Cyberwar – Realität oder nicht?

Das Computervirus “Stuxnet” legte 2010 große Teile der iranischen Atomproduktion lahm. 2012 tauchte plötzlich ein Virus mit dem Namen “Flame” auf. Die Urheber dieses neuen Kriegsgeräts scheinen auf ihr Copyright jedoch keinen Wert zu legen. Auch die Bundeswehr scheint seit Kurzem über eigene Offensivkräfte für Cyberkonflikte zu verfügen. Ist das das neue Gesicht des Krieges? Keine Fronten, keine Kriegsparteien, keine Gefangenen. Sandro Gaycken, Technikphilosoph und Sicherheitsexperte an der Freien Universität Berlin, warnt vor einer Verharmlosung und fordert eine politische Debatte jenseits der medialen Hysterie.

 

Cyberwar – Realität oder nicht? von Sandro Gaycken

Der Cyberwar – gibt es ihn jetzt oder nicht? Wenn man einigen neuen Autoren glauben will, dann nicht. Die Londoner Politologen Rid & McBurney zum Beispiel argumentieren dagegen: Keiner der bekannten Vorfälle habe bisher die Schwelle zu einer Angriffshandlung im Sinne des Völkerrechts überschritten, und die Offensive sei außerdem weit weniger attraktiv, als alle dächten (the offence has higher costs, a shorter shelf-life than the defence, and a very limited target set“, Rid & McBurney, 2012).

 

Der Cyberwar ist realer als vielen glauben 

Dies sind populäre Argumente, die aktuell Politiker und Diplomaten weltweit beschäftigen. Sie sind aber zum größten Teil falsch.

Zuerst zu den richtigen Anteilen. Tatsächlich erfüllt keiner der bekannten Fälle einen Kriegsfall, denn einen solchen hat man nur, wenn ein hoher Schaden, vergleichbar einem Bombeneinschlag, von einem Staat oder durch einen von einem Staat geduldeten Akteur ausgeübt wird. So etwas ist sicher noch nicht per Hack veranstaltet worden.

Der Grund ist aber weniger der Mangel an technischen Möglichkeiten. Technisch möglich sind verheerende Cyberangriffe durchaus. Nicht unbedingt an der Stromversorgung, wie viele denken. Aber Schleusentore, Chemiewerke, Flugsteuerungen, Rezepturen für Medikamente sind durchaus möglich. All das wird digital gesteuert. Und all das kann auch angegriffen werden. Durch das Paradigma der „Smartness“ kommen sogar jeden Tag neue kritische Dienste dazu.

Solche Angriffe sind aber alles andere als trivial. Anonymous oder Terroristen werden das nicht können. Man muss hochspezialisierte Systeme sehr gut kennen und seine Angriffe in James-Bond-Manier auf innovativen Wegen anbringen. Das heißt, das können nur Staaten und selbst die werden einen guten Grund brauchen, um auf diese Weise anzugreifen. Denn so ein Angriff ist teuer. Den guten Grund gibt es nun aber kaum. Einmal sind dank der immensen Zerstörungskraft moderner Waffen konventionelle Kriege glücklicherweise reichlich selten geworden. Und dann wäre auch noch die Frage im Raum, warum man ausgerechnet einen teuren Cyberangriff und nicht eine ordinäre Bombe nutzt, wenn man den Effekt einer Bombe möchte.

 

Mit der Offenheit der Systeme wachsen die Risiken

Wir können also für dieses erste Argument festhalten, dass bombenähnlich wirkende Cyberangriffe nicht unmöglich, aber strategisch unwahrscheinlich sind, denn die einzigen Akteure, die das können, haben in der Regel wenig Interesse daran. Dennoch bedeutet das aber, dass wir hier mit einer gewissen Offenheit unserer Systeme leben müssen, einer Offenheit solchen Angriffen gegenüber. Wenn ein Staat will, dann kann er. Ungebremst. Wollen wir das tolerieren? Das wäre eine wichtige politische Frage, für die allein die mögliche Existenz von Cyberbomben als Anreiz der Fragestellung reichen muss.  Denn die strategische Perspektive ist flexibel. Sie kann sich ändern, wenn sich die politischen Rahmenbedingungen ändern oder wenn das Instrument Hacking besser verstanden wird. Eine erste Option wird bereits breit besprochen: Cyberwar-Fähigkeiten als Druckmittel und Abschreckungswerkzeug der Nicht-Informationsgesellschaften gegen die Informationsgesellschaften. Findet diese Verwendungsvariante Abnehmer, kann die Offenheit bereits nicht mehr länger tolerabel sein.

