heise PlusAbo

Der Mythos vom Cyberwar

Eine neue OECD-Studie sortiert endlich mal die Sachlage: Krieg 2.0 ist in erster Linie ein undurchsichtiges digitales DauerscharmĂĽtzel.

vorlesen Druckansicht
Lesezeit: 5 Min.
MIT Technology Review
Von
  • Niels Boeing

Glaubt man den Medien, ist das Jahr 2010 auch ein Jahr gewesen, in dem der Cyberwar Gestalt annahm: mit den Auseinandersetzungen um Wikileaks im November und Dezember sowie dem Stuxnet-Wurm, dessen geheimdienstlicher Hintergrund nach einem aktuellen Bericht der New York Times noch wahrscheinlicher geworden ist. Dennoch wird man das Gefühl nicht los, dass es sich bei dem Begriff "Cyberwar" vor allem um eine große Projektionsfläche handelt, die sich für viele Interessen einspannen lässt: Schlagzeilen, Panikmache, Forschungsgelder, (IT-)Aufrüstung, politische Denunziation. Eine klare Definition fehlt bislang.

Die vor einigen Tagen veröffentlichte OECD-Studie "Reducing Systemic Cybersecurity Risk" bringt nun ein wenig Ruhe und Übersicht ins Spiel. Die IT-Sicherheitsforscher Peter Sommer – der 1985 unter dem Pseudonym Hugo Cornwall das "Hacker's Handbook" veröffentlichte – und Ian Brown halten es für "unwahrscheinlich, dass es je einen echten Cyberwar geben wird" – aus zwei Gründen:

Zum einen setzt Krieg nach der Haager Landkriegsordnung und Artikel 49 der UN-Charta Nationalstaaten als Akteure voraus. Entschließen sich diese zu Kriegshandlungen, ist es laut Sommer und Brown sehr unwahrscheinlich, dass sie sich ausschließlich auf Cyberangriffe beschränken. Vielmehr würden dann immer auch "kinetische", also konventionelle physische Waffensysteme zum Einsatz kommen.

Zum anderen, und das ist ein interessanter Gedanke, sei durch die weltweite Vernetzung das Risiko, bei massiven Angriffen auf die digitale Infrastruktur selbst Schaden zu nehmen, kaum kalkulierbar. Ein reiner Cyberwar ähnelt damit einem nuklearen oder biologischen Angriff, dessen Auswirkungen sich auch nicht kontrollieren lassen – und die deshalb seit dem Zweiten Weltkrieg ausgeblieben sind.

Dass Cyberspionage bereits eine Spielart des Cyberwar sei, nur "ein paar Tastaturanschläge" entfernt, halten Sommer und Brown für Unsinn: "Ein echter Cyberwar ist ein Ereignis mit den Charakteristika eines konventionellen Krieges, aber ausschließlich im Cyberspace ausgetragen." Die Beiden legen großen Wert darauf, dass all die "Cyber"-Begriffe genau unterschieden und nicht zu einem diffusen Bedrohungsmatsch verrührt werden.

Optimisten sind sie allerdings nicht. Denn die Bedrohung durch Cyberwaffen aller Art halten sie für höchst real: "Es ist eine sichere Prognose, dass der Gebrauch von Cyberwaffensystemen in Kürze allgegenwärtig sein wird." Aber sie werden vor allem punktuell und zeitlich begrenzt sein – siehe Stuxnet.

Für Staaten ergeben sich daraus unangenehme Konsequenzen. Denn da in der digitalen Welt Angreifer nicht mehr unbedingt zu orten sind – so wie etwa der Abschusspunkt einer Interkontinentalrakete –, hat Abschreckung als Sicherheitsdoktrin ausgedient. Vielmehr gehe es darum, Infrastrukturen "resilient", also belastbar, auszulegen.

Hier sind nach Ansicht von Sommer und Brown gerade die westlichen Industriestaaten in einer schlechten Lage, weil sie in den vergangenen Jahren immer mehr öffentliche Dienstleistungen an Privatfirmen ausgelagert oder selbst als E-Government mit kommerzieller und eben nicht resilienter Software betreiben. Denn "die Software-Industrie bringt zu viele Produkte heraus, die nicht hinreichend getestet worden sind", schreiben Sommer und Brown.

So entpuppt sich der angebliche Cyberwar vielmehr als digitales Abbild der neuen Kriege mit einer "fraktalen Frontlinie". Der Hamburger Konfliktforscher Götz Neuneck hat mit diesem Begriff die Entwicklung kriegerischer Auseinandersetzungen bezeichnet: Waren in der ersten Hälfte des 20. Jahrhunderts Partisanenkriege noch eine Ausnahme, haben sie sich seit Vietnam als Guerillakrieg zum Normalfall entwickelt, in dem die Front in jeder Straße sein kann.

Man könnte auch sagen: Krieg 2.0 ist gerade kein Cyberwar, sondern ein undurchsichtiges digitales Dauerscharmützel.

Dass ein Cyberangriff keinen "globalen Schock" auslösen kann, schließen die beiden Autoren jedoch nicht kategorisch aus. Eine "fundamentale Störung der Internet-Infrastruktur" wäre dann möglich, wenn eine große Zahl von "zentralen Routern, Domain Name Servern und/oder das Border Gateway Protocol", das den Datenaustausch zwischen Netzprovidern regelt, lahmgelegt würden. Eine Malware, die unentdeckte Sicherheitslücken – so genannte Zero-Day-Exploits – clever nutzt, um das globale Finanzsystem zu stören, könnte ebenfalls zu einem globalen Schock führen. Dass kein Staat, der noch bei Sinnen ist, Interesse daran haben kann, leuchtet ein.

Ein Patentrezept haben Sommer und Brown gegen die neuen potenziellen Bedrohungen zwar nicht zu bieten. Sie plädieren jedoch für ein internationales Cyber-Sicherheitsabkommen. Ein erster wichtiger Schritt wäre für die Beiden, dass gerade Russland und China der Cybercrime-Konvention von 2004 ratifizieren würden. Aber auch solche Abkommen helfen nur bedingt: Im Unterschied zu den Konventionen zu nuklearen, biologischen und chemischen Waffen lässt sich die Einhaltung eines Cyber-Sicherheitsabkommens überhaupt nicht durch Kontrollen verifizieren.

Angst und bange sollte uns die Analyse dennoch nicht machen: Von den ĂĽber 40 Szenarien zu Cyberbedrohungen, die Sommer und Brown im Anhang auflisten, sind die meisten alles in allem unproblematisch.

Die Frage, die wohl nicht nur ich mir stelle, ist vielmehr: Ist das globale Finanzsystem, wenn es weiterhin so funktioniert wie bisher, nicht die viel größere Bedrohung?

(nbo)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten