Zwischen Hype und Ignoranz – Stuxnet und Cyberwar; ein Kommentar

Share

Bild eines Clusters von Computern Der Artikel in der FAZ am 22.7.2010 über den Computerwurm Stuxnet war ein echter Paukenschlag. Zuerst war gar keine Reaktion auf diesen Artikel zu verzeichnen – das donnernde Schweigen – und inzwischen gibt es ein ganzes Bündel an Folgeartikeln und anderen Medienberichten. Hat hier wirklich ein Staat einen hochprofessionellen Computerwurm entworfen und hier einen echten Angriff über das Netz auf einen anderen Staat ausgeübt? Um diese und verwandte Fragen angehen zu können muss man ein wenig ausholen.

Von Dr. Patrick Grete


Was ist Cyberkrieg?

Über Jahrzehnte hinweg war Cyberkrieg ein Schlagwort, dass für Science-Fiction und Verschwörungstheorien einen guten Boden bot. In einer breiteren Öffentlichkeit nahm man dieses Thema jedoch nicht ernst, gleichwohl man sich in Expertenkreisen diesem Problemkomplex zu nähern versuchte. Am Anfang gilt es, die nicht ganz triviale Frage zu klären, worüber wir überhaupt reden. Denn wenn wir das amerikanische Wort von „Information-Operations“ hernehmen, so könnte man darunter auch den gesamten Komplex der Propaganda subsumieren. Für unsere Zwecke reicht es aus, unter einem Cyberkrieg die Abfolge von wechselseitigen Cyberattacken zu sehen, wobei eine Cyberattacke die Beeinträchtigung der

  • Vertraulichkeit
  • Integrität
  • und/oder Verfügbarkeit eines informationsverarbeitenden Systems bezeichnet.

Was bedeutet das?

  • Beeinträchtigung der Vertraulichkeit bedeutet, dass Vorkehrungen gegen den unbefugten Zugriff auf Informationssysteme überwunden werden. Dies kann das Knacken eines Verschlüsselungscodes aber auch die Überwindung eines Passwortschutzes (z.B. bei einem E-Mail-Postfach) bedeuten.
  • Beeinträchtigung der Integrität eines IT-Systems bedeutet, dass das einwandfreie Arbeiten dieser Systeme beeinträchtigt wird. Dies kann bedeuten, dass der Inhalt von Dateien verändert wird, aber auch, dass Systeme nicht mehr so arbeiten, wie sie eigentlich sollen, etwa wenn Steuerungsprogramme die Anlagen nicht mehr richtig steuern wie wohl bei Stuxnet.
  • Alle informationsverarbeitende Systeme stellen Dienste zur Verfügung. Damit kann der Zugang zum Internet, die Weiterleitung von Daten oder der Empfang von E-Mails gemeint sein. Die alles versteht man unter Beeinträchtigung der Verfügbarkeit von IT-Systemen.

Wir sehen also, dass die Definition einer Cyberattacke sehr umfassend ist. In dieser Form macht die Definition keinen Unterschied dazwischen, ob eine Beeinträchtigung über das Internet erfolgt, ob mit großem Gerät elektromagnetische Pulse IT-Systeme lahmlegen oder ob einzelne Saboteure Festplatten stehlen oder einen Virus vor Ort in ein geschlossenes Netz einführen. Im weiteren Verlauf beschränken wir uns aber auf die Cyberattacken über das Internet bzw. die Einschleusung von Schadprogrammen durch unachtsame Mitarbeiter.

Ferner unterscheidet diese Definition auch nicht zwischen verschiedenen Akteuren oder den Besitzern der informationstechnischen Systemen. Ob ein Schüler den Rechner des Lehrers knackt, Kriminelle irgendwelche Bankdaten argloser Bürger ausspähen, ob Nachrichtendienste Industriegeheimnisse anderer Staaten stehlen oder ob Streitkräfte von Staaten die Steuerung der Stromnetze eines anderen Landes lahm legen; alle solche Aktionen kann man Cyberangriff nennen. Dieser Wahl liegt die Einsicht zu Grunde, dass eine Unterscheidung zwischen kriminellen und militärischen Attacken, zwischen Attacken von privaten Crackern oder „Cybersoldaten“ unnötig ist, wenn man sich über den Schutz der IT-Infrastruktur Gedanken macht[1].

Während es in der realen Welt für einen Zivilisten schwierig, respektive unmöglich, sein mag an Panzer-Haubitzen und Tornado-Flugzeuge heran zu kommen oder sie zu bedienen, sind die Werkzeuge dafür, IT-Systeme über das Netz anzugreifen, frei verfügbar, und es ist gut möglich, dass eine Schwachstelle in einem üblichen Betriebssystem sowohl von Kriminellen zum Abgreifen von Bankdaten, aber auch zur Übernahme eines militärischen Kommunikationssystem genutzt werden kann. Es mag mehr Aufwand an Personal und Geld erfordern, um das Netz des Bundeskanzleramtes zu knacken, als das E-Mail-Konto des Nachbarn, aber rein technisch ist das nur ein quantitativer und kein qualitativer Unterschied. Zudem kann man zwischen Zielsetzungen und Zwecken der Angriffe unterscheiden, aber die Art der Angriffe bleiben vergleichbar, und sie lassen sich nach Beeinträchtigungen von Vertraulichkeit, Integrität und Verfügbarkeit einordnen.

