Die USA rüsten gegen elektronische Angriffe: Wie groß ist die Gefahr eines Cyber-Krieges?
Von Hubertus Breuer
Kevin Coleman hatte eine Überraschung parat. Der Computerexperte des US-Beratungsunternehmens Technolytics berichtete Ende April vor einer Kommission des amerikanischen Kongresses, China habe für seine Militär- und Regierungscomputer ein Betriebssystem namens Kylin geschaffen, das gegen Internetangriffe amerikanischer Militärs und Geheimdienste nahezu immun sei. Außerdem hätten die Chinesen einen sicheren Mikroprozessor entwickelt, der sie zusätzlich gegen feindliche Hacker und Schadprogramme schütze. Wir befinden uns in der Anfangsphase eines Wettrüstens im Cyberraum und müssen entsprechend handeln, ließ Coleman die Vertreter des amerikanischen Volkes besorgt wissen.
Damit goss der Experte Öl in ein ohnehin schon loderndes Feuer. Denn in der US-Administration, aber auch unter Regierungen Europas und Asiens grassiert die Angst vor einem Cyberkrieg oder Terroranschlag im virtuellen Raum. Sie befürchten, Hacker könnten durch geschickte Eingriffe Stromausfälle herbeiführen, den Flugverkehr manipulieren oder den Finanzhandel zum Absturz bringen. Richard Clarke, Experte für Internetsicherheit unter George W. Bush, hatte bereits vor Jahren vor einem elektronischen Pearl Harbor gewarnt; UN-Generalsekretär Ban Ki-moon schlug Anfang des Jahres vor, Cyberwaffen in die Liste der Massenvernichtungsmittel aufzunehmen; und im April malte der Wall Street Journal-Kolumnist Bret Stephens gar ein Hiroshima, 2.0 an die Wand. Grund genug für die USA, im Cyberspace mächtig aufzurüsten.
Doch niemand weiß letztlich genau, wie groß die Gefahr einer Katastrophe infolge eines Internetangriffs tatsächlich ist. Auf der einen Seite stehen Sicherheitsexperten, Regierungsmitglieder, Militärs, Vertreter der Rüstungsindustrie und nicht zuletzt auch die Medien, die Schockszenarien heraufbeschwören: explodierende Kraftwerke, abstürzende Flugzeuge, brechende Staudämme, unzählige Tote. Auf der anderen Seite finden sich Skeptiker, die einen größten anzunehmenden Unfall nicht ausschließen, aber eher für unwahrscheinlich halten. Man sollte die Gefahren nicht verniedlichen, sagt Myriam Dunn, an der ETH Zürich lehrende Expertin für Cyberrisiken. Warnungen vor dem Weltende aus dem Internet hört man aber seit den späten achtziger Jahren, dazu gekommen ist es nicht.
Cyberspione. Die Sorgen um das Gefahrenpotenzial der Netzwerke sind nicht unbegründet vor allem, was Spionage betrifft. An der virtuellen Festung des US-Verteidigungsministeriums im Internet scheitern Hacker täglich. Doch beim Rüstungsunternehmen Lockheed Martin, das für das Pentagon das Tarnkappenflugzeug F-35 Lightning II baut (ein 300 Milliarden Dollar teures Großprojekt), ist Cyberspionen ein Fischzug gelungen. Seit 2007 haben sie, wie das Wall Street Journal Mitte April berichtete, aus dem Computernetz von Lockheed Martin Terabytes an Daten über die Elektronik und das Design des Kampfjets abgesaugt.
Anfang April bestätigte die US-Regierung zudem, dass chinesische und russische Hacker versucht hätten, über das Internet das Stromnetz der USA auszukundschaften. Die Eindringlinge hätten außerdem Schadprogramme installiert, die sie eines Tages aktivieren könnten. Und im September 2008 entdeckten internationale Sicherheitsexperten Spionagesoftware auf einem Computer im indischen Dharamsala, dem Exilsitz des Dalai Lama. Mehrere Server, auf denen gestohlene Dokumente abgelegt wurden, wurden in China lokalisiert.
Auch erste Scharmützel wurden bereits via Internet ausgetragen. Als im vergangenen Sommer die bewaffnete Auseinandersetzung zwischen Russland und Georgien begann, griffen vermutlich russische Hacker Georgiens Computernetzwerke an und legten die elektronische Kommunikation der Regierung lahm. 2007 wiederum gab es einen Angriff auf die öffentlichen Computer Estlands, nachdem dort ein sowjetisches Kriegerdenkmal abgerissen werden sollte. Das war nicht gerade ausgefeilt, aber effektiv, sagt der frühere CIA-Agent Jack Devine, Präsident der Arkin Group, eines New Yorker Beratungsunternehmens für Nachrichtendienste.
All das hat die US-Regierung nun dazu bewogen, ein eigenes Militärkommando zu planen, das Cyberkrieger ausbilden, die digitalen Verteidigungsanlagen ausbauen und, falls nötig, selbst elektronische Angriffe ausführen soll. Das Cyberkommando wird alle Initiativen der USA für den Krieg im Netz unter sich vereinen. Bislang überwachen Sondereinheiten der Air Force, andere Teilstreitkräfte und Geheimdienste ihre eigene Netzsicherheit. Welche Organisation letztlich die neue Abteilung federführend leiten soll, ist noch nicht entschieden, doch es soll in Kürze bekannt gegeben werden, voraussichtlich zeitgleich mit der Ernennung eines Cyber-Zar, der die verschiedenen Behörden koordiniert.
Das US-Militär will auch ein zweites Internet bauen, National Cyber Range genannt, das als Testgelände für Verteidigungs- und Angriffsmaßnahmen dient nicht viel anders als das Bikini-Atoll im Pazifik, auf dem die USA in den vierziger und fünfziger Jahren des 20. Jahrhunderts Atomwaffentests durchführten. Mehrere Unternehmen haben im Jänner den Auftrag erhalten, innerhalb von sechs Monaten erste Prototypen zu bauen, unter denen das Pentagon eine Konstruktion oder mehrere zur Weiterentwicklung auswählen wird. Die Internetkopie muss riesige Netzwerke simulieren, zu denen all das gehört, was auch das echte Web auszeichnet: Millionen User, Spionage-Mails, abgeschottete Firmennetzwerke, Rechenzentren mit Servern, mobile Funknetze, Hackertruppen, die Firewalls überwinden wollen, und Verteidiger, die sie daran zu hindern suchen.
Wie es derzeit um die Verteidigungsstärke der Vereinigten Staaten und anderer westlicher Industrienationen steht, demonstrierte eine im März 2008 durchgeführte Übung. Gemeinsam mit Großbritannien, Kanada, Australien, Neuseeland und 40 privaten Unternehmen testeten die USA einen Angriff auf Kontrollnetze von Chemiefabriken, Eisenbahnlinien und Ölpipelines. Das Drehbuch der Cyber Storm genannten Veranstaltung ähnelt dem Film Stirb langsam 4.0, in dem Terroristen mithilfe von Computern die Infrastruktur der USA unter ihre Kontrolle bringen.
Digitaler Sturmangriff. Die Ergebnisse sind noch unter Verschluss. Das größte Problem des Kriegsspiels waren jedoch offenbar keine klaffenden Lücken in Sicherheitssystemen, denen man am besten durch regelmäßige Sicherheitsupdates von Betriebssystemen und Softwareprogrammen begegnet. Der IT-Experte Karl Hanmore von der australischen Organisation für Computersicherheit AusCert sagt, die größten Schwierigkeiten seien aus der mangelnden Kommunikation zwischen staatlichen und privaten Institutionen entstanden: Wir müssen Informationen tatsächlich teilen und das nicht nur ankündigen. Kein Wunder, befindet sich doch in den Staaten und vielen anderen Industrieländern ein Großteil der zentralen Infrastruktur in privater Hand.
Wenn es um die digitale Offensive geht, hält sich das US-Militär allerdings bedeckt, obgleich zweifellos das nötige Potenzial dazu existiert. Bekannt ist, dass die Staaten nach dem 11. September Al Kaidas finanzielles und Rekrutierungsnetzwerk mit Viren infiltrierten. Sie konnten den Geldfluss teilweise verfolgen und Überweisungen von Finanziers der Terrorgruppe auf vom amerikanischen Militär kontrollierte Konten umleiten. Im Jahr 2003 soll die US-Armee auch ernsthaft überlegt haben, im Irak das Internet vollkommen zum Stillstand zu bringen. Spekuliert wird außerdem über das Design von Mikroprozessoren, in deren Architektur Viren fest verdrahtet sind. Oder Methoden, auf feindlichen Rechnern Botnets, die Computernetze für einen Internetangriff rekrutieren, präventiv zu zerstören. Diese Cyberaufrüstung ist teuer. Deshalb beabsichtigt der US-Kongress, die Ausgaben für diesen Zweck von derzeit jährlich 7,4 Milliarden Dollar auf immerhin 10,7 Milliarden anzuheben.
All die militärische Macht hilft jedoch herzlich wenig, das Problem zu lösen, nach welchen völkerrechtlichen Regeln ein solcher virtueller Krieg überhaupt geführt werden darf. Darf etwa ein Cyberangriff schon als eine Kriegserklärung gewertet werden? Selbst wenn, sehen sich die Verteidiger Problemen gegenüber. Denn im Internet ist nicht immer ohne Weiteres feststellbar, woher ein Angriff eigentlich kommt Denial of Service-Attacken, bei denen Netzwerkdienste durch Anfragewellen unbrauchbar werden, können von tausenden Computern aus einem Dutzend Ländern kommen. Und wenn sich eine Attacke auf Server in Russland zurückverfolgen lässt, muss das keineswegs heißen, dass sie dort auch ihren Ursprung hat. Charles Williamson, Experte für Nachrichtendienste bei der U.S. Air Force, gab dem britischen Economist gegenüber zu bedenken: Wenn die Hamas einen Server in den USA kapert, um Israel anzugreifen, darf Israel gegen den US-Server zurückschlagen? Die internationale Gesetzgebung weiß darauf bislang keine Antwort.
Identitätsproblem. Im Falle eines Cyberangriffs ist überdies nicht sofort klar, ob ein staatlicher Aggressor, Terroristen oder nur jugendliche Hackerbanden dafür verantwortlich sind. Kein vernachlässigbares Detail, wenn ein NATO-Mitglied wie Estland attackiert wird. Bei einer EU-Tagung Ende April im estischen Tallinn in einem von der NATO eingerichteten Zentrum für Sicherheit im Internet bemühten sich die Teilnehmer deshalb um eine gemeinsame Cyberstrategie. Dort erklärte etwa Bruce Schneier, Sicherheitsfachmann des britischen Anbieters für Online-Dienste BT, mit Blick auf Estland: Damit ein Cyberangriff einen echten Krieg darstellt, muss auch ein konventioneller Krieg stattfinden eine Ansicht, die freilich nicht jeder teilt. Bis 2010 wollen mehrere EU-Länder zudem erstmals Cybermanöver durchführen.
Vor dem Hintergrund der bekannt gewordenen Hackerattacken und der von Militärs ausgemalten Bedrohungsszenarien wird aber auch deutlich: Kein ernsthafter Krieg wird allein mit Cyberwaffen geführt, geschweige denn gewonnen. Das schließt einen Terrorangriff wie den 11. September 2001, der tausende Menschenleben forderte, allerdings nicht aus. Zu diesem Zweck müssten Hacker nur die Kontrolle über lebenswichtige Teile der Infrastruktur übernehmen, wie etwa ein Atomkraftwerk oder einen Staudamm.
Um die Bedrohung zu verdeutlichen, werden vor allem zwei Beispiele angeführt. Im Jahr 2000 schaffte es der Australier Vitek Boden, aus Rachegelüsten mithilfe eines Laptops und einer drahtlosen Verbindung aus einer Kläranlage Millionen Liter Abwasser in den Fluss und die Küstengewässer seiner Stadt Maroochydore in Queensland abzulassen. 2007 übernahm während eines vom US-Heimatschutzministerium geleiteten Experiments am Idaho National Laboratory ein Hacker die Kontrollprogramme eines Generators und ließ den Stromgenerator in einer Wolke aus Rauch und Dampf den Geist aufgeben. Man stelle sich einen solchen Angriff gegen 60 Generatoren vor und ähnliche Aktionen gegen Chemiefabriken, sagt Scott Borg, Direktor der Instituts U.S. Cyber Consequences Unit, dem Wall Street Journal.
Daniel Rosenfield von der Elliott School of International Affairs an der George Washington University warnte im vergangenen März im Politikjournal Critical Review jedoch davor, solche raren Vorfälle überzubewerten: Die weitaus größere Gefahr liegt im Störpotenzial von Cyberangriffen. In Rosenfields Augen sind die Kontrolleure von Infrastruktur wie der Öl-, Gas- und Stromversorgung inzwischen so wachsam, dass solche Katastrophen außer in isolierten Experimenten kaum eintreten dürften. Was Cyberkriege heute auszeichne, seien vielmehr kostspielige, Verwirrung schaffende und mitunter konventionelle Kriege begleitende Eingriffe in den elektronischen Datenfluss. Klassische Beispiele sind Denial of Service-Attacken wie in Estland oder Georgien, die Netzwerkdienste durch Anfragewellen paralysierten.
Die Schreckensszenarien verstellen den Blick auf die wahren Probleme, klagt auch die Sicherheitsexpertin Myriam Dunn. Dabei erklärt sich dieses Weltuntergangsgeraune oft einfach aus dem Eigeninteresse der Sprecher, seien es die Industrie, die Bürokratie oder die Medien. Dunn und andere raten deshalb, die Diskussion weniger apokalyptisch und mehr pragmatisch zu führen, etwa die Gefährdung aus dem Internet primär als ein Sicherheitsdefizit zu verstehen. Um dieses zu beheben, müssen die USA und andere Länder dann nicht nur eine Streitmacht von Cyberkriegern und das dazugehörige Waffenarsenal aufbauen. Ebenso wichtig ist es, die Privatwirtschaft mit einzubinden, die einen Großteil der kritischen Infrastruktur kontrolliert. So kommt die Rede rasch auf weniger martialische Mittel: auf staatlich geförderte Forschungsprogramme für Sicherheitstechnik, die Haftung für Sicherheitslücken oder Steueranreize.