Politologe Andreas Schmidt über Cyberwar

"Erkältung ist nicht die schwarze Pest"

Der Cyberwar-Forscher Andreas Schmidt über echte und falsche Netzkriege und über politische Propaganda, die im Sinne des Sicherheitsstaates betrieben werden kann.

Wieder kein Cyberwar, nur ein Computerspiel. Bild: archiv

taz.de: Herr Schmidt, das Gefahrenpotenzial dessen, was man als "Cyberwar" bezeichnet, scheint zwischen "ultragefährlich" und "ein paar Hacker und zwei Scriptkiddies" zu changieren. Je nach politischer Stoßrichtung wird die Gefährlichkeit mal größer und mal kleiner gemacht. Hand aufs Herz: Ist der Netzkrieg real?

Andreas Schmidt: Der Netzkrieg als Vorstellung ist sehr real, er ist es seit langem. Seine greifbarste Ausprägung fand er wohl in den Vorstellungen eines "Digital Pearl Harbour". Der Cyberwar als reales Ereignis lässt allerdings auf sich warten.

Die Ereignisse, die wir bislang beobachten konnten, und die bisweilen als Netzkrieg kategorisiert werden, sollten sinnvollerweise nicht als solche bezeichnet werden. Es hat Gründe, dass wir für das Phänomen der Erkältungen einen anderen Begriff verwenden als für die schwarze Pest. Wir tun uns analytisch keinen Gefallen, wenn wir jeden Internet-Sicherheitsvorfall als Cyberkrieg schwarzmalen, gleich ob Verunstaltung von Websites oder Distributed-Denial-of-Service-Sitzblockaden vor Online-Portalen.

Estland im Jahr 2007, als russische Hacker dort staatliche Websites angriffen, war die Begleitung und das digitale Äquivalent zu Ausschreitungen auf der Straße. Ähnliche Vorfälle in Georgien 2008 waren die Begleitung zu einer militärischen Auseinandersetzung in der physikalischen Welt. Stuxnet, jener Wurm, der in iranischen Kernkraftanlagen auftauchte, kommt einer kriegsähnlichen Handlung am nächsten, weil er Technik zerstören kann. Eine solche Einzelmaßnahme würde man dieser Tage aber auch nicht als Krieg bezeichnen, sondern vielleicht als gezielten Präventivschlag zur Förderung der regionalen Stabilität des Nahen Ostens. Aber, zugegeben, all diese Ereignisse laden dazu ein, weitere Szenarien zu erdenken.

Die jüngste OECD-Studie zum Thema war ebenfalls recht zurückhaltend. "Krieg" sähe anders aus, schreiben die Forscher sinngemäß. Ist es notwendig, einen Gang herunterzuschalten?

Auch diese Studie ruft zu mehr analytischer Präzision auf. Schnupfen ist nicht die Pest, Website-Defacement nicht Cyberwar. Wie gesagt, es vernebelt unsere Urteilskraft, wenn man Phänomene, die in ihrer Wirkkraft, ihren Urhebern und ihre Schadenshöhe eher an Demonstrationen, Diebstahl, Spionage oder Terrorismus erinnern, als Krieg bezeichnet. Beim Wort "Krieg" ist man geneigt zu denken: Bringt Armeen herbei, uns zu schützen.

Es ist aber nicht so, dass die OECD-Studie das Internet nicht mit Risiken behaftet sähe. Die Kollegen weisen zurecht darauf hin, dass Online-Sicherheit ein Feld ist, das vor allem von der Verantwortung privater Akteure abhängt. Die machen das Netz aus, ihnen gehört es und sie kontrollieren es operativ. Die Rolle staatlicher Stellen, zumal im operativen Bereich, ist hier noch unklar.

War das, was um Wikileaks geschah, eine Form von Cyberwar, wie es in den USA mancher Kommentator schrieb? Oder doch eher Online-Demonstrationen einer Generation, die ihre Heimat im Netz hat?

Den Washington-Post-Kolumnisten Charles Krauthammer und all die andere konservativen Kommentatoren und Politiker in den USA würde ich nicht der Generation zuordnen, die im Netz daheim ist - Sarah Palin kann man da vielleicht ausnehmen. Deren Aufforderungen zum Attentat auf die Wikileaks-Spitze zeigt, dass dem getroffenen Staat viele Mittel recht sind, um ein Sicherheitsproblem zu verringern und von weiteren, ähnlichen Taten abzuschrecken. Carl Schmitt hat als das Merkmal staatlicher Souveränität einmal die Fähigkeit beschrieben, im Ausnahmezustand eine nicht zwingend ans Recht gekoppelte Entscheidung herbeizuführen.

Was die Reaktionen auf die Maßnahmen der USA gegen Wikileaks anbetrifft: Anonymous zeigt, dass es wohl auch im Internet so etwas wie einen Schwarzen Block gibt mit dem Hang zu forscherer Meinungsbekundung. Wo im - nicht rechtsfreien - Raum Internet die Grenzen des Strafrechts überschritten wurden, haben Strafverfolgungsbehörden Ermittlungen vorgenommen. Aber Krieg? Nein.

Wie bereitet sich das Militär praktisch auf einen Netzkrieg vor? Was könnten Cybersoldaten anderes tun, als Hacker zu verfolgen oder Filtersysteme zu tunen?