An dieser Stelle löst sich der Hype um den Cyberkrieg ein Stück weit auf. Es ist eben nichts Neues, dass es Schwachstellen in allen IT-Systemen gibt und ebenso, dass verschiedene Personen oder Gruppen diese Schwachstellen aus verschiedenen Gründen ausnutzen. Hier seien auf die IT-Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik verwiesen (LINK), die seit Jahren einen nahezu exponentielles Wachstum in der Zahl von Cyberattacken über das Netz ausweisen und wo die „Gefährdungslage“ immer mit „hoch“ oder „sehr hoch“ bewertet wird. Es ist also nicht so, dass man erst vor wenigen Wochen Schwachstellen gefunden und verdutzt festgestellt hätte, dass verschiedene Gruppen, diese Schwachstellen für illegale Zwecke ausnutzten. Neu ist auf der öffentlichen Ebene lediglich, dass man die Angriffe in militärische Begriffe wie „Erstschlag“ und „Cyberkrieg“ kleidet. Auf Expertenebene hingegen gibt es seit vielen Jahren viele Studien zu militärischen Cyberangriffen.

Stuxnet – eine Cyberwaffe eines Staates?

Bei dem besagten Wurm Stuxnet handelt es sich „lediglich“ um ein sehr ausgeklügeltes Programm, das diverse Schwachstellen gleichzeitig ausnutzt, sich mit einem gestohlenen Zertifikat als besonders vertrauenswürdig ausweist und das dabei sehr spezifisch bestimmte Steuerungssysteme von Siemens beeinträchtigt. Schwachstellen, die sog. „Exploits“, werden auf dem Schwarzmarkt angeboten und können dort viel Geld kosten und auch das Zertifikat ist wahrscheinlich gezielt beschafft worden. Dies bildet die Grundlage für Überlegungen zu den Urhebern. Es waren offensichtlich nicht irgendwelche Kriminelle, da sie keinen vordergründig erkennbaren finanziellen Nutzen aus diesem Wurm ziehen konnten. Gleichzeitig deutet die hohe Professionalität des Wurms darauf hin, dass er nicht einfach in der Mittagspause von einem frustrierten Mitarbeiter von Siemens programmiert wurde. Wenn so viel Aufwand (Zeit und Geld) für ein so spezifisches Ziel gemacht wird, dann stecken wohl keine normalen Kriminellen dahinter. Daher kam F. Rieger in der FAZ auf die Idee, dass es sich hier um eine staatliche Cyberattacke gegen ein Land (Iran) gehandelt hat.

Eine staatliche Cyberattacke ist aber mit nichten die einzig plausible Erklärung. Es kann sich ebenso um die Aktion eines Konkurrenten von Siemens handeln, der Siemens bei den aufstrebenden Ländern in Misskredit bringen wollte. Viele Infektionen traten nämlich auch in Indien auf, was ein großer Wachstumsmarkt für hochtechnologische Industriegüter ist. Dieser Markt ist Milliarden schwer und darum heiß umkämpft. Kann es nicht auch genauso gut sein, dass wir hier einen spektakulären Fall von Industriesabotage vorliegen haben, der die Marktmacht von Siemens in diesen Ländern beeinträchtigen sollte? Auch dies stellt ein plausibles Ziel von Stuxnet dar, und große Konzerne haben ebenso die finanziellen wie personellen Mittel für eine solche Aktion. Gleichwohl muss man einräumen, dass sich die Spekulationen um eine Cyberattacke von USA/Israel gegen iranische Atomanlagen besser verkaufen lassen, als Spekulationen um schmutzige Tricks, um die Vorherrschaft auf einem Wachstumsmarkt in einem aufstrebenden Land zu erlangen. Es ist nichts Verwerfliches daran, über Urheber zu spekulieren; nur wenn man nicht gerade an dem Manuskript für einen Actionfilm arbeitet, dann sollte man dies sachlich machen und Hysterie vermeiden. Dieser Vorwurf richtet sich nicht an den meines Erachtens ausgezeichnet geschriebenen Artikel von Rieger in der FAZ, sondern eher die folgenden Beiträge in den anderen Medien, wo die von Rieger geäußerte Spekulation mit größerer Zuspitzung verbreitet wurde. So wurden etwa „Belege“ für die israelische Urheberschaft unkommentiert übernommen, wie etwa die Aussage, dass man in Stuxnet die Jahreszahl „1979“ gefunden wurde; ein Jahr, in dem israelische Soldaten erschossen wurden. Das ist ein in etwa so lauteres Argument wie die Aussage, dass 9/11 (die Terroranschläge vom 11.9.2001 in den USA) auch die Notrufnummer der dortigen Polizei (911) darstellt und es deshalb wohl ein Inside-Job war. Dies ist ein Ausdruck von dem Hype um Cyberkrieg, der für eine umfassende Diskussion nicht gerade zielführend ist.

Einige Schlaglichter auf Cyberkrieg

Nichtsdestotrotz lohnt sich ein Blick auf Cyberkrieg, da die Ignoranz (genauso wie der Hype nach Stuxnet), die diesem Thema in der Vergangenheit zuteil wurde, weder in der Sache noch in der vermeintlich mangelnden politischen und internationalen Entwicklung (sei es zivil oder militärisch) zu rechtfertigen wäre.

