Wie groß ist die Bedrohung durch einen Cyberwar tatsächlich und wie sollte man im Falle eines Angriffs reagieren? Diesen Fragen stellten sich Sandro Gaycken, Fritz Rudolf Körper und Thomas Wiegold am Dienstagabend in der Telegraphen Lounge. Fazit: Ernst genommen werden muss das Thema allemal, doch ist die Panikmache in den Medien auch zu groß.
In nur einer knappen Stunde versuchte Moderatorin Dörthe Eickelberg zwar möglichst viele Antworten auf Fragen der anwesenden Gäste zu bekommen, doch ließ der enge Zeitrahmen kaum Gelegenheit für eine tiefergehende Diskussion. Daher beschränkten die Experten sich vorwiegend darauf, die bisherige Debatte um die Themen Cyber-Defense, also die Abwehr eines potentiellen Angriffs über und durch das Internet, und die mangelnde Aufmerksamkeit für diese sensible Problematik seitens der Bundesregierung zusammenzufassen.
Gleich zu Beginn machten Dr. Sandro Gaycken, Cyber-Warfare-Experte am Institut of Computer Science der Freien Universität Berlin und Thomas Wiegold, Journalist und Blogger, in ihren Eingangsstatements deutlich, dass elementare Fragen der Sicherheit bislang viel zu wenig beachtet würden. In den USA, die derzeit Vorreiter in Sachen Cyber-Security (staatliche Sicherheitsmaßnahmen gegen Cyberangriffe) und Cyber-Warfare (die Fähigkeit selbst angreifen zu können) sind, gebe es bereits seit einigen Jahren verschiedene Institutionen, die sich intensiv mit der Abwehr einer potentiellen Cyber-Attacke beschäftigen. Mit dem U.S. Cyber Command, der National Security Agency, dem Central Security Service und weiteren Akteuren (z.B. eingegliedert in die NASA) haben die Vereinigten Staaten in den vergangenen Jahren stark aufgerüstet. Insbesondere die rasante technische Entwicklung Chinas und die daraus resultierende Bedrohung führten dazu, dass Experten wie der ehemalige amerikanische Staatssekretär für politisch-militärische Angelegenheiten Richard A. Clarke den Ausbau dieser Einrichtungen früh gefördert hat.
Sogar Frankreich ist weiter
Dass Deutschland mit dem Ausbau einer wehrhaften Cyber-Defense längst nicht so weit ist wie die USA, bestätigte auch Fritz Rudolf Körper, Mitglied im Verteidigungsausschuss und Parlamentarischer Staatssekretär a.D.. Das Problem der Deutschen sei es, schnell „zu juristisch“ zu werden. Bevor man sich also eventuellen technischen Komponenten oder außenpolitischen Konflikten widme, ließe man sich lieber darüber aus, welche Probleme ein Cyberwar für das Völkerrecht bedeuten könnte. Diese Herangehensweise sei aber der falsche Weg. Stattdessen müsse man aus Erfahrungen lernen und sich ständig weiter entwickeln. Die bisherigen Aktivitäten der Bundesregierung seien noch zu „unterbelichtet“, erklärte Körper.
Zudem hat das Nationale Cyber-Abwehrzentrum der Bundeswehr (NCAZ) unter der Leitung des Innenministeriums gerade mal 82 Cyber-Experten. Eine Zahl, die im Vergleich zu tausenden amerikanischen, chinesischen und sogar französischen (Frankreich ist auf Platz 3 in punkto Ausgaben für eine Cybersicherheit) Cyberexperten im Auftrag der Regierung marginal erscheint.
