Ein Heer von Hackern kämpft gegen Russland: Wie funktioniert die ukrainische IT-Armee? Als der Ukraine-Krieg beginnt, schliessen sich Freiwillige zusammen, um Cyberangriffe gegen Russland auszuführen. Wie kämpfen sie mit dem Laptop gegen Putin? Und was treibt ihre Mitglieder an? Wir haben mit zwei Ukrainern gesprochen.

Lukas Mäder (Text); Kaspar Manz (Illustrationen) 17.09.2022, 05.30 Uhr

Illustration Kaspar Manz / NZZ

Als Viktor am 24. Februar in Lwiw aufwacht, ist der russische Angriff bereits in vollem Gange. Die Sirenen des Fliegeralarms hat er nicht gehört. Zu dick sind die Fenster seiner Wohnung. "Ich habe den Kriegsbeginn verpasst", sagt er im Gespräch.

Dass Krieg herrscht, wird Viktor rasch klar. Auf seinem Handy findet er zahlreiche Nachrichten von Freunden und Bekannten. Darunter auch eine seines Chefs: "Wir fahren nach Polen!" Viktor überlegt nicht lange. Zusammen mit seiner Frau setzt er sich ins Auto. Die Grenze ist nur knapp zwei Fahrstunden entfernt. Er kann das Land noch verlassen. Wenige Stunden später erlässt Präsident Wolodimir Selenski ein Dekret, das Männern unter 60 Jahren die Ausreise verbietet.

Seither ist Viktor nicht mehr in sein Land zurückgekehrt. Gegen Russland, das seine Heimat angegriffen hat, kämpft er trotzdem - aus der Ferne über das Internet. Er greift als Freiwilliger der "IT Army of Ukraine", der ukrainischen "IT-Armee", Ziele in Russland an.

Der Krieg zwischen Russland und der Ukraine findet auch im Cyberraum statt. Während sich die Truppen auf den Feldern und in den Wäldern der Ukraine mit Raketen beschiessen, kommt es in den IT-Netzwerken zu Angriffen auf Energiefirmen oder Telekomanbieter, aber auch zu Desinformationskampagnen und Spionageaktionen.

Die "IT Army of Ukraine" ist die Hilfstruppe im Cyberraum: eine Gruppe von Freiwilligen, die über einen öffentlichen Telegram-Kanal organisiert ist und russische Websites und Online-Dienste angreift. Ihr Mittel: DDoS-Attacken. Ein technisch einfaches Vorgehen, bei dem die Server des Opfers mit unzähligen Anfragen überlastet werden, bis sie ausfallen - zumindest vorübergehend. Jeder kann diese Attacken durchführen. Sie sind sozusagen die Cyberangriffe des armen Mannes.

Wer sich auf die Suche nach Freiwilligen der "IT-Armee" macht, wird rasch fündig. Fast alle in der ukrainischen IT-Branche scheinen jemanden zu kennen, der Verbindungen zur "IT-Armee" hat - oder zumindest anderweitig im Internet gegen Russland aktiv ist. Ein Engagement ist patriotische Pflicht, so der Eindruck. Serhi und Viktor sind zwei Freiwillige, die bereit sind zu reden. Sie heissen in Wirklichkeit anders.

Nachtsichtgeräte und Zigaretten für die Front

Viktor ist ein junger ukrainischer IT-Experte. Er hat Startups gegründet und zeitweise im Ausland gelebt. Mit seinem Fachwissen würde er in Westeuropa problemlos eine Anstellung finden. Doch Viktor ist vor einigen Jahren in sein Land zurückgekehrt. Er ist Teil jener ukrainischen IT-Community, die von den attraktiven Bedingungen im Land profitiert: von guten Löhnen und tiefen Steuern. Entsprechend ist die IT-Branche in den letzten Jahren gewachsen.

Viktor meldet sich per Video-Call aus einem Land auf dem Balkan. Dort ist er nach einer Odyssee von Polen über Norwegen gelandet. Anfangs gibt er unbeschwert Auskunft, möchte einzig, dass sein Arbeitgeber nicht genannt wird. Erst im Verlauf des Gesprächs, als es um die heikleren Fragen seiner Aktivitäten geht, wird er zurückhaltender. Denn nicht alles, was Viktor in den letzten Monaten gemacht hat, ist legal.