In vielen Staaten existieren Gesetze, die eine Cyberattacke unter Strafe stellen. In Deutschland findet man direkte Regelungen etwa im Strafgesetzbuch §202,a-c (Ausspähen von Daten und unbefugtes Eindringen in Computersysteme) und §303,a,b (Strafbarkeit von unbefugter Datenveränderung und Computersabotage). Hier findet man die drei genannten Dimensionen eines Cyberangriffs (Vertraulichkeit, Integrität und Verfügbarkeit) in deutlicher Form wieder. Ferner finden bei großen Folgen von Cyberangriffen (Stromausfall, Explosion von Industrieanlagen, etc.) die entsprechend anderen Paragraphen des Strafgesetzbuches Anwendung, da es nicht relevant ist, wie (durch Bomben oder durch Computerviren) diese Straftaten begangen werden.

Zwischen einzelnen Staaten existieren solche Regelungen indes NICHT. Angriffe zwischen Staaten werden normalerweise unter dem Kriegsvölkerrecht behandelt, wo die Begriffe des „bewaffneten Angriffs“ und des „bewaffneten Konflikts“ definiert sind. Hiermit ist auf den juristischen Aspekt von Cyberkrieg verwiesen: Es ist in der Tat umstritten und nicht abschließend geregelt, was man unter einem „bewaffneten Cyberangriff“ verstehen müsste, ob, und wenn ja in wie fern, hier das Kriegsvölkerrecht heran zu ziehen wäre. Als Quelle für den interessierten Leser seien hier auf die Texte des Internationalen Komitees des Roten Kreuzes verwiesen (LINK), die, für manche Leser sicherlich überraschend, schon einige Arbeit auf diesem Gebiet geleistet haben.

Eine weitere Schwierigkeit betrifft die Unterscheidung im Kriegsvölkerrecht zwischen zivilen und militärischen Zielen, da in einem Konflikt die Beeinträchtigung der zivilen Einrichtungen der Verhältnismäßigkeit genügen muss. Während Angriffe gegen militärische Ziele erlaubt sind und sich daher z.B. keine Militärbasis in einem Krankenhaus befinden darf, ist der Angriff auf zivile Infrastruktur, wie etwa ein Krankenhaus oder ein Kraftwerk, verboten[2]. Das ist in der realen Welt noch eine halbwegs brauchbare Unterscheidung, aber in der virtuellen Welt können militärische und zivile Kommunikation über den gleichen Server laufen. Das ist bei Kraftwerken und Stromleitungen zwar im Prinzip ähnlich, aber es ist ein Unterschied, ob bei einem Angriff auf ein Kraftwerk auch die nahe gelegene Bank lahm gelegt wird, oder ob mit einem Cyberangriff das gesamte Bankensystem lahmgelegt wird.

Ein Cyberangriff hat im Allgemeinen eine viel größere und unvorhersehbare Streuwirkung. Dies haben wir etwa bei den letzten Stromausfällen hier in Nordeuropa gesehen. Wenn man durch einen Cyberangriff ein Kraftwerk des Feindeslandes lahm legt, so kann der halbe Kontinent (mit eventuellen Freunden) beeinträchtigt werden. Oder denken wir etwa an den Börsenhandel und die Banken. Wenn man durch einen gezielten Angriff die Hauptbörse oder die Zentralbank eines Landes lahm legt, so kann dies unvorhersehbare Auswirkungen in der gesamten Welt (inklusive des angreifenden Landes) nach sich ziehen.

Neben dieser großen Wirkung besteht der große Vorteil für den Angreifer darin, dass Cyberangriffe nur sehr unzureichend halbwegs gerichtsfest auf einen Urheber zurück verfolgt werden können. Gerade auch weil die Werkzeuge und das Wissen, wie Angriffe funktionieren frei verfügbar sind, ist es unwahrscheinlich, dass ein Staat ganz offen einen Cyberangriff startet. Viel wahrscheinlicher ist es, dass verdeckte Kommandos gezielte Angriffe starten, die nicht von gewöhnlichen Hackerangriffen zu unterscheiden sein werden. Die Fälle im Georgienkonflikt 2008 und Estland 2007 sind bis heute nicht eindeutig auf Hacker oder Cybersoldaten zurückführbar.

Ein verwandtes Thema ist die sog. Botnet-Problematik. Bots sind Programme, die wie Viren einen PC befallen, unsichtbar bleiben und auf Aufträge durch den Bot-Master über das Internet warten. Dieser Bot-Master verkauft die Dienste des Bot-Netzes, um z.B. Spam zu verschicken oder um gemeinschaftlich Codes zu knacken. Eine weitere Funktion liegt in den sog. verteilten Denial-of-Service Attacken. Dabei wird ein ausgewähltes System mit so vielen Anfragen von verteilten Bots bombardiert, dass es seine Dienste einstellt und keinerlei Anfragen mehr beantwortet. Es wurden schon große Bot-Netze mit über Hunderttausend Rechnern gefunden und es ist vorstellbar, dass es auch Botnetze mit Millionen Rechnern gibt, die über Länder und Kontinente wie Metastasen verteilt sind. Als grobe Daumenregel kann man behaupten, dass nur wenige Rechner der Welt einen solchen DDoS-Angriff mit Millionen Bots stand halten würden.

