Am 6. Oktober 2000 gelang es einigen israelischen Hackern, mehrere Websites der libanesischen Hizbullah “abzuschießen”, d.h. sie der öffentlichen Nutzung zu entziehen. Dies geschah nur kurze Zeit nach der Gefangennahme drei israelischer Soldaten durch die libanesische Miliz-Organisation. Damit begann, zumindest nach Meinung zahlreicher Medienberichte, “ein internationaler Cyberkonflikt, der in seiner Breite und in der Verwendung seiner Mittel bisher beispiellos” sei.

Auch wenn der Begriff “Cyberintifada” für Redakteurohren einen verführerischen Klang hat, so bleiben in den Berichten doch zentrale Fragen unbeantwortet: Kann man überhaupt von einer Fortsetzung des palästinensischen Aufstandes gegen die israelische Besatzung mit Mitteln der Info-Kriegsführung sprechen? Oder werden hier einzelne und spontane Aktionen von engagierten Aktivisten zu einem Krieg aufgeblasen? Und haben diese Aktionen das Potential für die Austragung zukünftiger Konflikte auf einem zusätzlichen Schauplatz? Und was bedeutet dies für die Zukunft des israelisch-arabischen Konflikts?

Stellt man sich diesen Fragen, so müssen als erstes einige Begriffe enger eingegrenzt werden: Welche Aktionen können unter dem Etikett “Cyberintifada” zusammengefasst werden und welche Ausmaße hat das Phänomen bisher erreicht? Wer sind die Akteure? Was sind die bisherigen Auswirkungen im aktuellen Konflikt?

Die Ereignisse

Die ersten “Kampfhandlungen” im Internet während der gegenwärtigen Intifada gingen von israelischer Seite aus. Nach der Entführung dreier israelischer Soldaten durch die libanesische Hizbullah auf dem umstrittenen Gebiet der Sheeba-Farmen und der anschließenden propagandistischen Aufbereitung der Aktion durch die Hizbullah-Medien (Radio, TV und Internet) kam es zu Angriffen auf die Internet-Infrastruktur der Hizbullah im Libanon. Die Angreifer konnten – nach libanesischen Angaben – anhand der IP-Adressen in Israel lokalisiert werden.


Beispiel für einen Angriff israelischer Hacker
Die israelischen Aktionen konzentrierten sich anfangs auf die Verbreitung des Hizbullah-TV über Internet (
www.almanar.com.lb und
www.manartv.com) sowie direkt auf die Webpräsenzen der Miliz und ihrer Leitfiguren (
www.hizbullah.com,
www.moqawama.org und
www.nasrallah.net). Zugleich wurden die Websites der palästinensischen Autonomiebehörde (
www.pna.org und
www.pna.net) sowie eine “inoffizielle” HAMAS-Homepage (
www.hamas.org) attackiert.

Wenig später wurden auch interne Hizbullah-Server direkt über ihre IP-Adressen angegriffen (z.B. 207.222.197.194 und 216.147.45.137), was der Webmaster der Hizbullah, Ali Ayoub, mit der Vermutung kommentierte, dass diese Aktionen nicht von Amateur-Hackern, sondern direkt vom israelischen Geheimdienst ausgingen.

Die Angriffe liefen alle nach dem gleichen Muster ab: Innerhalb weniger Minuten wurden mehrere Millionen Hits, also Zugriffe, auf diese Sites erzeugt und diese so zum Absturz gebracht.

Pro-palästinensische Aktivisten reagierten prompt. Die Reaktion gegen israelische Rechner fiel dermaßen massiv aus, dass zahlreiche offizielle israelische Websites vom Netz gingen. Als die Attacken auch nach mehreren Tagen andauerten, konnten die entsprechenden Sites nicht mehr in Israel gehostet werden. Sie wurden auf speziell gesicherte Rechner von AT&T in die USA verlagert: Für die High-Tech-Nation Israel mit zahlreichen auf Sicherheitsfragen spezialisierten Unternehmen eine Blamage.


Beispiel für einen Angriff palästinensischer Hacker
Zu den angegriffenen israelischen Websites zählten die der israelischen Armee (
www.idf.il, heute noch offline), der Knesset (
www.knesset.gov.il), des Büros des Ministerpräsidenten (
www.pmo.gov.il), der Fluggesellschaft El-Al (
www.elal.co.il), der Tel Aviver Börse (
www.tase.co.il), der Bank of Israel (
www.bankisrael.gov.il) sowie zahlreicher Ministerien. Der größte israelische Internet Provider, Netvision (
www.netvision.net.il), der 70% der israelischen Internetzugänge abwickelt, war mehrere Stunden offline.

