Der Wurm als Bombe – Seite 1

Der Computerwurm Stuxnet ist ein Geschenk Gottes. Jedenfalls für alle, die eine nukleare Aufrüstung Irans verhindern möchten. Denn Stuxnet hat das iranische Atomprogramm erheblich verlangsamt . Der Gott, der Stuxnet schuf, wohnt vermutlich in Dimona, Israel . Dort soll nach Recherchen der New York Times unter großem Aufwand, mit viel Geld und amerikanischer Hilfe Stuxnet entwickelt worden sein. Die Israelis äußern sich dazu offiziell nicht. Doch der scheidende Chef des Mossad, Meir Dagan, sagte in einem Interview, er glaube, Irans nukleare Bewaffnung sei bis ins Jahr 2015 hinausgezögert worden. Dann huschte ein zufriedenes Lächeln über sein Gesicht.

2015 – das ist viel Zeit in einem dramatischen Rennen, in dem Fragen von Krieg und Frieden auf dem Spiel stehen. Ohne eine Bombe zu werfen, das iranische Nuklearprogramm bremsen – Stuxnet ist eine fabelhafte Sache, möchte man meinen.

Doch Stuxnet ist nur ein Schritt in einer sich immer schneller drehenden Rüstungsspirale in der Netzwelt. Der Krieg im World Wide Web hat wenig mit Hackern zu tun, die ins US-Pentagon einbrechen, nur um sich selbst zu beweisen, dass sie es können. "Militärs entwickeln heute ihre Cybertruppen. Die haben ganz andere Möglichkeiten", sagt der deutsche Experte für Internetsicherheit Sandro Gaycken , der an der Freien Universität Berlin zu dem Thema forscht. Das Militär hat nicht nur viel größere Ressourcen, es hat auch andere Absichten: Es geht ihm um die strategischen Interessen seines Staates. Jetzt erst, könnte man sagen, wird es ernst.

Fast täglich erreichen uns Nachrichten über groß angelegte Attacken: Mal trifft es den größten Rüstungskonzern der Welt, Lockheed Martin, mal den Internationalen Währungsfonds . 36 Nationen entwickeln inzwischen eine eigene Doktrin für den Cyberkrieg. Auch das deutsche Innenministerium hat eine eigene Cybersicherheitsstrategie ausgearbeitet , am 16. Juni wurde ein Abwehrzentrum in Bonn-Mehlem eröffnet. Es ist mit zehn Mitarbeitern bestückt.

Das wirft die Frage auf, ob die Bundesregierung die Dimension des Problems begriffen hat. Denn die global zu beobachtende Aufrüstung im Internet lässt sich mit dem Rüstungswettlauf während des Kalten Krieges durchaus vergleichen – nur dass es heute nicht bloß zwei Konkurrenten wie die Sowjetunion und die USA gibt, sondern eine große Anzahl von potenziellen Feinden.

Es ist anzunehmen, dass Teherans Regime Stuxnet nicht einfach hinnehmen wird. Es wird seine Schutzwälle verstärken und mit hoher Wahrscheinlichkeit eigene Onlinewaffen entwickeln. Irgendwann, da darf man sicher sein, wird eine iranische digitale Kampftruppe ihre Schädlinge losschicken, damit sie durch die Netzwerke der USA und Israels eine Spur der Vernichtung ziehen. Wobei ein Stuxnet-Wurm Teheraner Bauart längst in den Netzen unterwegs sein könnte, denn die besten Schadprogramme sind die, die man nicht entdeckt.

Es geht also Schlag auf Schlag. Und dieser neue Krieg ist – entgegen einer weitverbreiteten Annahme – alles andere als harmlos. Stuxnet etwa war ein Angriff auf das Steuerungssystem einer hochsensiblen Atomanlage, mit potenziell desaströsen Folgen. Es gibt keine Trennung zwischen einem "harmlosen" Krieg im Netz und einem "blutigen" Krieg außerhalb des Netzes.

