Cyberwar – Realität oder nicht?
Das Computervirus “Stuxnet” legte 2010 große Teile der iranischen Atomproduktion lahm. 2012 tauchte plötzlich ein Virus mit dem Namen “Flame” auf. Die Urheber dieses neuen Kriegsgeräts scheinen auf ihr Copyright jedoch keinen Wert zu legen. Auch die Bundeswehr scheint seit Kurzem über eigene Offensivkräfte für Cyberkonflikte zu verfügen. Ist das das neue Gesicht des Krieges? Keine Fronten, keine Kriegsparteien, keine Gefangenen. Sandro Gaycken, Technikphilosoph und Sicherheitsexperte an der Freien Universität Berlin, warnt vor einer Verharmlosung und fordert eine politische Debatte jenseits der medialen Hysterie.
Cyberwar – Realität oder nicht? von Sandro Gaycken
Der Cyberwar – gibt es ihn jetzt oder nicht? Wenn man einigen neuen Autoren glauben will, dann nicht. Die Londoner Politologen Rid & McBurney zum Beispiel argumentieren dagegen: Keiner der bekannten Vorfälle habe bisher die Schwelle zu einer Angriffshandlung im Sinne des Völkerrechts überschritten, und die Offensive sei außerdem weit weniger attraktiv, als alle dächten (the offence has higher costs, a shorter shelf-life than the defence, and a very limited target set“, Rid & McBurney, 2012).
Der Cyberwar ist realer als vielen glauben
Dies sind populäre Argumente, die aktuell Politiker und Diplomaten weltweit beschäftigen. Sie sind aber zum größten Teil falsch.
Zuerst zu den richtigen Anteilen. Tatsächlich erfüllt keiner der bekannten Fälle einen Kriegsfall, denn einen solchen hat man nur, wenn ein hoher Schaden, vergleichbar einem Bombeneinschlag, von einem Staat oder durch einen von einem Staat geduldeten Akteur ausgeübt wird. So etwas ist sicher noch nicht per Hack veranstaltet worden.
Der Grund ist aber weniger der Mangel an technischen Möglichkeiten. Technisch möglich sind verheerende Cyberangriffe durchaus. Nicht unbedingt an der Stromversorgung, wie viele denken. Aber Schleusentore, Chemiewerke, Flugsteuerungen, Rezepturen für Medikamente sind durchaus möglich. All das wird digital gesteuert. Und all das kann auch angegriffen werden. Durch das Paradigma der „Smartness“ kommen sogar jeden Tag neue kritische Dienste dazu.
Solche Angriffe sind aber alles andere als trivial. Anonymous oder Terroristen werden das nicht können. Man muss hochspezialisierte Systeme sehr gut kennen und seine Angriffe in James-Bond-Manier auf innovativen Wegen anbringen. Das heißt, das können nur Staaten und selbst die werden einen guten Grund brauchen, um auf diese Weise anzugreifen. Denn so ein Angriff ist teuer. Den guten Grund gibt es nun aber kaum. Einmal sind dank der immensen Zerstörungskraft moderner Waffen konventionelle Kriege glücklicherweise reichlich selten geworden. Und dann wäre auch noch die Frage im Raum, warum man ausgerechnet einen teuren Cyberangriff und nicht eine ordinäre Bombe nutzt, wenn man den Effekt einer Bombe möchte.
Mit der Offenheit der Systeme wachsen die Risiken
Wir können also für dieses erste Argument festhalten, dass bombenähnlich wirkende Cyberangriffe nicht unmöglich, aber strategisch unwahrscheinlich sind, denn die einzigen Akteure, die das können, haben in der Regel wenig Interesse daran. Dennoch bedeutet das aber, dass wir hier mit einer gewissen Offenheit unserer Systeme leben müssen, einer Offenheit solchen Angriffen gegenüber. Wenn ein Staat will, dann kann er. Ungebremst. Wollen wir das tolerieren? Das wäre eine wichtige politische Frage, für die allein die mögliche Existenz von Cyberbomben als Anreiz der Fragestellung reichen muss. Denn die strategische Perspektive ist flexibel. Sie kann sich ändern, wenn sich die politischen Rahmenbedingungen ändern oder wenn das Instrument Hacking besser verstanden wird. Eine erste Option wird bereits breit besprochen: Cyberwar-Fähigkeiten als Druckmittel und Abschreckungswerkzeug der Nicht-Informationsgesellschaften gegen die Informationsgesellschaften. Findet diese Verwendungsvariante Abnehmer, kann die Offenheit bereits nicht mehr länger tolerabel sein.