Das umfasst mehrere Ebenen. Zum ersten die Absicherung und Verteidigung der eigenen militärischen Netzwerke. Dabei geht es um eine enge Zusammenarbeit mit Forschungsabteilungen und den Sicherheits-Communities und eine gute Incident-Management-Organisation für auftretende Vorfälle. Zum zweiten den Schutz kritischer Infrastrukturen, also den zivilen Netzen und den Infrastrukturen und Diensten, die auf dem Internet aufbauen. Hier sehe ich nicht, welchen sinnvollen Beitrag militärische Stellen leisten könnten.

Schließlich wäre da noch die Offensive, die eine intensive Beschäftigung mit den Systemen potenzieller oder realer Gegner voraussetzt, eine Analyse ihrer Systeme, deren Architektur, der eingesetzten Komponenten, um daraus Angriffsvektoren zu identifizieren und aufzubauen. Man kann natürlich auch durch Einschleusen oder Anwerben von Entwicklern dafür sorgen, dass Softwarekomponenten bestimmte Hintertüren enthalten. Die Nähe zwischen dem US-Supergeheimdienst NSA und den für Cyberwar zuständigen Stellen in den USA dürfte kein Zufall sein.

Früher waren kritische Infrastrukturen vom Internet unabhängig, heute scheinen sie, auch aus Kosten- und Bequemlichkeitsgründen, immer mehr über das Netz direkt wie indirekt erreichbar zu sein. Ein Fehler?

Der Technikphilosoph Sandro Gaycken fordert, dass man hochkritische Systeme "entnetzen" müsste. Wenn man absolut sicher sein will, dass Systeme vor Angriffen aus dem Netz sicher sind, muss man sie abkoppeln. So geschieht das mit Leitständen von AKWs. Schenkt man dem Gossip im IT-Umfeld glauben, dann findet man in einigen Unternehmen in den Vorstandsetagen einsame PCs, irgendwo abgeschlossen und unvernetzt in Schränken. Und nur die Vorstandssekretärin darf daran.

Im Ernst: Unsere Gesellschaften sind nicht erst seit dem Einsatz von Informationstechnologien und deren umfassender Vernetzung durch Technologien verwundbar. Auch wenn einem der Satz schon aus den Ohren kommt: Wir müssen Nutzen und Risiken abwägen. Die Konsequenz aus Stuxnet könnte sein, dass die Risiken für zu hoch erachtet werden, mehrere großindustrielle Anlagen mit erhöhtem Schadpotenzial zentral von einer Leitwarte aus über das Internet zu steuern.

Was wäre schlimmstenfalls denkbar? Sind Angriffe auf Infrastrukturen wie das Stromnetz oder Banknetze heutzutage realistisch?

In den Neunzigern ging das Wort um, Deutschland sei von Freunden umzingelt. Im Internet ist man zwar mit jedem benachbart, jeder Schurkenstaat und jede Terrororganisation ist nur "ein paar Hubs" entfernt. Dennoch beschränken sich derzeit die Anwärter mit den Fähigkeiten zu einem Sabotageakt der Stuxnet-Kategorie auf eine sehr geringe Zahl, zumal gemunkelt wird, dass die Großindustrie bei der Entwicklung von Stuxnet eine unterstützende Rolle gespielt hat.

Die Computersysteme der Banken sind im Übrigen fortwährend Angriffen aus dem Internet ausgesetzt. Das ist allerdings kein Cyberwar, diese Angriffe sind reine kriminelle Handlungen mit dem Ziel, Geld von Bankkonten auf illegale Weise auf Konten der Täter zu transferieren. Wir haben es hier mit einer Untergrundökonomie zu tun, die hochgradig arbeitsteilig operiert. Die Abwehr dieser Angriffe erfolgt gemeinsam durch Sicherheitsanbieter, betroffene Banken und Softwarehersteller. Für die Strafverfolgung werden die entsprechenden Behörden hinzugezogen.

Wenn das Gefahrenpotenzial einmal als sehr hoch eingestuft würde, wie einfach wäre es - wie in Ägypten - das Internet kurzerhand abzuschalten? Und was würde das überhaupt bringen?

Zuerst einmal wäre es vor allem ein politisches Statement. Der Staat, die Regierung, würde zur letzten Instanz, wenn es um die Sicherheit des Internet geht. Es wäre ein Paradigmenwechsel in der Regulierung des Netzes, wo der Staat nur ein, wenn auch einflussreicher, Akteur unter mehreren ist. Zudem würde der Staat dem virtuellen Raum seine geographischen Grenzen überstülpen. Die Frage ist, ob damit der Internet-Sicherheit gedient wäre und ob es ein plausibles und in Maßen wahrscheinliches Szenario gibt, das dieses Mittel unausweichlich machen würde.

Im Übrigen: Sollte ein mit den USA verfeindetes Regime zum Kill-Switch greifen, um sich gegen seine im Aufstand befindliche Bevölkerung zu wehren, hätten die USA die Mittel, die aufständische Bevölkerung mit einer Art Ad-hoc-Internet-Versorgung zu unterstützen. Das wäre sinnvoller.

 

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Wenn Sie Ihren Kommentar nicht finden, klicken Sie bitte hier.