Nach seiner Flucht am ersten Kriegstag will Viktor eigentlich nicht in Polen bleiben. "Ich wollte zurückkehren und helfen." Der russische Einmarsch ist für Viktor ein Schock. Seine Eltern leben nahe der Frontlinie, während er sich im Ausland in Sicherheit bringen konnte. Aber er habe realisiert, dass die Armee gar nicht so viele Leute brauche, sagt er. Viktor beginnt Geld zu spenden.

Viele aus der IT-Community hätten geholfen, sagt Viktor. "Als der Krieg begann, fühlten wir uns gegenüber unserem Land verpflichtet." Gespendet wurde nicht nur Geld, sondern auch Ausrüstung für die Armee: Helme, Nachtsichtgeräte oder Drohnen zum Beispiel, sagt Viktor. Teures Gerät, das sich Zivilisten im Ausland legal besorgen können.

Viktor selbst kommt in Kontakt mit einem Offizier der Flugabwehr, der in der Ukraine kämpft. Für diesen sammelt er Geld und kauft Material ein: Dieselgeneratoren, meteorologisches Messgerät oder einen Verstärker für das Handysignal. Aber auch Zigaretten schickt Viktor in die Ukraine.

Doch es bleibt nicht bei Sachspenden. In Norwegen, wohin Viktor von Polen aus weitergereist ist, stösst er auf den Telegram-Kanal der "IT Army of Ukraine". Er hat Informationen über ein mögliches Ziel - und gibt diese weiter: eine russische Plattform für Geldüberweisungen. In Zeiten der Sanktionen ist dies ein wichtiges Angebot. Die "IT-Armee" möchte den Dienst mit DDoS-Angriffen lahmlegen. Viktor schliesst sich der Attacke an. Er wird Teil der Freiwilligenarmee.

Die Ukraine suchte verzweifelt IT-Experten für Angriffe

Die "IT-Armee" ist in den ersten Tagen des Kriegs entstanden. Als Russland angreift, ist die Ukraine für den Konflikt im Cyberraum nur teilweise gerüstet. Das Land hat in den vergangenen Jahren zwar seine Fähigkeiten zur Abwehr von Cyberangriffen stark ausgebaut: Es gibt technische Systeme zur Früherkennung von Attacken, und die Behörden arbeiten eng mit westlichen IT-Sicherheitsfirmen zusammen.

Doch es fehlt an Fachpersonen - insbesondere, um selbst Angriffe gegen Russland durchzuführen. Noch am 24. Februar machen die ersten Aufrufe in der IT-Community die Runde: "Ukrainische Cybercommunity! Es ist Zeit, sich für die Cyberverteidigung unseres Landes zu engagieren", schreibt der Unternehmer Jegor Auschew in Foren im Internet. IT-Spezialisten sollen sich in ein Google-Formular eintragen und sich so bei den Behörden melden. Ein Teil der IT-Spezialisten wird in die Armee aufgenommen und in eine neue Cybertruppe integriert.

We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
- Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
Die Mobilisierung geht noch weiter. Am dritten Kriegstag ruft der Digitalminister Michailo Fedorow auf Telegram und Twitter dazu auf, sich der neugegründeten "IT Army of Ukraine" anzuschliessen. "Es wird Aufgaben für jedermann geben", schreibt er. Die Freiwilligenarmee ist geboren.

Die Schaffung einer Freiwilligenarmee auf Telegram findet weltweit Beachtung in den Medien. In den ersten Wochen wächst die "IT-Armee" rasch. Wobei ein offizieller Beitritt nicht nötig ist: Jeder, der dem öffentlichen Telegram-Kanal beitritt, sieht die Befehlsausgabe mit den Angriffszielen und kann diese selbständig attackieren. Ende März zählte der Kanal einen Höchststand von 307.000 Mitgliedern, inzwischen ist die Zahl auf unter 230.000 gefallen. Lange nicht alle Mitglieder beteiligen sich an den Attacken.

