Im Internet ist der Feind unsichtbar, Abschreckung funktioniert nicht mehr

Das Netz, die Software und die Digitalgeräte, auf denen unsere globalisierte Welt beruht, sind angreifbar. Sie sind voller Programmierfehler, schlampig konfiguriert und nachlässig gewartet. Die IT-Security-Industrie müsste, wenn sie ehrlich wäre, die weiße Fahne hissen und zugeben, dass die Lage mehr als kritisch ist. Stattdessen investieren die Marktführer der Branche mehr als ein Drittel ihres Budgets in Werbung für Sicherheitsprodukte, die nur selten die Marketingversprechen halten können und oft genug zusätzliche Lücken in die Systeme reißen.

Bis vor einigen Jahren schien das Problem eher eine lästige Randerscheinung. Kriminelle leerten Bankkonten, ein paar Geheimdienste spionierten hier und da, und ab und zu legte ein Wurm ein paar Unternehmen für ein paar Tage lahm. Nicht schön, aber auch nichts, worüber man angesichts der sonstigen Probleme die Contenance verlieren musste. Das hat sich grundlegend geändert. Seit der Entdeckung des Schadprogramms Stuxnet und spätestens seit den Snowden-Enthüllungen ist klar, dass zwischenstaatliche Auseinandersetzungen im digitalen Raum die globale Stabilität ernsthaft gefährden können.

Je stärker unsere Alltagswelt, Wirtschaft und Politik von Vernetzung und Digitalgeräten geprägt werden, je mehr Informationen über die Netze fließen und auf Computern gespeichert werden, je umfassender die Abhängigkeit von diesen Systemen geworden ist, desto größer wird die Fallhöhe. Die Kollateralschäden einer Cyber-Auseinandersetzung sind heute nicht mehr begrenzt. Sie können ganze Länder an den Rand der Handlungsunfähigkeit bringen.

Ein Beispiel, das das Schadenspotenzial anschaulich illustriert, ist der NotPetya-Wurm. Auf den ersten Blick sah die Schadsoftware aus wie ein normaler Erpressungstrojaner, der die Festplatten der Opfer verschlüsselt und erst nach Zahlung eines Lösegelds die Entschlüsselung ermöglicht. In Wahrheit handelte es sich jedoch um einen Cyberangriff auf die Ukraine.

Der Wurm wurde anfangs über eine manipulierte Version der ukrainischen Software für Steuererklärungen verbreitet. Einmal im Netz eines Opfers angekommen, verbreitete er sich in Minuten auf allen Computern des Unternehmens. In den weltweiten Verbundnetzen global agierender Konzerne wie des Logistikdienstleisters FedEx oder der Reederei Maersk hatte die Schadsoftware leichtes Spiel. In Windeseile wurden zehntausende Systeme infiziert, ihre Daten in sinnlosen Binärbrei verwandelt und die Computer lahmgelegt. In der Ukraine waren nicht nur tausende Unternehmen, sondern auch Banken und Energieversorger betroffen. Auch die Systeme der Regierung wurden stark in Mitleidenschaft gezogen.

NotPetya nutzte für diese verheerend schnelle Verbreitung einen Exploit namens EternalBlue, der ursprünglich vom US-amerikanischen Abhörgeheimdienst NSA entwickelt worden war und im Zuge eines Leaks von NSA-Angriffswerkzeugen an die Öffentlichkeit gelangte. Geheimdienste und Militärs, aber auch immer mehr Polizeibehörden kaufen und entwickeln Exploits, die Sicherheitslücken ausnutzen, um in die Systeme von Gegnern und Verdächtigen eindringen zu können. Damit sie diese wertvollen Angriffswerkzeuge möglichst lange nutzen können, werden sie geheimgehalten und den Herstellern die Informationen zur Schließung der zugrundeliegenden Sicherheitslücken vorenthalten. Statt die Welt ein wenig sicherer zu machen, indem die Lücken geschlossen werden, werden erhebliche Risiken für die Allgemeinheit in Kauf genommen.

Aus der Perspektive der Staaten und ihrer Geheimdienste gibt es im noch relativ jungen Feld der Cyber-Auseinandersetzungen neue Probleme. Im klassischen Militärdenken spielt das Prinzip der Abschreckung nach wie vor eine große Rolle. Wenn man nur hinreichend viele schlagkräftige Truppen und Waffensysteme hat, wird es sich ein Gegner genau überlegen, ob er einen Angriff wagt. Im Kalten Krieg war diese Doktrin der Stabilität durch die wechselseitige Androhung der totalen atomaren Vernichtung der Grundpfeiler der internationalen Politik. Es lag also nahe, diese Logik auch auf den Cyberwar anzuwenden. Wenn alle Seiten hochgradig verwundbar sind, sollte ein gut gefülltes Waffenarsenal und das Vorhalten von Einheiten, die es verwenden können, zu einer Pattsituation führen, in der niemand einen verheerenden Erstschlag wagt.

