Ein Jahr Krieg in der Ukraine: Betreiber bauen im Rücken der Armee Netze neu auf
▻https://www.heise.de/hintergrund/Ein-Jahr-Krieg-in-der-Ukraine-Netzbetreiber-bauen-im-Ruecken-der-Armee-neu-auf
24.2.2023 von Monika Ermert - Die Kommunikationsnetze haben in der Ukraine gehalten. Ein Rückblick auf die fast übermenschlichen Kraftanstrengungen der ukrainischen Netz-Community.
Am 24. Februar 2022, als viele Ukrainer im Stau steckten, um aus Kiew zu fliehen, blieb Olena Lutsenko in der Stadt und beobachtete zu Hause, wie der Verkehr in ihrem Netz rapide zunahm. Lutsenko leitet die Schwarzmeer-Geschäfte für den Backbone-Betreiber RETN, einen Tier-2-Betreiber mit insgesamt 116.000 km Glasfaserstrecken zwischen Europa und Asien. „Ich hängte mich ans Telefon mit meinem Team in der Ukraine und mit dem Vorstand und wir besprachen die Koordinaten für Notfallmaßnahmen“, erinnert sich Lutsenko.
Die Bedrohungsszenarien seien wenig anders als bei der klassischen Risiko-Matrix eines Backbone-Betreibers, erklärt Lutsenko: durchtrennte Glasfasern, umgeleiteter Verkehr, Absicherung des Netzes gegen Angriffe, Strom und Zugang zu Lagern und den sieben in der Ukraine betriebenen zentralen Knotenpunkten. Aber die Situation war doch eine andere. Es war Krieg.
„Doch treten die Probleme potenziert auf und alle zugleich, und oft sind sie schwer zu beheben angesichts der äußeren Umstände.“ Luftalarm, die Gefahr, bombardiert zu werden, während man eine Leitung repariert, Ausgangssperren, die die Zeiten verkürzen, in denen man arbeiten kann.
Abgeschnitten von der Welt
Dmytro Kniaziev vom größten ukrainischen Netzwerkkomponenten-Zulieferer DEPS setzte sich um fünf Uhr morgens ins Auto. „Ein Freund hatte mich angerufen und ich nahm meine Tochter und fuhr mit ihr zu meinen Eltern nach Butscha.“ Er habe gedacht, „das Ganze wird hoffentlich schnell vorbeigehen und wir können es aussitzen“. Doch ausgerechnet Butscha wurde zu einem der meist umkämpften Gebiete, dort beging die russische Armee vermutlich grausame Kriegsverbrechen.
„Nach kurzem gab es nichts, keinen Strom, kein Wasser, keine Läden und kein Internet oder Telefon“, sagt Kniaziev. "In diesen Tagen habe er am eigenen Leib erfahren, was es heiße, abgeschnitten zu sein vom Rest der Welt. Es sei eine unerträgliche Situation, getrennt vom gewohnten Nachrichtenstrom in seiner Wohnung oder in einem Luftschutzraum zu sitzen, ohne mit Familie und Freunden Kontakt halten zu können, ohne Information, wie viele Raketen gerade kommen oder ob die Russen schon gewonnen haben. Die russischen Angreifer hatten gezielt die Kommunikationsinfrastruktur attackiert, rekapituliert Oleksi Zinevych, Geschäftführer des in Butscha, Irpin und der Region Kiew aktiven Internet-Serviceproviders (ISP) Best.
Kniaziev konnte mit Eltern und Tochter durch die Frontlinien nach Kiew zurückschlüpfen. Er hatte Glück. Seither sorgt er mit ursprünglich 250 DEPS-Kollegen dafür, die rund 2000 kleinen und großen Provider des Landes mit Ausrüstung zu versorgen. Kniaziev ist Produkt- und Marketingleiter bei DEPS. Und was macht ein Marketingleiter im Krieg? Nicht viel Marketing, sagt er.
Resilienz von Menschen und Netzen
Die Forscher der IP-Adressvergabestelle RIPE NCC verwiesen auf einem ihrer üblichen Treffen mit Regierungen im Januar in Brüssel auf die enorme Diversität des ukrainischen Netzes. Diese sowie die große Zahl von Providern in der Ukraine und die beharrlichen Reparaturarbeiten haben das Netz in der Ukraine in einem Maß resilient gemacht, die vielen Experten Erstaunen und auch Bewunderung abringt.