Die Folgen für die betroffenen Unternehmen und Behörden waren hohe Kosten und eine Riesenblamage. Im November 2000 verlangte deshalb der Internet-Ausschuss der Knesset, “Cyberterrorismus” zu einem “Internationalen Verbrechen” zu erklären. Das israelische Außenministerium verurteilt die Aktionen der “Digitalen Vandalen” als “Cyberterrorismus” und vergleicht sie mit den “Buchverbrennungen der Vergangenheit”.

Nach der Verlagerung der israelischen Websites zu AT&T wurden auch Server dieses Unternehmens angegriffen. Schon der Umzug an sich wurde von palästinensischer Seite bereits als Erfolg im “Cyber War One” bejubelt, da “Israel wieder unter die Röcke der USA schlüpfen musste” (so ein Kommentar unter
www.arabhackers.org). In den ersten drei Monaten der Intifada wurden mehr als 170 israelische Webserver gehackt.

Bei dem, was hier salopp unter Cyberintifada zusammengefasst wird, handelt es sich eigentlich um verschiedene Niveaus im Zugriff auf fremde Rechner:

  • “klassisches” Hacken/Cracken inkl. Defacement;
  • Sabotage bzw. Sabotageversuche von Infostrukturen mittels DDoS bzw. Floodnet;
  • Propaganda auf den Infosites der Gegenseite.

In weiterem Sinn könnte man auch die zahlreichen Initiativen besonders auf palästinensischer Seite dazufügen, die versuchen, der israelischen Propaganda ihre Sicht der Dinge entgegenzustellen (so z.B. Electronic Intifada,
www.electronicintifada.org).

Zur technischen Vorgehensweise:

  • “Defacement” nennt sich das Einbrechen in einen fremden Webserver, das Überwinden der Sicherheitseinrichtungen wie Passwörter und Firewalls und das anschließende Verändern der Inhalte auf der Website;
  • DoS: (Denial of Service) Ein Rechner wird mit soviel Anfragen überhäuft, dass er nicht mehr in der Lage ist, auf jede zu antworten. Die Steigerung ist der “Distributed Denial of Service” (DdoS) Angriff, bei dem die Anfragen über die Rechner unbeteiligter Dritter laufen. Der Urheber des Angriffs ist so nicht zu identifizieren.

Ein beliebtes Tool für DoS- und DdoS-Aktionen ist Floodnet, eine Art automatisierter Reload-Button. Öffentlich präsentiert wurde Floodnet auf der ars e-lectronica in Linz 1998. Es wurde Anfang 1999 zur Unterstützung der mexikanischen Zapatisten verbreitet, um die offiziellen mexikanischen Sites anzugreifen. Auch Floodnet arbeitet mit der Überlastung der anvisierten Zielserver und nutzt hierzu verteilte Rechner. Allerdings arbeitet Floodnet mit der Zustimmung der Nutzer dieser Rechner. Es ist ein Kampagnentool. Die Urheber bezeichnen es als “Mittel des zivilen elektronischen Widerstands”. Eine Website würde nicht zerstört, wichtige Daten würden nicht vernichtet. Die Website würde quasi “gewaltfrei besetzt”. Floodnet funktioniert nur mit Massenbeteiligung.

Weitere Tools (einige wurden eigens aus diesem Anlass geschaffen) sind Evilping (kleinste Pakete werden an die angegriffene IP-Adresse geschickt und 10000-fach verstärkt) und Quickfire (das E-Mails nach dem Versenden 32000-fach kopiert).

Mit der Zeit ändern sich die Art der Angriffe. So kommen ab März 2001 vermehrt Viren zum Einsatz. Besonders beliebt bei pro-palästinensischen Cyberaktivisten sind Würmer: Viren, welche sich selbst und eine Botschaft verbreiten. Ein Beispiel ist VBS_INJUSTICE. Dieser Virus befällt das E-Mail-Programm und verschickt sich, ein VBS (Visual Basic Script) und eine Botschaft an die ersten 50 Adressen im Adressbuch sowie an 30 Adressen in Israel. Diese fungieren erneut als Verteiler und erhalten nach der Ausführung eine Propaganda-Botschaft angezeigt. Danach werden mehrere pro-palästinensische Websites angewählt. Zum Abschluss erscheint erneut eine Nachricht, in der sich die Erzeuger des Wurms entschuldigen und versichern, auf dem Rechner keinen Schaden angerichtet zu haben. Dieser Virus fungiert als Propaganda-Instrument sowie auch als DdoS-Tool gegen die anvisierten Mailserver in Israel, die wegen Überlastung kollabieren sollen.

