„Ohne Eskalation kein Cyberkrieg“
Es wäre gut, wenn wir nicht jede Zahnbürste mit einem Internetanschluss versähen, sagt Cybersicherheits-Experte Sven Herpig. Er erklärt, wie Staaten heraus-finden wollen, wer hinter einem Cyberangriff steht
Illustration: Oliver Sperl
Interview Svenja Bergt
taz am wochenende: Herr Herpig, wenn ein Cyberkrieg ausbricht – woran merken wir das?
Sven Herpig: Die gängige Definition ist heute: Ein richtiger Cyberkrieg ist es dann, wenn wir einen Kriegszustand erreichen, den man auch mit konventionellen militärischen Mitteln erreichen würde.
Das klingt wahnsinnig abstrakt.
Ja, aber es gab bereits zwei Situationen, da sind wir relativ nah herangekommen. Das war einmal der mutmaßlich amerikanisch-israelische Angriff mit der Schadsoftware Stuxnet auf die Urananreicherungsanlage in Natanz. Und dann die mutmaßlich russischen Operationen in der Ukraine gegen Stromumspannwerke und weitere Infrastrukturen, das läuft ja seit 2015. Das waren tatsächlich schon Operationen mit echten physischen Folgen. Da hätte es auch Todesopfer geben können.
Mittlerweile wird aber schon von Cyberkrieg gesprochen, wenn Hacker die Bundestags-IT angreifen.
Das ist aber noch kein Krieg. Was wir bislang häufig sehen, ist Spionage, mitunter Sabotage. Aber immer noch nachrichtendienstliche Mittel unterhalb der Schwelle bewaffneter Konfliktaustragung. Die Manipulation des vergangenen US-Wahlkampfes fällt ebenfalls darunter. Auch Militäreinsätze mit Cyberoperationen haben wir schon heute. Zum Beispiel mal eine Luftabwehranlage auszuschalten, um unbemerkt eigene Flugzeuge über fremdes Gebiet schicken zu können. Das Szenario, dass wir eines Tages einen Krieg haben, der ausschließlich mit Hacking-Werkzeugen geführt wird, sehe ich aktuell als sehr weit entfernt an. Das ist Science-Fiction.
Warum?
Weil ein Cyberangriff nicht unbedingt mit einem anderen Cyberangriff beantwortet wird. Vor allem die westlichen Staaten finden gerade neue Wege, mit solchen Angriffen umzugehen. Sie schließen sich zum Beispiel zusammen und machen gemeinsam Akteure dafür verantwortlich. Öffentlich. Das war bei dem Angriff auf die Organisation für das Verbot chemischer Waffen der Fall. Aber es gibt keinen Gegenangriff, weder auf Cyber- noch auf physischer Ebene. Und ohne Eskalation kein Cyberkrieg.
Und eine unbeabsichtigte Eskalation?
Das ist schon eher vorstellbar. Denn bei Cyberoperationen ist teilweise schwerer als bei konventionellen Waffen abschätzbar, wen es alles trifft und mit welchen genauen Auswirkungen.
Zum Beispiel?
Die NSA hatte sich damals in Syrien in den Backbone-Router gehackt, um dort das Internet zu überwachen. Das lief allerdings schief: Stattdessen hat die NSA das Internet abgeschaltet. Ähnlich war es mit Stuxnet: Diese Schadsoftware sollte eigentlich gezielt eine bestimmte Urananreicherungsanlage beschädigen. Wir haben sie dann aber weltweit wiedergefunden, weil irgendetwas in der Programmierung nicht funktioniert hat. Und bei Wannacry, der unter anderem Teile des britischen Gesundheitssystems praktisch lahmgelegt hat, haben wir gesehen, dass es dafür nicht mal eine sonderlich ausgefeilte Software braucht.
Weil heutzutage praktisch alles vernetzt ist?
Genau. Und weil auch in Programmen, die beispielsweise Krankenhäuser einsetzen, Sicherheitslücken drin sind. So kann sehr schnell eine ungewollte Eskalation in Gang gesetzt werden. Und gerade in Krankenhäusern kann es schnell passieren, dass Menschen sterben.
Was ist denn das verletzlichste System?
Das kommt darauf an, was ich als Angreifer erreichen will. Will ich einfach meine Stärke demonstrieren? Oder tatsächlich Menschen töten? Krankenhäuser als ziviles Ziel mit eher nicht sehr guten Sicherheitsvorkehrungen sind bestimmt ein sehr leichtes Ziel. Dass sich ein Krankenhaus so gut absichert, dass es etwa gegen einen nachrichtendienstlichen Cyberangriff gewappnet ist – das sehen wir derzeit noch nicht.
Also Krankenhäuser?
