Das iranische Regime darf die Atombombe nicht in die Hände bekommen — darüber herrscht in der internationalen Gemeinschaft weitestgehend Einigkeit. Der Streit beginnt bei der Frage, wie man das verhindern könnte. Mit Verhandlungen? Mit weiteren Sanktionen? Mit Krieg? Wer darauf Antwort geben muss, hat jetzt etwas Zeit gewonnen: Dank Stuxnet, einem Computerwurm.

Der Wurm ist im Atomreaktor Bushehr eingedrungen und hat womöglich den Betriebsstart verzögert. Ist also Stuxnet der erste Fall eines staatlich gesteuerten Cyber-Angriffs? "Es handelt sich um gezielte Sabotage", sagt der Hamburger Computerexperte Ralph Langner , der den Wurm decodiert hat. Langner ist Chef der Sicherheitsfirma Langner Communications und auf Betriebssoftware spezialisiert. »Stuxnet ist die größte Schadsoftwareoperation der Geschichte.« Langners Analyse deutet darauf hin, dass Stuxnet von einer Gruppe von Experten programmiert wurde, die über Insiderwissen der Anlage, geheimdienstliche Informationen über Zugänge und hoch spezialisiertes technisches Know-how verfügten. »Nur ein Staat hat solche Ressourcen«, sagt er. Eine genaue Zuordnung ist unmöglich, aber Langner und andere Computerexperten weisen darauf hin, dass Israel und die USA technisch versiert genug seien, um Cyber-Attacken dieser Qualität durchzuführen. Ein Motiv haben sie jedenfalls: die Verzögerung des iranischen Nuklearprogramms.

Die These vom staatlichen Angriff wird auch dadurch gestützt, dass Stuxnet seinem Programmierer keinen finanziellen Vorteil bringt. Dieses Schadprogramm sei nicht konzipiert worden, um Geld zu stehlen, Spam-Mails zu versenden oder persönliche Daten abzugreifen, erklärt Eugene Kaspersky, Chef und Mitbegründer der Antivirenfirma Kaspersky Lab, die in Moskau ihren Hauptsitz hat. »Ich denke, dass dies der Auftakt zu einem neuen Zeitalter ist: die Zeit des Cyber-Terrorismus, der Cyber-Waffen und der Cyber-Kriege.«

Die iranischen Behörden hatten den Angriff zunächst bestätigt und sind nun zu ihrer üblichen propagandistischen Linie des strikten Verneinens zurückgekehrt. «Jetzt kommt der Westen mit einer neuen Geschichte und einem neuen Propaganda-Trick, den kein Mensch hier ernst nimmt», sagte Außenamtssprecher Ramin Mehmanparast. Einen Stuxnet-Angriff gebe es gar nicht. Alles Lüge. Gleichzeitig aber soll ein Team hochrangiger iranischer Computerexperten nach Bushehr entsandt worden sein.

Erste Berichte, dass die Iraner Probleme mit ihrem Nuklearprogramm haben , tauchten im Juli dieses Jahres auf. Im Mai 2009 hatte die Internationale Atomenergiebehörde in Wien (IAEA) bekanntgegeben, dass das Land über 4920 Gaszentrifugen zur Urananreicherung verfüge. Dieses Jahr aber stellte die IAEA fest, dass nur 3936 dieser Zentrifugen arbeiteten – 20 Prozent also waren nicht funktionsfähig. Die Gründe dafür sind nicht klar, doch vermuteten Experten, dass dieser Ausfall Resultat von Sabotage westlicher Geheimdienste gewesen sei. Ivan Oelrich von der Federation of American Scientists sagt dazu: »Wir können Sabotage nicht ausschließen. Sicherlich geht etwas Seltsames vor sich!«

Die Attacke von Stuxnet scheint das iranische Nuklearprogramm verlangsamt zu haben, und zwar ohne dass eine Anlage bombardiert wurde. Kein Blut ist geflossen. Keine Toten sind zu beklagen. Auf den ersten Blick eine saubere Sache. Doch Cyber-Attacken können wie jeder andere Angriff auch zu Tod und Vernichtung führen. Was zum Beispiel wäre, wenn Stuxnet in Bushehr einen Reaktorunfall provoziert? Ist es verantwortbar, ein Reaktorunglück in Iran herbeizuführen, um eine Nuklearisierung dieses Landes zu verhindern? Darf das ein Mittel in der Auseinandersetzung mit Iran werden? Cyber-Krieg kann eine sehr grausame Sache werden.