Die im Gegenzug ab April/Mai 2001 von israelischer Seite aus eingesetzten Viren hingegen waren gegen die IT-Infrastruktur pro-palästinensischer Aktivisten gerichtet und sollten diese zerstören. Besonders berüchtigt wurde in diesem Zusammenhang ein von Israel aus als Computerspiel verbreitetes Programm, welches den Namen des spirituellen Führers der HAMAS benutzte (Yassine.exe) und beim befallenen Rechner Systemdateien löschen und so zu einem Absturz und Datenverlust führen sollte.

Die Akteure:

Bei einer Analyse der Personen und Gruppierungen, die sich an den Aktionen gegen die Info-Struktur der jeweiligen Gegenseite beteiligten, können die Akteure wie folgt unterteilt werden:

  • Politische Aktivisten beider Seiten
  • Professionelle Hacker
  • Amateure, sog. Script Kiddies
  • Eventuell: Geheimdienste (was sich weder belegen noch ausschließen lässt)

Während es auf israelischer Seite sehr junge (14-17jährige), aber gut ausgestattete und organisierte Hacker waren, welche die Auseinandersetzung auf diesem Terrain eröffneten, agierten auf der Gegenseite anfangs zumeist Amateure. Selbst für Sabotageaktionen sind zur Zeit eigentlich keine großen technischen Kenntnisse erforderlich, da einfach Programme wie Floodnet u.ä. eingesetzt werden können.

Nach den ersten Medienberichten haben zahlreiche übernationale Gruppen von Hackern, aufgespalten entlang nationalistischer, religiöser und ethnischer Grenzlinien, begonnen, sich an der nun in zahlreichen Medien so genannten Cyberintifada zu beteiligen. Für diese Gruppen allerdings sind Bezugnahmen auf nationalistische, moralische oder humanitäre Motive wie z.B. eine Stellungnahme für die Sache der Palästinenser nur Alibis für eine Selbstinszenierung. Das Defacement einer Website ist in erster Linie eine Frage des Prestiges. Der israelisch-palästinensische Konflikt schien ein große Aufmerksamkeit zu garantieren.

Auf palästinensischer Seite agierten WFD (Worlds Fantabulous Defacers), Silver Lords (mit 821 geknackten Websites z.Zt. eine Art “Weltrekord-Inhaber”), Gforce Pakistan und Dr. Nuker (ebenfalls Pakistan). Als pro-israelisch lassen sich m0sad team und InfernoZ einordnen.

Diese Gruppen sind zumeist transnational, haben aber “reale” lokale Schwerpunkte: Die pro-palästinensischen zumeist Pakistan; die pro-israelischen Russland und Israel.

Als letzte Teilnehmer stiegen die politischen Aktivisten beider Seiten ein. So agierten ab Mai 2001 von arabischen Ländern aus die Gruppen LinuxLover (Ägypten) und saudi-hackers (Saudi-Arabien). Von israelischer Seite sind es zumeist Aktivisten der ADL (Ant-Difamation-League) und AIPAC in den USA sowie Computer-begeisterte Jugendliche in Israel. Diese sog. “Script-Kiddies” werden zu dieser Zeit bereits von Unternehmen aus der israelischen Computerbranche gesponsert.

Warum sich keine in den Autonomiegebieten lebenden Palästinenser beteiligten erklärt ein Blick auf die sehr unterschiedliche Ausgangslage bei der IT-Infrastruktur: Israel fühlt sich den Palästinensern in diesem Bereich haushoch überlegen – und ist es auch wohl. Es verfügt über eine High-Tech-Industrie, die sich zudem auf Sicherheitstechnologien spezialisiert hat. Die palästinensischen Gebiete besitzen hingegen als einzigen Trumpf – auch durch europäische Aufbauhilfe finanziert – das größte Glasfasernetz der arabischen Welt. Die Dichte der Internetanschlüsse entspricht allerdings bei weitem nicht derjenigen Israels. Nur 11% der Haushalte in den palästinensischen Gebieten haben einen Computer und nur 2% haben einen Internetzugang. Die durchschnittlichen monatlichen Kosten für einen Internetzugang betragen 25$, das Durchschnittseinkommen liegt bei mittlerweile nur noch 250$ im Monat – Tendenz fallend. Viele Palästinenser kennen das Internet höchstens aus dem Fernsehen, es sei denn, sie studieren oder können sich die Nutzung in Internet-Cafés leisten.