Nicht nur. Wir haben vor Kurzem gesehen, dass es russischen Akteuren gelungen ist, ins US-amerikanische Stromnetz einzudringen. Der Vorteil – aus Sicht der Angreifer – ist, dass man bei Cyberoperationen meist sehr maßgeschneidert vorgehen kann. Man kann Daten klauen, bemerkt oder unbemerkt, man kann Daten verändern oder Systeme lahmlegen. All das haben wir schon gesehen. Aber wir sind immer noch von einem Cyberkrieg entfernt, weil die Angriffe derzeit einfach als Mittel der internationalen Konfliktaustragung unterhalb der Schwelle des bewaffneten Konflikts genutzt werden. Vorher hatten wir das Ausweisen von Diplomaten oder Wirtschaftssanktionen – und jetzt haben wir halt zusätzlich einen Hackerangriff.
Ist das besser oder schlechter?
Es ist jedenfalls sehr flexibel einsetzbar. Wenn sich ein Staat etwa in das Stromnetz eines anderen einhackt, dann muss er da nicht mal etwas tun. Er kann einfach signalisieren: Ich kann das. Und wenn so eine Aktion zum Beispiel eine Verhandlung über internationale Verträge flankiert, dann wird das schon etwas bewirken.
Dann ist es eigentlich schlechter, weil es mehr Angriffspunkte gibt.
Das stimmt, wir vergrößern mit der Digitalisierung die Angriffsfläche. Wenn wir von der Zahnbürste bis zum Auto alles ans Internet hängen, können sich Hacker und Nachrichtendienste aussuchen, was sie am liebsten angreifen wollen. Und die meisten dieser Systeme sind nicht darauf ausgelegt, dass sie angegriffen werden. Häufig muss man schon Glück haben, wenn sie im Normalbetrieb funktionieren.
Wird sich das in Zukunft ändern, werden Geräte besser abgesichert sein?
Foto: privatSven Herpig
33, war Mitarbeiter des Stabs IT-Sicherheit im Auswärtigen Amt. Derzeit forscht er zum Schutz vor Cyber-Angriffen.
Momentan ist das Niveau bei der IT-Sicherheit noch wahnsinnig niedrig. Kleine und mittlere Unternehmen zum Beispiel, das Herzstück der deutschen Wirtschaft, haben in der Regel Schwierigkeiten, sich zu schützen.
Wie lässt sich das aufholen?
Das wird schwierig. Man kann sich die Situation aktuell vorstellen wie ein Elefantenrennen auf der Autobahn: Der IT-Sicherheits-Truck hat ausgeschert, um den Digitalisierungs-Truck zumindest mal einzuholen, liegt aber momentan noch deutlich zurück. Natürlich müssen wir mehr investieren. Aber wir müssen auch kurzfristig den Fachkräftemangel beheben und IT-Sicherheit zu einem Management-Thema machen.
Warum gibt es da noch keine internationalen Vereinbarungen, analog zum Krieg mit konventionellen Waffen?
Es gibt immerhin gerade beim Institut für Friedensforschung und Sicherheitspolitik in Hamburg Leute, die sich damit beschäftigen, wie man Abrüstung und Rüstungskontrolle für den Cyberraum regeln kann, und auch auf EU-Ebene gibt es Ansätze. Das Problem ist: Solche Regelungen sind sehr schwer für die Cyberwelt zu adaptieren, weil Software für ganz unterschiedliche Zwecke eingesetzt und auch sehr schnell verändert werden kann. Generell gilt aber internationales Recht natürlich auch im Cyberraum.
Aber häufig weiß ein Angegriffener nicht einmal mit Sicherheit, wer der Angreifer war.
Ja, das ist ein Problem. Wobei es natürlich Anhaltspunkte gibt. Zum Beispiel, um welche Uhrzeit die Angriffe gestartet wurden. Oder in welcher Sprache der Code verfasst ist. Jede Angreifergruppe hat zudem so etwas wie eine eigene Handschrift.
Die sich theoretisch auch fälschen lässt.
Genau, daher sind das alles nur Anhaltspunkte. Aber dieselbe Angreifergruppe agiert meist sehr ähnlich. Denn neue Infrastruktur anzumieten und aufzubauen oder einen anderen Code zu verwenden oder zu fälschen, das kostet alles Zeit. Und mit diesen ersten Anhaltspunkten kann man eingrenzen. Dann sind es vielleicht nicht mehr 194 Länder, die infrage kommen, sondern nur noch ein Dutzend. Dann zieht man die ab, die keine technischen Fähigkeiten dazu haben. Und überlegt sich: Wer hätte etwas davon, gerade diese Dokumente anzugreifen? Und mit diesen Puzzleteilen hat man am Ende einen guten Näherungswert. Dazu kommen natürlich noch Erfahrungswerte und nachrichtendienstliche Erkenntnisse, auch aus der technischen Überwachung. Staaten wie die USA, Großbritannien oder Israel haben mittlerweile gute Aufklärungsfähigkeiten im Cyberraum.