„Horrorszenarien führen zu nichts“
Doch trotz aller Missstände in der deutschen Cyber-Defense müsse man realistisch bleiben und nicht damit rechnen, dass jeden Moment die Lichter bei uns ausgehen, Staudämme brechen, Atomkraftwerke explodieren, Züge entgleisen könnten wie in einem Bruce Willis-Film. Sandro Gaycken ist der Ansicht, dass solche Horrorszenarien eher utopisch seien. Der Aufwand, um beispielsweise das deutsche Stromnetz vollständig zusammenbrechen zu lassen, wäre mit einem extremen Kostenaufwand verbunden und bislang eher unwahrscheinlich. Dass es aber durchaus vorkommen kann, dass ein Staat durch einen Cyber-Angriff fast vollständig kollabiert, zeigt der Fall des wohl am besten vernetzten Landes der Welt – Estland. 2007 griffen russische Hacker die zentralen Rechner der Regierung und vieler Banken an. Mit einem sogenannten DDoS-Angriff, bei dem weltweit Rechner geringfügig unter die Kontrolle von Hackern fallen und dann als Zombienetz oder Botnet alle gleichzeitig auf bestimmte Domains zugreifen, wurden die Server in Estland kurzfristig überlastet. Ein nationaler Blackout war die Folge.
Auch wenn DDoS-Angriffe heute eher zum Kleinen Einmaleins eines Hackers gehören, so zeigt der Vorfall deutlich, wie angreifbar ein Staat sein kann. Doch was im Falle Estlands noch relativ leicht zu verfolgen war, ist in den letzten Jahren zum größten Problem der Cyberabwehr geworden. Die Attribution, also die Möglichkeit, herauszufinden, wer hinter dem Angriff steckt, ist „dank“ neuer technischer Entwicklungen inzwischen noch möglich.
Die technischen Schranken sind somit systemimmanent, was zur Folge hat, dass ein potentielles Opfer immer in die Rolle des Verteidigers gedrängt wird, der nicht zurückschlagen kann. Auch wenn die Amerikaner erst kürzlich das Gegenteil verlauten ließen und sie im Verdachtsfall sogar selbst zuschlagen würden.
Der Staat muss die Verantwortung übernehmen
Und auch wenn die deutsche Bundesregierung eine Cyber-Attacke als einen Angriff im konventionellen Sinne betrachtet, so liegt das Hauptaugenmerk andernorts. Heutzutage ginge die eigentliche Gefahr nämlich viel eher von dem nicht sichtbaren Sektor aus. Dort wo gezielt Technikspionage, Banken- und Finanzmarktmanipulationen stattfinden, müsse gezielter und insbesondere durch staatliche Zuwendung reguliert werden, fordert Sandro Gaycken. Seines Erachtens bedarf es unbedingt eines Meldegesetzes, das vorsieht, Hacker-Eingriffe sofort der zuständigen Bundesbehörde zu melden. Dies wäre auch ein logischer und wichtiger Schritt in Richtung IT- und Cyber-Sicherheit. Auch empfiehtl Gaycken dringend, den Wirtschaftssektor vom öffentlichen Internet abzukoppeln. Aktuell seien Hacker förmlich dazu aufgefordert, sensible Daten zu stehlen und zu missbrauchen, meint Gaycken.
Dass der Industrie- und Bankensektor angreifbar ist und in naher Zukunft bleiben wird, konnte auch Fritz Rudolf Körper nicht entkräften. Allerdings hält er nichts davon, den Staat eingreifen zu lassen. In Deutschland herrsche schließlich das Gebot der Selbstregulierung, die großen Unternehmen seien sich der Gefahren auch bewusst.
Doch geht dieses Konzept selten auf. Selbst die USA, die uns für die Selbstregulierung insgeheim belächeln, haben keine restriktiven Maßnahmen für ihre eigene Industrie vorgenommen. Bereits unter der Regierung des ehemaligen Präsidenten George W. Bush hielt man es nicht für nötig, der Industrie Vorschriften zu machen, die einen enormen Kostenaufwand mit sich bringen würden. Das hat sich seit der Amtsübernahme von Barack Obama nicht geändert. Nach wie vor befürchtet man, Sympathien zu verspielen, und es bedarf wohl eines wirklich ernsthaften Vorfalls, bis ein Umdenken stattfindet. Weshalb man nur weiter zuschauen kann, wie oft es noch zu Meldungen über gegenseitige Anschuldigung der Cyberspionage etc. geben wird.