Wahrscheinlich deshalb gingen die Aktionen pro-palästinensischer Aktivisten – israelischen Angaben zufolge – von den USA, Europa, den Golfstaaten, Ägypten und dem Libanon aus – in dieser Reihenfolge.

Auswirkungen

Kann nun von einer “Cyberintifada” gesprochen werden? Wenn wir die Definition eines Cyber-Konflikts betrachten, so umfasst dieser:

  • Gezielter Einsatz von Informationstechnologie zur Bekämpfung feindlicher Ziele;
  • Unbemerktes Eindringen in Netzwerke;
  • Abhöraktivitäten elektronischer Kommunikation (Echolon, Carnivore);
  • Zerstören von IT-Infrastruktur;
  • Desinformation;
  • Mit anderen Formen der Kriegsführung koordiniertes Vorgehen.

Diese Kriterien können nicht als erfüllt angesehen werden. Es handelt sich mehr um eine lockere Abfolge von Kampagnen als um eine koordinierte Aktion. Die meisten Handlungen haben nicht die Sabotage als Ziel. Vielmehr sollte Propaganda verbreitet und die Gegenseite vorgeführt werden.

Perspektiven

Die “Cyberintifada” seit dem 6.10.2000 stellt keine neue Qualität von Konflikt dar, aber sie stellt Online-Aktionen wie Defacement oder Viren zum ersten Mal in den konkreten Kontext einer Auseinandersetzung. Es kann eine beunruhigende Steigerung beobachtet werden: Von der Propaganda über mobilisierenden Aktivismus und das Defacement von Webseiten zu Ansätzen von Sabotage. Die Handlungen bleiben allerdings unkoordiniert. Herausstechendes Merkmal auf beiden Seiten ist die Romantisierung der Cyberkriegsführung – sowohl in Israel wie auch in der Arabischen Welt. Dies trägt dazu bei, in Zukunft die Spirale weiterzutreiben.

Auf Arabischer Seite wird vor allem der Erfolg gegen die High-Tech-Supermächte Israel und USA gefeiert: “I say far-reaching implications because it drives home the vulnerability of the US and Israel, the two countries that claim they are hi-tech and have vital interests on the net-work.” (so unter
www.arabhackers.org)

Alles in allem gibt die “Cyberintifada” einen Vorgeschmack auf die neue Dimension von Low-Intensity-Konflikten, besonders wenn eine Partei – in diesem Fall Israel – besonders angreifbar ist. Die technologische Rückständigkeit und die aufgrund der ökonomischen Lage und der Besatzung unterentwickelte Internet-Nutzung der Palästinenser ist für diese eher von Vorteil.

Ein Kennzeichen von Cyberkonflikten ist, dass sie mit Softwareprogrammen geführt werden können, die auf handelsüblichen PCs und Laptops laufen, öffentliche Telefonleitungen nutzen und dass die “Waffen” dieser Konflikte via Internet verbreitet werden können. Deshalb werden die zukünftigen Gefechtsfelder unüberschaubar sein. Schon im gegenwärtigen Nahostkonflikt agieren die Beteiligten weltweit.

Bedrohungsszenarien für die Zukunft gibt es viele: Stören militärischer Kommunikation; Stören der Telekommunikation eines Landes; breit angelegte Virenangriffe. Dass dies für die israelisch-arabische Auseinandersetzung nicht so weit hergeholt ist, wie es jetzt erscheinen mag, zeigt folgendes Beispiel: Drei arabische Israelis, Betreiber eines Computerladens, wurden nach israelischen Presseberichten im Mai 2001 in Tel Aviv verhaftet. Sie waren in Rechner eines Kernforschungszentrums eingedrungen und hatten versucht die Funkverbindungen des israelischen Militärs zu sabotieren.

Bislang jedenfalls ist die sogenannte “Cyberintifada” noch keine neue Kampfform, sondern eher ein Propaganda-Geplänkel auf einem Nebenschauplatz. Da es sich aber um einen Konflikt von noch nicht absehbarer Dauer handelt und die Akteure vermutlich die gleichen bleiben werden und dazulernen, kann diese “Cyberintifada” auch als eine Sammlung von Fingerübungen angesehen werden.