Seine Freunde bastelten Molotowcocktails, er hackte

Serhi ist der zweite Freiwillige, der Auskunft gibt über sein Engagement bei der "IT-Armee". Als der russische Angriff beginnt, ist er in seiner Heimatstadt Sumi im Nordosten der Ukraine. Die Stadt gehört zu den Hauptzielen der ersten Offensive. Es sind nur rund 30 Kilometer bis zur russischen Grenze.

Sumi steht sofort unter Beschuss, es kommt zu Kämpfen in den Aussenquartieren, dann wird die Stadt belagert. Mittendrin ist Serhi. Der Angriff treibt ihn in den Luftschutzkeller. "In den ersten Stunden haben wir ständig die News verfolgt", sagt er. Dann beginnt er zu helfen - wie viele seiner Freunde. Einige schliessen sich der Armee an, andere basteln Molotowcocktails, um die Verteidigung der Stadt zu unterstützen. Serhi beginnt zu hacken.

Serhi hat an der polytechnischen Hochschule in Sumi studiert. Danach steigt er in das IT-Geschäft ein. Heute ist er 30 Jahre alt und als Entwickler für eine Schweizer Marketingfirma tätig. Serhi arbeitet immer noch, jeden Tag, trotz dem Krieg. "Alle sind hoch produktiv", sagt Serhi, der inzwischen in die Westukraine geflüchtet ist. Es gehe darum, Geld zu verdienen, um die Armee finanziell zu unterstützen. "Wer nicht an der Front kämpft, versucht alles, um irgendwie sonst für sein Land nützlich zu sein."

Die Tage im umkämpften Sumi sind für Serhi prägend: die ständigen Einschläge der Artillerie. Die grosse Angst. Doch das Internet habe praktisch immer funktioniert, erzählt Serhi. Nur einmal, als die Stromversorgung getroffen wurde, fiel die Verbindung für ein, zwei Tage aus.

In dieser Zeit schliesst sich Serhi mit anderen Hackern zusammen. "Wir haben angefangen, in kleinen Gruppen zusammenzuarbeiten", sagt Serhi. "Jeder hatte einen Freund, der bei den DDoS-Attacken mitgemacht hat." Schnell wächst die Zahl der Beteiligten. Einer schreibe Skripts für die automatisierten Angriffe, ein anderer stelle sie auf einer Plattform zum Download zur Verfügung, ein Dritter könne die virtuellen Server in der Cloud aufsetzen, sagt Serhi. "Am Schluss haben sich alle der ‹IT Army of Ukraine› angeschlossen."

Die Freiwilligenarmee greift Banken und Universitäten an

Die Liste der Angriffsziele der "IT-Armee" ist lang: Staatliche russische Institutionen, Banken, private Firmen oder Medien gehören dazu. Und Hochschulen: Am 20. Juni öffnen die russischen Universitäten ihre Online-Portale, damit sich die Studierenden einschreiben können. Doch es kommt zu technischen Problemen. Die Anmeldeplattformen sind teilweise überlastet und nicht erreichbar. Grund dafür sind DDoS-Viktor meldet sich per Video-Call aus einem Land auf dem Balkan. Dort ist er nach einer Odyssee von Polen über Norwegen gelandet. Anfangs gibt er unbeschwert Auskunft, möchte einzig, dass sein Arbeitgeber nicht genannt wird. Erst im Verlauf des Gesprächs, als es um die heikleren Fragen seiner Aktivitäten geht, wird er zurückhaltender. Denn nicht alles, was Viktor in den letzten Monaten gemacht hat, ist legal.

Nach seiner Flucht am ersten Kriegstag will Viktor eigentlich nicht in Polen bleiben. "Ich wollte zurückkehren und helfen." Der russische Einmarsch ist für Viktor ein Schock. Seine Eltern leben nahe der Frontlinie, während er sich im Ausland in Sicherheit bringen konnte. Aber er habe realisiert, dass die Armee gar nicht so viele Leute brauche, sagt er. Viktor beginnt Geld zu spenden.

Viele aus der IT-Community hätten geholfen, sagt Viktor. "Als der Krieg begann, fühlten wir uns gegenüber unserem Land verpflichtet." Gespendet wurde nicht nur Geld, sondern auch Ausrüstung für die Armee: Helme, Nachtsichtgeräte oder Drohnen zum Beispiel, sagt Viktor. Teures Gerät, das sich Zivilisten im Ausland legal besorgen können.

Viktor selbst kommt in Kontakt mit einem Offizier der Flugabwehr, der in der Ukraine kämpft. Für diesen sammelt er Geld und kauft Material ein: Dieselgeneratoren, meteorologisches Messgerät oder einen Verstärker für das Handysignal. Aber auch Zigaretten schickt Viktor in die Ukraine.

Doch es bleibt nicht bei Sachspenden. In Norwegen, wohin Viktor von Polen aus weitergereist ist, stösst er auf den Telegram-Kanal der "IT Army of Ukraine". Er hat Informationen über ein mögliches Ziel - und gibt diese weiter: eine russische Plattform für Geldüberweisungen. In Zeiten der Sanktionen ist dies ein wichtiges Angebot. Die "IT-Armee" möchte den Dienst mit DDoS-Angriffen lahmlegen. Viktor schliesst sich der Attacke an. Er wird Teil der Freiwilligenarmee.

Die Ukraine suchte verzweifelt IT-Experten für Angriffe

Die "IT-Armee" ist in den ersten Tagen des Kriegs entstanden. Als Russland angreift, ist die Ukraine für den Konflikt im Cyberraum nur teilweise gerüstet. Das Land hat in den vergangenen Jahren zwar seine Fähigkeiten zur Abwehr von Cyberangriffen stark ausgebaut: Es gibt technische Systeme zur Früherkennung von Attacken, und die Behörden arbeiten eng mit westlichen IT-Sicherheitsfirmen zusammen.

Doch es fehlt an Fachpersonen - insbesondere, um selbst Angriffe gegen Russland durchzuführen. Noch am 24. Februar machen die ersten Aufrufe in der IT-Community die Runde: "Ukrainische Cybercommunity! Es ist Zeit, sich für die Cyberverteidigung unseres Landes zu engagieren", schreibt der Unternehmer Jegor Auschew in Foren im Internet. IT-Spezialisten sollen sich in ein Google-Formular eintragen und sich so bei den Behörden melden. Ein Teil der IT-Spezialisten wird in die Armee aufgenommen und in eine neue Cybertruppe integriert.

We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
- Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022

Die Mobilisierung geht noch weiter. Am dritten Kriegstag ruft der Digitalminister Michailo Fedorow auf Telegram und Twitter dazu auf, sich der neugegründeten "IT Army of Ukraine" anzuschliessen. "Es wird Aufgaben für jedermann geben", schreibt er. Die Freiwilligenarmee ist geboren.

Die Schaffung einer Freiwilligenarmee auf Telegram findet weltweit Beachtung in den Medien. In den ersten Wochen wächst die "IT-Armee" rasch. Wobei ein offizieller Beitritt nicht nötig ist: Jeder, der dem öffentlichen Telegram-Kanal beitritt, sieht die Befehlsausgabe mit den Angriffszielen und kann diese selbständig attackieren. Ende März zählte der Kanal einen Höchststand von 307 000 Mitgliedern, inzwischen ist die Zahl auf unter 230 000 gefallen. Lange nicht alle Mitglieder beteiligen sich an den Attacken.

Seine Freunde bastelten Molotowcocktails, er hackte

Serhi ist der zweite Freiwillige, der Auskunft gibt über sein Engagement bei der "IT-Armee". Als der russische Angriff beginnt, ist er in seiner Heimatstadt Sumi im Nordosten der Ukraine. Die Stadt gehört zu den Hauptzielen der ersten Offensive. Es sind nur rund 30 Kilometer bis zur russischen Grenze.

Sumi steht sofort unter Beschuss, es kommt zu Kämpfen in den Aussenquartieren, dann wird die Stadt belagert. Mittendrin ist Serhi. Der Angriff treibt ihn in den Luftschutzkeller. "In den ersten Stunden haben wir ständig die News verfolgt", sagt er. Dann beginnt er zu helfen - wie viele seiner Freunde. Einige schliessen sich der Armee an, andere basteln Molotowcocktails, um die Verteidigung der Stadt zu unterstützen. Serhi beginnt zu hacken.

