„Moskau muss seine rücksichtslose Verhaltensweise beenden.“ Mit diesen Worten brachte NATO-Generalsekretär Jens Stoltenberg Anfang Oktober der niederländischen und britischen Regierung seine Unterstützung entgegen, nachdem diese Russland bestimmten Vergehen bezichtigt hatten. Nach den USA und Kanada verdächtigten jetzt auch zwei europäische Länder Russland, mehrere schwerwiegende Cyberangriffe begangen zu haben. Auseinandersetzungen wurden zunächst zu Land, auf dem Wasser, in der Luft und im Weltraum ausgetragen. Auf dem internationalen Schachbrett verschärft sich die Lage nun im Cyberspace; doch wohin kann das führen?
Ein Cyberkrieg in vier Akten
„Je mehr ich mich mit anderen darüber unterhalte, desto eher gehen die Leute davon aus, dass ‚das nächste Pearl Harbor‘ ein Cyberangriff sein muss“, gab Tarah Wheeler, Expertin für Cyber-Sicherheit, auf einem OECD-Treffen im Juni dieses Jahres in Paris bekannt. Und aufgrund bestimmter Ereignisse ist es nicht ganz abwegig, dass irgendwann eine bedeutende Nation Opfer eines großen, einschneidenden und vernichtenden Angriffs werden wird. Einige Ereignisse aus der nahen Vergangenheit geben einen Vorgeschmack auf das, was uns noch bevorstehen könnte.
- Akt: Estland, 2007. Nachdem ein sowjetisches Kriegerdenkmal in der estnischen Hauptstadt abgebaut worden war, brachen prorussische Krawalle aus. Die (wahrscheinlich russischen) Cyberangriffe in noch nie dagewesenem Ausmaß ließen nicht lange auf sich warten: Die Informatikprogramme von Behörden, Banken, Medien, Notaufnahmen und Polizeirevieren im ganzen Land „verweigerten sozusagen den Dienst“ (DDoS, Abkürzung von Distributed Denial of Service attack). Laut einigen Experten war dieser Angriff auf ein ganzes Land als Beginn eines Cyber-Weltkriegs zu werten.
- Akt: Iran, 2010. Der Computerwurm Stuxnet wurde dazu eingesetzt, um Störungen im iranischen Atomprogramm durch Senden von verfälschten Daten zwischen den Urananreicherungsanlagen im Land zu verursachen. Dabei handelte es sich um den ersten Industrieangriff in diesem Umfang. Wie später bekannt wurde, ging die Virusattacke angeblich auf das Konto der USA und Israel, was einen erneuten Wendepunkt zwischenstaatlicher Konfrontation bedeutete.
- Akt: Ukraine, 2017. Bevor sie sich in der ganzen Welt verbreitete, infizierte die Ransomware NotPetya innerhalb weniger Stunden im ganzen Land die Systeme von Banken, Geschäften und Transportinfrastrukturen. Das Ziel der Schadsoftware ist schnell erklärt: so viele Daten wie möglich vernichten. Ein weiteres Kapitel in der offenen Auseinandersetzung der Ukraine mit ihrem russischen Nachbarn.
Der 4. Akt befindet sich momentan wohl noch in der Entwicklung. Der Cyberspace ist folglich mehr denn je Ursprung internationaler Spannungen, sodass ihn die NATO sogar offiziell zum potentiellen Schlachtfeld ernannt hat. „Dies bedeutet, dass Cyberangriffen mit herkömmlichen Waffen begegnet werden kann und umgekehrt“, erklärt Marco Genovese, Product Manager Network Security bei Stormshield. „Es gibt faktisch keinen Unterschied mehr zwischen einem Cyberangriff auf ein Kernkraftwerk und einem Bombenangriff auf dasselbe Ziel.“ Gérard Peliks, der Vereinsvorsitzende von CyberEdu, fügt hinzu: „Die modernen Länder statten sich mit einer bestimmten Infrastruktur aus, um sich bereit für den Cyberkrieg zu machen. So gibt es in der Schanghaier Vorstadt ein 12-stöckiges Gebäude, in dem 200 Soldaten der chinesischen Volksarmee die Aufgabe haben, europäische und amerikanische Netzwerke auszuspähen.“
Es gibt faktisch keinen Unterschied mehr zwischen einem Cyberangriff auf ein Kernkraftwerk und einem Bombenangriff auf dasselbe Ziel.
Marco Genovese, Product Manager Network Security bei Stormshield
In der Zwischenzeit „ist es recht einfach, sich seinen Zweifeln, Unsicherheiten und Ängsten zu ergeben, doch man sollte lieber rational über die Gefahren sprechen “, wirft Markus Brändle, Head of CyberSecurity, ein. Beim Nachdenken über Cyber-Gefahren ist es wichtig, das militärische Denken der Vergangenheit außen vor zu lassen: Der Mensch ist fast immer die Schwachstelle in einem Informationssystem, vielleicht ist er es aber auch auf Staatsebene.
Was wäre, wenn nicht nur Infrastrukturen in Gefahr wären, sondern auch die Demokratie?
In einem Artikel vom 17. April 2018 hat die französische Behörde für die Sicherheit von Informationssystemen Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) zwei neue Zweckbestimmungen von Cyberangriffen ausgemacht: die Destabilisierung demokratischer Prozesse und jene wirtschaftlicher Prozesse. Wahlen sind also nunmehr eine bevorzugte Zielscheibe. Beispiele gefällig? Wie wäre es mit den vergangenen Wahlen in Frankreich und den USA? Andrés Sepúlveda, ein kolumbianischer Hacker, hat außerdem zugegeben, mehrere Präsidentenwahlen in Lateinamerika manipuliert zu haben.