Bei dieser Frage spielt dann auch der von Rid und McBurney angesprochene Punkt der Attraktivität in puncto Kosten eine Rolle. Denn dieser Faktor wird entscheidend für die Frage sein, ob Staaten diese Fähigkeit als so günstig empfinden, um sie tentativ, also versuchsweise, anzuschaffen und zu erforschen, was dann eben zu einem strategischen Wandel führen kann. Ein wesentlicher Faktor hier ist erst mal das enorm geringe Risiko, erwischt zu werden. Bei Cyberops, kriegerischen Maßnahmen im digitalen Raum, kann man immer ausreichend viele Gegenbeweise und falsche Spuren einbauen, um plausibel alles von sich und auf jemand anderes weisen zu können.
Dann sind aber auch die konkreten Kosten weit niedriger als Rid und McBurney vielleicht annehmen. Hier kommen viele Details zum Tragen. Aber die Argumente können trotzdem klar zurückgewiesen werden. Erstens ist ein solider Angriff mit Sicherheit billiger als eine solide Verteidigung. Die Entwicklungskosten eines Angriffs liegen im einstelligen Millionenbereich während eine gute systemweite IT-Defense gegen militärische Angreifer deutlich darüber liegen wird. Zweitens kann das Shelf-Life recht lang sein. Zero Days – Angriffe, die auf unentdeckten Sicherheitslücken basieren, eine Art Rohstoff für Cyberkrieger – können oft Jahre halten. Immerhin existieren nach Schätzungen viele hunderttausend davon, während aber (zumindest im Jahr 2008) nur knappe 500 unabhängig aufgedeckt wurden. Das Dunkelfeld wird groß sein, obwohl die Abhängigkeit von diesem Rohstoff vielleicht ausgenutzt werden kann, um dem Cyberwar einen Riegel vorzuschieben (siehe Gaycken und Lindner: Zero Day Governance, Cyber Dialogue Readings).
Cyberattacken können kostengünstig umgesetzt werden
Und schließlich kann die Behauptung, die Menge der Ziele sei sehr begrenzt, ebenfalls zurückgewiesen werden. Angriffe werden auf technische Komponenten hin gebaut. Es ist wahr, dass sie bei Angriffen im Hochsicherheitsbereich stark individualisiert und angepasst werden müssen. Auch das individualisierte Testen wird zeit- und kostenintensiv sein. Aber dennoch kann man mit seinen Modulen viele verschiedene Ziele angreifen. Nur die Anpassungsleistungen sind ja individualisiert – und selbst da lassen sich Erkenntnisse und neue Module gewinnen, die später noch genutzt werden können. Hinzu kommt, dass viele Angriffe durch die Probleme der Detektion kein kurzes, sondern ein ungemein langes Leben haben können, weshalb sie für einen wiederholten Gebrauch geeignet sind. Man hört zwar oft, dass Cyberangriffe „single-use“ seien, das ist aber ein falscher und sehr schlecht begründeter Cybermythos. Teile von Stuxnet schwirren immer noch in anderen Angriffen durch die Gegend – gerade unlängst in dem neuen Spionageangriff „Flame“, der selbst scheinbar einige Jahre ungestört viele hunderte, möglicherweise tausende sensible Systeme bis auf die Knochen infiltrieren konnte. Das kann man kaum als „unattraktiv“ bezeichnen.
Bottom line: Cyberwar gibt es nicht. Aber es kann ihn geben, denn er ist definitiv strategisch attraktiv.