Serhi hat an der polytechnischen Hochschule in Sumi studiert. Danach steigt er in das IT-Geschäft ein. Heute ist er 30 Jahre alt und als Entwickler für eine Schweizer Marketingfirma tätig. Serhi arbeitet immer noch, jeden Tag, trotz dem Krieg. "Alle sind hoch produktiv", sagt Serhi, der inzwischen in die Westukraine geflüchtet ist. Es gehe darum, Geld zu verdienen, um die Armee finanziell zu unterstützen. "Wer nicht an der Front kämpft, versucht alles, um irgendwie sonst für sein Land nützlich zu sein."

Die Tage im umkämpften Sumi sind für Serhi prägend: die ständigen Einschläge der Artillerie. Die grosse Angst. Doch das Internet habe praktisch immer funktioniert, erzählt Serhi. Nur einmal, als die Stromversorgung getroffen wurde, fiel die Verbindung für ein, zwei Tage aus.

In dieser Zeit schliesst sich Serhi mit anderen Hackern zusammen. "Wir haben angefangen, in kleinen Gruppen zusammenzuarbeiten", sagt Serhi. "Jeder hatte einen Freund, der bei den DDoS-Attacken mitgemacht hat." Schnell wächst die Zahl der Beteiligten. Einer schreibe Skripts für die automatisierten Angriffe, ein anderer stelle sie auf einer Plattform zum Download zur Verfügung, ein Dritter könne die virtuellen Server in der Cloud aufsetzen, sagt Serhi. "Am Schluss haben sich alle der ‹IT Army of Ukraine› angeschlossen."

Die Freiwilligenarmee greift Banken und Universitäten an

Die Liste der Angriffsziele der "IT-Armee" ist lang: Staatliche russische Institutionen, Banken, private Firmen oder Medien gehören dazu. Und Hochschulen: Am 20. Juni öffnen die russischen Universitäten ihre Online-Portale, damit sich die Studierenden einschreiben können. Doch es kommt zu technischen Problemen. Die Anmeldeplattformen sind teilweise überlastet und nicht erreichbar. Grund dafür sind DDoS- Attacken der "IT-Armee". Sie ziehen sich über Tage hin.

Oft geht es bei den Angriffen darum, der russischen Wirtschaft zu schaden. Anfang September etwa nimmt die "IT-Armee" ein elektronisches Formular des Handelsministeriums ins Visier, mit dem unter anderem Hersteller ihre Milchprodukte melden müssen. Vereinzelt kommt es laut russischen Medien zu Lieferstopps. Zu den weiteren Zielen der letzten Wochen gehören eine russische Videokonferenz-Plattform, der Telekomanbieter Beeline oder Plattformen für das Online-Banking.

Ein beliebtes Ziel der freiwilligen Hacker sind auch Medien und News-Sites. Besonders erfolgreich scheint ein Angriff auf die russische Videoplattform Rutube gewesen zu sein, der am 9. Mai begann, dem wichtigsten russischen Feiertag anlässlich des Kriegsendes 1945. Der Hosting-Dienst war laut russischen Medienberichten während mehrerer Tage nicht verfügbar.

Der niederländische Provider möchte die Identität überprüfen

DDoS-Attacken sind eine simple Form eines Cyberangriffs. Die Angreifer können damit weder Daten entwenden noch die IT-Infrastruktur nachhaltig beschädigen. Dennoch sind sie illegal, weil sie das Funktionieren von Websites und Online-Diensten beeinträchtigen.

Die juristische Situation interessiert Viktor nicht, als er in Norwegen anfängt, russische Ziele zu attackieren. "Ich war anfangs ein bisschen naiv", sagt er. Dass seine DDoS-Angriffe in vielen Ländern illegal sind, daran denkt Viktor nicht. "Der Schock über den russischen Angriff war zu gross."

