- Das Ende der militärischen Abschreckung
Die Fiktion aus dem Jahr 1982 ist Realität. Industrieanlagen, Kriegsgerät und staatliche Informationsdienste – alles hängt am Netz und ist potentiell angreifbar. Israel schickt bereits Viren in den Krieg gegen das iranische Atomprogramm. Werden bald auch Hacker Zugriff auf die elektronische Kampfführung haben?
Der Kalte Krieg war analog. Seine Militärstrategien wie Abschreckung und das Drohen mit schweren Vergeltungsschlägen waren auf die damalige Technik ausgerichtet. Doch im Cyberwar des Digitalzeitalters funktionieren sie nicht mehr. Die Militärstrategen sehen sich daher mit neuen Herausforderungen konfrontiert, auf die sie noch keine Antwort haben. Larry Clinton, Präsident des US-Industrieverbands Internet Security Alliance, vergleicht den fundamentalen Zeitenwechsel mit dem Moment, als das Kanonenpulver die Kriegführung revolutioniert hat.
Die Probleme, für die Militärs und staatliche IT-Experten Lösungen finden müssen, sind vielfältig. Erstens sind Angriffe und dementsprechend die Verteidigungsmittel im Cyberkrieg technisch völlig anderer Natur als das in konventionellen Kriegen der Fall war. Daher werden die Karten in puncto militärischer Stärke neu gemischt, was bisher unterlegenen Ländern Offensivmöglichkeiten bietet, die sie auf dem realen Schlachtfeld nicht haben. Zweitens müssen die Strategien darauf neu ausgerichtet werden. Wie schützt man sich erfolgreich gegen IT-Attacken, die mit relativ wenig Aufwand und Kosten plötzlich und praktisch von jedem Punkt der digital vernetzten Welt aus ausgeführt werden können? Und drittens: Wie stellt man fest, wer eigentlich die Angreifer oder gar deren Hintermänner sind?
Bei Computer-Angriffen auf kritische Infrastrukturen wie Energie, Finanzen und Verkehr lässt sich nämlich viel schwerer feststellen, wer dahinter steckt, als das in konventionellen Kriegen mit Armeen der Fall war – auch wenn es selbst da fingierte Angriffe gab, man denke nur an den vorgetäuschten Überfall auf den Sender Gleiwitz zu Beginn des Zweiten Weltkriegs. Fachleute halten die Zurechenbarkeit für eines der größten Probleme im Cyberwar. Denn wenn der Angreifer seine Identität mit technischen Finten verschleiern kann, sind die Verteidiger des Mittels eines Gegenschlags beraubt. Gegen wen sollte er sich richten?
Das Legen falscher Fährten ist mit relativ wenig Aufwand möglich. Für eine Attacke kann man Server in Drittländern mieten. Springt sie von einem Land zum anderen, bevor sie schließlich auf das anvisierte Ziel trifft, ist es schwer nachzuweisen, aus welchem Staat sie ursprünglich stammt. „Man kann nach ländertypischen Programmiermethoden suchen, aber sie können nachgemacht werden, indem man sie aus Internet-Foren kopiert. Es kostet 30 bis 40 Millionen Euro, einen IT-Angriff aus dem Iran zu simulieren und damit möglicherweise einen Krieg zu provozieren“, sagt Sandro Gaycken, Sicherheitsforscher an der FU Berlin. Das Verschleiern gehört zum Standardrepertoire von Nachrichtendiensten und macht 80 bis 90 Prozent der Arbeit bei einer Cyberattacke aus, schätzt er.
