Der fünfte Schauplatz des Krieges
Spionage und Attacken im Cyberspace von Misha Glenny
Die Cyber-Welt hat ihre Unschuld verloren. Schon vor Jahren hat das US-Verteidigungsministerium verkündet, man werde die klassischen vier Felder, auf denen das Militär agiert – zu Lande, zu Wasser, in der Luft und im Weltraum – um ein fünftes ergänzen: den Cyberspace. Im Mai dieses Jahres wurde der Viersternegeneral Keith Alexander vom Pentagon zum ersten Kommandeur der Cyper-Truppen ernannt. Dieses Kommando ist bei der National Security Agency (NSA) in Fort Meade, Maryland, angesiedelt.1
Mittlerweile haben viele Regierungen ihre Militärs beauftragt, eine „Cyber-Sicherheitsstrategie“ auszuarbeiten. Auch die Nato hat damit begonnen. Im Mai hat eine Expertenkommission unter Vorsitz der ehemaligen US-Außenministerin Madeleine Albright den Entwurf einer neuen Nato-Sicherheitspolitik vorgelegt. In dem Dokument mit dem Titel „Nato 2020“ hat die Verteidigung des Cyberspace zukünftig höchste Priorität. Damit sind alle Voraussetzungen für einen neuen Kalten Krieg gegeben, in dem sich allerdings – anders als in den 1950er und 1960er Jahren – nicht nur zwei Lager gegenüberstehen. Denn auch Russland, China, Indien und Israel werden sich zu bedeutenden Cyber-Mächten entwickeln.
Die Militarisierung des Cyberspace hat zur Folge, dass die globalen Kommunikationsnetze intensiver ausgeforscht und kontrolliert werden. Dass die Staaten keine Monopolstellung in diesem Planspiel um Informationen einnehmen, zeigen die von Wikileaks veröffentlichten Dokumente zur US-amerikanischen Afghanistanpolitik. Danach spekulierte die britische Sicherheitsministerin Pauline Neville-Jones über das „Informationsleck“ und äußerte den Verdacht, dass die Dokumente durch einen Hackerangriff auf das System beschafft worden sein könnten.
Das Internet ist mittlerweile für fast alle Bereiche unseres Alltags unentbehrlich geworden. Diese extreme Abhängigkeit von Computersystemen ist dafür verantwortlich, dass sich mit dem Cyber-Krieg eine ganz neue Konfliktdimension herausgebildet hat, deren Horrorszenarien mit fantasievollen Schlagworten wie „Cybergeddon“ oder „digitales Pearl Harbour“ heraufbeschworen werden.
Unter Cybergeddon (von Armageddon) versteht man einen Angriff auf die Computersysteme, die heutzutage die lebenswichtige Infrastruktur eines Landes kontrollieren und steuern, also die Versorgung mit Strom, Öl, Gas und Wasser und die Kommunikationsnetze. Nach Einschätzung von Scott Borg, dem Leiter eines Thinktanks namens US Cyber Consequences Unit (US-CCU), können die meisten Länder einen solchen umfassenden Angriff nur etwa zwei bis drei Tage lang überstehen. Sollte es der Feind aber schaffen, größere Bereiche der lebenswichtigen Infrastrukturen acht oder zehn Tage lang lahmzulegen, könnte er das angegriffene Land in die Knie zwingen.
Richard A. Clarke, der drei Präsidenten – den beiden Bushs und dazwischen Clinton – als Nationaler Sicherheitsberater diente, ist eine der maßgeblichen Autoritäten, die in naher Zukunft mit einem Cybergeddon rechnen. In seinem neuesten Buch „Cyber War“ vertritt er die These, gerade weil die USA in so hohem Maße von vernetzten Computersystemen abhängig sind, sei ein solcher apokalyptischer Angriff nur eine Frage der Zeit. Clarkes Buch ist schon deshalb lesenswert, weil es auf fünf Seiten einen höchst konkreten Albtraum ausmalt, in dem wild entschlossene Hacker und bösartige Viren dafür sorgen, dass Flugzeuge vom Himmel fallen, Kraftwerke in die Luft gehen und die Zivilisation innerhalb einer Woche in die Steinzeit zurückgeworfen wird.
Champagner für Putin
Solche und ähnliche Cybergeddon-Szenarien gehören allerdings zu den Voraussagen vom Typ „fatal, aber unwahrscheinlich“. Weit wahrscheinlicher ist die Bedrohung durch gigantische Mengen von Computerschädlingen, also jene Viren, Trojaner und Würmer, von denen ohnehin Milliarden im Internet zirkulieren. Wenn es hier zu einem Amoklauf kommt, könnten sich die Effekte derart kumulieren, dass sie der Apokalypse näher kommen als das viel beschworene Cybergeddon.
Die Nato und der Westen haben auf die vielfältige Bedrohung des Internet nur zögernd reagiert. Der erste Schritt erfolgte vor fünf Jahren mit der Gründung einer Institution mit dem bombastischen Titel „Cooperative Cyber Defense Centre of Excellence“ in der estnischen Hauptstadt Tallín. Obwohl die Nato-Mitgliedsländer die Idee eines solchen Cyberwar-Instituts begeistert begrüßt haben, zeigten sie sich bei der Finanzierung eher zugeknöpft (natürlich mit Ausnahme von Estland). Deshalb blieb das Projekt in den ersten Jahren eine Art Briefkastenfirma, wenn auch mit edel gestyltem Briefkopf.
Das änderte sich schlagartig, als Ende April 2007 ein diplomatischer Konflikt zwischen Tallín und Moskau ausbrach, der durch die Versetzung eines Denkmals aus sowjetischer Zeit ausgelöst wurde. Als der Streit eskalierte, wurden die Websites von Ministerien und staatlichen Behörden Estlands, aber auch wichtiger Medien und Banken durch eine Serie sogenannter DDOS-Attacken (Distributed Denial of Service) lahmgelegt.
Virtuelle Angriffe dieses Typs laufen über ein sogenanntes Botnet, in dem zehntausende von Computern miteinander vernetzt sind. In dem Fall wurde die Breitbandkapazität Estlands derart überlastet, dass ein Teil der lebenswichtigen Infrastruktur zeitweise lahmgelegt war. Russland hat damals zwar jede Beteiligung an diesem Angriff geleugnet, aber bis heute kann sich niemand vorstellen, wer es sonst gewesen sein könnte.2
Einer der Mitbegründer des Cyberwar-Instituts in Tallín erzählte mir letztes Jahr, wie er 2007 den Angriff erlebt hat: „Als Erstes habe ich in Frankreich angerufen und meinen Leuten aufgetragen, Herrn Putin ein paar Kisten vom besten Champagner zu schicken. Auf jeden Fall haben die Russen mit ihrem Angriff die Zukunft unseres Zentrums gesichert.“
Und er lag genau richtig. Bei allen Stellen in Brüssel und Washington schrillten nach dem Angriff in Estland die Alarmglocken. Die Fantasie der Cyberwar-Spezialisten kannte keine Grenzen mehr, alle sprachen auf einmal vom bevorstehenden „Digital Pearl Harbor“, ausgelöst von irgendwelchen bösen Terroristen oder feindlichen Mächten, die unsere Zivilisation lahmlegen werden: von Facebook über die Stromnetze bis zu den Interkontinentalraketen.
Seit Beginn der Präsidentschaft Obamas ist die Cyber-Verteidigung auf der Prioritätenliste zügig nach oben gerückt. Besonders deutlich wurde das im Januar 2010 beim Ausbruch der Streitigkeiten zwischen Google und China. Dies ist nicht irgendein Scharmützel, sondern ein tiefgreifender, erbittert geführter Konflikt, dessen Ausgang kaum vorhersehbar ist. Vor allem aber erlaubt dieser Streit zwischen dem unternehmerischen Giganten Google und einem der mächtigsten Nationalstaaten einen Blick in die Geheimnisse – und in den Abgrund – der Internetsicherheit.
Mephisto in Peking
Obgleich die Chinesen in diesem Konflikt zweifellos die Bösen sind, kann man auch für Google keine großen Sympathien aufbringen. Schließlich hatte sich das Unternehmen auf einen faustischen Pakt mit der Regierung in Peking eingelassen. Man ließ bereitwillig die Suchresultate auf google.cn zensieren, um sich 30 Prozent Anteile am chinesischen Markt zu sichern. Ganz nach dem Motto: Wir tun nichts Böses, solange es unsere Geschäftsinteressen nicht tangiert. Als dann aber Mephisto seine erste Forderung auf den Tisch legte, kam Faust ins Grübeln, ob er aus dem Pakt aussteigen soll.
Worauf der Angriff auf Google letzten Endes zielte, lässt sich schwer sagen. In jedem Fall wollten die chinesischen Behörden drei Menschenrechtsaktivisten ausspionieren, deren Gmail-Konten geknackt wurden. Aber die Aktion gehörte zu einem umfassenderen Angriff auf wichtige US-Unternehmen, zu denen mindestens zwei Rüstungsfirmen gehörten und das Softwareunternehmen Adobe Systems. PDF-Dokumente werden von einigen Ländern, darunter China, dazu missbraucht, Viren und Trojaner auf den Computern nichts ahnender User einzuschleusen.
Im Fall Google versuchen die Chinesen nicht zum ersten Mal, einen kommerziellen Konkurrenten auszutricksen. Hunderte internationaler Unternehmen müssen befürchten, dass chinesische Firmen oder Behörden ihre Computersysteme geknackt haben, um an Konstruktionspläne und andere Betriebsgeheimnisse heranzukommen. Nach einem Bericht der Washington Post wurden 34 große Unternehmen angegriffen. Zu ihnen zählten neben Rüstungsproduzenten auch IT-Unternehmen, bei denen Software-Anwendungen ausspioniert werden sollten.3
Im Zusammenhang mit dem Google-Konflikt hat die Obama-Regierung den Chinesen nicht nur die Verletzung der Meinungsfreiheit und anderer Menschenrechte vorgeworfen. Die Rede war auch von Industriespionage, denn die Cyber-Angriffe zielten offenbar auch darauf, die Geheimnisse der Suchmaschine und ihres E-Mail-Dienstes Gmail auszuforschen. So weit war das Weiße Haus in seiner Kritik an der chinesischen Menschenrechtspolitik und der Missachtung der Rechte an geistigem Eigentum noch nie gegangen.
Aber das erklärt noch nicht, warum Obama in dieser Kontroverse so deutlich Stellung bezogen hat. Der tiefere Grund dürfte sein, dass Google nicht irgendeine Firma ist, sondern die dominierende Macht im Internet, die über den größten Datenbestand weltweit verfügt. Sie ist mit anderen Worten das Herzstück des modernen Kommunikationswesens, wobei es trotz seiner globalen Reichweite ein US-amerikanisches Unternehmen ist und bleibt. Der chinesische Hackerangriff war also weit mehr als der Versuch, ein paar Ideen abzukupfern, um irgendwelche raffinierten Widgets zu perfektionieren. Wer Google angreift, attackiert einen Teil der lebenswichtigen Infrastruktur der USA. Eine Attacke auf dieses Unternehmen ist für Washington ein zentrales Thema der nationalen Sicherheit.
In den letzten zehn Jahren haben mehrere Mächte mit globalen Ambitionen begonnen, den Cyberspace in ihre nationale Verteidigungsstrategie zu integrieren. Beim Thema Cyber-Verteidigung und Cyper-Sicherheit geht es im Wesentlichen um zwei Bereiche. Der eine ist nicht unbedingt neu: die Nutzung der modernsten Technologien mit dem Ziel, konventionelle Waffensysteme zu verbessern. Ein Beispiel ist das Computersystem, mit dem von Nevada aus die Drohnen gesteuert werden, die heute die meisten Luftangriffe in Afghanistan durchführen.4
Interessanter ist der zweite Bereich der Cyber-Sicherheit, denn er betrifft die berühmten „lebenswichtigen Infrastrukturen“. Unsere Energie- und Wasserversorgung, unsere Kommunikationsnetze, die Kontrolle des Flugverkehrs und fast alle militärischen Systeme setzen das einwandfreie Funktionieren komplexer Computersysteme und deren Verknüpfung mit dem Internet voraus. Wenn es einem Virus oder einem Hacker gelingt, die Computerprogramme abstürzen zu lassen, mit denen diese Systeme betrieben werden, kommt kein Wasser mehr aus dem Hahn, kein Benzin aus der Zapfsäule, kein Geld aus dem Bankautomaten. Man kann nicht mehr telefonieren und keine Raketen mehr abschießen.