Nicht nur gibt es keinen dominanten Marktplayer auf dem Provider-Markt, sodass der Ausfall eines von ihnen nicht zu sehr ins Gewicht fällt. Der internationale Datenverkehr wird zugleich über mehr als ein Dutzend Austauschknoten abgewickelt, wie Messungen des Internet-Sensor-Netzwerks Atlas zeigen. Die wichtigste Erkenntnis ist für den Geschäftsführer des RIPE NCC, Hans Petter Holen, dass die Ukraine nach wie vor ein „robustes Netzwerk“ habe, trotz „Bedingungen, die man sich schlimmer kaum vorstellen kann“.
Wie der Krieg selbst habe auch die Situation des Internets im Land sich verändert, soweit Holen das auf der Basis der Atlas-Messungen und anhand der Berichte ukrainischer Mitglieder nachvollziehen könne: Am Anfang der Schock der Invasion, in dem viele erwarteten, dass das ukrainische Internet massiven Schaden nehmen werde. „Das ist nicht passiert“, sagt Holen. „Das war am Anfang alles andere als sichergestellt. Es war die harte Arbeit und der Einsatz der Netzbetreiber in der Ukraine, die das Land am Netz gehalten hat.“
Vom Schock zur Kriegsroutine
Ab dem Herbst 2022 setzten der Ukraine vor allem die russischen Attacken auf die Energieinfrastruktur des Landes zu. Immer wieder verschwinden bis heute als unmittelbare Folge russischer Bombardements Atlas Sensoren von der Karte in Amsterdam. „Aber wir sehen auch, dass später manches wieder online auftaucht.“ Ein Unterschied zur ersten Schockphase und der Zeit bis Mai 2022 sei, dass Netzbetreiber inzwischen nicht nur Feuer austreten, sondern etwas mehr Zeit fürs Planen hätten.
Für die Techniker und die Teams der Provider sei es Alltag geworden, die zerstörten Netze wiederherzustellen, berichtet Kniaziev aus Kiew. Hinter der Armee rücken sie nach, um die von russischer Artillerie verursachten Schäden zu beheben.
Im März, nach dem Rückgewinn der Gebiete um Kiew, Sumy und Tchernihiw, wurde vor allem dort repariert. Von September bis Oktober zogen ISP-Teams durch Charkiv, im November durch Kherson. Die Schäden sind kaum zu beziffern, meint Kniaziev. 1,79 Milliarden US-Dollar für den Wiederaufbau zerstörter Telekommunikations-Infrastruktur veranschlagte die Internationale Fernmeldeunion in einem mit Rücksicht auf das ITU-Mitglied Russland wenig beworbenen Schadensbericht vom Januar. Doch die Kalkulationen reichen nur bis Mitte August 2022. Kniaziev verweist auf das unvorstellbare Ausmaß der Zerstörung. Beschädigte Netze in Kiew, Charkiv, Sumy und Tchernihiw und die gesamte Stadt Donezk wurde komplett zerstört. „Wir sprechen hier nicht von einer Wiederherstellung. Wir sprechen hier von einer ganzen Stadt, die aufgehört hat zu existieren.“
Tausende zerstörte Basisstationen
Ein Kunde in Bachmut habe zwischen Juli und August unterstützt von der Initiative KeepUkraineConnected der Global Network Operator Group erhebliche Reparaturarbeiten geleistet. Jetzt wird seit vier Monaten rund um Bachmut gekämpft. Die Postings auf dem Facebook Account des lokalen Providers Elite-Line in Kramatorsk lesen sich wie ein Kriegstabebuch von Netzwerk-Operatoren, ein frustrierender Kreislauf von Zerstörung, Wiederaufbau und neuer Zerstörung.
Auch die Zahlen im ITU-Bericht belegen das. 3000 Reparaturen durch 450 Techniker in 110 Städten meldete der große Anbieter Kyivstar (25 Millionen Mobilfunk-, 700.000 Internetkunden) für sein Breitbandnetz – allein für den Monat April 2022. 30.000 Reparaturteams schickte der drittgrößte ukrainische Mobilfunkbetreiber Lifecell in den ersten viereinhalb Monaten los, 80 bis 90 Trupps waren täglich unterwegs. Insgesamt kommt der ITU-Bericht auf 3700 zerstörte Basisstationen bis August und 20 Prozent Schäden an der Infrastruktur.