Viktor mietet sich bei einem Cloud-Dienst in den Niederlanden ein. Dort lässt er ein Skript der "IT-Armee" laufen. Es handelt sich um ein kleines Programm, das die "IT-Armee" bereitstellt und das die DDoS-Angriffe auf russische Ziele ausführt. Vorkehrungen zum eigenen Schutz trifft Viktor dabei nicht: Er verzichtet darauf, seine Internetadresse mittels eines VPN-Programms zu verschleiern, und er bezahlt mit seiner normalen Kreditkarte.

Das geht rund einen Monat lang gut. Dann geht beim Cloud-Anbieter eine Beschwerde ein, weil dessen Server DDoS-Attacken ausführen. Der niederländische Provider möchte Viktors Identität überprüfen. "Da habe ich realisiert, dass ich Probleme bekommen könnte", sagt er. Viktor taucht ab und antwortet nicht mehr auf Anfragen des Cloud-Dienstes. "Seither habe ich nichts mehr gehört."

Serhi muss sich weniger Sorgen machen. In der Ukraine seien die Angriffe auf russische Ziele nicht strafbar, sagt er. Doch auch er mietet im Ausland einen Cloud-Dienst an, um die Angriffe auszuführen. Denn wer die Angriffe von einem Computer aus der Ukraine heraus - unverschleiert - ausführt, dessen IP-Adresse wird von Russland rasch blockiert.

Serhi wählt einen billigen Cloud-Anbieter mit Server in Deutschland - und auch sein Account wird bald gesperrt. Der Anbieter registriert auf seinem Cloud-Dienst verdächtige Aktivitäten. Bei DDoS-Attacken werden in riesiger Zahl Anfragen an den Zielserver verschickt. Das verursacht einen Datenstrom, der mit seinem Volumen selbst bei den grossen Cloud-Diensten zu Problemen führen kann - und deswegen oft entdeckt wird.

Einige der Freiwilligen hätten, als sie gesperrt worden seien, ihren Cloud-Anbietern geschrieben: "Wir sind Ukrainer, helft uns!", erzählt Serhi. Es soll bei solchen Sperrungen auch Hilfe durch die "IT-Armee" geben. Denn einige Cloud-Dienste hätten Sympathien für die ukrainische Seite - und liessen sie gewähren. Ob das stimmt, lässt sich nicht verifizieren. Doch Serhi sucht die Diskussion mit dem Cloud-Anbieter sowieso nicht. "Ich habe einfach einen neuen Account eröffnet mit einer anderen Kreditkarte."

"Es ist besser, als gar nichts zu tun"

Wie gross der Schaden, den die DDoS-Angriffe der "IT-Armee" und anderer Gruppierungen anrichten, tatsächlich ist, lässt sich nicht sagen. Wenn wichtige Online-Dienste nicht funktionieren, beeinträchtigt das den Alltag von Unternehmen und Privatpersonen in Russland. Ob darüber hinaus den Firmen oder Behörden zum Beispiel ein finanzieller Verlust entsteht, ist schwierig abzuschätzen.

Nicht alle Angriffe sind erfolgreich. Als die "IT-Armee" Ende Juni den russischen E-Government-Dienst Gosuslugi ins Visier nimmt, soll dieser nicht beeinträchtigt gewesen sein. Das schreiben zumindest russische Medien, überprüfen lässt sich diese Information kaum. Teilweise ist der Zugriff aus dem Ausland auf russische Websites auch mittels Geoblocking eingeschränkt.

Die Frage nach den effektiven Schäden ist für die "IT-Armee" aber gar nicht entscheidend. Serhi sagt: "Es ist besser, als gar nichts zu tun." Der ukrainische IT-Unternehmer Jegor Auschew wiederum spricht von einer psychologischen Waffe. "Wir haben allen gezeigt, dass wir keine Angst haben." Auschew war an den Aufrufen beteiligt, dass sich Freiwillige melden sollten. "In den ersten Tagen hatten die Leute grosse Angst." Da könne es helfen, etwas zu unternehmen.

Der Wunsch, irgendetwas zu tun im Kampf gegen die russischen Angreifer, war gross - und ist es auch nach über einem halben Jahr Krieg immer noch. Das wird im Gespräch mit Viktor und Serhi rasch klar. Verzweiflung treibt sie an.