Doch das Missverständnis über die Harmlosigkeit von digitalen Attacken hat noch ganz andere Seiten. "Wenn man eine Bombe zündet, fügt sie unter Umständen enormen Schaden zu, nach der Explosion aber ist es damit in der Regel vorbei. Bei einem Computerwurm ist das anders", sagt der deutsche Informatiker und Sicherheitsexperte Klaus-Peter Kossakowski. "Ein Wurm kann sehr lange in der Welt bleiben." Und Schaden anrichten. Wo? Wann? Wie? Darauf gibt es keine sicheren Antworten.

Die USA kündigen Vergeltung an – notfalls mit konventionellen Waffen

Eine digitale Waffe ist keine Präzisionswaffe. Sie sucht sich ihr Ziel, gewiss – doch das Ziel ist meist ein Bauteil, das auch in einer ganz anderen Anlage eingebaut sein könnte, einer Anlage, die mitunter gar nicht angegriffen werden sollte. Stuxnet etwa greift eine bestimmte von Siemens gebaute Steuerungsanlage für Industrieanlagen an. Sie ist weltweit in vielen Anlagen im Einsatz, nicht nur in Kernkraftwerken. Die Streuung ist daher immens.

Wie also ist der Erfolg von Stuxnet bei Abwägung all dieser Faktoren zu beurteilen? Darauf wird es keine abschließende Antwort geben, denn wir werden nie mit Bestimmtheit feststellen können, wie groß der Schaden ist, den der Wurm angerichtet hat. Das wirft auch die moralische Frage auf, ob ein Cyberangriff, dessen Kollateralschäden immens sein könnten, überhaupt zulässig ist.

Es gibt die Theorie des gerechten Krieges. Demnach kann man einen Krieg gerecht nennen, wenn er fünf zentrale Kriterien erfüllt – eines davon ist die Verhältnismäßigkeit der Reaktion. Aber ist es angemessen, eine hochsensible Anlage mit potenziell verheerenden Folgen zu attackieren und nebenbei noch weltweit Computer zu infizieren? Der Informatiker Kossakowski bietet dazu ein gar nicht so unrealistisches Gedankenspiel an: "Wäre Stuxnet auf den Weg geschickt worden, während Israels Armee bereits die Bomber bestückt, um sie gegen Iran fliegen zu lassen, dann ist das etwas anders zu beurteilen, als wenn man Stuxnet zu Friedenszeiten auf den Weg bringt."

Hinter dem immer lauter werdenden politischen Reden über den Krieg im Netz verbirgt sich die Tatsache, dass es auf sehr grundsätzliche Fragen keine klaren Antworten gibt. Was ist das überhaupt: Krieg im Netz? Ab wann sprechen wir davon? Wenn jemand unsere Infrastruktur ausspioniert? Oder erst dann, wenn ein Regierungsserver lahmgelegt wird? Welche sicherheitspolitischen Konsequenzen hat diese Form des Krieges? Was bedeutet es für die Verteidigungspolitik? Was für das Kriegsvölkerrecht? Kurzum: Müssen wir alles neu denken?

Die Antwort lautet: Ja und nein. Die Gesetze des Krieges ändern sich nicht "nur", weil er jetzt auch im Netz ausgefochten wird. Auch im Cyberspace werden die kriegführenden Parteien sich tarnen, sie werden täuschen, sie werden dem anderen Schaden zufügen, den eigenen minimieren, sie werden angreifen und sich verteidigen, je nach Möglichkeiten. Das Pentagon hat vor einigen Wochen eine Cyberdoktrin ausgearbeitet. Darin drohen die USA, einen digitalen Angriff mit konventionellen Waffen zu beantworten . Einer der mit dem Papier befassten Offiziere ließ sich mit dem Satz zitieren: "Wenn du unsere Hochspannungsleitungen außer Kraft setzt, dann schicken wir eine Rakete durch deinen Schornstein!"

Das ist die klassische Antwort eines Militärs. Doch für einen "klassischen Krieg" fehlt eine wesentliche Voraussetzung: Es ist bisher praktisch unmöglich, den Angreifer zu identifizieren. Der Fachbegriff dafür ist "Attribution". In asymmetrischen Kriegen, in denen ein militärisch eindeutig Unterlegener auf einen deutlich Stärkeren trifft, wird der Schwächere immer versuchen, sich zu tarnen, nur so hat er Aussicht auf Erfolg. Cyberattacken sind für asymmetrische Kriege geradezu geschaffen.