Manche Netzbetreiber versuchten Buch zu führen, sagt Kniasiev, in der vagen Hoffnung, irgendwann einmal Entschädigungen von Russland fordern zu können. Aktuell aber hätten sie genug andere Probleme.
Verlorene Vorwahlen
Wenig zu erfahren war bislang über die Strategie der russischen Seite, für die Kommunikation notwendige Identifier zu stehlen oder umzubiegen. Sowohl die IP-Adressverwaltung RIPE wurde damit konfrontiert, als auch die für Telefon-Vorwahlnummern zuständige ITU.
„Der Aggressor“ habe einseitig das von der ITU in den Standards E.164 und E.212 festgelegte System der Ländervorwahlen geändert, heißt es im ITU-Bericht. Von Russland besetzte ukrainische Gebiete verloren ihre Vorwahl +72 und +71 und sind nun unter Russlands und Kasachstans Ländervorwahl +7 zu erreichen. Die Mobilfunkbereiche 99, 978, 941, 958, 949, 959, 990, 365 und 869 wurden von Providern von russischen Gnaden selbst genutzt und in den besetzten Gebieten Krim, Sewastopol, Donezk, Luhansk, Cherson und Saporischschja auf das internationale Nummerierungssystem der Russischen Föderation umgeschaltet. Das Mobilfunksystem werde russifiziert, schreiben Analysten von ENEA, einem schwedischen Unternehmen für Telekom-Software und -Security, in einer Analyse.
Gegen einen „Abtransport“ von IPv4-Adressen oder AS-Nummern durch die russischen Invasoren hat das RIPE NCC eine „Sperrmöglichkeit“ eingeführt. Service-Provider in besetzten Gebieten würden unter Zwang solche Ressourcen transferieren, appellierte Oleksandr Savchuk, Vorsitzender des Verband Ukrainian Internet Associaton (UIA) im Oktober 2022 an die Adressverwaltung. Wer aus den besetzten Gebieten geflohen sei, laufe überdies Gefahr, dass Adressen seines Netzes ohne sein Wissen an einen neuen Eigentümer übertragen würden.
Für erst einmal sechs Monate hat der geschäftsführende Vorstand des RIPE nun eine Notbremse eingezogen. Allen Mitgliedern steht es jetzt frei, Transfers grundsätzlich zu blocken. Zugleich will die RIPE offene Transfer-Vorgänge wie schon bisher besonders prüfen. Für eine dauerhafte Regelung müssen nach den RIPE-Statuten die Mitglieder, also die Netzbetreiber der RIPE-Region, neue Regeln vereinbaren. Den Wunsch, russische Mitglieder des RIPE von dieser Debatte auszuschließen, lehnte der Vorstand ab. Der „Rough Consensus“ dürfte hier zugunsten der Ukraine ausschlagen, wird erwartet.
Strategische Nachrüstung
Wie viele IPv4-Adressen, die ja mittlerweile recht wertvoll sind, bislang geklaut wurden? Genaue Zahlen über Transfers von besetzten Gebieten der Ukraine ins Ausland habe er nicht, weil es sehr schwer sei, festzustellen, wo Netze geographisch angesiedelt sind, erklärt Holen. Seit Februar 2022 wurden insgesamt 70 IPv4-Blöcke von ukrainischen Inhabern transferiert, zusammen mit 20 AS-Nummern und einer Reihe von IPv6-Blöcken. Die Mehrzahl dieser Transfers sei dabei innerhalb der Ukraine geblieben: 100 Prozent der Ipv6-Blöcke, 90 Prozent der ASN, fürs Routing wichtige Nummern von IP-Netzen, und 50 Prozent der IPv4-Blöcke. „Nur eine Handvoll wurde an russische Organisationen transferiert und diese Transfers unterziehen wir besonders strengen Prüfungen.“
Das sind eher subtile Attacken aufs System. Die Provider-Teams, die kaputte Glasfaserleitungen zwischen Bombentrichtern ausgebrannten Panzern heben und neu spleißen, kämpfen mehr mit dem Mangel an Material. Gebraucht wird nach wie vor fast alles, wie die Liste zeigt, über die KeepUkraineConnected Spender und Empfänger zusammenzubringen versucht.
