Cyberwar Wichtige Rechner müssen vom Netz!

Es gibt keinen absoluten Schutz vor Betrügern im Datennetz. Wer Informationen speichert, muss das berücksichtigen

© Mustafa Quraishi/AFP/Getty Images

Kriege werden längst auch mit Computern ausgetragen: Der amerikanische General Stanley McChrystal, Befehlshaber der US-Truppen in Afghanistan, arbeitet an seinem Laptop

Elektronische Datenspeicherung, Computernetzwerke in Unternehmen, das Internet – diese Techniken haben sich in erstaunlich kurzer Zeit tief in unsere Gesellschaft gegraben. Sie sind zu den bevorzugten Hilfsmitteln der Kommunikation und der Steuerung vieler persönlicher, geschäftlicher und staatlicher Vorgänge geworden. Wir können nicht mehr ohne. Die meisten Wirtschaftsaktivitäten, die meisten Verwaltungsakte sind ohne Computer und IT nicht mehr denkbar. Selbst moderne Kriege sind von Informationstechnologien abhängig.

Die Schattenseite davon ist: Manipulation und Störung von IT-Netzen können erhebliche Schäden anrichten. Seit einiger Zeit beschäftigt das die Militärs. Sie erklären das Internet zur Angelegenheit nationaler Sicherheit. Cybertruppen werden rekrutiert, ausgebildet und bewaffnet. Im Jahr 2008 wurden in 140 Ländern solche »Cyberkriegführungs-Programme« ausgemacht. Viele von ihnen sind offensiv ausgelegt.

Zugleich sind zivile Einrichtungen der Verwaltung und der Wirtschaft ins Visier der Cyberkrieger geraten. Computernetze und -programme können von Hackern oder Onlinesaboteuren ohne den Einsatz konventioneller Truppen ausspioniert, abgeschaltet und zerstört werden. Das ist – unbemerkt von der breiten Öffentlichkeit – gelegentlich bereits geschehen. Viele Unternehmens- und Behördenchefs kennen heute diese Gefahr, und sie tun mehr, um sich vor Cybertruppen zu schützen.

Doch es gibt keinen absoluten Schutz vor Hackern, Cyberspionen und Internetsaboteuren. Natürlich, man kann etwas unternehmen. Einiges sogar. Da ist zunächst der Schutz durch technische Lösungen (digitale Schutzwälle, die sogenannten Firewalls, automatische Sicherheitskopien und Virenschutzprogramme) und durch Organisatorisches (wie die Sensibilisierung von Mitarbeitern oder das Verbot, unsichere Passwörter zu benutzen).

Populäre Programme haben bis zu 50.000 Schwachstellen

Nur weist eine Technologie, die so komplex wie die Computertechnik ist, Fehler und Schwachstellen auf. Zwischen 1,5 und 5 Prozent des Programmcodes kommerzieller Software sind fehlerhaft. Einige dieser Fehler nutzen geschickte Hacker nun, um in Computersysteme einzudringen und Schaden anzurichten. Bei einer Million Zeilen Code, aus denen populäre Programme oft bestehen, gibt es theoretisch zwischen 15.000 und 50.000 Möglichkeiten für ein Eindringen. Wer mit ausreichenden Fähigkeiten lange genug sucht, findet also seinen Weg.

Die übliche Sicherheitssoftware kann das kaum verhindern. Virenscanner suchen nur nach bekannten schädlichen Programmen. Gegen »Zero-Day-Attacken«, neu entwickelte Angriffstechniken, sind sie machtlos. Erst recht ist kein Kraut gegen technische Hintertüren gewachsen, die auf USB-Sticks und Digitalkameras gleich mit eingebaut werden. Auch manipulierte Computerbauteile für sogenannte Router sind in Umlauf, also Bauteile für jene Geräte, die den Transport sämtlicher Daten durch das Internet organisieren. Böse Fallen – kaum zu finden.

Der Rechtsstaat ist gewohnt, auf solche Bedrohungen und Vergehen mit einer Strafandrohung zu reagieren. Es ist die Logik des Leviathans. Um zu bestrafen, muss man aber erst einmal den Missetäter identifizieren können, und ebendas ist im Internet meist nicht möglich. Angreifer können sich tarnen. Sie können ihre Feldzüge über mehrere gekaperte Server in freundlichen und feindlichen Ländern führen.

Die erforderliche schnelle, kooperative und internationale forensische Polizeiarbeit kommt meist aus Gründen der Diplomatie oder einfach durch die unterschiedliche Rechtswirklichkeit nicht zustande. Außerdem sehen gut gemachte Angriffe zunächst wie die normale Benutzung der Computernetzwerke aus. Das macht schnelle Reaktionen selten. Oft hat man nur Minuten oder Stunden, bis wichtige Datenspuren wieder überschrieben werden und damit verloren sind.

Aus ebendiesem Grund sind auch militärische Abschreckungsstrategien wirkungslos. Sie sind in der jüngeren Zeit in Kreisen des US-Verteidigungsministeriums diskutiert worden – doch wie soll jemand abgeschreckt werden, der sich gar nicht identifizieren lässt?

Am Ende bleibt ein grundsätzliches Problem: Wer Daten auf vernetzten Rechnern speichert, wer einen Zugang über das Internet einrichtet, ist jederzeit offen für Observation und Sabotage.

In Zeiten weltweit entstehender Cybertruppen ist das ein hohes Risiko. Unternehmen und Behörden müssen sich also entscheiden. Entweder sie speichern ihre Daten auf vernetzten Computern, organisieren Prozesse über das Firmennetzwerk und das Internet hinweg – diese Lösung erlaubt Geschwindigkeit, Zentralisierung, bessere Verwaltung und weniger Personal. Dann gilt aber für alle diese Prozesse: Sie sind anfällig. Man kann solche Daten nicht schützen. Ein Kontrollverlust ist sehr wohl möglich.

Wie so oft: Die Nebenwirkung der Innovation zeigt sich später

Wer das nicht will, muss konsequent »entnetzen«. Ein zu schützender Datenbestand oder Prozess darf nie mit auch nur einem einzigen vernetzten Rechner in Kontakt kommen. Für die Informationsgesellschaft deutet sich damit eine gigantische Umstellung an. Langsam und inselartig setzt sie bereits ein.

Technikhistorisch wäre das auch zu erwarten. Der Philosoph William Ogburn hat diesen Prozess vor über 70 Jahren beschrieben: Menschen bemerken die negativen Nebenwirkungen einer Technologie erst, wenn sie breit etabliert ist, wenn sie in der zweiten Generation nach ihrer Einführung steht. Dann wird sie – nach typischen ersten Phasen euphorischen Wachstums – wieder gebremst, neu reguliert und in ihrem Einfluss zurückgedrängt. Dem allgegenwärtigen Einsatz von IT-Netzwerken und dem Internet steht dieser Rückschritt bevor.