Das Internetzeitalter stellt moderne Staaten vor komplexe sicherheitspolitische Herausforderungen. Gehören traditionelle Kriege in Westeuropa längst der Vergangenheit an, warnen Experten vor einer neuen Gefahr: dem Cyberwar. Droht uns der virtuelle Krieg? Von Sascha Bier
Es herrscht bereits Krieg. Jedenfalls wenn es nach der langjährigen US-Sena- torin für Maryland, Barbara Ann Mikul- ski, geht. Schon Anfang 2010 erklärt sie gegenüber der Baltimore Sun: »We are at war, we are being attacked and we are being hacked.« Die Vereinigten Staaten von Amerika, die letzte vermeintliche Supermacht, befinden sich im virtuellen Krieg. Aber gegen wen? Die Hauptverdächtigen lauten nach guter alter Hollywood-Manier Russland und China. Mit Sicherheit kann dies aber niemand sagen. Der digitale Krieg tobt auf einem kaum definierbaren Schlachtfeld mit nur schwer zu bestimmenden Teilnehmern. Das ist das große Problem aller Akteu- re im Cyberspace: die Ungewissheit. Nichts ist sicher. Alles ist manipulierbar. Aber fangen wir von vorne an.
Die Asymmetrie des Krieges
Auge in Auge stehen sich die Armeen gegenüber. Hier Freund, dort Feind. Gut gegen Böse. Die Kombattanten wissen gegen wen sie kämpfen und womöglich auch wofür. Diese Vorstellung einer klassischen Schlacht findet sich heute nur noch auf der Kinoleinwand. Spätestens mit dem Ende des zweiten Weltkrieges war auch das Kapitel der Front im klassischen Sinne geschlossen. Vietnam, Irak und Afghanistan sind nur einige Beispiele einer anderen Art der Kriegs
führung. Diese militärischen Auseinandersetzungen sind durch ein starkes Ungleichgewicht der Kriegsparteien gekennzeichnet. In der Regel ist dabei eine Partei personell und waffentechnisch derart unterlegen, dass sie die offene Feldschlacht meidet. Langfristig setzt sie daher auf eine Strategie der feinen Nadelstiche. Sie versucht die auf dem Pa- pier stärkere Kriegspartei zu zermürben, sodass diese irgendwann den Rückzug antreten muss. Diese als asymmetrische Kriegsführung bezeichnete Strategie ist durchaus erfolgversprechend – das zeigen die Niederlagen der USA in Vietnam und der Sowjetunion in Afghanistan. Im asymmetrischen Krieg wird die Trennung zwischen Kriegsteilnehmern und Nicht-Kriegsteilnehmern aufgeweicht. Die staatlich organisierte Armee kann nicht mehr erkennen, wer genau Feind und wer Freund ist. Der Gegner trägt kei- ne Uniform und muss auch nicht mehr zwangsläufig staatlich organisiert sein. Dies schafft Unsicherheit und Ungewissheit. Die asymmetrische Kriegsführung ist allerdings keine Erfindung der Moderne. Schon die Germanen bedienten sich in der Varusschlacht 9 nach Chr. dieser Strategie. Mit zahlreichen Hinterhalten schwächten sie das römische Heer solange, bis sie in überlegender Position die offene Feldschlacht wagen konnten. Das Ergebnis ist hinreichend bekannt. Neu ist diese Art der Kriegsführung also nicht, aber inzwischen die dominan- te Ausprägung moderner kriegerischer Auseinandersetzungen.
Digitale Ungleichheit
Die Asymmetrie wird im Zeitalter der umfassenden, globalen Vernetzung auf die Spitze getrieben. Im weltweite Netz, dem sogenannten Cyberspace, verschwimmen gänzlich die Grenzen zwischen Freund und Feind, zwischen Kombattant und Nicht-Kombattant. Der Cyberspace umfasst dabei die Gesamtheit aller elektronisch vernetzten Informationssysteme. Dazu zählen neben dem Internet auch geschlossene vernetzte Systeme, wie zum Beispiel das System eines Atomkraftwerkes, welches nicht an das Internet angeschlossen ist. Jeder, der ein Handy, einen Computer oder irgendein anderes mit dem Cyberspace interagierendes Gerät besitzt, kann ein Teil des virtuellen Krieges werden. Weit verbreitet sind hierbei insbesondere im Internet sogenannte Bot-Netze. Durch die Infektion mit einer Schadsoftware wird der Computer, das Handy oder ein ähnliches Geräte Teil eines riesigen Netzwerkes, dass fortan unbemerkt ferngesteuert und für illegale Aktionen missbraucht werden kann. Teilweise bestehen diese Bot-Netze dann aus mehreren Millionen Computern und waren 2011 für rund 75 Prozent des weltweiten Spam-E-Mail-Aufkommens verantwortlich (Symantec 2012) – das entspricht fast 32 Millarden Spam-Mails pro Tag, die alleine von Bot- Netzen gesendet werden. Auch wenn diese Netzwerke vorwiegend von Kriminellen genutzt werden, zeigte sich 2007 in Estland, dass damit selbst ein kleinerer Staat zumindest eingeschränkt, wenn auch letztendlich nicht nachhaltig gefährdet werden kann. Frei nach dem Motto: Stell dir vor es herrscht Krieg und jeder nimmt teil. Diese Teilnahme muss also keineswegs die Konsequenz einer bewussten Entscheidung sein. Im Übrigen gilt dies für beide Seiten, denn Schadsoftware verbreitet sich oft unkontrolliert. Sogar ein hochkomplexes Schadprogramm wie Stuxnet, dass von Geheimdiensten für die Sabotage des iranischen Atomprogramms konzipiert wurde, hat weltweit über 100.000 Computer befallen – leichtsinnig in Kauf genommene Kollateralschäden.
