Nach dem ungerechtfertigten und tragischen Einmarsch Russlands in die Ukraine Ende Februar hat die Welt genau beobachtet, wie russische Truppen versuchten, in die Ukraine vorzudringen, nur um von der ukrainischen Bevölkerung zurückgeschlagen zu werden. In ähnlicher Weise haben wir eine beträchtliche Anzahl von Cyberangriffen in der Region erlebt. Wir arbeiten weiterhin daran, eine wachsende Zahl von Websites der ukrainischen Regierung, der Medien, des Finanzsektors und gemeinnütziger Organisationen zu schützen, und wir haben die ukrainische Top-Level-Domain (.ua) geschützt, um die Präsenz der Ukraine im Internet aufrechtzuerhalten.
Gleichzeitig haben wir umfangreiche und noch nie dagewesene Aktivitäten im Internet in Russland genau beobachtet. Die russische Regierung hat Schritte unternommen, um noch mehr Kontrolle über die technischen Komponenten und den Inhalt des russischen Internets auszuüben. Die Menschen in Russland tun ihrerseits etwas ganz anderes. Sie haben sich Tools zugelegt, um den Zugang zum globalen Internet aufrechtzuerhalten. Zudem suchen sie verstärkt nach nicht-russischen Nachrichtenquellen. In diesem Blogbeitrag beschreiben wir, was wir beobachtet haben.
Die russische Regierung kontrolliert das Internet
In den letzten fünf Jahren hat die russische Regierung Schritte unternommen, um das souveräne Internet innerhalb der russischen Grenzen noch stärker zu kontrollieren. Dazu gehören Gesetze, die russische Internetanbieter verpflichten, Geräte zu installieren, die es der Regierung ermöglichen, Internetaktivitäten zu überwachen und zu blockieren, und die die Einrichtung eines ausschließlich russischen DNS (außerhalb der ICANN) verlangen. Und es schuf Mechanismen, mit denen die russische Regierung kontrollieren konnte, wie Russland mit dem globalen Internet verbunden war, so dass sie nach Belieben einfach den Stecker ziehen könnten.
Seit der russischen Invasion in der Ukraine hat die russische Regierung eine Reihe von Bekanntmachungen im Zusammenhang mit der Umsetzung ihrer Gesetze zum souveränen Internet getätigt. Russische Regierungsbehörden wurden angewiesen, zu russischen DNS-Servern zu wechseln, öffentliche Ressourcen auf russische Hosting-Dienste zu verlagern und eine Reihe anderer Schritte zu unternehmen, um die Abhängigkeit von nicht-russischen Anbietern zu verringern. Obwohl einige diese Initiativen als eine Ankündigung verstanden, dass Russland sich vom globalen Internet abkoppeln wolle, scheint Russland bisher die ihm zur Verfügung stehenden Instrumente nicht genutzt zu haben, um sich vollständig vom globalen Internet zu trennen. Wir verzeichnen weiterhin Verbindungen, die in Russland erfolgreich über eine nicht-russische Infrastruktur abgewickelt werden.
In der Zwischenzeit haben die russischen Behörden eine Reihe von gezielten Sperrmaßnahmen gegen Websites und Betreiber durchgeführt, die sie für verwerflich halten. Zunächst zielten die Beamten auf populäre Social-Media-Seiten wie Facebook, Instagram und Twitter sowie auf russischsprachige Medien im Ausland ab.
Wir können die Auswirkungen einiger dieser Sperren auf den Traffic von russischen Nutzern auf verschiedene Nachrichten-Websites in Russland und der Ukraine vor und nach der Einführung der Sperren erkennen.
In jedem Fall verzeichneten diese Nachrichtenseiten in den Tagen um den Einmarsch in die Ukraine am 24. Februar einen exponentiellen Anstieg ihrer Besucherzahlen. Aber dieser Anstieg wurde innerhalb weniger Tage mit Maßnahmen zur Sperrung des Datenverkehrs zu diesen Websites beantwortet. Die Blockaden waren in den ersten Wochen unterschiedlich erfolgreich, doch scheinen sie alle letztendlich erfolgreich gewesen zu sein, indem sie den Zugang zu diesen Nachrichtenquellen über die traditionellen Internetkanäle verhindert haben.
