Kalter Krieg im Cyberspace

Der Rüstungswettlauf im Cyberspace, den Staaten wie die USA, China und Russland sich seit einigen Jahren liefern, droht außer Kontrolle zu geraten. Als Knackpunkt erweist sich dabei vor allem das Problem der Identifikation des Angreifers, berichtet Technology Review in seiner aktuellen Ausgabe (ab dem 26. 8. am Kiosk oder portokostenfrei online direkt zu bestellen).

Wer versucht, die Mythen und Legenden, die sich um den Krieg im Cyberspace ranken, zu hinterfragen, gerät schnell auf trügerisch schwankenden Boden: Unabhängige Untersuchungen sind in der Regel nicht vorhanden, Militärs und Unternehmen berufen sich auf Geheimhaltungsklauseln, und Politiker nutzen nur allzu gern den Abschreckungseffekt, der sich aus den vermeintlich vorhandenen militärischen Fähigkeiten ergibt. Zum Beispiel im Irak: Vor Beginn des ersten US-Militärschlags 2003 ist angeblich eine Kampagne geplant worden, um Saddam Husseins Finanzen lahmzulegen. Mit Hilfe eines Hacks sollten irakische Konten eingefroren und Finanzmarkt-Transaktionen gestoppt werden, um dem Irak Geld für Truppen und Kriegsgerät zu entziehen. Die Aktion selbst hat aber nie stattgefunden – angeblich wurde sie nicht freigegeben, weil auch die Software französischer Banken von dem Hack betroffen gewesen wäre.

Der Schleier aus Geheimhaltung, Gerüchten und Verdächtigungen, den die betroffenen Staaten über ihre Aktivitäten decken, provoziert jedoch neue, politische Gefahren. Denn ein fähiger Angreifer kann seine Attacke über mehrere Länder hinweg führen – die meistender weiterleitenden Rechner protokollieren nicht, welche Anfrage sie von wem erhalten haben und wohin sie die angefragten Datenpakete geschickt haben. „Und auch wenn man in der Lage ist, einen Rechner zu identifizieren, bedeutet das noch lange nicht, dass man die wahre Quelle eines Angriffs gefunden hat“, so Vern Paxson, Sicherheitsforscher an der University of California, Berkeley. Selbst bei einer erfolgreichen Lokalisierung des angreifenden Landes bleibe schließlich das Problem, dass die Angriffe von zivilen Rechnern lanciert werden können. „Wenn ich das Terminal gefunden habe, kann das immer noch in irgendeinem Internet-Café in Shanghai stehen.“

Eine Identifizierung des Täters und die für die sicherheitsrechtliche Behandlung erforderliche Bestimmung, ob es sich um einen Kriminellen oder den Soldaten einer nationalen Armee handelt, ist damit ebenfalls unwahrscheinlich. Cyberwarfare offeriert hier das, was in der Fachliteratur als „Plausible Deniability“ bezeichnet wird, als glaubwürdige Leugnung: Ein Militär kann jeden Angriff von zivilen Systemen aus führen und bei Aufdeckung Kriminelle beschuldigen, die dann bei den einsetzenden Ermittlungen natürlich nicht auffindbar sind.

Solange eine zuverlässige Identifizierung nicht möglich ist, lässt sich potenziellen Angreifern daher nicht drohen, weder strafrechtlich noch militärisch. Ein Problem, das Militärs weltweit erhebliche Kopfschmerzen bereitet – und zu hilflosen Reaktionen führt: Das US-Verteidigungsministerium etwa erwog unlängst das Konzept der „Active Defense“: Kann ein Cyber-Angriff nur auf ein bestimmtes Land zurückgeführt werden, muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde, oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern. Ist das betreffende Land dazu nicht in der Lage, wird seine Unfähigkeit als feindlicher Akt gedeutet, und es darf angegriffen werden. Als der US-Senat General Keith Alexander, den Oberkommandierenden des US-Cybercommand fragte, wie er mit solchen Fällen umzugehen gedenke, wurde seine Antwort prompt als geheim eingestuft. (wst)