Er ist günstig. Man kann damit bomben. Und diese Möglichkeit ist an sich bereits ein konventionelles strategisches Faktum, nicht von Übermorgen, sondern von Morgen, dass aber kaum realisiert oder besprochen wird. Außerdem gibt es noch viele weitere nicht-konventionelle strategische Optionen, die noch viel weniger erkannt oder diskutiert werden. Man kann etwa die entsprechenden Fähigkeiten auch breit für nachrichtendienstliche Aktivitäten nutzen, wenn gerade kein konkreter Krieg ansteht. So kann man konventionell spionieren, kann aber auch aufgrund der hervorragenden und historisch vollkommen neuartigen Skalierung Gesellschaften in aller Breiter infiltrieren, sie manipulieren und folglich mit langfristigen Erosionsstrategien Gegner schwächen und Freunde stärken. Das ist eine andere Form des Krieges, und ein Beispiel für eine neues Thema hinter der halb-informierten medialen Aufregung, das dringend politisch thematisiert werden müsste.
***
Weiterführende Beiträge auf Deutschlandfunk:
Digitale Friedensbewegung: Computerexperten und Wissenschaftler fordern Abrüstung im Cyberwar (MP3)
Manuskript: Mächte im Internet (MP3)
“Wir sind am Anfang einer neuen sicherheitspolitischen Ära”: Politologe über Obamas neue Philosophie der Cyberkriegsführung (MP3)
Schnell noch zwei aktuelle Beiträge auf Dradio Wissen und dem ZDF-Blog Hyperland ergänzt:
Es wird ihn nicht geben, es gibt ihn bereits!
Cyberwar klingt so furchtbar aufregend, man könnte schon fast Angst bekommen, dass auf einmal mein E-Mail-Programm zur Waffe greift und mir den Kopf abschlägt um den Krieg zu gewinnen. Aber wie Krieg nunmal ist, gehören immer zwei Kriegführende Parteien zum (Cyber)-Krieg. Auf der einen Seite hat man es mit hochentwickelten Computerprogrammen zu tun, welche direkt für den Angriff eines bekannten Automatisierungssystems angefertigt wurden oder wird – und auf der anderen Seite sind es ein paar Spaßmacher die dem Softwarekonzern Microsoft darlegen wie abgrundtief schlecht Software doch sein kann, die annektiert und kommerziell zusammengeklatscht zu Wucherpreisen vermarktet werden. Nur weil in Windows der ServiceControlManager die Systemprozesse überwacht und gegebenenfalls neustarten kann, heisst es noch lange nicht, dass nicht hinter dem “Windows-Desktop” alles “stabil” läuft, denn wenn man der Kundschaft die Software mittels Marktbeherrschender Stellung aufzwingen kann, gibt es ja auch keinen Grund in die Software mehr zu investieren als zur Beibehaltung der Marktbeherrschenden Stellung erforderlich ist. So kommt es, dass signifikannte Mängel an der Software, bei Funktionstörung oder Totalausfall einfach zur “Cyberwarattacke” umetikettiert werden um eine Haftung für entsprechend minderwertige Softwareprodukte ablehnen zu können.Was die hochentwickelten Cyberattacken angeht, wo mehrere 1000 Mannstunden Entwicklungsarbeit drinnsteckt, steht eigentlich nur die Frage im Raum, ob es wirklich gut ist, Computer mit nur einem Netzwerk zu verknüpfen, wo von der Spielekonsole physikalisch aus auch eine Atomraketenabschussbasis erreichbar sein soll. Es ist also wichtig dafür zu sorgen, daß Risiko-Technologien nicht unbedingt mit “Elektrofachhandelssoftware” ausgestattet und besser in isolierten Umgebungen betrieben werden sollten.
diese einschätzung kann ich nicht nachvollziehen. das ist medienhype. als wenn auch nur ein atomkraftwerk am internet hängen wird oder eine talsperre. das sind märchen aus der bildzeitung. auch das dürfte vor allem wieder eine beschaffungsinitiative der nato und eine rechtfertigung für milliardenausgaben.
Das ist ja ganz schön leichtgläubig. Es ist anzunehmen, daß mindestens 90% der kritischen Infrastrukturen (Staudämme, E-Werke, Wasserwerke, Verkehrssteuerung) auf Windowsbasierten Computern arbeiten. Auch wenn diese nicht online sind, dürfte es einfach sein, sie zu infiltrieren. Stuxnet hat ja bene dies getan. Daß noch keine größere Katastrophe geschehen ist, ist das Wunder!