Aber das ist nur die halbe Wahrheit. Durch die Maßnahmen der russischen Regierung zur Kontrolle der traditionellen Möglichkeiten des Zugriffs auf das Internet, haben viel Russen die Art und Weise verändert, wie sie das Internet nutzen.
Russische Bürger nutzen Tools, um weiter auf das offene Internet zugreifen zu können
Viele Russen nutzen Anwendungen und Tools, die es ihnen ermöglichen, das Internet privat zu nutzen und einige der Mechanismen zu umgehen, die die russische Regierung zur Kontrolle und Überwachung des Internetzugangs einsetzt. Während die beliebtesten Anwendungen im Apple App Store in den meisten Teilen der Welt im März weiterhin aus dem Bereich soziale Medien und Spiele stammen, sah die Rangliste in Russland ganz anders aus:
Alle Top-Apps in Russland im März waren Apps für den privaten und sicheren Internetzugang oder Messaging-Apps mit verschlüsselter Kommunikation, einschließlich der am häufigsten heruntergeladenen App – Cloudflare's eigener WARP / 1.1.1.1 (ein datenschutzbasierter rekursiver DNS-Resolver). Diese Liste beliebter Apps ist ein verblüffender Kontrast zum Rest der Welt.
Aufgrund der großen und wichtigen Popularität von WARP (1.1.1.1), haben wir einen detaillierten Einblick in die weiteren Geschehnisse erhalten. Anfang Februar wurde das WARP-Tool von Cloudflare in Russland noch kaum genutzt. Mit dem ersten Wochenende des Krieges stieg seine Nutzung rapide an und erreichte vor zwei Wochen ihren Höhepunkt. Später, als diese virtuelle Migration zu solchen sicheren Tools offensichtlich wurde, gab es Versuche, den Zugang zu den Tools zu blockieren, die für einen sicheren Internetzugang verwendet werden.
Zwar sind die Werte von ihrem Höchststand zurückgegangen, aber eine große Anzahl von Russen nutzt Cloudflare WARP in Russland weiterhin viel stärker als vor Beginn des Kriegs.
Nicht nur, dass Russen das Internet zunehmend über private und verschlüsselte Kommunikation nutzen; auch die Art und Weise, wie sie versuchen, auf das Internet zuzugreifen, hat sich verändert. Hier ist ein Diagramm der DNS-Anfragen von russischen Nutzern an die Website einer bekannten US-Zeitung. Der DNS-Traffic für die Website hat sich in letzter Zeit im Vergleich zur Vorkriegszeit verfünffacht, was darauf hindeutet, dass die Russen versuchen, auf diese Nachrichtenquelle zuzugreifen.
Und hier der DNS-Traffic für eine große französische Nachrichtenquelle. Auch hier haben die DNS-Abfragen enorm zugenommen, da viele Russen versuchen, darauf zuzugreifen.
Und hier eine britische Tageszeitung.
Diese drei Diagramme zeigen ein klares Bild. Die Russen wollen Zugang zu nicht-russischen Nachrichtenquellen, und angesichts der Beliebtheit von privaten Internetzugangs-Tools und VPNs ist ihnen dies auch einen gewissen Aufwand wert.
Eine Frontlinie gegen Cyberangriffe
Wir konnten den einfachen Bürgern in Russland nicht nur wertvolle Dienste zur Verfügung stellen; unsere Server an der Edge des Internets innerhalb des Landes haben uns auch ermöglicht, von dort ausgehende Angriffe zu erkennen und zu blockieren. Wenn Angriffe innerhalb Russlands abgewehrt werden, gelangen sie nie über die russischen Grenzen hinaus. Das war schon immer Teil des Wertversprechens des verteilten Netzwerks von Cloudflare – Cyberangriffe (insbesondere DDoS-Angriffe) lokal zu identifizieren und zu blockieren, bevor sie überhaupt starten können.
Hier sehen Sie nähere Infos zu den seit Anfang Februar von Cloudflare blockierten DDoS-Aktivitäten, die ihren Ursprung in Russland haben. Die von russischen Netzwerken ausgehende normale DDoS-Aktivität, die von den Servern von Cloudflare blockiert wird, ist im Februar relativ gering, nimmt dann aber Mitte März massiv zu.
