien.

Das Eindringen sei zudem in einer Weise verschleiert worden, wie es aufgrund des nötigen technischen Know-hows nur eine «begrenzte Zahl von Akteuren» können, so das IKRK. Entsprechend war der Angriff, der bereits am 9. November erfolgt war, erst am 18. Januar entdeckt worden. Das beschriebene Vorgehen schliesst kriminelle Banden wie sogenannte Ransomware-Gruppen aus.

«Rotes Kreuz galt als unantastbar»

Der Angriff auf das IKRK ist ein Tabubruch. Denn beim Opfer handelt es sich um die wohl wichtigste humanitäre Organisation; sie untersteht dem Schutz der Genfer Konventionen und geniesst weltweit grossen Respekt bei Konfliktparteien. «Das IKRK galt bisher als unantastbar», sagt Nathaniel Raymond. Er ist Dozent an der Universität Yale und berät humanitäre Organisationen im Bereich Technologie und Daten. Dass jetzt ein staatlicher Akteur das IKRK angreift, um an Daten zu gelangen, ist für ihn ein Präzedenzfall.

Der Angriff ist ein beunruhigendes Signal für die humanitäre Gemeinschaft. Denn das IKRK hat in den letzten Jahren grosse Anstrengungen im Bereich IT-Sicherheit unternommen. «Im Vergleich zu anderen Organisationen hat das IKRK der Datensicherheit am meisten Beachtung geschenkt und dafür am meisten Mittel aufgewendet», sagt Raymond. Aber selbst diese professionelle Organisation kann es treffen.

Cyberangriffe auf humanitäre Einrichtungen wie Nichtregierungsorganisationen (NGO) oder Spitäler sind kein neues Phänomen. Sie geschehen jeden Tag, oft auch von Cyberkriminellen. Stéphane Duguin vom Cyber Peace Institute in Genf sagt: «Die Nichtregierungsorganisationen verfügen über Geld und wertvolle Daten, und die Cyberkriminellen wissen das.»

Das Problem ist, dass den NGO oft wenig Geld für Cybersicherheit zur Verfügung steht. Die Geldgeber wollen, dass ihre Spenden möglichst direkt den Hilfsbedürftigen vor Ort zugutekommen, anstatt in IT-Projekte zu fliessen. Teilweise fehlt den Organisationen auch das Bewusstsein dafür, dass sie ein Ziel von Cyberangriffen sein können.

Duguin will das ändern. Das Cyber Peace Institute, das er leitet, ist selbst eine NGO, die andere NGO kostenlos im Bereich Cybersicherheit unterstützt. Dazu gehören das Evaluieren von Schutzmassnahmen oder die Schulung von Mitarbeitern, bevor ein möglicher Angriff passiert, aber auch Unterstützung oder forensische Analysen im Nachgang einer Attacke. Finanziert wird das Cyber Peace Institute hauptsächlich von privaten Spendern und Stiftungen, darunter Microsoft oder Mastercard.

Wenn der Laptop vom Lastwagen fällt

Die Helfer sind mit den unterschiedlichsten Problemen konfrontiert. Im Oktober verlor eine NGO zum Beispiel wichtige Daten. Ein Laptop fiel auf die Strasse und wurde von einem Lastwagen überrollt. Ein Backup gab es nicht. Oder eine Genfer Organisation wurde von Kriminellen mit einer Blockade des Zugangs zu ihrem Instagram-Account erpresst. Der Social-Media-Verantwortliche war auf eine Phishing-Mail hereingefallen und hatte seine Zugangsdaten auf einer gefälschten Log-in-Site eingegeben.

Der vielleicht spektakulärste Fall von Cyberkriminalität, der öffentlich bekannt ist, betrifft die amerikanische NGO Roots of Peace, die seit Jahren in Afghanistan aktiv ist. 2020 entdeckte die Organisation, dass sie Opfer eines Hackerangriffs geworden war. Die Kriminellen benutzten interne Informationen für einen sogenannten CEO-Fraud, bei dem der Anschein erweckt wird, der CEO veranlasse eine Zahlung, die dann auf ein Konto der Betrüger fliesst. Roots of Peace verlor insgesamt 1,34 Millionen US-Dollar an die Kriminellen.

Doch der Verlust von Geld ist keineswegs die schlimmste Folge eines Cyberangriffs. Denn es können auch Personen geschädigt oder gefährdet werden. Etwa wenn besonders schützenswerte persönliche Daten von verletzlichen Personen gestohlen werden, wie dies im Fall des IKRK geschehen ist.

Humanitäre Organisationen speichern sensible Personendaten, wie es sonst nur staatliche Behörden tun. Eine Folge des Angriffs auf das IKRK könnte sein, dass das Vertrauen in den humanitären Sektor schwindet, befürchtet Duguin vom Cyber Peace Institute. Bedürftige Personen könnten gar Hilfsangebote ausschlagen, weil sie vorsichtiger werden. Duguin hofft deshalb, dass der Angriff auf das IKRK ein Warnruf ist.

