Trojaner und Zero Days: Experten warnen vor Rüstungsspirale im Cyberspace
Angesichts vieler Unwägbarkeiten der Cyber-Kriegsführung sollte die Bundeswehr die Finger von solchen Angriffen lassen, erklärten Sachverständige in einer Anhörung im Bundestag. Eine "Vorwärtsverteidigung" sei problematisch.
(Bild: dpa, Oliver Berg/Symbol)
Marcel Dickow von der Stiftung Wissenschaft und Politik hat an das Bundesverteidigungsministerium appelliert, das "Wettrüsten im Cyberspace" nicht zu beflügeln. Die Bundeswehr sollte "generell keine offensiven Fähigkeiten" im Internet entwickeln, konstatierte der Leiter der Forschungsgruppe Sicherheitspolitik der Denkfabrik am Montag in einer Anhörung im Bundestag. Dieser Verzicht erscheine angesichts "größerer politischer Interessen" geboten.
Glaubwürdigkeit der Cyber-Außenpolitik
Im Rahmen größerer internationaler Verteidigungsoperationen sei eine Beteiligung der hiesigen Streitkräfte an Cyberangriffen zwar denkbar, meinte Dickow. Ein solcher Schritt böte angesichts zahlreicher rechtlicher und technischer Unsicherheiten aber auch "immer Eskalationsrisiken". So beruhten Netzangriffe etwa auf Sicherheitslücken, die gezielt nicht geschlossen würden. Auch der Handel mit "Zero Days" würde beschleunigt. In dieser Logik würden fremde IT-Systeme permanent als Ziele betrachtet. Die damit einhergehende "Kolonialisierung des Netzes" widerspräche der hiesigen Zurückhaltung in Militärfragen und schränke die "Glaubwürdigkeit deutscher Cyber-Außenpolitik massiv ein".
Die internationale Staatengemeinschaft sollte sich Dickow zufolge darauf verpflichten, Sicherheitslücken "nur zu schließen und nicht auszunutzen". Selbst bei einer akuten Attacke auf eigene Server sei es besser, diese kurzfristig vom Netz zu nehmen oder die Angriffe auszufiltern, als das Ausgangsgerät anzugreifen. Da die Übeltäter in der Regel Proxy-Server benutzten, gebe es sonst immer ein völkerrechtliches Problem, "wenn man den Pfad zurückverfolgen will". Die guten Verschleierungsmöglichkeiten bewiesen auch, "dass Abschreckung offensichtlich nicht funktioniert".
Keine Verteidigung auf Verdacht
Der Frankfurter Rechtswissenschaftler Michael Bothe sieht die Bundeswehr "verfassungsrechtlich verpflichtet", keine Cyberangriffe auszuführen oder sich an solchen zu beteiligen. Ausnahme sei das Feld der Selbstverteidigung und damit einhergehender Bündnispflichten, das aber schon seit Längerem eine "Herausforderung für die völkerrechtliche Fantasie" darstelle und schwer abzugrenzen sei.
Auch eine solche Operation dürfe sich jedenfalls nur gegen den Staat richten, dem die ursprüngliche Cyberattacke "nachweisbar zuzurechnen" sei, erläuterte Bothe. Ein Rückschlag oder gar eine "Verteidigung nach vorne" rein "auf Verdacht" gingen gar nicht. Zudem komme es auf ein "hohes Maß physischer Schäden" an. Diese Grenze sei bei bekannten Cyberangriffen – einschließlich von Stuxnet und anderen "Unnettigkeiten" wie dem Bundestagshack – bislang nicht überschritten worden.
"Passive" Cyberabwehr zulässig
Aufgrund der verbleibenden Grauzonen hielt auch Bothe es für wichtiger, Schutzmechanismen zu entwickeln statt Angriffsfähigkeiten. Eine "passive" Cyberabwehr sei immer zulässig. Die UN berieten derzeit über klarere Vorschriften, aber Chancen für völkerrechtliche Neuordnungen stünden "im gegenwärtigen Klima" eher schlecht. Die Staaten müssten besser zusammenarbeiten, um dem Problem grenzüberschreitender Netzangriffe Herr zu werden.