Ich hörte mal von einem millitärischem Unterseeboot, welches ca. eine Stunde lang Manövrierunfähig war, weil M$ WindowsNT 4.0 zur damaligen Zeit abgestürzt war. Naja, ich kann nur sagen … wenn da Lebenswichtige Systeme dranhängen wie Sauerstoffversorgung oder Brandlöschanlagen, dann will ich nicht mit Microsoft zur Bootsfahrt auslaufen. Wie auch immer, nie würde ich Microsoftware mein Leben anvertrauen. Windows ist schön zum spielen und zum hacken, weils so schlecht ist. Da ist immer was los, aber nach wie vor werden wohl Unixoide Systeme eher für kritische Anwendungen geeignet sein. Der “Cyberwar” ist daher in der Regel immer erstmal ein “Microsft-War”, weil ein solcher “Softwareflickenteppich” immer das leichteste Angriffsziel ist. Bei Unixoiden Systemen müssen Hacker sehr viel mehr Aufwand betreiben um Erfolg zu haben. Bei Unixoiden freien Systemen ist der Kernel schnell geupdatet und neu kompiliert und die Sicherheitslücke ist für immer dicht. Bei Microsoft kann man gleich auf den nächsten Hackerangriff warten, denn zunächst muss M$ erstmal gewillt sein die Sicherheitslücke zu schließen und dann muss man auch Glück haben, dass WindowsUpdate nicht mal eben wegen irgendwelchen Kinkerlitzchen den Systemadministrator mit irgendwelchen ominösen Fehlermeldungen belästigt. Der Cyberwar ist eben deshalb so lästig, weil der Softwarekonzern der ihn in erster Linie ermöglicht nur seine eigenen Interessen verfolgt, egal mit welchen Problemen der Endanwender konfrontiert wird. Dazu gibt es die EULA um den Haftungsausschluss schon bei Inbetriebnahme der Software zu besiegeln. Bei “sicherer Software” wäre schätzungsweise Windows 2000 bereits bei Service Pack 7, WinXP bei Servicepack 5 und der Rest wie Vista und 7 noch gar nicht “Releasefähig”. Wenn Microsoft ein Interesse daran hätte sichere Software auszuliefern könnte man alle Sicherheitspatches in ein ServicePack einbauen und verteilen, aber durch Windows Update wird der Benutzer dazu genötigt zum einen M$ mitzuteilen, wer da ist und was benutzt wird (erkennbar an den Downloads) und zum anderen kann M$ einfach den “Sicherheitsupdateserver” abschalten, danach ist ein hochgepatchtes System nicht wiederherstellbarr und muss mit neuer M$-Software ersetz werden. Es ist eine Analoge Strategie, wie Zuhälter den Prostituirerten das Geld und die Pässe wegnehmen, damit sie nicht abhauen können. Nur das Microsoft diese Art der “Zuhälterstrategie” eben auf den Computerbenutzer anwendet. Am Ende bleibt nichts übrig, außer leere Taschen und volle Schatztruhen in Redmond.
Naja und Windows ist sozusagen die Nutte, an der wir alle schon ewig und drei Tage rumfummeln. Selten sehen sich Zuhälter für die Gesundheit ihrer “Einnahmequellen” verantwortlich, so macht das in der wirklichen Welt das Gesundheitsamt, falls vorhanden. Im Cyberspace, gibts sowas noch nicht. Aber Krank ist Windows auf jedenfall, weil ständig mit Viren und Würmern Bots und Rotkits befallen, woanders holt man sich Läuse, Tripper und die Maul- und Klauenseuche.