Illustration Kaspar Manz / NZZ

Die Aktionen im Rahmen der "IT-Armee" sind denn auch nur ein Teil ihres Engagements. Es ist das Mindeste, was sie für ihr Land tun können. Im Vergleich zum Kampf an der Front ist es immer noch wenig.

Viktor etwa hatte auch versucht, den Russen ein Bild des Kriegs in seiner Heimat zu geben. Ganz konkret. Er meldete sich unter falschem Namen bei einem grossen Moskauer Telegram-Kanal zum Thema Kryptowährungen an. Dort begann er, Bilder und Videos vom Krieg in der Ukraine zu teilen. "Die Reaktionen waren mehrheitlich negativ oder gar aggressiv", sagt Viktor. Es sei hart, gegen die jahrelange, starke Propaganda in Russland anzukommen.

Ein Freund von ihm hat die Lieferketten in Russland analysiert. Er hat den Logistikfirmen nachgespürt und eine Liste der IT-Dienste zusammengestellt. "Diese Liste habe ich der ‹IT-Armee› weitergeleitet", sagt Viktor. Sie dürfte die Grundlage gewesen sein für Angriffe auf die russische Logistikbranche im Juli.

Serhi hatte auch darüber nachgedacht, sich an technisch ausgereifteren Cyberangriffen zu beteiligen: in russische Server einzudringen, um Informationen zu stehlen, zum Beispiel. Ein Teil der Freiwilligen soll auch solche Aktionen ausführen. "Aber ich habe nicht genug Zeit dafür", sagt er. Denn er arbeitet weiterhin für seinen Arbeitgeber aus der Schweiz. Vom Lohn spendet er dem Staat. Dafür gebe es in der DIIA-App, der offiziellen ukrainischen E-Government-Applikation, gar einen speziellen Knopf. "Du musst nirgends hingehen, um der Armee Geld zu überweisen."

Inzwischen laufen bei Serhi die Angriffe weitgehend automatisch ab, ohne sein Zutun. Er hat mehrere virtuelle Rechner angemietet, welche die neusten Ziele der "IT-Armee" selbständig abrufen und dann attackieren. "Es gibt vielleicht einmal pro Woche eine Fehlermeldung", sagt Serhi. Dann müsse er manuell eingreifen. Sonst werden ihm einfach monatlich 500 Dollar von der Kreditkarte abgebucht. Cyberattacken im Monatsabo.

Moralisch fragwürdige Angriffe auf Apotheken

Bis heute ist unklar, wie eng die "IT-Armee" mit den ukrainischen Behörden verbunden ist. Offiziell sei sie kein Teil der Armee, heisst es. Doch es gibt Verbindungen zum ukrainischen Sicherheitsapparat. Verschiedentlich ist auch die Rede davon, dass der Telegram-Kanal von ehemaligen Offizieren des Nachrichtendienstes administriert wird.

Die organisatorische Struktur ist wichtig, wenn es um die völkerrechtliche Frage geht. Denn im Kriegsfall ist es verboten, zivile Ziele anzugreifen - auch im Cyberraum. Aber genau das tut die "IT-Armee".

Die angegriffenen Online-Dienste oder Websites mit einem Bezug zur russischen Armee sind überschaubar. Die Auswirkungen der Angriffe bekommen hauptsächlich die Zivilbevölkerung und die Unternehmen zu spüren. Anfang August begründet die "IT-Armee" einen Angriff auf den russischen Pensionsfonds damit, dass die Familien von Militärangehörigen Geld daraus erhalten würden. Das soll die Störung rechtfertigen. Betroffen sind aber auch alle anderen Rentnerinnen und Rentner.

Wenn die Administratoren der "IT-Armee" auf dem Telegram-Kanal neue Ziele herausgeben, scheint manchmal auch der Wunsch nach Vergeltung durch. Wenn die Ukrainer leiden, sollen die Russen nicht ungestört leben können. Das war zum Beispiel im Juni der Fall, als die Universitäten angegriffen wurden. Im Telegram-Kanal hiess es: "Wir können die Online-Bewerbungen stoppen, aber das wird nur eine kleine moralische Unterstützung für die ukrainischen Studenten sein." Oder anders ausgedrückt: Die russischen Studierenden sollen auch leiden - egal, welche politische Haltung sie haben.