Wie findet man den Urheber einer digitalen Attacke? Durch Spuren im Schreibcode des Computerwurms. Amerikanische Wissenschaftler der Darpa (Defense Advanced Research Project Agency) versuchen im Auftrag des Pentagon schon seit Jahren, eine Art "digitalen Fingerabdruck" zu entwickeln, bislang ohne Erfolg. Nach Meinung von Sandro Gaycken wird die Rückverfolgung niemals vollständig gelingen: "Daten sind veränderbar. Das ist ihre Kernfunktionalität." Datenträger sind immer wieder beschreibbar – und damit manipulierbar. Es bleiben Indizien. Indem man zum Beispiel, wie bei Stuxnet, die Cui-bono-Frage stellt: Wer profitiert davon? Doch reicht das aus, um einen Gegenschlag zu rechtfertigen?

Thomas Wingfield, Professor für Internationales Recht am George C. Marshall Center, glaubt, dass man auch ohne technische Beweise einen juristisch "klaren und zwingenden Nachweis" über den Täter führen könnte. Dies würde laut Wingfield genügen, um eine Reaktion zu legitimieren. Der Informatiker Kossakowski hingegen beschreibt die Konfusion über den Urheber eines Angriffes mit einer schönen Bemerkung: "Plötzlich werden Sie von meiner Großmutter angegriffen. Und was machen Sie dann?"

Die UN führen erste Gespräche über eine völkerrechtliche Ächtung

Weit oben im Norden Europas, an der Stadtgrenze von Tallinn, steht das Cooperative Cyber Defence Center der Nato . Es ist auf einem Gelände der estnischen Armee untergebracht. Die Kasernen sind 1905 von der zaristischen Armee gebaut worden, und es mag eine Ironie der Geschichte sein, dass ausgerechnet Russland der Geburtshelfer des Cybercenters war. Im Jahr 2007 wurde Estland von einem massiven Angriff getroffen. Zeitweise brach das gesamte estnische Internet zusammen. Dass der Angriff aus Russland kam, ist eine Behauptung, die vor einem Gericht nicht standhalten würde, weil man keinen letztgültigen technischen Beweis über den Urheber vorlegen könnte. Doch es gibt eine Indizienkette. Zum Zeitpunkt der Cyberattacke herrschte heftiger Streit zwischen Estland und Russland. Die estnische Regierung wollte ein Denkmal aus der Sowjetzeit aus dem Stadtzentrum verlegen, Angehörige der russischen Minderheit in dem kleinen Land wehrten sich dagegen, mit lautstarker Unterstützung nationalistischer Kreise aus dem Mutterland. Auf dem Höhepunkt des Konfliktes schlugen die Netzkrieger zu.

Das Cybercenter der Nato in Estland aufzubauen war nicht nur ein Solidaritätssignal an das kleine Bündnismitglied, es war auch das erste physisch sichtbare Zeichen, dass die Nato den Krieg im Netz ernst nimmt . Seit November 2010 erwähnt die Allianz den digitalen Krieg in ihrem neuen Strategischen Konzept, und zwar als potenzielle Bedrohung der "euroatlantischen Sicherheit". Das bedeutet, dass auch ein Angriff aus dem Netz Artikel 5 der Nato in Gang setzen könnte – dieser Artikel besagt, dass ein Angriff auf ein Mitglied als ein Angriff auf alle interpretiert wird. Die Bündnispartner sind dann zum Beistand verpflichtet. Der Generalsekretär der Nato, Anders Fogh Rasmussen, sagt: "Es ist keine Übertreibung, zu sagen, dass Cyberattacken zu einer neuen Form der dauerhaften Kriegführung auf niedrigem Niveau geworden sind."

Die UN führen erste Gespräche über eine völkerrechtliche Ächtung

Im Netz wird zwar ein Krieg neuer Art ausgefochten, doch oft ist er nur eine Verlängerung eines bestehenden Konfliktes. Indien und Pakistan, die insgesamt vier Kriege gegeneinander geführt haben, bekriegen sich im Netz mit zunehmender Intensität. Einer Gruppe, die sich "Pakistani Cyber Army" nennt, ist es gelungen, die Internetseite des indischen Central Intelligence Bureau, der indischen Polizei, lahmzulegen. Das sei, ließ die Pakistani Cyber Army verlauten, aus Rache für indische Attacken auf pakistanische Internetseiten geschehen.

Während also der Krieg im Netz sich ausbreitet und intensiviert, haben in Tallinn Techniker, Analytiker und Militärs die Aufgabe, darüber nachzudenken, wie das westliche Verteidigungsbündnis sich dagegen am besten wehren kann. Einmal im Jahr, im Juni, trifft sich in Tallinn alles, was in Sachen Cyberwar Rang und Namen hat, zu einer Konferenz , um dieses neue, schwierige Feld auszumessen und nach Regeln zu suchen. Den Teilnehmern ist eines gemeinsam: Sie wissen, dass es eine rein technische Antwort auf die Gefahr aus dem Netz nicht geben kann. Es gibt keinen absoluten Schutz. Cyberwar kann nur politisch gebannt werden, technisch nicht.

Dazu aber braucht es zunächst einmal einen Grundkonsens über die Risiken. "Nur wenn alle einsehen, dass der Schaden des Cyberwar größer sein kann als der Nutzen, den Einzelne daraus ziehen, nur dann kann sich etwas ändern!", sagt Kenneth Geers, der im Cybercenter der Nato die strategischen Herausforderungen des digitalen Krieges studiert. Geers glaubt, dass der Vertrag zur Ächtung von Chemiewaffen einem möglichen Abkommen über den digitalen Krieg als Beispiel dienen kann.

Chemiewaffen sind mit Computerwürmern in gewisser Weise vergleichbar: Sie sind relativ leicht herstellbar, sie lassen sich dezentral produzieren, sie haben eine potenziell verheerende Wirkung. Ebendeshalb hat sich die Welt 1997 in einer Chemiewaffenkonvention dazu durchringen können, "die Entwicklung, die Herstellung, den Besitz, die Weitergabe und den Einsatz" dieser Waffen zu verbieten. Bis heute haben 180 Staaten die Konvention unterzeichnet. Ein großer Erfolg. Könnte Ähnliches für Cyberwaffen gelingen? Geers glaubt, dass es dafür noch zu früh ist, denn "wir leben gerade im Goldenen Zeitalter des Cyberkrieges" – alle Beteiligten versprächen sich noch zu viele Vorteile vom Krieg im Netz. Doch das Bewusstsein der Gefahr wächst, weltweit.

Spürbar ist das auch in Berlin. Mehrere Ministerien sind mit dem Thema befasst, allen voran das Innen- und das Verteidigungsministerium. Es herrscht der Eindruck hektischer Aktivitäten. Eine Cyberstrategie ist entworfen, das Abwehrzentrum wird eröffnet, Computerexperten werden rekrutiert, Hacker eingebunden. Doch selbst wenn die Bundeswehr die besten digitalen Krieger der Welt hätte, das Innenministerium die effizientesten Hacker, die Gefahr verschwände nicht. Das Problem ist ein politisches , und es ist ein globales. Darum macht man sich auch im Planungsstab des Außenministeriums Gedanken darüber, wie mit Cyberkrieg umzugehen ist. Man versucht, Abkommen zu entwerfen, in denen die wichtigsten Staaten sich darauf einigen, was man in jedem Fall ächten will: Angriffe auf kritische Infrastruktur zum Beispiel. Das wäre ein Anfang. Oder die Zusicherung, gegenseitig Informationen auszutauschen. Es gibt Vorgespräche auf der Ebene der UN zwischen Russland, den USA, China und Europa.

Die Grenzen sind dabei allerdings schnell sichtbar geworden. "Die Chinesen haben ja eine ganz andere Vorstellung vom Netz als wir Europäer", sagt ein Experte aus dem Außenministerium. Für den Westen ist es ein Raum der Freiheit, für das Regime in China ein Mittel staatlicher Kontrolle. Es ist sehr schwer, da einen Konsens herzustellen – doch ohne ihn verschärft sich der Krieg im Netz. Wir werden möglicherweise bald von Stuxnet 2, Stuxnet 3 oder Stuxnet 4 hören.