Lesen Sie weiter, warum ein kleines Programm ganze Staatsnetze lahmlegen kann
Tatsächlich gibt es keinen bekannten Fall, bei dem die Hintermänner identifiziert werden konnten. So wurde die gezielte Überlastung der Infrastruktur-Server in Estland 2007 zwar von Computern in Russland herbeigeführt, ob daran aber „nur“ Hacker saßen oder hinter ihnen staatliche Kräfte wie russische Geheimdienste standen, ließ sich nicht feststellen. Im Kaukasuskrieg um die abtrünnige georgische Provinz Südossetien im Jahre 2008 wurden georgische Regierungswebseiten lahm gelegt und gehackt. Auch hier blieb eine Zusammenarbeit zwischen nationalistischen Hackern, russischen Militärs und sogar der organisierten Kriminalität im Diffusen. Und hinter der 2010 entdeckten Stuxnet-Attacke auf die iranischen Atomanlagen vermuten zwar viele die Täter in den USA und Israel, geklärt konnte das aber nicht werden.
Schöne Zeiten also für aggressive Staaten: Die IT-Offensiven kosten weit weniger als das Aufrüsten mit konventionellen Waffen und Armeen. Somit könnten selbst Entwicklungsländer militärisch weit überlegene Gegner angreifen. Zudem kann man seine digitalen Spuren verwischen und so das Risiko von Gegenschlägen verringern. Das Pentagon hat zwar vor Monaten schwere IT-Sabotageakte gegen amerikanische Computersysteme als Kriegsgrund eingestuft, was prinzipiell die Vergeltung mit militärischer Gewalt ermöglicht, aber die Problematik dieser Strategie ist der US-Regierung bewusst, insbesondere wenn der Aggressor nicht hieb- und stichfest ermittelt werden kann.
Nachdem die herkömmlichen Abschreckungsmittel wenig effektiv sind, müssen sich die Staaten daher darauf konzentrieren, ihre kritischen Infrastrukturen besser zu schützen. Gerade im Fall der USA rächt sich, dass sie beim Aufbau dieser IT-Netzwerke die Bedeutung der Sicherheit zu lange unterschätzt hat. Lebenswichtige Systeme wie zum Beispiel die Energienetze sind zudem zu offen für jedermann durch das Internet erreichbar. Die dadurch entstandenen Sicherheitslecks sind nur schwer zu stopfen. „Die USA könnte sich besser schützen, aber das käme sehr teuer, zum Beispiel durch den Kauf zusätzlicher Rechner“, sagt Gaycken. Geld, das ihr heute bei einer Staatsverschuldung von über zehn Billionen Euro fehlt.
Neben den inhärenten Verwundbarkeiten der Systeme erhöhen die immer ausgefeilteren Angriffe die Cyberrisiken. Technisch sind sie weit anspruchsvoller als die bisher gängigen Distributed Denial of Server (DDoS)-Attacken, die zum Beispiel in Estland und Georgien Webseiten lahm gelegt haben. Die komplexeste Variante, die bekannt wurde, war Stuxnet. Das Schadprogramm war in der Lage, Steuerungssysteme von Industrieanlagen zu sabotieren. Viren, Würmer, Trojaner, andere Schadsoftware und die Kombination dieser Programme machen vielfältige Manipulationen, Spionage- und Sabotageakte möglich. Oft reicht schon das Einschmuggeln eines USB-Sticks, um zum Beispiel Systeme zu penetrieren, die vom Internet abgeschirmt sind und daher vor Webangriffen sicher sind.
Larry Clinton fordert zum Schutz ein ganzes Maßnahmenbündel. Sicherheit müsse generell als wichtiges Ziel in politische, wirtschaftliche und technische Konzepte integriert werden. Als Beispiel nennt er finanzielle Anreize: „Software-Entwickler sollten dafür bezahlt werden, dass sie ihre Produkte sicherer machen.“ Beim nötigen Umdenkprozess setzt er nicht auf staatliche Regulierung, sondern auf interaktive Zusammenarbeit zwischen den beteiligten Industrien. Der Staat solle im Rahmen von öffentlich-privaten Partnerschaften (PPPs) im Verbund mit der Wirtschaft die kritischen Infrastrukturen robuster machen. Kooperation statt Vergeltung – die Verteidigungsstrategien sind wahrlich im Wandel.