Gerade vor dem Hintergrund der internationalen Sicherheit und Stabilität taucht hier die Frage auf, wie man auf solche Ereignisse reagieren soll. Dieser Tage kursiert die Meldung, dass die NATO (LINK) zukünftig auch bei Cyberangriffen einen Bündnisfall deklarieren möchte. Dieses Problem ist von vielen Beobachtern unbemerkt, spätestens seit 2007 auf der Agenda, da sich das NATO-Mitglied Estland einem Cyberangriff ausgesetzt sah und die NATO erstmals wegen eines Cyberangriffs um Bündnisbeistand bat. Aber was soll in einem solchen Fall passieren? Soll man beim geglückten Lahmlegen der Stromversorgung mit der Lahmlegung der Wasserversorgung reagieren? Oder soll man die diplomatischen Vertretungen des vermeintlichen Urheberlandes durch Cyberattacken vom Netz nehmen oder dessen Aktien- und Rohstoffhandel lahmlegen? Oder soll man konventionell reagieren und das Land, aus dem die Angriffe zu kommen scheinen bombardieren? Bei konventionellen Angriffen existieren recht klare Eskalationsschritte, nicht zuletzt weil man den Urheber ausmachen und zielgerichtet reagieren kann. Im Bereich des Cyberkriegs existieren dagegen weder klare Eskalationsschritte, noch kann man Urheber klar ausmachen oder auch nur zielgerichtet antworten. Man stelle sich etwa vor, dass Iran ein Botnetz in Deutschland aufbaut und dann z.B. mit 20000 Bots eine verteilte Denial-of-Service Attacke gegen israelische Industrieanlagen oder Banken startet. In Israel sieht man nur den Angriff aus Deutschland und kann dann höchstens würfeln, welcher ihrer umliegenden Feinde wohl verantwortlich sei. Soll Israel dann gegen alle diese Länder Vergeltungsschläge führen oder soll es die 20000 infizierten Privathaushalte in Deutschland bombardieren? Und was ist, wenn gar nicht der Iran, sondern Neonazis aus Europa diesen Angriff gestartet haben, um einen Krieg zwischen Israel und den umliegenden Ländern zu provozieren? Wie geht man mit solchen (leider keineswegs übertriebenen) Szenarien um?

Natürlich gibt es schrille Vorschläge, wie etwa den Vorschlag, dass der US-Präsident die Fähigkeit und Befugnis erhalten solle, das Internet (als Ganzes) abschalten (LINK) zu können. Das kann man für die Vorlage von einem Hollywood-Film halten, aber eigentlich zeigen diese Vorschläge lediglich, dass es noch keine ausgereifte Strategie für solche Vorfälle gibt. Dies werden wir sicherlich auch in der Berichterstattung über den NATO-Gipfel im November sehen, wenn es um Cyberkrieg geht, da auch von Medienseite her nicht die nötige Übersicht vorhanden ist, um nüchtern, sachlich und kompetent sowohl die Gefahren als auch die vorgeschlagenen Strategien bewerten zu können. Auch dies ist einerseits der bisherigen Ignoranz und auf der anderen Seite auch der Geheimhaltung zu diesem Thema zu zuschreiben. Klar ist: Ohne internationale Zusammenarbeit geht es nicht und eine reine Beschränkung auf militärische Aspekte von Computersicherheit – wie sie in der militärischen Begrifflichkeit Cyber„krieg“ aufscheint – wird dem Problemkomplex nicht gerecht. Dieser weitere Horizont fehlte bei dem Stuxnet-Hype und auch bei den übrigen Berichten über Cyberkrieg.

Cyberkrieg – neuere Entwicklungen

Die Tatsache, dass es bisher international kaum Erfolge bei der Regelung des Umgangs mit Cyberangriffen zu vermelden gab lag hauptsächlich an der Blockadehaltung der USA. Während ihres unipolaren Momentes nach dem Zusammenfall der Sowjetunion herrschte die Ansicht, dass solche Regelungen lediglich die Macht der USA eingrenzen würde und dass dies lediglich den Gegnern der USA in die Hände spielen würde. Im Jahre 2001 veröffentlichte die damalige Bush-Administration dann die Joint Doctrine for Information Operations, die (wie eine Studie (LINK) der Stiftung Wissenschaft und Politik korrekt einschätzte) die Verweigerungshaltung der USA zementierte.

Unter der nachfolgenden Obama-Administration änderte sich diese Haltung. Es setzte sich die Ansicht durch, dass die USA wegen ihrer großen Anzahl von Internetnutzern und weitgehenden Durchdringung von IT in allen Lebensbereichen auch am anfälligsten für Cyberattacken sind und dass deswegen die USA am meisten von derartigen Vereinbarungen profitieren würden. Seine Ansichten erläuterte Präsident Obama am 29. Mai 2009 in einer wichtigen (aber nur wenig beachteten) Rede (LINK) der Welt, wo er erstmals die Verwundbarkeit der USA an konkreten Beispielen erläuterte und die fehlende Bereitschaft und Fähigkeit der USA zum Thema machte, auf Cyberangriffe angemessen zu reagieren. Nur ein (leicht hinkender) Vergleich: Man stelle sich vor, Obama hätte von einer Waffe der realen Welt gesprochen, die in der Lage wäre, die USA jederzeit und überall zu treffen und die sich unkontrolliert/unkontrollierbar in der Hand von Millionen von Menschen befände und die die USA vereinzelt auch schon getroffen hätte. Was wäre dann für ein Aufschrei gewesen. Bei dem gegenwärtigen Maß der Abhängigkeit der Gesellschaft von funktionierender IT-Infrastruktur ist die geringe Rezeption dieser Rede über die Verwundbarkeit durch Cyberangriffe nicht verständlich.