Moralisch noch problematischer sind Angriffe im März, die sich gegen eine Reihe von Online-Apotheken in Russland richten. Darunter ist auch Asna, ein Zusammenschluss von über 10 000 Apotheken im ganzen Land. Sind die DDoS-Attacken erfolgreich, können zahlreiche Russinnen und Russen keine Medikamente mehr bestellen. Eine Begründung, warum diese Online-Shops gestört werden sollen, geben die Administratoren der "IT-Armee" nicht. Interessanterweise wird dieses Angriffsziel nur auf Ukrainisch ausgegeben - und nicht wie üblich auch auf Englisch.

Die Angriffe laufen von Viktors privatem Laptop

Passend zum Artikel

Im Ukraine-Krieg kämpft eine "IT-Armee" online gegen Russland. Die Freiwilligen attackieren sogar Apotheken und Universitäten.
Als die Ukraine angegriffen wurde, fehlte dem Land eine offensive Cybertruppe. Inzwischen hat es eine Freiwilligenarmee rekrutiert. Die neuartige Kriegsführung im Cyberraum stellt den Westen vor Probleme.

Russlands hybrider Krieg um die öffentliche Meinung: "Wir verstehen oft noch nicht genügend, wie diese Operationen wirken".
Kein Vertrauen in die ukrainische Regierung oder Streit zwischen den Nato-Mitgliedern: Russland versucht mit ausgeklügelten Aktionen, Zweifel und Zwietracht zu säen. Wie das geht, beschreibt Jamie Collier von der IT-Sicherheits-Firma Mandiant.

Russische Cyberangriffe auf Getreideproduktion und Logistik: In der Ukraine ist der hybride Krieg Realität

Viktor ist inzwischen ein digitaler Nomade. Er zieht zusammen mit seiner Freundin durch Europa, jüngst machte er halt in verschiedenen Ländern auf dem Balkan. Unterwegs ist er mit seinem Auto. Er bleibt immer so lange, wie es ohne Visum erlaubt ist, und profitiert von Doppelbesteuerungsabkommen. Diese erlauben es ihm, im jeweiligen Land für eine ausländische Firma zu arbeiten, solange er in der Ukraine Steuern bezahlt.

Die DDoS-Angriffe macht er immer noch. Er benutzt dazu ein Tool der "IT Army of Ukraine". In Anspielung auf die Charakteristik der Attacken, die verteilt ablaufen, heisst es "Death by 1000 needles": "Tod durch tausend Nadeln". Der Vorteil des Programms: Es bezieht die Liste der Ziele automatisch von der "IT-Armee".

Neu ist, dass Viktor keinen Cloud-Dienst mehr verwendet. Die Angriffe laufen von seinem privaten Laptop aus. "Der Rechner heizt dabei zwar ein bisschen auf, aber es funktioniert problemlos." Um anonym zu bleiben, verwendet Viktor einen VPN-Dienst, der seine Internetadresse verschleiert. So sieht die russische Seite nicht, woher die Angriffe stammen.

Über seine Attacken macht sich Viktor heute mehr Gedanken: dass es illegal ist und Folgen haben könnte. Er ist deswegen vorsichtiger geworden. Aber Zweifel an seinem Tun hat er nicht. Auch wenn seine DDoS-Attacken zivile Einrichtungen treffen oder russischen Bürgern schaden können - und damit rechtlich und moralisch heikel sind.

Das Gefühl der Hilflosigkeit ist bei Viktor angesichts des russischen Tötens in seiner Heimat gross. Seine Wut auch: "Ich habe kein Mitgefühl mit den russischen Bürgern." Die Russen sollten sich nicht überlegen fühlen, sondern etwas gegen ihren Präsidenten unternehmen, sagt Viktor. Emotionen schwingen in seiner Stimme mit. Viktor hat aufgehört, zwischen dem kriegführenden russischen Staat und den unschuldigen russischen Bürgern zu unterscheiden. "Nur wer Russland verlassen hat oder der Ukraine geholfen hat, ist ein guter Russe."


Quelle: