Die virtuelle Lenkrakete

Japans Militärs lassen Datenschädlinge entwickeln, die Cyberangreifer identifizieren und deren Server ausschalten sollen. Doch was in den Medien wie ein Symbol der Stärke wirkt, ist in Wahrheit ein Zeichen der Schwäche – der japanischen Softwareindustrie.

Zum Jahresbeginn überraschen Medien ihre Leser gerne mit aufbauenden Nachrichten – auch in Japan. Die größte Tageszeitung der Welt, "Yomiuri", wollte diese Woche ihren Lesern zeigen, dass Nippons Militärs das Land mit intelligenten Waffen vor Cyberkriegen schützen kann. Nach dem Bericht hat Fujitsu im Auftrag des Verteidigungsministeriums einen Datenschädling entwickelt, der virtuelle Angriffe zurückverfolgen und sowohl die zwischengeschalteten Server, über die Angriffe gelenkt werden, als auch die Quelle punktgenau ausschalten können soll.

Verkauft wurde die – ich sag's mal salopp – virtuelle Lenkrakete als Präzisionswaffe gegen DDoS-Attacken ("Distributed Denial of Service"), bei denen Server durch den Beschuss mit Anfragen einer Heerschar von oft gekaperten Rechnern unschuldiger Nutzer gezielt überlastet und damit ausgeschaltet werden. Aber der Fujitsu-Cyberkrieger soll auch andere Angriffsmethoden entdecken können, die auf Datendiebstahl abzielen.

Tolle Leistung, soll der Artikel zeigen. Die Japaner können weiter friedlich schlummern. Doch die Zeitung hat sich nicht die Mühe gemacht, unabhängige Experten zur Bedeutung des Ganzen zu befragen. Denn dann wäre die Beruhigungspille für den japanischen Bürger eher zum Hallo-wach-Mittel geworden. Die IT-Sicherheitsbranche schüttelt den Kopf: "Ich bin sehr enttäuscht", sagte mir Jean-Guy Rioux von Resilience Consulting. Andere Länder hätten die Virus-Route schon lange verworfen, sagt der in Japan ansässige Sicherheitsberater: "Niemand, der noch alle Sinne beisammen hat, würde noch in so etwas investieren." Die Gefahren würden den Nutzen bei weitem übertreffen.

Ein Problem ist das Recht: Die Entwicklung solcher Datenschädlinge ist illegal in Japan. Aber es wäre ja nicht das erste Mal, dass ein Staat sich über seine eigenen Gesetze hinwegsetzt. Entscheidend ist jedoch, dass so ein Virus nicht die versprochene Präzisionswaffe ist, sondern eher ein Streufeuer, das jede Menge Kollateralschäden verursachen und eigene Rechner treffen kann, ohne den Gegner auszuschalten. Denn nicht nur würde die Software auf ihrem Weg zum Ziel jede Menge gekaperter Rechner ausschalten, die ohne das Wissen ihrer Nutzer missbraucht wurden, plus eine unbekannte Anzahl gänzlich unschuldiger Rechner. Auch kann die virtuelle Lenkrakete eigene Rechner befallen, die daher mit Gegengift geschützt werden müssten. Oder andere andere Länder denken, Japan greife sie an, so die Sicherheitsexperten.

Am schlimmsten ist für einen anderen meiner Gesprächspartner, dass der eigentliche Feind wahrscheinlich davonkommen würde. Denn der Ursprung virtueller Angriffe lasse sich weit besser tarnen als reale Raketenabschussrampen, meint etwa William Saito, der japanische und amerikanische Behörden in Fragen der IT-Sicherheit berät. Die Waffe würde daher allenfalls "Software-Kiddies und Semi-Profis" schrecken. Oder wie Rioux sagt: "Der Virus-Ansatz ist Kinderkram, IT-Sicherheit ist etwas für Erwachsene."

Stattdessen setzen die IT-Krieger außerhalb Japans zur Verteidigung auf andere Methoden. Die USA haben beispielsweise 2004 das Einstein-Programm auf den Weg gebracht, das Cyberangriffe auf Regierungsnetze erkennen soll. Für die dritte Stufe wird die Implementierung eines Systems diskutiert, das Angriffe wie eine Raketenabwehr noch im digitalen Raum abfangen soll. Ein anderer Ansatz ist "Defense in Depth", bei dem über das gesamte System verteilt Verteidigungsmechanismen eingebaut werden, um Informationen zu sichern. Darüber hinaus gibt es auch noch andere Wege, den Gegner zu treffen, ohne einen unkontrollierbaren Datenschädling ins Internet zu entlassen, sagt Rioux.

Dass Japans Militär dennoch die Virus-Route eingeschlagen hat, spricht nach Meinung meiner Gesprächspartner für die Schwäche des Landes bei der Software-Entwicklung. Unternehmen wie die Softwaresparten der Konzernriesen Hitachi oder Fujitsu haben sich oft ausländische Firmen gekauft, um ihre State-of-the-art-Programme zu entwickeln. Denn japanische Softwareingenieure – einmal grob, in Bausch und Bogen und idealtypisch gesprochen – sind nach dem, was ich aus berufenen Mündern gehört habe, gerne Einzelkämpfer, die ungern nachvollziehbare Dokumentationen erstellen, so dass der reibungslose Lauf oft von ihnen allein abhängt.

Außerdem sollen sie sich schwer tun, Out-of-the-box, also unkonventionell zu denken. Die Stärke der Japaner fürs Tüfteln kommt erst dann wieder zum Tragen, wenn es zur Terminal-Ebene geht, wo die Software auf den Menschen trifft: dem Auto, der Kamera, den Bedienpanele von Haushaltsgeräten. In einem seltenen Moment der Erleuchtung hat Japans Regierung dies auch eingesehen. Sie versucht seit Jahren, indische Softwareentwickler ins Land zu locken. Das sei ja auch sehr lobenswert, mein Rioux. "Aber so sehr sie sich auch anstrengen, sie kriegen nicht die Creme-de-la-creme indischer Softwareingenieure." (bsc)