Bei dieser Frage spielt dann auch der von Rid und McBurney angesprochene Punkt der Attraktivität in puncto Kosten eine Rolle. Denn dieser Faktor wird entscheidend für die Frage sein, ob Staaten diese Fähigkeit als so günstig empfinden, um sie tentativ, also versuchsweise, anzuschaffen und zu erforschen, was dann eben zu einem strategischen Wandel führen kann. Ein wesentlicher Faktor hier ist erst mal das enorm geringe Risiko, erwischt zu werden. Bei Cyberops, kriegerischen Maßnahmen im digitalen Raum, kann man immer ausreichend viele Gegenbeweise und falsche Spuren einbauen, um plausibel alles von sich und auf jemand anderes weisen zu können.

Dann sind aber auch die konkreten Kosten weit niedriger als Rid und McBurney vielleicht annehmen. Hier kommen viele Details zum Tragen. Aber die Argumente können trotzdem klar zurückgewiesen werden. Erstens ist ein solider Angriff mit Sicherheit billiger als eine solide Verteidigung. Die Entwicklungskosten eines Angriffs liegen im einstelligen Millionenbereich während eine gute systemweite IT-Defense gegen militärische Angreifer deutlich darüber liegen wird. Zweitens kann das Shelf-Life recht lang sein. Zero Days – Angriffe, die auf unentdeckten Sicherheitslücken basieren, eine Art Rohstoff für Cyberkrieger – können oft Jahre halten. Immerhin existieren nach Schätzungen viele hunderttausend davon, während aber (zumindest im Jahr 2008) nur knappe 500 unabhängig aufgedeckt wurden. Das Dunkelfeld wird groß sein, obwohl die Abhängigkeit von diesem Rohstoff vielleicht ausgenutzt werden kann, um dem Cyberwar einen Riegel vorzuschieben (siehe Gaycken und Lindner: Zero Day Governance, Cyber Dialogue Readings).

 

Cyberattacken können kostengünstig umgesetzt werden 

Und schließlich kann die Behauptung, die Menge der Ziele sei sehr begrenzt, ebenfalls zurückgewiesen werden. Angriffe werden auf technische  Komponenten hin gebaut. Es ist wahr, dass sie bei Angriffen im Hochsicherheitsbereich stark individualisiert und angepasst werden müssen. Auch das individualisierte Testen wird zeit- und kostenintensiv sein. Aber dennoch kann man mit seinen Modulen viele verschiedene Ziele angreifen. Nur die Anpassungsleistungen sind ja individualisiert – und selbst da lassen sich Erkenntnisse und neue Module gewinnen, die später noch genutzt werden können. Hinzu kommt, dass viele Angriffe durch die Probleme der Detektion kein kurzes, sondern ein ungemein langes Leben haben können, weshalb sie für einen wiederholten Gebrauch geeignet sind. Man hört zwar oft, dass Cyberangriffe „single-use“ seien, das ist aber ein falscher und sehr schlecht begründeter Cybermythos. Teile von Stuxnet schwirren immer noch in anderen Angriffen durch die Gegend – gerade unlängst in dem neuen Spionageangriff „Flame“, der selbst scheinbar einige Jahre ungestört viele hunderte, möglicherweise tausende sensible Systeme bis auf die Knochen infiltrieren konnte. Das kann man kaum als „unattraktiv“ bezeichnen.

 

Bottom line: Cyberwar gibt es nicht. Aber es kann ihn geben, denn er ist definitiv strategisch attraktiv.

Er ist günstig. Man kann damit bomben. Und diese Möglichkeit ist an sich bereits ein konventionelles strategisches Faktum, nicht von Übermorgen, sondern von Morgen, dass aber kaum realisiert oder besprochen wird. Außerdem gibt es noch viele weitere nicht-konventionelle strategische Optionen, die noch viel weniger erkannt oder diskutiert werden. Man kann etwa die entsprechenden Fähigkeiten auch breit für nachrichtendienstliche Aktivitäten nutzen, wenn gerade kein konkreter Krieg ansteht. So kann man konventionell spionieren, kann aber auch aufgrund der hervorragenden und historisch vollkommen neuartigen Skalierung Gesellschaften in aller Breiter infiltrieren, sie manipulieren und folglich mit langfristigen Erosionsstrategien Gegner schwächen und Freunde stärken. Das ist eine andere Form des Krieges, und ein Beispiel für eine neues Thema hinter der halb-informierten medialen Aufregung, das dringend politisch thematisiert werden müsste.

***

 

Weiterführende Beiträge auf Deutschlandfunk:

Digitale Friedensbewegung: Computerexperten und Wissenschaftler fordern Abrüstung im Cyberwar (MP3)

Manuskript: Mächte im Internet (MP3)

“Wir sind am Anfang einer neuen sicherheitspolitischen Ära”: Politologe über Obamas neue Philosophie der Cyberkriegsführung (MP3)