Grundlegende Probleme für Nationalstaaten
Niemand kann sich heute noch vollends der Unversehrtheit seines eigenen Systems sicher sein. Welche Konsequenzen hätte es, wenn das Handy oder der Computer, den man täglich nutzt, längst schon für Angriffe im Cyberspace missbraucht wurde? Ist man dann Kombattant oder Opfer? Diese Unsicherheit und Ungewissheit stellt die modernen Nationalstaaten vor grundlegende Probleme, auf die diese bislang nur unzureichend zu reagieren wissen. Die Vereinigten Staaten drohen mit konventionellen Waffen zurückzuschlagen, wenn sie Opfer von Cyberangriffen werden. Bomben für Hacker? Solche Drohungen zeigen nur die Hilflosigkeit der vermeintlich letzten Supermacht. Mit der Realität des Cyberspace hat dies wenig zu tun.
Hilflosigkeit der Politik
Für die Politik hat die Gefahr eines Cyberkrieges enorme Sprengkraft, denn sie rüttelt an den Grundfesten moderner Nationalstaaten. Der hohe Ereignisdruck der alleine schon durch die schnelle Datenübertragung im Cyberspace geschaffen wird, stellt die herkömmlichen sicherheitspolitischen Strukturen vor das Problem, dass sie immer einen Schritt hinterherhinken. Die teils langwierigen Gesetzgebungs- und Verwaltungsverfahren können mit den Entwicklungen der modernen Technologien nicht mithalten. Polizei und Nachrichtendienste müssten daher schon im Vorfeld mehr Handlungsspielräume bekommen, um entsprechend mit Cyberattacken umgehen zu können. Dies erlauben das Grundgesetz und das Bundesverfassungsgericht aber nur in sehr engen Grenzen.
Im Sumpf der Geschichtenerzähler
Steuern wir nun unabwendbar auf einen Cyberwar zu? Die digitale Welt sieht längst nicht so düster aus wie es die bisherigen Beschreibungen vermuten lassen. An erster Stelle steht dabei die Frage: Warum sollte ein Staat einen Cyberkieg anfangen? Mit Cyberangriffen lässt sich kein Land besetzen oder gar erobern. Ein Mehrwert ist in dieser Hinsicht also fraglich, zumal in der global vernetzten Welt auch die Zerstörung der gegnerischen digitalen Infrastruktur ohne darauffolgenden militärischen Einmarsch kaum Sinn ergibt. Der Cyberwar kann immer nur ein Teil einer größeren Strategie sein. Zudem ist die Cyberwar-Diskussion ein Dickicht aus Interessenvertretern und Verschwörungstheoretikern. Die Manipulierbarkeit der Daten ermöglicht zahlreiche Vermutungen, die nur schwer zu widerlegen sind. Aber: Was theoretisch möglich und denkbar ist, wird in der Realität des Netzes längst noch nicht umge- setzt. Allzu oft ist daher der Cyberwar nur eine gut erzählte Geschichte für eine ganze Industrie von Cybersicherheitsfirmen, die ihre neusten Produkte verkaufen wollen. Auffallend auch, dass die langjährige US-Senatorin für Maryland, Barbara Ann Mikulski, ihre drastischen Worte gerade zu der Zeit wählte, als ein durch Bundesmittel finanziertes, milliardenschweres Cyberabwehrzentrum zur Diskussion stand – in Maryland. Ein Schelm, wer böses denkt.
Sicherheitspolitischer Handlungsbedarf
Die Politik kann sich trotzdem nicht einfach zurücklehnen. Handlungsbedarf besteht in jedem Fall, denn auch wenn Staaten keinen offenen Cyberwar anfangen werden, stellen nicht-staatliche Akteure eine große Bedrohung dar. Hier gilt es internationale Kooperationen für einen besseren Informationsaustausch zu entwickeln, ein angebrachtes Risikobewusstsein in der Bevölkerung zu schaffen und kritische Infrastrukturen wie Wasser und Strom gänzlich vom Internet zu trennen.