Zweifellos gibt es neben den vier klassischen Kriegsfeldern (Luft, Wasser, Land, Weltraum) nun ein fünftes: den Cyperspace. Das Pentagon hat in Mai dieses Jahres General Keith Alexander zum Kommandeur von U.S. Cyber Command (CYBERCOM) ernannt. Welche Bedeutung das Cybercom hat, zeigt die Tatsache, dass die anderen Waffengattungen darin vertreten sind. Ohne die fünfte Dimension wird in Zukunft kein Krieg mehr gewonnen , vor allem aber: Das Schlachtfeld kann überall sein. Auch wenn Stuxnet nun entdeckt und erforscht ist, ist seine Gefahr noch nicht gebannt. Der Wurm könnte andere zum Nachbauen inspirieren: Cyber-Terroristen, Gangster-Hacker und dergleichen. Die Kollateralschäden könnten zum Beispiel Deutschland hart treffen. Das Steuerungsprogramm von Siemens, mit dem Bushehr arbeitet, ist in Deutschland weit verbreitet. Mit einem weiterentwickelten Stuxnet ließen sich etwa die Produkte von Lebensmittelfirmen verseuchen oder Defekte in Autos einbauen .

 

Welche Regeln sollen in diesem Krieg gelten? Soll man nur auf Verteidigung setzen? Oder soll man auch Offensivwaffen entwickeln?

Im Cyber Defence Center der NATO wird genau darüber nachgedacht. Das Zentrum ist 2008 in Tallinn, der Haupstadt Estlands, eingerichtet worden. Und das ist kein Zufall. Estland wurde 2007 zum Opfer einer massiven Cyber-Attacke. Die Regierung musste sich zeitweise ganz vom Internet lösen. Sie beschuldigt russische Nationalisten, den Angriff lanciert zu haben, um die Schleifung eines Denkmals aus Sowjetzeiten in Estland zu verhindern. Da vermutlich keine russische Regierungsorganisation hinter der Attacke stand, war Estland aber eher Opfer eines Cyber-Aufstandes denn eines Cyber-Krieges – doch zum ersten Mal wurden die Folgen eines massiven Angriffs auf das Informationsnetz deutlich: Man kann Staaten in die Knie zwingen.

Wenn jetzt aber ein Cyber-Krieg beginnt, wie soll man darauf reagieren? Im Kalten Krieg galt die Abschreckungsdoktrin. Wenn ein Staat einen anderen angriff, musste er mit massiver Vergeltung bis zur totalen Vernichtung rechnen. Doch das wird im Cyber-Krieg nicht funktionieren. Denn Abschreckung gründet darauf, dass man genau weiß, wer der Angreifer ist. Eine abgeschossene Mittelstreckenrakete hat einen Absender, eine Cyber-Waffe jedoch nicht. Es wird wahrscheinlich nie klar werden, wer genau hinter Stuxnet steckt. Wie soll man die Verantwortlichen mit Drohungen abschrecken?

Die Kontrahenten des Kalten Krieges, die USA und die Sowjetunion, waren trotz tödlicher Feindschaft bereit, Verträge zu schließen, den nuklearen Schrecken also einzugrenzen.

Auch heute drängen die USA und Russland darauf, internationale Regeln für den Cyberspace durchzusetzen. Auch die Nato wird sich auf ihrem Gipfel im November damit beschäftigen. Sie wird zum Beispiel darüber debattieren, ob der Artikel 5 des Nato-Vertrags auch für Cyber-Attacken gilt. Dieser Artikel nämlich besagt, dass ein Angriff auf ein Mitgliedsland mit einem Angriff auf alle anderen gleichzusetzen sei. Darum sind alle zum Beistand des Angegriffenen verpflichtet, im äußersten Fall zur Verteidigung mit militärischen Mitteln. Was nun, wenn die Attacke auf Estland mit einem kriegerischen Akt eines Staates gleichgesetzt werden könnte? Würde die Nato in einen Krieg mit Russland schlittern?

Bevor die russischen Truppen zwischen dem 8. und 12. August 2008 über die georgische Grenze nach Südossetien einmarschierten, legten massive Cyber-Attacken das Netz der georgischen Regierung lahm. Estland entsandte umgehend Experten, um die Georgier gegen Netzattacken zu unterstützen – die Esten hatten ja Erfahrung mit solchen Dingen. War das Nato-Mitglied Estland damit schon Kriegspartei?

Auch in Teheran wird man sich jetzt nicht nur damit beschäftigen, wie man den Schaden begrenzen kann, sondern auch damit, wie man darauf reagiert. Vielleicht haben die Revolutionsgarden schon den Artikel gelesen, den das Wall Street Journal im Dezember 2009 veröffentlichte . Demnach war es irakischen Aufständischen gelungen, die Befehlscodes unbemannter amerikanischer Drohnen zu knacken. Sie hatten dafür Software benutzt, die sie günstig im Internet gekauft hatten. Die Drohnen sind für das Pentagon die bevorzugte Waffe im Kampf gegen den Terror. Für das Regime in Teheran wäre es sicher eine Genugtuung, diese »Wunderwaffe« ihres Todfeindes USA umzudrehen, so wie man früher Spione umdrehte. Der nächste Angriff aus dem Cyberspace jedenfalls kommt bestimmt.