Dem stehen jedoch grundlegende Eigenarten digitaler Waffen entgegen. Es ist nur in Ausnahmefällen und mit großem Aufwand und viel Zeitverzögerung möglich, den Urheber einer Attacke sicher zu identifizieren. Die abschreckende Drohung eines vernichtenden Gegenschlags wird damit deutlich geschwächt. Die Wahrscheinlichkeit, den Falschen zu erwischen, einen unbeteiligten Dritten in den Konflikt zu ziehen und damit eine ungeplante Eskalation zu erzeugen, ist groß.

Ein weiteres Problem ist, dass die Kollateralschäden eines Cyberangriffs kaum abzusehen sind. In einer Welt, in der praktisch alles von Computern und Netzen abhängt, in der Daten und Software auf Cloud-Systemen liegen, die rings um den Planeten verteilt sind und in denen der Ausfall einer Komponente in Windeseile kaskadierende Folgeschäden nach sich ziehen kann, ist die Zielgenauigkeit von Angriffen zwangsläufig ein Problem. Abschreckung erfordert obendrein, dass der Gegner über die Wirkmächtigkeit der Angriffskapazitäten Bescheid weiß. Am Anfang des Kalten Kriegs geschah dies durch Atomwaffen- und Raketentests. Später war beiden Seiten auch ohne genau nachzuzählen klar, dass die Atomwaffenarsenale für eine vollständige Vernichtung ausreichen.

Cyberangriffskapazitäten sind jedoch nicht dafür geeignet, sie auf einer Militärparade zu präsentieren. Sie lassen sich auch nicht auf Satellitenbildern zählen. Jeder Einsatz eines Exploits ist wahrscheinlich sein letzter, da der Gegner ihn entdecken und beheben wird. Auch Budgets und Personalstärken bieten nur einen vagen Anhaltspunkt für die Stärke des Gegners. Um diese Ungewissheit zu beheben und dennoch abzuschrecken, gibt es natürlich die Option einer Machtdemonstration.

Viele Beobachter sehen den als Stuxnet bekanntgewordenen israelisch-US-amerikanischen Angriff gegen die iranische Urananreicherungsanlage in Natanz als eine solche Machtdemonstration an. Stuxnet war eine vollkommen neue, mit hohem Ressourceneinsatz, langem Atem und technischer Raffinesse ausgeführte Operation. Sie gewährte gleichsam einen Blick in den Waffenschrank der israelischen und US-amerikanischen Geheimdienste. Nach der Abschreckungstheorie sollte dies dazu führen, dass Iran aus Angst vor weiteren Angriffen von eigenen Operationen absieht. Das Gegenteil war jedoch der Fall: Nicht nur investierte das Land in ein umfangreiches Arsenal digitaler Waffen, es führte offenbar auch asymmetrische Gegenschläge aus, etwa gegen den saudischen Ölkonzern Saudi Aramco. Gleiches taten auch viele andere Staaten. Stuxnet war die Öffnung der Büchse der Pandora, der Beginn eines beispiellosen Ausbaus der Cyberangriffskapazitäten rings um die Welt – oft mit Hilfe zwielichtiger Firmen, die Angriffswerkzeuge verkaufen, Trainings anbieten und für die Integration von Cyberspionage und Cyberangriffsmethoden sorgen.

Cyberkonflikte finden nicht nach den Regeln herkömmlicher militärischer Auseinandersetzungen statt. Stattdessen hat sich eine digitale Version der Geheimdienstwelt mit Spionage, Gegenspionage, Doppelagenten und gegenseitiger Täuschung und Gegentäuschung herausgebildet. Es gibt keine Gewissheiten. Weder ist klar, wer denn nun eigentlich der Feind ist, noch welche Ziele er wirklich verfolgt. Cyberoperationen werden in der Regel kombiniert mit anderen Mitteln der Auseinandersetzung: Propaganda, Desinformation, ökonomischer Kriegführung. Das Schlachtfeld ist die ganze Welt. Die Vielzahl der Akteure, die hohe Geschwindigkeit von technischer und taktischer Innovation und die Abwesenheit von Regeln und Gepflogenheiten hat dazu geführt, dass nicht mehr die Logik der Abschreckung das Feld bestimmt. Zur neuen Strategie gehören vielmehr dreckige Guerilla- und Proxykriege, die unerklärten, mit Milizen, Drohnen und Spezialeinheiten geführten Kriege auf Schlachtfeldern wie Syrien und Irak. Jeder spioniert bei jedem, jeder nimmt schon mal Positionen in den Netzen potenzieller Gegner ein, führt hier und da Angriffe durch und hofft, dass er nicht erwischt wird.

Ein Ausweg ist nicht einfach. Ein erster Schritt könnten bi- und multilaterale Nichtangriffsabkommen sein, zur Not anfangs auf informeller Basis wie die Übereinkunft, die Obama mit China getroffen hatte. Diese können dann zu weiterreichenden, umfassenderen Konventionen erweitert werden. Notwendig wäre auch, sich auf eine defensive Cyberstrategie festzulegen – mit umfangreichen Investitionen in den sicheren Neubau der verwundbaren Software und Netze, auf denen unsere digitale Welt beruht.

Autor: Frank Rieger ist einer der Sprecher des Chaos Computer Clubs. 2018 veröffentlichte er zusammen mit Constanze Kurz »Cyberwar – Die Gefahr aus dem Netz« (Bertelsmann).