Das war die Frage, die der Experte für Sicherheits- und Außenpolitik der Konrad-Adenauer-Stiftung, Dr. Patrick Keller, in der Auftaktveranstaltung der Lüneburger Gespräche des Bildungswerks Hannover der Konrad-Adenauer-Stiftung und des Aufklärungslehrbataillons 3 Lüneburg der Bundeswehr eingehend behandelte. Sein Fazit: Einen umfassend wirksamen Schutz gegen Attacken aus dem Internet gibt es nicht.

„Neu ist, daß es uns betrifft!“

Cyberangriffe aus dem Internet betreffen alle Bürger. Ob der private Computer mit Hilfe eines unentdeckten Trojaners (Virenprogramm) Teil eines systematischen Angriffs auf staatliche Infrastruktur wird oder lediglich durch Verbrecher private Kontodaten gestohlen werden, die Bedrohung aus der Cyberwelt ist längst Realität, und wir alle müssen uns schon aus eigenem Interesse mit diesem Thema intensiv befassen. Denn die Bedrohung aus der Cyberwelt hat eine neue Qualität erreicht. Alle zwei Sekunden erfolgt in Deutschland ein Angriff über das Internet, die CIA in den USA zählte allein 2009 über 500000 Attacken. Neben massiver Ausspähung vertraulicher Daten der Wirtschaft oder von Regierungseinrichtungen ist verstärkt Cyberkriminalität zu verzeichnen, auch regelrechter Cyberkrieg staatlicher Akteure. 2007 wurden estnische Regierungseinrichtungen, vermutlich durch russische Spezialisten, wochenlang attackiert, 2008 Georgien im Zusammenhang mit der dortigen Intervention russischer Streitkräfte. 2010 wurde zudem mit dem Computerwurm Stuxnet gezielt das iranische Atomprogramm attackiert, mutmaßlich durch die USA. Dabei handelt es sich um öffentlich diskutierte Beispiele, die Zahl der Attacken ist allerdings sehr viel größer.

Zumeist handelt es sich derzeit noch um „Denial of Service“-Angriffe, das heißt, Hunderttausende manipulierte Computer von Privatpersonen werden durch unbemerkt auf die Systeme geschleuste Kleinprogramme dazu genutzt, bestimmte Seiten im Internet aufzurufen, die aufgrund der großen Zahl an Anfragen kollabieren und nicht mehr erreichbar sind. Die Programme werden immer komplizierter und können, wenn sie wie im Falle von Stuxnet offensichtlich durch staatliche Organe konzipiert worden sind, nur schwer entdeckt werden. Inzwischen wird angenommen, dass Hunderttausende Computer in Deutschland bereits mit derartigen Trojanern infiziert sind und ggf. für massive Angriffe missbraucht werden könnten.

„Vorbereitungen laufen auf Hochtouren“

Es wird international für den Krieg im Cyberspace aufgerüstet: In China sollen 30000 Soldaten gezielt für diese neue Form der Kriegführung ausgebildet sein. In den USA ist das Cyberspace als 4. Dimension der Kriegführung im 21. Jahrhundert, neben Land, Luft und Wasser, fest etabliert, und im Oktober 2010 hat das United States Cyber Command in Fort Meade bei Washington seine Tätigkeit aufgenommen. Die NATO berücksichtigte auf ihrem Gipfel in Lissabon im November 2010 den Cyberwar in ihrem neuen strategischen Konzept, hat in Tallinn ein Center of Excellence und außerdem eine Abteilung „Emerging Security Challenges on Cyber Defence“ eingerichtet, so Dr. Keller. 2010 hielten sowohl die USA als auch die EU Übungen zur Abwehr von Cyberangriffen ab, und neuerdings verfügt die Bundeswehr über eine Abteilung Computer Networks Operations (CNO).

Am 1. April 2011 wird das Nationale Cyber-Abwehrzentrum in Deutschland seine Arbeit aufnehmen, seit Februar 2011 arbeitet ein nationaler Cyber-Sicherheitsrat, wobei bislang allerdings unklar ist, welche Rolle die beteiligten Behörden, etwa das Bundesamt für Sicherheit in der Informationstechnik, das Bundesministerium des Innern (BMI), das Bundeskriminalamt (BKA) oder die Bundesbeauftragte für Informationstechnik spielen sollen. In der im Februar 2011 veröffentlichten Sicherheitsstrategie des Bundesministeriums des Innern wurden Ziele definiert, die vor allem den Schutz kritischer Informationsinfrastrukturen sowie der Netze der Bundesverwaltung gewährleisten sollen. Außerdem wird auf die besondere Verantwortung der Provider und auf Beratungsangebote verwiesen. Denn alle Bürger tragen letztlich eine Mitverantwortung für den Schutz unserer Einrichtungen vor Cyberangriffen, da ihre Computer dafür missbraucht werden können. Dies muss deutlich stärker als bislang im Bewusstsein der Menschen verankert werden.

„Kaum lösbare Probleme“

Systematische Angriffe aus dem Cyberspace stellen die Staaten grundsätzlich jedoch vor kaum lösbare Probleme, beschrieb Dr. Keller. Selbst geschlossene, interne Netzwerke können durch einen USB-Stick infiziert werden, und gegen einen derartigen Angriff gibt es keine Abwehr. Mit geringem Aufwand kann großer Schaden hervorgerufen werden, ein kleines Programm mit wenigen Zeilen kann in großen Datenmengen mit marginalem Aufwand verborgen werden. Auch die Rückverfolgung von Attacken wird durch die Vielfalt an Informationen, die verschlungenen Wege im Netz und die „Flüchtigkeit der Informationen“ erschwert. Die US-Air-Force konstatierte bereits, dass eine wirksame Cyberdefence letztlich unmöglich sei.

Staatlich organisierte Cyberangriffe seien vor allem als Begleitung eines konventionellen Konfliktes wahrscheinlich, wie etwa in Georgien 2008, resümierte Dr. Keller. Aber bieten sich über das Cyberspace nicht auch Möglichkeiten zur systematischen Destabilisierung von Staaten, um Regierungen zu Fall zu bringen oder, im Vorfeld von Konflikten, zur „Preparation of the Battlefield“? Die Möglichkeiten des Cyberwars eröffnen einer neuen, drastischen Form asymmetrischer Kriegführung die Bühne; einer Version 2.0 des „Krieg des kleinen Mannes“, der das 20. Jahrhundert geprägt und Großmächte, wie die USA in Vietnam oder die Sowjetunion in Afghanistan, zu schmachvollen Rückzügen gezwungen hat.

„Nicht erpressbar werden“

Denn kleine terroristische Gruppen, zu allem entschlossen, können einen Schaden anrichten, der in keinem Verhältnis zu dem damit verbundenen Aufwand steht. Staaten drohen erpressbar zu werden. Deshalb müssen wir unsere Anstrengungen zur Cyberdefence international erheblich verstärken, und Bundeskanzlerin Angela Merkel regte auf der Münchner Sicherheitskonferenz im Februar 2011 bereits ein Abkommen gegen Cyberattacken an. Denn auch aus Sicht des Völkerrechts entstehen hier ganz neue Fragen. Wie sollen systematische Ausspähung oder Attacken, die einem anderen Staat zugeschrieben werden können, behandelt werden? Wann ist von einem „unerklärten“, clandestin“ geführten „Krieg“ zu sprechen? Welche Kriterien sollen dafür bedeutsam sein? Diese Fragen sind besonders für die westlichen Industriestaaten ungemein bedeutend. Und dabei muss auch von einer „offensiv“ geführten Abwehr derartiger Attacken die Rede sein, so Dr. Keller.