In Folge dieser Strategieänderung kommuniziert die US-Administration auch offener über Cyberkrieg. So etwa in diesem Jahr, als General Keith Alexander (Direktor der National Security Agency (NSA) der USA sowie der Befehlshaber des US Cyber Command, der Einheit im US Militär, die für den Cyberkrieg zuständig ist) im Center of Strategic and International Studies eine Rede zum Thema Cyberkrieg hielt und sich darin offen und gesprächsbereit in Bezug auf Rüstungsbegrenzungen im Cyberspace gab. Auf der diesjährigen Hacker-Konferenz Blackhat in Las Vegas trat Alexanders Vorgänger General Michael Hayden auf und erklärte die Sicht eines Militärs auf Cyberkrieg. Seine Rede ist in mehreren Teilen auf YouTube zu finden (LINK1, LINK2, LINK3, LINK4, LINK5). Sie gab Einblicke in die Denkweise des US-Militärs zum Thema Cyberkrieg wie sie vorher noch niemals möglich waren. Der wohl wichtigste Punkt in Haydens Beitrag in Bezug auf Bewertungen von Cyberkrieg ist, dass das Militär strategisch gesehen im Cyberspace eine Einheit zwischen Spionage, Abwehr und Angriff konstatiert, die es in der realen Welt nicht gibt. In der realen Welt ist es ein Unterschied, ob man Agenten zur Beschaffung von Informationen einsetzt, seine Verteidigungsfähigkeiten ausbaut oder ob man Angriffspläne schmiedet. Im Cyberspace ist das, laut Hayden, alles nahezu ununterscheidbar. Ist man in der Lage, Informationen aus einem IT-System (gemeint ist nicht das Abhören der Verbindung zwischen zwei IT-Systemen) zu extrahieren, dann ist man auch in der Lage, dieses System so zu beeinträchtigen, dass es nicht mehr funktioniert. Will man sich vor Cyberattacken schützen, so muss man seine Verteidigung auch aktiv, mit sogenannten „Penetrationstests“, testen, wozu man Angriffstechniken entwickeln muss. Auch deshalb ist das Thema Cyberkrieg politisch so heikel, denn natürlich kann man keinem Land verbieten, Verteidigungen gegen neue Bedrohungen zu etablieren und kein Land der Welt würde auf Spionage verzichten. Aber das heißt dann eben auch, dass offensive Techniken erlangt werden müssen. Man kann diese drei Bereiche (Spionage, Angriff und Verteidigung) für den Cyberspace nur sehr schwer trennen[3].

Natürlich hat jedes Land der NATO eine eigene Cyber-Einheit. So auch die Bundeswehr in Form der „Abteilung Informations- und Computernetzwerkoperationen“ des Kommandos Strategische Aufklärung, die in der Tomburg Kaserne in Rheinbach bei Bonn stationiert ist. Was diese einzelnen Einheiten der Streitkräfte bisher schon für Operationen durchgeführt haben, was es für Strategien gibt und dergleichen Dinge mehr, ist natürlich geheim. Daher wird auch in Bezug auf die internationale Sicherheit und Stabilität immer nur vor den Gefahren gewarnt, die aber keiner wirklich realistisch einschätzen kann (und die, die es können dürfen es nicht). Zumindest was den Cyberkrieg angeht. Es gab auch schon mehrere Manöver-Übungen, etwa in den USA, wo in diesem Jahr das dritte „Cyberstorm“-Manöver durchgeführt wurde und an dem dem Vernehmen nach auch andere NATO-Staaten (inklusive Deutschland) teilnahmen.

Hier treffen wir einen wichtigen Punkt. Denn außerhalb des Militärs spricht man nicht von Krieg sondern von Internetattacken. Wer diese Attacken ausführt, also ein Staat, eine Guerillatruppe, das organisierte Verbrechen oder einzelne Hacker, ist letztlich für die Schutzmaßnahmen irrelevant. Ferner kann man das, wie wir oben schon ausgeführt haben, auch gar nicht so genau unterscheiden[4]. Man kann nur anhand der gewählten Ziele und der Professionalität des Angriffs Vermutungen anstellen. Wir haben in der Begriffsklärung weiter oben ganz bewusst nicht zwischen staatlichen und privaten Angriffen unterschieden, was uns nun zu Gute kommt, indem wir die Frage nach den Gefahren durch Cyberkrieg neu stellen: Wie sieht es mit Vorbereitungen auf Internetattacken und Cyberkriminalität aus?

Von der Verwertungsindustrie (Musik-, Bilder und Filme) gibt es schon länger Bestrebungen gegen Cyberverbrechen vorzugehen. Dies wird allerdings häufig nur auf Urheberrechtsverletzungen eingegrenzt, weil dies die größte Sorge dieser Industrie ist. Wir kennen alle die „Raubkopierer sind Verbrecher“-Kampagne. In internationalem Maßstab gibt es das sog. ACTA (Anti-Counterfeiting Trade Agreement) Handelsabkommen, das sich für mehr Schutz von geistigem Eigentum einsetzt und international mehr straf- aber vor allem zivilrechtliche Maßnahmen etablieren möchte. Dazu müssen dann natürlich Beweise gerichtsfest sichergestellt werden, wozu auf Vorratsdatenspeicherung und andere aktive Maßnahmen zurückgegriffen werden soll. Hier laufen wir in die schon mehrfach auf Solon-line thematisierten Probleme der Freiheits- und Bürgerrechte hinein. Gerade die große Geheimhaltung über den Stand und Inhalt der ACTA-Verhandlungen lösten große Proteste aus. Diesen Bereich von Cyberkriminalität wollen wir aber im weiteren Verlauf aber außer Acht lassen.