In einem konventionellen, ja sogar in einem atomaren Krieg kann ein Land seine militärischen Kapazitäten relativ leicht mit denen seines Gegners abgleichen. Hat ein Land zum Beispiel 75 Panzer, die aber mit besseren Waffensystemen ausgerüstet sind als die 125 Panzer des Nachbarlandes, weiß man, dass es in etwa unentschieden steht. Anders beim Cyberwar: Hier liegt der entscheidende Vorteil darin, die Verwundbarkeit des Gegners zu erkennen und auszunutzen. Und die eigene Verteidigung beruht darauf, dass man das Verteidigungskonzept des Gegners aushebeln kann. Deshalb gehört zu jeder Cyber-Verteidigung die Entwicklung umfassender offensiver Fähigkeiten.
Dieser Denkansatz lag dem Information Awareness Office (IAO) zugrunde, das von der Bush-Regierung im Gefolge des US Patriot Act vom Oktober 2001 gegründet wurde. Im Namen des Kampfs gegen den Terror sollten alle Nachrichtendienste und das Pentagon möglichst viele Informationen über gegenwärtige und potenzielle Feinde sammeln, und zwar mit allen nur erdenklichen Methoden, wozu auch das Aufspüren von Lücken und Schwachpunkten der gegnerischen Cyber-Verteidigung gehörte. Das IAO wurde zwar schon 2003 auf Betreiben des Kongresses wieder aufgelöst, seine Kernaufgaben wurden jedoch auf verschiedene Behörden verteilt und weitergeführt.
Bushs Politik in Sachen Internetsicherheit war durch organisatorisches Chaos gekennzeichnet. Anders Präsident Obama: Er machte von Anfang an klar, dass er dieses Thema als strategisch vorrangig betrachtet. Wie ernst es ihm damit ist, zeigt die Ernennung von Howard A. Schmidt zum Cybersecurity Coordinator. Der zupackende Expolizist verfügt als Gründer eines Security-Unternehmens und Präsident des Information Security Forum über herausragende Kenntnisse in Sachen Internet und Cyberwar.5
Die USA und neuerdings auch die Nato sind mit großem Aufwand bemüht, die Cyber-Systeme und Abwehrprogramme ihrer wichtigsten Rivalen, aber auch nichtstaatlicher feindlicher Akteure zu beobachten und auszuforschen. Das tun seit einigen Jahren auch Russland, China, Indien und Israel. Beim russischen Geheimdienst FSB ist es die neu gegründete Abteilung M, die in Abstimmung mit dem Militär alle Aktivitäten im Internet verfolgt. China mobilisiert regelmäßig seine „Netz“-Armee, um die Systeme der potenziellen Feindstaaten zu testen.
Weniger bekannt sind die Aktivitäten in Sachen Cyber-Sicherheit, die zwei andere Länder betreiben: Israel und Indien. Die Verteidigungsministerien und Geheimdienste beider Länder nutzen das enorme Expertenpotenzial der Hightech-Industrien in Tel Aviv und Bangalore, um ihre Cyberwar-Kapazitäten auf das höchste Niveau zu bringen. In den 1990er Jahren entstanden in beiden Ländern erfolgreiche kommerzielle Software-Unternehmen; in der Folge wurden viele Ingenieure und Programmentwickler für staatliche Projekte engagiert. Israel wie Indien haben sich inzwischen große Erfahrungen in Sachen „Informationskrieg“ angeeignet und nutzen Internet und Computertechnologie auf vielfache Weise, um bei Themen von strategischem Interesse die globale öffentliche Meinung zu beeinflussen.
Für dieses neue Feld der Sicherheits- und Militärstrategie gibt es bislang im internationalen Recht nur wenig Regeln. Das liegt auch daran, dass die Dinge hier besonders kompliziert liegen. Weil ein Angreifer seine Aktionen abstreiten, tarnen und verbergen kann, sind doppelte und dreifache Bluffs an der Tagesordnung. Ein Sicherheitsexperte hat mir diese chaotische Gemengelage mit folgendem Vergleich klargemacht: „Das ist so, als wenn du Simultanschach auf sieben Brettern spielst und dabei nie sicher weißt, wer in dem konkreten Moment gerade dein Gegner ist.“