Cyberwar is coming – und er wird schmutzig sein
Cyberkriminalität ist Alltag. Echter Cyberwar – staatlicher Krieg mit digitalen Waffen – steht uns noch bevor, warnt Jürgen Schmidt. Wir brauchen dafür Regeln.
Vor knapp 10 Jahren orakelte ich in einem c’t-Editorial, dass "Sabotage durch Computerschädlinge als legitimes Mittel … zwischenstaatliche[r] Auseinandersetzungen" teuer zu stehen kommt. Damals stellte sich heraus, dass die USA zusammen mit Israel die Schad-Software Stuxnet gebaut und eingesetzt haben. Sie sabotierten das iranische Atomprogramm, indem die Malware über tausend Zentrifugen der Urananreicherungsanlagen zerstörte. Stuxnet übertraf bis dato bekannte Malware in Bezug auf Bösartigkeit und investierte Entwicklungsressourcen um Welten. Und es war ein gefährlicher Präzedenzfall.
In der Zwischenzeit hat sich einiges getan: Im Dezember 2015 legten wahrscheinlich russische Hacker im Rahmen einer militärischen Auseinandersetzung zwischen Russland und der Ukraine Teile des ukrainischen Stromnetzes lahm und verursachten damit einen riesigen Blackout. Das war eindeutig eine kriegerische Aktion und somit ein klassisches Beispiel von echtem Cyberwar — also Kriegsführung im Cyberspace.
Der heimliche Krieg
Aktuell knallt es regelmäßig im Cyberspace zwischen Iran und Israel. Ende Oktober sabotierten Hacker das iranische Tankstellennetz, was über Tage hinweg die Benzinversorgung beeinträchtigte. Der Iran beschuldigt Israel und die USA als Verursacher. Die New York Times bestätigt, dass es sich um einen Cyberangriff Israels handle und beruft sich dabei auf Quellen im US-Militär. Wenige Tage später wurden die persönlichen, teilweise sogar intimen Daten von hunderttausenden Israelis in Telegram-Channels veröffentlicht. Sie stammten unter anderem von einer Dating-Site für Lesben, Schwule, Bisexuelle, Transsexuelle und Queer (LGBTQ) und hatten somit das Potenzial für echte persönliche Katastrophen. Israelische Offizielle schrieben die Aktion dem Iran zu. Die New York Times interpretiert diese Vorgänge als heimlichen Cyberwar, bei dem sich die staatlichen Cybereinheiten einen schmutzigen Schlagabtausch liefern.
Die Ziele der Aktionen und vor allem deren Opfer sind dabei nicht mehr militärische oder zumindest staatliche Einrichtungen, sondern Zivilisten — also Privatpersonen und Unternehmen. Denn die sind weniger gut gesichert und deshalb auch einfacher anzugreifen. Diese Entwicklung ist brandgefährlich. Sie bedeutet, dass Militärs im Cyberspace jederzeit auch zivile Ziele angreifen, um der Bevölkerung feindlicher Staaten Schaden zuzufügen. Wenn sich das als allgemein akzeptierter Normalzustand etabliert, wird das unüberschaubare Konsequenzen haben.
Denn mit unserer Abhängigkeit von funktionierender IT sitzen wir alle in einem sehr zerbrechlichen Glashaus. Das demonstrieren nicht zuletzt die erschreckend erfolgreichen Ransomware-Angriffe. Schon die legen — gewissermaßen als Nebeneffekt — Krankenhäuser, Verwaltungen und sogar kritische Infrastruktur lahm. Auch wenn die Kriminellen manchmal zu Superhackern hochgejazzt werden, stecken dahinter zumeist nur skrupellose Hanswurste mit aufgeblasenen Egos und eher mittelmäßigen Fähigkeiten. Der Schaden, den gut trainierte und finanzierte Cybereinheiten des Militärs mit dem Missionsziel Schadensmaximierung anrichten könnten, ist um mehrere Größenordnungen höher.
Und ich bin keineswegs allein mit diesen Befürchtungen: Der berühmte Versicherungsmarktplatz Lloyds of London, bei dem man sprichwörtlich alles versichern kann, hat soeben Ausschlussklauseln zu Cyber War and Cyber Operations veröffentlicht. Wenn jemand ein Gespür für untragbare Risiken hat, dann die Risiko-Manager von LLoyds.
Digitale Brunnenvergifter
Für mein Gefühl wird der Begriff "Cyberwar" überstrapaziert. Bei einem Krieg sind die Akteure Staaten. Die primär finanziell motivierten Aktivitäten des organisierten Verbrechens gehören nicht in diese Kategorie. Auch nicht, wenn die jeweilige Regierung aus Opportunismus beide Augen zudrückt und auf Strafverfolgung verzichtet, solange die Kriminellen nicht auf dem eigenen Staatsgebiet aktiv werden.
Deshalb war auch der von der Cybercrime-Bande Darkside ausgehende Angriff auf Colonial Pipeline, der zu Problemen der US-Benzinversorgung führte, kein Act of Cyberwar, sondern fällt eindeutig in den Bereich Cybercrime. Auch Angriffe wie der auf den Deutschen Bundestag, den unter anderem das BSI offiziell dem russischen Geheimdienst zuschreibt, sehe ich eher als "Business as usual" – Geheimdienste spionieren auch in Friedenszeiten.
Ob man staatlich gesteuerte Sabotage-Akte wie Stuxnet oder die aktuellen Cyberoperationen im Nahen Osten wie die New York Times bereits als Cyberwar bezeichnen sollte, halte ich für fragwürdig. Für mich steht der Begriff für tatsächlichen Krieg – und diese Schwelle wurde da anders als in der Ukraine offenbar noch nicht überschritten. Besser wäre es, da von Cybersabotage oder Cyberterror zu reden.
Doch unabhängig von der Nomenklatur: Wir brauchen dringender denn je eine internationale Konvention über die Grenzen staatlicher Operationen im Cyberspace. Angesichts der immer weiter fortschreitenden Digitalisierung muss sich die internationale Gemeinschaft allgemein anerkannte Regeln über explizit verbotene Aktivitäten im Cyberspace auferlegen. Es ist allerhöchste Zeit, auch digitale Brunnenvergifter zu ächten.
(ju)