An die 300 Bitten sind dort eingetragen, von 2 Juniper-Switches QFX5120-32C-AFO bis zu „MULTITEST MT3217 PON-Netzwerktester“. Auch gesucht werden Splicer für die Reparatur durchtrennter Kabelstrecken. KeepUkraineConnected schaffte im vergangenen Jahr einen mit eingesammelten Spenden erworbenen Splicer über DEPS in die Region Charkiv, und bat zugleich „wir brauchen mehr“.
Massenhaft gebraucht werden laut Kniaziev passive Komponenten. Für die in der Ukraine an vielen Stellen noch eingesetzten Luftkabel auf der letzten Meile, die bei Angriffen zerstört werden, passt dabei nicht immer, was westliche Spender noch am Lager haben. Denn die jüngeren Generationen solcher AirCables sind in Europa kaum im Einsatz.
Routenredundanz
Zugleich wird nicht nur nach-, sondern, wo möglich, auch aufgerüstet. Nach all den Problemen mit Stromausfällen und Blackouts stellen ISP in der Ukraine auf eigene Glasfaserstrecken um und setzen weniger auf stromfressende Passive Optical Networks, berichtet Kniaziev. Vorab hatten sie auf Ethernet zur Verteilung der Signale gesetzt. Bei einem Blackout musste jeder einzelne Switch – oft gab es mehrere pro Gebäude – mit einer Reservebatterie am Leben gehalten werden. Aus Providersicht machte sich dabei auch die Wechselbereitschaft der Ukrainer bemerkbar. Es ist üblich, dass in jedem Gebäude mindestens zwei, manchmal aber sogar fünf bis sechs Anbieter ihre Dienste verkaufen.
Redundanz ist im Krieg auch für RETN wichtig. Der Backboneanbieter, der aktuell rund 10 Prozent des Datenverkehrs in der Ukraine bewegt – im grenzübergreifenden Verkehr sogar 15 Prozent –, hat im Juli 2022 eine neue DWDM-Route zwischen Luzk und Monastyryschtsche geschaltet, um nicht allen Verkehr aus der Südukraine in Richtung Warschau über Kiew routen zu müssen. Im August kam eine neue 500 G DWDM Backbone-Route zwischen Chisnau und Odessa hinzu, der den Weg in Richtung Balkanländern deutlich verkürzen soll.
Auch das Satellitennetzwerk Starlink ist ein gezielt eingesetztes Backup für all die Orte, wo Konnektivität fehlt. Etwa 20.000 Terminals seien mittlerweile in der Ukraine im Einsatz. Laut ITU hat allein das ukrainische Telekommunikations-Ministerium 12.000 schon in den ersten Kriegsmonaten verteilt. Auch Generatoren, Tesla-Stromspeicher und Batterien teilte die Regierung aus und förderte die Einrichtung von WLAN in Schulen und Luftschutzkellern mit entsprechendem Equipment.
365 days after
Die ukrainische Regierung tut, was sie kann. Aber zugleich entzieht sie den Telekom-Brigaden angesichts zunehmender Kämpfe auch mehr und mehr Leute. Es gibt eine Prozedur, Fachkräfte für die Arbeit an kritischen Infrastrukturen freistellen zu lassen. Doch die sind kompliziert, gerade für viele kleine Provider, beobachtete Kniaziev. Zugleich verlieren die Unternehmen auch noch hoffnungsvollen Nachwuchs, häufig geht dieser ins Ausland, arbeitet eine Zeit lange noch von dort remote und orientiert sich dann neu.
Kniaziev hat auch das Gefühl, dass die umfangreiche internationale Unterstützung der ersten Monate allmählich zurückgegangen ist. Zwar gebe es langfristige Unterstützung gerade von Initiativen wie KeepUkraineConnected, der Society for Cable Telecommnications Engineers (SCTE) oder der Polish Chamber of Electronic Communications (PIKE). Die Hersteller aber seien nicht mehr ganz so freigiebig wie in den ersten Kriegsmonaten und der Strom von Geldspenden lasse auch langsam nach.
„Alle warten auf das Ende des Krieges und sind vielleicht ein wenig der Nachrichten aus der Ukraine müde“, vermutet Kniarziev. Der Krieg inmitten Europas dürfe nicht vergessen werden. „Nach dem Sieg werden wir die Unterstützung der ganzen Welt brauchen, um unser Land wieder aufzubauen. Für heute genügt es, die Ukraine wenigstens am Netz zu halten.“