Zum Schutz von kritischen, informationstechnischen Infrastrukturen vor Angriffen gibt es schon einige Vorbereitungen. So bilden sich in verschiedenen Einheiten (Industrieanlagen, Verwaltung, Bundesnetze etc.) sogenannte „Computer Emergency Response Teams“ – CERTs. Diese Teams überwachen die jeweilige Infrastruktur auf Angriffe aus dem Netz oder Unfälle (Stromausfall, Brand, etc.) und leiten entsprechende Gegenmaßnahmen ein. Für die Bürger in Deutschland betreibt das Bundesamt für Sicherheit in der Informationstechnik das Bürger-CERT (http://www.bsi-fuer-buerger.de), wo man sich über Vorfälle und Gefahren informieren kann und von wo aus auch aktiv Warnungen über einen E-Mail-Newsletter verschickt werden. Ferner betreibt das BSI das nationale IT-Lagezentrum und gibt die schon weiter oben genannten IT-Lageberichte heraus. Dort wird nicht von Cyberkrieg, sondern immer nur von „Internet-Attacken“ gesprochen, die abgewehrt werden. Letztlich ist aber klar, dass dieses Lagezentrum auch Attacken anderer Länder abwehren wird – es ist eben eine künstliche Unterscheidung zwischen Cyberkriegsattacken und Internet-Attacken, die juristisch und politisch aber eben nicht technisch motiviert ist. Inwiefern in so einem Fall auch die Bundeswehr aktiv würde, ob man dann Spannungs- oder Verteidigungsfälle deklarieren wird, ist bisher nicht geklärt.

Für die effektive Abwehr und Reaktion auf Cyberattacken ist eine transnationale Zusammenarbeit unerlässlich. Auf europäischer Ebene galt bis vor kurzem noch die Devise, dass Cyberattacken auf Einrichtungen der EU durch die NATO abgewehrt werden sollten. Die NATO betreibt dazu die „NATO Communications and Information Systems Service Agency“ (NCSA), die sich in Mons, einer wallonischen Stadt in Belgien, befindet. Aber auch dies hat sich geändert, ohne dass dies näher erläutert oder in der Öffentlichkeit diskutiert worden wäre. Mein Eindruck ist der, dass der EU die Fokussierung auf militärische Aspekte von Cyberangriffen nicht angemessen genug erschien und dass es Schwierigkeiten bereitet, dass EU und NATO weder geographisch noch von der Intention deckungsgleich sind. So gründete die EU 2004 die „Europäische Agentur für Netz- und Informationssicherheit“ (ENISA), die seit September 2005 voll geschäftsfähig und im Einsatz ist. Deren jetziger Leiter, Dr. Udo Helmbrecht, war vorher Präsident des Bundesamtes für Sicherheit in der Informationstechnik. ENISA befindet sich auf Kreta und kooperiert mit vielen nationalen CERTs und koordiniert deren Arbeiten zur Risikoanalyse und Erstellung von Leitlinien zum Informationssicherheitsmanagement. Ferner veranstaltet ENISA auch Workshops z.B. für die NATO zum Thema Informationssicherheit. Die EU-Kommission hat ENISA im Rahmen der „Digitalen Agenda für Europa“ weiter gestärkt, um die Kooperation zwischen den Ländern zu verbessern.

Aber auch international gibt es Bestrebungen Informationssicherheit zu stärken. In der UNO gibt es die internationale Fernmeldeunion (ITU für International Telecommunication Union), die 2007 die sogenannte „Global Cybersecurity Agenda“ (GCA) gestartet hat. Bei einer Konferenz 2008 in Genf gab die ITU den „Global Strategic Report“ (LINK) der GCA heraus, der einen Überblick über die internationalen Vorkehrungen bietet. Interessanter weise kommt „Cyberkrieg“ in dem 140-Seiten starken Bericht nur vereinzelt vor. Aber der kundige Leser sieht sofort, dass alle vorgeschlagenen Abwehrmaßnahmen gegen Internetangriffe und die dort beschriebenen Kooperationen zur Behandlung derselben sofort auch für Cyberkrieg angewendet werden können, eben weil Cyberattacken in kriegerischen Konflikten vielleicht in der Qualität und Zielsetzung von Hackerangriffen zu unterscheiden sind, aber technisch eben nicht. Als Fußnote zur GCA der ITU sollte man noch erwähnen, dass weder die Gründung der GCA noch der Global Strategic Report irgendein nennenswertes Medienecho hervor gerufen hätte. Es existiert bis jetzt (Oktober 2010) noch nicht mal ein Wikipedia-Artikel (weder auf Deutsch noch auf Englisch) zur GCA, obwohl eine internationale Zusammenarbeit bei Informationssicherheit, zum Schutz kritischer Informationsinfrastrukturen und auch für die internationale Sicherheit und den Frieden eine entscheidende Rolle spielt und weiterhin spielen wird.