Der Londoner Kriegsforscher Thomas Rid sieht die Streitkräfte generell wegen personeller Probleme und der vielfach gegebenen "Rotation" von Soldaten gar nicht wirklich in der Lage, in der Cyberkriegsführung ernsthaft mitzuspielen. Für ihn sind die Geheimdienste die großen Akteure in diesem Bereich. Vor allem bei mehr oder weniger maßgeschneiderten Angriffen, von denen "fortgeschrittene andauernde Bedrohungen" ausgingen, handle es sich in der Regel schon seit 20 Jahren um "nachrichtendienstliche Operationen".
Wettrüsten unter Geheimdiensten
Dabei sei ein zunehmend aggressives Verhalten gegen EU-Ziele festzustellen, befand Rid: Die Snowden-Leaks hätten ein "Wettrüsten" unter den Geheimdiensten ausgelöst. Vor allem die Sicherheitsbehörden Russlands und Chinas wollten nun vergleichbare Mittel wie die NSA haben und hätten ein "viel größeres operatives Tempo" entwickelt, obwohl die Snowden-Dokumente von Dritten angesichts vieler darin enthaltener Fehler und Übertreibungen oft missverstanden und die Fähigkeiten der US-Dienste überschätzt würden.
Der Ansicht der anderen Experten, dass Cyberangriffe kaum zurückverfolgt werden könnten, schloss sich Rid nicht an. "Eine Attribution ist ganz klar möglich", sagte er aufgrund einer eigenen Studie. "Die Methoden, Täter zu finden, haben sich deutlich verbessert." Tiefgehende Attacken der jüngsten Zeit wie etwa auf den Bundestag, Energieversorger in der Ukraine, die italienische Marine, ein deutsches Stahlwerk oder TV5 Monde entsprächen ähnlichen Mustern "russischer Machart".
Beste Angreifer, beste Verteidiger
"Die besten Angreifer sind die besten Verteidiger", gab Gabi Rodosek von der Universität der Bundeswehr in München zu bedenken. Sie wüssten zumindest, welche Schwachstellen es gebe und wie man sich tarnen könne. Thomas Kremer aus dem Vorstand der Deutschen Telekom berichtete, dass der Konzern neben den üblichen IT-Sicherheitsvorkehrungen von Antivirenschutz und Ende-zu-Ende-Verschlüsselung über Firewalls bis zum Aktualisieren von Systemen eine "verhaltensgesteuerte Analyse" durchführe, um mögliche Abweichungen zu entdecken. Dafür kämen spezielle "Hunter-Teams" zum Einsatz. Zugleich warnte er, dass staatliche Cyberwaffen im Nachgang von Kriminellen adaptiert würden.
Angesichts des Tenors der Experten kam Katrin Suder, Staatssekretärin im Verteidigungsressort, in Erklärungsnot, warum die Bundeswehr 2011 eine eigene Einheit "Computer Netzwerk Operationen" (CNO) mit angehenden Cyberkriegern aufgestellt hat. Die darin tätigen knapp 60 Soldaten seien nicht fähig, "die ganze Welt zu kartografieren", versicherte Suder. Diese seien nach wie vor dabei, sich "erst einmal aufzustellen" und Infrastrukturen zu schützen. Sie hielten auf jeden Fall "nicht künstlich Zero Days vor". Die Bundeswehr sei auch imstande, "die Proliferation eigener Tools streng zu kontrollieren". Für Deutschland sei es entscheidend, mit "nationalen Schlüsseltechnologien" wie Krypto zu punkten und IT-Komponenten wie Chips über Tests und Zertifizierungen besser kontrollieren zu können.
Korrektur: Angaben zum angegriffenen Stahlwerk berichtigt. (kbe)