Warum wird dieses Thema immer so irreführend diskutiert? Als wenn die Nato oder die Russen oder die Chinesen die Schwachstellen von Windows nicht kennen wurden. Aber was ist mit dem Cyberterror in der dritten Welt?
hi Sandro,zu dem Kommentar kann ich nur sagen: der Cyberwar ist längst Realität geworden. Denn der Cyberwar wurde bereits mit diesen sogenannten “Staatstrojanern” Wirklichkeit, die von der hessischen Firma DigiTaks entwickelt und von unserer Regierung in Berlin gekauft wurden. Die Dokumente darüber sind offen im Internet einsehbar!! Und diese wurden bereits einigen Passagieren auf dem Münchner Flughafen hinter deren Rücken auf Laptops installiert. Und genau dass stellt bereits den Anfang des Cyberwars gegen die eigene Bevölkerung dar. Aber genau dieser Vorgang verstößt ganz eindeutig gegen ein Urteil des Bundesverfassungsgerichts aus dem jahre 2008 bezüglich des erweiterten Schutzes von Haus und Wonung, das hier auch auf den PC und elektronische Datenverarbeitungssysteme übertragen wurde. Und solche Systeme sind auch die moderen Tablets, Smartphones, Laptops, TV-Screens, etc!!Und nicht nur Flugzeug-Cockpits, Schleusentore, Chemiewerke und Medikamenten-Rezepturen werden digital gesteuert. Nein auch AKWs zum Beispiel werden digital gesteuert. Und hier ist mit Stuxnet der Cyberwar bereits Realität geworden. Denn wenn der Iran dieses Ding nicht entdeckt hätte und dieses Ding in die Computersteuerung des AKWs Buschehr eingedrungen wäre, dann wäre der Super-GAU im Nahen und Mittleren Osten perfekt gewesen!! Denn Sandro: stell dir mal vor, dem wäre so gewesen (dass also dieser Stuxnet in diese Steuerung eingedrungen wäre und dass unentdeckt), der Reaktor hätte sich nicht mehr abschalten lassen und was wäre die Folge gewesen?? Richtig, der Super-Gau, wie wir es bereits in Tschernobyl und jetzt in Fukushima erlebt haben. Das hätte dazu führen können, dass ein Großteil des Nahen und Mittleren Ostens verseucht und auf Jahrtausende unbewohnbar geworden wäre. Außerdem wären unschuldige Nachbarstaaten in Mitleidenschaft gezogen worden (Afghanistan, Irak, Syrien, Jordanien, Israel, etc). Denn: radioaktive Strahlung macht vor keiner Landesgrenze halt!! Die Strahlung von Tschernobyl ist von Russland über Polen bis nach Deutschland gekommen. Ja, auch hier in Deutschland gab es davon radioaktiven Fallaout!!! Und jetzt stell dir mal vor, sowas würde in einem deutschen AKW wie etwa beispielsweise Grafenrheinfeld, Unterweser oder in Phillipsburg passieren!! Dann wäre aber der Teufel los. Und genau dass stellt eine eklatante Verletzung des Völkerrechts dar!!Denn solcher Schadcode kann sich auch verselbständigen und in der freien Wildbahn eine reale Bedrohung für die normalen Computer-User darstellen. Denn wenn – wie beim Fall Stuxnet – sich der Code verselbständigt und damit außer Kontrolle gerät und bei tausenden Nutzern weltweit den Computer kompromittiert, stellt sich nämlich auch die Frage nach der Entschädigung, weil dabei Kosten für ein neues Windows und im schlimmsten Fall für einen neuen PC anfallen!! Und wer bezahlt den Usern dass??Von daher sollte man sehr gut überlegen, ob es nicht besser wäre, wenn
so etwas für Regierungen, die Bundeswehr und auch für sonstige
Geheimdienste nicht besser verboten bleiben sollte??
Realität!
[...] des Schreckens zu vergegenwärtigen. Im 21. Jahrhundert taucht plötzlich die Chiffre des Cyberwars auf. Und mit ihr neue Kriegstaktiken. Unbemannt Drohnen werfen Präzisionsbomben ab und [...]
in welche welt wir leben können wir seit lange zeit nicht klar mehr sehen. es könnte sein das wir schon lange krieg erleben ohne das öffentlichkeit davon erfährt. es ist ein kalter heißer krieg im world wide web. niemanden hat neugier es allen zu erzählen. das ist der unterschied. es sind keine häuser kaputt. aber computernetze verseucht.
Es ist erschreckend, wieviel Hollywood doch in der Realität liegt!