Zusammenfassende Bewertung

Das Auftreten von Stuxnet und der entsprechende Artikel in der FAZ haben erstmals konkret gezeigt, wie eine ausgeklügelte staatliche Attacke auf einen anderen Staat aussehen könnte. Cyberkrieg ist damit aus der Sphäre von Science-Fiction heraus in die reale Welt geholt. Gleichwohl ist die in der FAZ ausgeführte Interpretation, dass es sich um einen kriegerischen Erstschlag der USA/Israel gegen den Iran handelte, nicht das einzig plausible Szenario. Es ist aber unwahrscheinlich, dass man in diesem Punkt jemals völlige Klarheit erhalten wird.

Wir haben gesehen, dass es sich bei „Cyberkrieg“ um einen in der Öffentlichkeit sehr verwaschenen Begriff handelt, der sehr viele Aspekte (juristische, politische, strategische und technische) besitzt. Die Reaktionen auf den Stuxnet-Artikel zeigen, dass man von Seiten der Medien nur unzureichend auf dieses Thema vorbereitet ist.

In diesem Artikel haben wir Cyberkrieg als wechselseitige Cyberattacken definiert und unter einer Cyberattacke die Beeinträchtigung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationssystemen verstanden. Diese Definition ist allgemeiner Standard in der Informationssicherheit. Mit dieser sehr allgemeinen Definition konnten wir nahezu alle militärischen wie zivilen Aspekte von Cyberattacken zugleich behandeln. In der öffentlichen Diskussion mangelt es gerade an solch klaren Definitionen. Als Folge davon pendelt die Debatte zwischen den Extremen Hype („Wir sind überall durch alles bedroht und bis ins Mark verletzlich und müssen sofort ganz viel tun.“) und Ignoranz („Cyberkrieg ist Science-Fiction oder eine Sache des Militärs; beides spielt für die Zivilgesellschaft nur eine untergeordnete Rolle.“). Diese (zugegeben überspitzten) Extreme verhindern eine Debatte. Es besteht die Gefahr, dass eine Cyberkriegsdebatte durch Meinungsführer auf einzelne Aspekte, etwa den militärischen Aspekt oder die Cyberverbrechen durch Urheberrechtsverletzung, verkürzt werden. Dies ist weder der Komplexität noch der Wichtigkeit dieses Themas angemessen.

Eines der größeren Problemen bei Cyberattacken ist die Schwierigkeit, den oder die Urheber zu identifizieren. Das macht Cyberattacken aus militärischer Sicht natürlich sehr interessant, da man falsche Fährten legen kann und so Konflikte zwischen Staaten provozieren kann, was mit konventionellen militärischen Mitteln nicht so leicht gelingen kann. Ein weiteres Problem ist die große, wenn nicht vollständige, Durchdringung von IT aller Bereiche des Lebens und die daraus folgende Abhängigkeit von einer funktionierenden IT-Infrastruktur. Gemessen an den Möglichkeiten und Folgen von Cyberattacken steckt die sogenannte Cyberforensik noch in den Kinderschuhen. Gerade bei Angriffen über das Netz könnte man die umstrittene Vorratsdatenspeicherung als ein „notwendiges“ Werkzeug ein weiteres Mal ins Gespräch bringen. Hier gäbe es auch eine starke Lobby von Seiten der Musikindustrie, um so Urheberrechtsverletzungen als Cyberverbrechen zu ahnden. Wir sehen an diesem Punkt wie wichtig es ist, auch den großen Themenkomplex der Freiheits- und Bürgerrechte in dieser Debatte nicht zu vergessen, was spätestens dann schwierig werden wird, wenn die ersten Cyber-Terroranschläge[5] passieren (bzw. man von ihnen öffentlich erfährt).

Bestrebungen, Cyberkrieg international zu reglementieren oder zu begrenzen, sind bis vor kurzem gerade von den USA blockiert worden. Unter der Obama-Administration hat sich dies geändert. Gespräche über Cyberkrieg werden nicht mehr blockiert, gleichwohl man sich keinen Illusionen hingeben sollte: Die neue Haltung wurde von der Einsicht hervor gerufen, dass die USA am anfälligsten für solche Attacken sind; nicht weil die USA Friedenssicherung unter Beschneidung ihrer eigenen Kapazitäten betreiben möchten.

Das Besondere an militärischen Aktionen im Cyberspace ist, dass, anders als bei den anderen vier Bereichen (Land, See, Luft und Weltraum) im Cyberspace eine Identität zwischen Angriff, Abwehr und Spionage vorliegt. Die bisher im internationalen Recht vorherrschende Leitlinie, dass sich jedes Land verteidigen darf und Spionage eher in den politischen Raum gehört, aber offensive Attacken untersagt sind, läuft daher weitgehend ins Leere. Dies bedeutet, dass die Rüstungsbegrenzung und die Friedenssicherung vor enormen Aufgaben stehen. Als gute Quelle für weitere Informationen zum Thema Rüstungsbegrenzung im Cyberspace sei auf den Artikel (LINK) von Ingo Ruhmann in Telepolis verwiesen.

Bisher fehlt ein zwischenstaatlich geregelter Eskalationsplan, der festlegt, wie auf einen staatlichen oder terroristischen Cyberangriff zu reagieren sei. Auf dem diesjährigen NATO-Gipfel im November wird dies zum Thema gemacht werden. Gleichzeitig zeigt die mediale Verarbeitung des Stuxnet-Themas, dass man von Seiten der großen Medien nicht auf dieses Thema vorbereitet ist, um hier die Lage und Entwicklungen kompetent und nüchtern einschätzen zu können. Cyberkrieg ist nur ein Aspekt von Informationssicherheit und nur die Behandlung in diesem größeren Rahmen ist der Sache dienlich.