Um das klarzustellen: Zu wissen, woher der Traffic des Cyberangriffs kommt, ist nicht dasselbe wie zu wissen, wo sich der Angreifer befindet. Die Zuordnung von Cyberangriffen ist schwierig, und gerade jetzt muss man bei der Zuordnung besonders vorsichtig sein. Es ist relativ üblich, dass Cyber-Angreifer Angriffe von Remote-Standorten auf der ganzen Welt starten. Dies geschieht oft, wenn sie in der Lage sind, Geräte in anderen Ländern durch Dinge wie IoT (Internet of Things) zu kapern.
Aber selbst mit solchen Tricks haben wir immer noch einen deutlichen Anstieg der Zahl der blockierten Angriffe auf unsere Server in Russland festgestellt.
Vor einigen Wochen, als die Invasion in der Ukraine erst begann, schrieb ich, dass „Russland mehr Internet benötigt, nicht weniger.“ In einer Zeit, in der die Vereinigten Staaten und Europa beispiellose Wirtschaftssanktionen verhängt haben, wurden alle ausländischen Unternehmen aufgefordert, noch weiter zu gehen und sich vollständig aus Russland zurückzuziehen, einschließlich der Aufforderung an Internetanbieter, die Verbindung zu Russland zu unterbrechen. Um das klarzustellen: Cloudflare hat nur minimale Vertriebs- und Handelsaktivitäten in Russland – wir hatten dort nie eine Niederlassung, ein Büro oder Mitarbeiter gehabt – und wir haben Schritte unternommen, um sicherzustellen, dass wir keine Steuern oder Gebühren an die russische Regierung zahlen. Angesichts der erheblichen Auswirkungen unserer Dienste auf die Verfügbarkeit und Sicherheit des Internets sind wir jedoch der Meinung, dass eine vollständige Einstellung unserer Dienste in Russland mehr Schaden als Nutzen bringen würde.
Auch wenn wir die Motive für die Aufforderung an die Unternehmen, sich aus Russland zurückzuziehen, absolut nachvollziehen können, könnte dieser Rückzug der Internetunternehmen unbeabsichtigt genau dazu führen, dass die russische Regierung die Kontrolle über das Internet in Russland weiter festigen kann. Die Bemühungen, Russland durch ICANN und RIPE vom globalen Internet abzuschneiden, werden die russische Bevölkerung nur von den Informationen über den Krieg in der Ukraine abschneiden, die die russische Regierung nicht haben will. Nachdem mehrere in den USA ansässige Instanzen die Ausstellung von SSL-Zertifikaten für russische Websites eingestellt hatten, reagierte Russland Anfang März, indem es die russischen Bürger aufforderte, stattdessen eine russische Root-Zertifizierungsstelle herunterzuladen. Wie die EFF feststellte, „ermöglicht die Überbrückungsmaßnahme des russischen Staates, um seine Dienste am Laufen zu halten, auch das Ausspionieren russischer Bürger – jetzt und in Zukunft.“
Aus diesem Grund sind sich nahezu alle Experten einig, dass das russische Internet für die russische Bevölkerung unbedingt so offen wie möglich bleiben muss. Dutzende von zivilgesellschaftlichen Gruppen haben die Regierungen aufgefordert, autoritären Aktionen entgegenzuwirken „und sicherzustellen, dass Sanktionen und andere Schritte, die den illegalen Aktivitäten der russischen Regierung entgegenwirken sollen, nicht nach hinten losgehen, indem sie Putins Bestrebungen zur Durchsetzung der Informationskontrolle unterstützen.“ Russische Aktivisten für digitale Rechte haben Serviceanbieter angefleht, Russen einen kostenlosen VPN-Zugang anzubieten, damit sie nicht von globalen Nachrichtenquellen isoliert sind. Sogar das US-Außenministerium hat klargestellt: „Es ist von entscheidender Bedeutung, den Informationsfluss zum russischen Volk so weit wie möglich aufrechtzuerhalten.“
Im Rahmen unserer Mission, ein besseres Internet zu schaffen, hat unser Team in den letzten sechs Wochen viel zu tun gehabt, um diese Entwicklungen zu überwachen und rund um die Uhr dafür zu sorgen, dass die ukrainischen Websites verteidigt werden und dass normale Russen Zugang zum weltweiten Internet haben. Wir haben weiterhin großen Respekt vor den tapferen Ukrainern, die ihr Heimatland verteidigen, und hoffen, dass der Frieden siegen wird.