Die sofortige und massive Verbreitung von Informationen, vor allem über soziale Netzwerke, verschafft den Angriffen ein beachtliches Schadenspotenzial. Merkwürdigerweise ist es nicht besonders schwierig, diesen Schaden anzurichten. Das Konto von Hillary Clintons Wahlkampfmanager wurde mithilfe einer simplen Phishing-E-Mail gehackt. Im französischen Finanzministerium gingen mindestens 20 Prozent der Beamten [Artikel in französischer Sprache] einem unbekannten Absender auf den Leim. Die Folgen dieser Attacken könnten nicht weniger beunruhigend als Viren wie Stuxnet sein. „Wenn jemand es auf eine Infrastruktur abgesehen hat, bemerken Sie den Angriff sofort, meint Markus Brändle. „Doch Aussagen in Bezug auf das Ausmaß des Angriffs sind schwieriger zu treffen. In gewisser Weise ist es auch äußerst knifflig, wieder zur Ausgangslage zurückzukehren.“
Doch Aussagen in Bezug auf das Ausmaß des Angriffs sind schwieriger zu treffen. In gewisser Weise ist es auch äußerst knifflig, wieder zur Ausgangslage zurückzukehren.
Markus Braendle, head of Airbus Cybersecurity
Die Kunst der Cyber-Kriegsführung und ihre Gefahren
Könnten zunehmende Cyberangriffe auf Bürger und staatliche Einrichtungen zum Ausbruch eines Cyberkriegs führen? Schon möglich. In einem Gesetzesentwurf aus dem Herbst 2017 sahen die USA vor, einen sogenannten Hack Back [in französischer Sprache] zu genehmigen, das heißt Unternehmen zu erlauben, einen Angreifer aufzuspüren und dann Selbstjustiz zu betreiben ... auf die Gefahr hin, sich zu irren. „Das ist der elementare Unterschied im Vergleich zu Kriegen wie wir sie bisher kannten“, schlussfolgert Markus Brändle. „Der Urheber der Angriffe ist nicht ohne Weiteres zu bestimmen. Man könnte zwar den Code auf Hinweise untersuchen und sich „Reverse Engineering“ bedienen, doch diese recht dürftigen Beweise könnte man auch leicht fälschen.“ In einem Artikel über digitale Notwehr erklärt Pierre-Yves Hentzen, Präsident von Stormshield, Folgendes: „Das Problem der legitimen Cyber-Verteidigung – im Gegensatz zur realen Welt – liegt darin, dass sie keinen Regeln folgt. Es geht dabei um die Simultanität, Proportionalität und die Gegenattacke selbst.“
Neben der Gefahr, eine Partei fälschlich Angriffen zu beschuldigen besteht außerdem fast immer die Gefahr einer verheerenden Gegenreaktion. In Folge des Stuxnet-Angriffs verstärkte der Iran seine nationalen Verteidigungsmaßnahmen und machte angeblich sogar den Virencode von Stuxnet ausfindig, um „Shamoon“ zu erzeugen – einen Virus, der mit dem Ziel nach Saudi-Arabien gesendet wurde, die dortige Erdölproduktion lahmzulegen.
Und als ob dies noch nicht genug wäre, erwägt die US-amerikanische Regierung Angaben zufolge, präventive Cyberangriffe zu erlauben. Frei nach dem Motto „Angriff ist die beste Verteidigung“: die feindlichen Ressourcen zerstören, bevor der Gegenspieler selbst einen Angriff ausführen kann.
Wann wird die Gesetzgebung den wachsenden Bedrohungen durch Cyberangriffe endlich Einhalt gebieten? Im November 2017 sprach sich Brad Smith, Vorsitzender und Leiter der Rechtsabteilung von Microsoft, für eine Digitale Genfer Konvention aus, die bisher im theoretischen Stadium verharrt. Falls die multilateralen Verhandlungen zu keinem Ergebnis führen sollten, könnte es dann automatisch zu einer Regelung kommen, wenn es einem Staat gelänge, eine Technologie einzusetzen, die dazu bestimmt ist, die anderen auszulöschen? „Innovationen könnten unsere Vorstellung von IT-Sicherheit von Grund auf neu definieren“, sagt Markus Brändle und nennt als Beispiel den Quantenrechner mit seiner astronomischen Rechenleistung.
Präventive Cyberangriffe sind allerdings nichts Neues: Geheimdienste weltweit nutzen bereits seit längerer Zeit Zero-Day-Lücken aus, um sich gegenseitig auszuspionieren. Solche Spionageaktionen sind gang und gäbe, auch wenn diese bei ihrer Aufdeckung regelmäßig für Aufsehen sorgen. Bisher scheint noch ein gewisses Kräftegleichgewicht vorzuherrschen, wenngleich sich folgende Frage aufdrängt: Was wäre, wenn Cyberangriffe in Zukunft als Druckmittel zum Aufbau einer neuen Weltordnung ähnlich wie der Besitz von Atomwaffen dienen könnten?
Was wäre, wenn Cyberangriffe in Zukunft als Druckmittel zum Aufbau einer neuen Weltordnung ähnlich wie der Besitz von Atomwaffen dienen könnten?
Pierre-Yves Hentzen, CEO of Stormshield