Im Unterschied zu diesen genannten Lücken existieren national, EU-weit und auch international schon viele Initiativen, um auf Cyberattacken zu reagieren. Alle diese Bestrebungen wurden nur nie mit dem Etikett „Abwehr gegen Cyberkrieg“ versehen, sondern dienten ganz zivilen Zielen, wie dem Schutz kritischer Informationsinfrastrukturen gegen Hacker etc. Wie wir sahen, ist im Cyberspace die Unterscheidung zwischen zivil und militärisch recht künstlich und die reine Fokussierung auf militärische Aspekte meistens eine unnötige Einschränkung des Horizonts. Es ist zu erwarten, dass in naher Zukunft der politisch motivierte Ausschluss von Cyberkrieg aus diesen Programmen fallen gelassen wird. Kritisch beobachten sollte man an dieser Entwicklung, wer sich hier wie äußert, denn das Cyberkriegs-Thema kann auch missbraucht werden, um die Trennung von innerer und äußerer Sicherheit, von Geheimdiensten, Polizei und Militär weiter aufzuweichen.

Im Zuge der Berichterstattung über Cyberkrieg wird den Einrichtungen wie den CERTs und Institutionen wie dem BSI, ENISA oder der GCA mehr mediales Interesse zuteil werden. Nicht zuletzt werden diese Institutionen den herrschenden Mangel an Kompetenz der Medien zu diesem Thema dazu nutzen, selbst deutlicher in Erscheinung zu treten. Aber auch andere Akteure, wie etwa die Sicherheitsindustrie und auch die Rechteverwerter, werden ihre Kampagnen fahren. Es ist zu wünschen, dass der für die Sicherheitsindustrie vorteilhafte Hype (sie werden ihre Produkte besser verkaufen können) nicht zu Aktionismus führt. Man muss sich klar machen, dass es sich bei Informationssicherheit nicht um ein Produkt handelt, dass man von Anbietern erwerben kann, sondern um einen umfassenden Prozess innerhalb der Institution, die diese Informationen und Dienste anbietet. So ausgeklügelt Stuxnet auch ist: Wenn man in einer Hochsicherheits-Atomanlage an kritischen Steuerungsrechnern einfach USB-Sticks einstecken kann und diese Rechner am Internet hängen, so dass Stuxnet noch weitere Programme nachladen konnte, dann muss man ebenso konstatieren, dass es in diesen Anlagen ein mangelhaftes Informationssicherheitsmanagement gibt, also eine Stabsstelle, die den Prozess der Informationssicherheit aufrecht erhält. Zu diesem Prozess gehören nicht nur gut geschützte Rechner, sondern auch geschultes Personal, das sich der Gefahr durch Schwachstellen bewusst ist; Neudeutsch „Awareness“ genannt. Dieses Bewusstsein entwickelt sich nicht in einem hektischen Hype und auch nicht durch Ignoranz. Ferner gehört dieses Bewusstsein in die Mitte der Zivilgesellschaft, da der Wohlstand und ihr Funktionieren im höchsten Maße von der informationsverarbeitenden Infrastruktur und Informationssicherheit abhängig ist und auf absehbare Zeit weiterhin sein wird.

Anmerkungen

[1] Diese Aussage bezieht sich nur auf die Aufgabe, Informationssicherheit herzustellen, bei der diese Unterscheidung nachrangig ist. Natürlich ist es von der politischen und diplomatischen Seite sehr relevant, ob es sich bei der Attacke um einen kriegerischen Akt eines anderen Staates oder um einen Hacker-Angriff handelt.

[2] Von dieser strikten Unterscheidung gibt es Ausnahmen. So darf ein Kraftwerk angegriffen werden, wenn es militärisch relevant ist und die Zerstörung eines Krankenhauses wird nicht geahndet, solange es ein Kollateralschaden und nicht das Ziel des Angriffs war.

[3] Hier mag man Einwenden, dass es doch einen Unterschied macht, ob man ein Schadprogramm zum Abhören oder zur Sabotage benutzt. Das ist soweit korrekt. Nur muss man für beide Aufgaben um die Funktionsweise von Betriebssystemschwachstellen (Exploits) wissen. Mit diesem Wissen kann man dann sowohl Programme zur Spionage wie zur Sabotage erstellen.

[4] Eine andere Sache ist es, wenn es zwischen zwei Staaten einen bewaffneten Konflikt gibt, bei dem dann auch Cyberangriffe benutzt werden. Dann liegt natürlich eine klare militärische Handlung vor, auf die die Gegenpartei militärisch reagieren wird. Die hier gemachten Ausführungen beziehen sich alle nur auf Friedenszeiten.

[5] Wenn erstmals in breiter Öffentlichkeit von „Cyber-Terrorismus“ zu hören sein wird, so ist dies entweder als Hysterie oder Meinungsmache zur Durchsetzung politischer Ziele zu bewerten. Cyber-Terrorismus unterscheidet sich nicht von Hacker-Angriffen und ist wie eben solche zu behandeln.

Die Kommentarfunktion für diesen Beitrag wurde beendet.