Das IKRK ist sich seiner Verantwortung bewusst. Das zeigt die Reaktion auf den Angriff: Die internationale Organisation informierte rasch und transparent über den Vorfall. Im Zentrum standen die Folgen für die Menschen. Das IKRK appellierte direkt an die Angreifer: «Ihre Handlungen verursachen möglicherweise denjenigen noch mehr Schaden und Schmerz, die bereits unsägliches Leid ertragen haben.» Gleichzeitig begann das IKRK, mit allen Betroffenen direkt Kontakt aufzunehmen.

Staaten verurteilten den Angriff nicht gemeinsam

Eine koordinierte internationale Reaktion hingegen blieb aus. «Weder die Staaten noch die humanitären Organisationen verurteilten den Angriff in einer gemeinsamen Erklärung», kritisiert der Experte Raymond. Dabei müsste jetzt die internationale Gemeinschaft zusammenstehen: «Denn mit dieser Attacke werden wir alle angegriffen.»

Selbst die Reaktion der Schweiz blieb bisher verhalten, obwohl sie Depositarstaat der Genfer Konventionen ist, auf denen die Arbeit des IKRK beruht. In einer ersten Stellungnahme bedauerte das Aussendepartement den Angriff einzig. Das mag damit zusammenhängen, dass die völkerrechtliche Einschätzung des Cyberangriffs nicht restlos geklärt ist. Er dürfte eher mit dem Einbruch in ein IKRK-Gebäude in Genf vergleichbar sein als mit dem Beschuss einer Ambulanz in einem Konfliktgebiet.

Die Politik muss sich in Zukunft noch verstärkt der Frage annehmen, welchen rechtlichen Schutz humanitäre Organisationen im digitalen Raum haben. Zwar brachten im letzten Jahr zwei Arbeitsgruppen der Uno – überraschend – eine gemeinsame Erklärung zur Cybersicherheit zustande. Doch eine explizite Bekräftigung, dass das humanitäre Völkerrecht auch im Cyberraum gelte, fand zu wenig internationalen Rückhalt.

Für Daniel Stauffacher vom Schweizer Think-Tank ICT4Peace ist es deshalb an der Zeit, dass jene Staaten aktiv werden, die für verbindlichere Normen sind. «Nun muss sich eine Gruppe von Staaten zusammentun und erklären: ‹Wir greifen keine humanitären Organisationen oder zivilen kritischen Infrastrukturen wie Spitäler an.›» Wenn das 50 oder 70 Staaten machen würden, die unter solchen Cyberangriffen leiden, hätte das Signalwirkung.

Wie soll die Schweiz die Vertretungen in Genf schützen?

Neben dem rechtlichen Status ist auch die Frage entscheidend, wie der humanitäre Sektor technisch besser geschützt werden kann. Dass dieses Thema die Organisationen in Genf beschäftigt, spürt Jürg Lauber. Er ist Schweizer Botschafter bei der Uno in Genf und Vertreter des Gastlandes für die dortigen internationalen Organisationen. «Wir sind daran, das Dispositiv des Gaststaates im digitalen Raum zu überarbeiten», sagt Lauber. Er spüre bei den Organisationen unter anderem einen grossen Bedarf an sicheren Cloud-Lösungen für die Datenspeicherung.

Das IKRK will als Folge des Angriffs seine IT-Sicherheit rasch erhöhen. Wer die Angreifer waren und welches ihre Motive waren, könne man nicht eindeutig feststellen. «Und wir werden nicht darüber spekulieren», schreibt das IKRK. Das hat wohl weniger technische Gründe, denn die Organisation kennt inzwischen viele Details des Angriffs. Aber politisch verfolgt das IKRK die Linie, nicht öffentlich einen konkreten Staat zu beschuldigen.

Passend zum Artikel

Gastkommentar

Daten der weltweit Schwächsten der Schwachen zu hacken, ist ein Skandal

Die Rotkreuz- und Rothalbmondbewegung hilft Menschen unter schlimmsten Umständen und wahrt dabei ihre Würde. Der Cyberangriff auf eine humanitäre Organisation und ihre Daten kann schweren Schaden verursachen und zu Vertrauensverlust führen.

Robert Mardini und Markus Mader 27.01.2022

Massive Cyberattacke gegen Internationales Rotes Kreuz

20.01.2022

Kommentar

Es droht Krieg, aber die Schweiz schaut nicht hin

Das regelbasierte System der Weltpolitik steht unter Druck. Dazu gehört auch das internationale Genf – und das IKRK.

Georg Häsler, Bern 22.01.2022