Wir kommen der Möglichkeit eines «Cyberwars» näher – und die Politik instrumentalisiert sie für ihre eigenen Ziele. Das geht gut, weil nur wenige die Kenntnisse haben, die Zweckmässigkeit vorgeschlagener Massnahmen zu beurteilen.
Eine einheitliche Definition von «Cyberwar» existiert nicht. Man kann darunter jede politische motivierte oder kriminelle Handlung mit irgendeinem Bezug zum Internet verstehen. Ich beschränke mich hier auf «Hacking» zwischen staatlichen Akteuren und erkläre, was das ist, was «Cybertruppen» tun und was regulatorische Massnahmen bewirken könnten. «Hacking» – die Übernahme der Kontrolle digitaler Systeme – erlaubt Spionage, Sabotage und die Steuerung von improvisierten und zweckgebauten autonomen Waffensystemen.
Schematischer Ablauf des digitalen Kontrollkampfes
Die Waffen der Angreifer sind Exploits – so nennt man ausnutzbare Fehler in Rechnersystemen. Dazu senden AngreiferInnen Daten ans Opfersystem, bei deren Verarbeitung etwas schief geht, so dass sie die Kontrolle über Teile des Systems erlangen. Dies ermöglicht die Kommunikation mit weiteren, vorher unzugänglichen, Systemteilen, die dann mit weiteren Exploits übernommen werden können, bis das Ziel erreicht ist. Gegen die Ausnutzung bisher unbekannter Exploits, sogenannter Zero Days (Schwarzmarktwert oft 10’000 bis 100’000 Franken das Stück), kann man nichts tun, ausser man kappt die Kommunikations- verbindung, über die sie eingespielt werden. Die braucht es aber meist (beispielsweise Internetzugang). Erst nach dem Angriff kann das Opfer analysieren, welcher Fehler ausgenutzt wurde und ihn beheben. Das geschieht entweder direkt durch den (meist privaten) Hersteller des fehlerhaften Produkts, oder indirekt über (private) Antivirenprogramme von Drittherstellern.
Die Möglichkeiten der Verteidigung sind ausschliesslich indirekt, da AngreiferInnen Fehler ausnutzen, die das Opfer nicht kennt. Um die Anzahl Fehler zu verringern müsste die internationale Gemeinschaft die Hersteller mit regulatorischen Massnahmen dazu zwingen. BenutzerInnen müssten darin ausgebildet werden, den AngreiferInnen nicht aus Versehen zu helfen. Nicht benötigte Systeme müssten abgeschaltet werden, um die Angriffsoberfläche zu verringern. Letztere beiden Methoden sind wirksam und billig. Eigene Systeme könnten überwacht werden, um zu versuchen, Angriffe zu erkennen, bevor sie erfolgreich sind und sie dann durch Abschalten des Systems zu stoppen. Das ist teuer und selbst dann sehr schwer, wenn das Verteidigungsteam das System genau kennt und die volle Kontrolle darüber hat. Externe Hilfskräfte haben keine Chance. Das heisst, dass «Cybertruppen» nicht die Schweiz verteidigen können, sondern höchstens das Militär sich selbst. Bestes Beispiel dafür ist der Hacker-Angriff auf den Schweizer Rüstungskonzern Ruag, der sich selber als Experte für Cybersicherheit positionieren wollte. Dennoch erkannte die Firma einen Angriff auf die eigenen Systeme und den Diebstahl von Daten erst nach zwei Jahren.
Grenzen
Aber wie gross ist das physische Schadenspotential wirklich? Stuxnet, die Sabotage des Atomprogramms Irans, hat die Angreifer
Millionen gekostet (vier Zero Days, eigene Urananreicherungszentrifugen zum Testen, etc.). Ob das Atomprogramm dadurch ver- langsamt wurde, ist umstritten. Im Dezember 2015 sabotierten in der Ukraine Unbekannte Teile des Stromnetzes, sodass der Strom stellenweise für bis zu sechs Stunden ausfiel. Auch dieser Angriff war teuer. Beide sind wenig spektakulär. Das ist nicht überra- schend: Nur wenige digital steuerbare Geräte können sich selbst zerstören, geschweige denn können sie etwas anderes zerstören. Hier ist anzunehmen, dass das Schadenspotential proportional zum technischen Fortschritt steigt. Aber vorerst kommt auch die grösste Datenbombe noch nicht an eine banale Handgranate heran. Die Angstmacherei, die viele PolitikerInnen und RüstungslobbyistInnen mit dem Begriff «Cyberwar» betreiben, dient vor allem der Beschaffung und Legitimierung zusätzlicher finanzieller Mittel für das Militär.