Mittwoch, 9. April 2014


Daniel Vedder
Manche Experten warnen im Zusammenhang mit einem Cyberangriff vor einem „digitalen Pearl Harbor“1. Zeitschriften2 und Romane3 stellen in Katastrophenszenarien dar, was passieren könnte, wenn ein Land Opfer einer groß-angelegten Internetattacke würde, die etwa die gesamte Stromversorgung lahmlegen. Internetbasierte Kriege würden immer häufiger, meinen sie. Doch ist die Gefahr wirklich so groß?
Logo des US Cyber Command
Eine gängige Meinung ist, dass mit der Fähigkeit zum Cyberkrieg ein Krieg sehr viel einfach zu führen ist, und dass wir deshalb mit einem erhöhtem Kriegsrisiko rechnen müssen. Ich möchte auf die Argumentation eingehen, die dahinter steckt, bevor ich analysiere, inwieweit sie zutrifft.
Erstens wird angeführt, dass militärische Operationen im Internet die Dimension des Raumes nicht beachten müssen. Herkömmliche Streitkräfte müssen ihre Waffen erst physisch in die Nähe ihres Feindes bringen, bevor sie einsatzbereit sind. Folglich haben nur Großmächte, die sich ein Arsenal an Flotten, Luftstreitkräften, Raketen, usw. leisten können, sogenannte global strike capabilities, d.h. die Fähigkeit, weltweit militärisch zuzuschlagen. Im Internet entfällt diese Komponente völlig. Einem Computervirus ist es relativ egal, ob sich der Zielcomputer im Iran oder lediglich eine Straße weiter befindet. Somit ist weltweite Einsatzbereitschaft nicht mehr nur den Großmächten vorbehalten, sondern steht potentiell jedem Land zur Verfügung, das in der Cyberdomäne aufgerüstet hat.
Zweitens wird allgemein anerkannt, dass sich kein Computersystem hundertprozentig vor einem Angriff schützen lässt. Selbst wenn die Administratoren und Softwareentwickler sich sehr gut auskennen und gewissenhaft arbeiten, werden sich bei solch komplexen Systemen immer Fehler einschleichen, die von Angreifern ausgenutzt werden können. Somit ergibt sich scheinbar eine militärische Ungleichgewicht, in der die Offensive sehr viel einfacher ist als die Defensive.
Drittens muss man auch noch beachten, dass die Kosten für die Entwicklung eines Cyberangriffs relativ gesehen sehr gering sind. Zwar wird Stuxnet schon ein paar Millionen Dollars gekostet haben, verglichen mit den Kosten für ein Geschwader moderner Jagdflugzeuge ist dies jedoch ein Schnäppchen.
Diese Faktoren zusammen führen zum Konzept der asymmetrischen Kriegsführung. Dieses besagt, dass auch kleine Länder mit einer realistischen Erfolgschance große Länder im Cyberspace angreifen können, obwohl letztere ihnen mit herkömmlichen Waffen haushoch überlegen wären. Vielleicht kehrt sich das Kräftegleichgewicht sogar um: denn je stärker ein konventionelles Militär ist, desto technologisierter ist es auch (zumindest meistens), und desto anfälliger ist es gegenüber Cyberangriffen. Ist Cyberwar also der „große Gleichmacher“4 der Kriegsführung?
Obwohl die obige Argumentation logisch erscheinen mag, gibt es mittlerweile viele Kriegstheoretiker und andere Experten, die sie für nicht realistisch halten5. Ihre wichtigste Kritik basiert auf der Annahme der „Katastrophentheoretiker“, dass sich jedes Land schlagkräftige militärische Cyberfähigkeiten wird leisten können. Denn obwohl es stimmt, dass die Entwicklung eines Supervirus auf der Oberfläche monetär nicht viel kostet, gibt es dennoch enorme verdeckte Kosten.
Um eine Cyberwaffe des Stuxnet- oder Flame-Kalibers zu entwickeln, braucht man hochausgebildete Profis, Computerexperten der Weltklasse, nicht nur ein paar Hobbyhacker6. Schließlich gewinnt auf diesem Schlachtfeld, wie im ersten Teil erwähnt, die Seite, die das größte Fachwissen hat. Nicht jedes Land hat Zugriff auf diese menschliche Ressource oder die Möglichkeiten, solche Experten auszubilden.
Außerdem werden unzählige Informationen über das Ziel gebraucht, um einen funktionierenden Angriff entwickeln zu können. Ralph Langner, ein deutscher IT-Sicherheitsexperte, der bei der Analyse von Stuxnet mitarbeitete, meinte scherzhaft, dass die Entwickler von Stuxnet „wahrscheinlich die Schuhgröße des Operators [in Natanz] kannten“7. Eine solche Fülle an benötigten Informationen setzt ein hervorragendes Nachrichtendienstwesen voraus, das auch längst nicht jedes Land besitzt. Um diesen Punkt zu verdeutlichen sei erwähnt, dass es Vermutungen gibt, dass der Hauptzweck des Spionagevirus Duqu (der fast genauso komplex war wie Stuxnet) war, die nötigen Informationen für einen weiteren Stuxnet-ähnlichen Angriff zu sammeln. Es lohnt sich also anscheinend, einen Supervirus zu schreiben, um an die Information für den nächsten Virus zu kommen.
Letztlich sei zu bemerken, dass es keinen „one-size-fits-all“ Angriff gibt. Jedes Computersystem ist einzigartig, jedes weist eine andere Kombination aus Hard- und Software auf. Daraus folgt, dass für fast jedes Ziel ein neuer Angriff entwickelt werden muss, da ein Exploit, der auf dem einen System funktioniert hat, nicht zwingend auf einem zweiten wirksam ist. Man muss also als potentieller Angreifer für jedes einzelne Ziel Informationen sammeln und seinen Angriff individualisieren. Das kostet natürlich viel Zeit und Geld.
Aus diesen Gründen denken viele Experten, dass der Cyberkrieg die internationale Machtbalance nicht groß verändern wird. Denn die einzigen, die sich den Aufwand eines großen Cyberangriffes leisten können, sind diejenigen, die auch einen konventionellen Angriff starten könnten. Und selbst für diese Großmächte wäre der Aufwand für einen Angriff in dem Ausmaße, der die Befürchtungen der Katastrophentheoretiker wahr werden lassen würde, wahrscheinlich untragbar.
Das bedeutet nicht, dass die Cyberdomäne unbedeutend ist. Im Gegenteil, ihre Bedeutung hat sie bereits bewiesen, und sie wird in Zukunft allen Prognosen zufolge immer wichtiger werden, wahrscheinlich umsomehr, wenn sie zusammen mit herkömmlichen Angriffen eingesetzt wird. Dennoch ist nicht davon auszugehen, dass wir in näherer Zukunft Zeugen eines digitalen dritten Weltkrieges werden. Wie Thomas Rid von der Universität London meint: „Ich denke, dass das Szenario eines cyber-Pearl Harbor oder sogar eines cyber-9/11 eine Übertreibung ist.“8 Wir können also beruhigt schlafen.

Anmerkungen

  1. Edwin Morra (2012) „Panetta warns of cyber Pearl Habor: 'The capability to paralyze this country is here now'“ CNSNews.com http://cnsnews.com/news/article/panetta-warns-cyber-pearl-harbor-capability-paralyze-country-there-now
  2. Sylvia Börner (2011) “Feind aus Bits und Bytes”, Y – Das Magazin der Bundeswehr 2011:3, 50-57
  3. Marc Elsberg (2012) “Blackout – Morgen ist es zu spät” Random House GmbH, München
  4. Adam P. Liff (2012): :“Cyberwar: A New ‘Absolute Weapon’? The Proliferation of Cyberwarfare Capabilities and Interstate War,” Journal of Strategic Studies, 35:3, 401-428
  5. Thomas Rid (2012): “Cyber War Will Not Take Place”, Journal of Strategic Studies, 35:1, 5-32
  6. So wurde z.B. für Flame eine komplizierte kryptographische Methode komplett neu entwickelt. Es werden also nicht nur Computerexperten benötigt, sondern auch Experten aus jeder anderen betroffenen Fachrichtung.
  7. Ralph Langner (2011) “Cracking Stuxnet, a 21st century cyber weapon“, TED Talks http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
  8. Jonathan Marcus (2013) “Are we really facing Cyberwar?“ BBC News http://www.bbc.co.uk/news/technology-21653361

Die Cyberwar-Trilogie:
  1. Digitale Apokalypse?

Kommentare:

  1. Die Behauptung, nur hoch entwickelte Länder können den Cyberwar für sich nutzen, halte ich für kritisch.
    Vergleichen wir den Cyberkrieg doch mal mit der Atombombe: Eine einzelne Bombe/ein einzelner Virus kann enorme, aber keine kriegsentscheidenden Schäden auslösen. Die Entwicklung eines Virus ist bedeutend einfacher als die der Bombentechnologie (man bedenke die Urananreicherungsverfahren & Co.).
    Auch Länder, die technisch nicht dazu in der Lage waren, erhielten die Bombe durch Spionage und illegale Weitergabe von Technologie. Dies halte ich in diesem Fall für noch einfacher.
    Außerdem braucht es für schwere Schäden nicht viele Viren, sondern nur den richtigen zur richtigen Zeit.

    AntwortenLöschen
    Antworten
    1. Das Viren auf dem Schwarzmarkt weitergegeben werden können, ist in der Tat eine berechtigte Sorge. Allerdings muss man bedenken, dass ein Virus nur so gut ist, wie die Sicherheitslücken, die er ausnutzt. Sobald er bekannt wird, können diese Lücken geschlossen werden, er hat also nur ein begrenztes "Haltbarkeitsdatum". Dieses Phänomen hat man bei der Atombombe nicht, die Gefahr ist also meines Erachtens nach nicht ganz so groß.

      Löschen
    2. Wir reden hier nicht vom Schwarzmarkt.
      http://de.wikipedia.org/wiki/Abdul_Kadir_Khan
      Der Artikel ist sehr unvollständig - Khan verkaufte seine Technologie an Nordkorea, dem Iran und beinahe an Libyen.
      Er war sozusagen "Waffenvertreter".
      Da dies auf Viren übertragen so funktionieren würde, dass ein Geheimdienst den Virus eben nicht auf dem Schwarzmarkt erwerben kann, sondern die Waffe direkt beim Kunden entwickelt wird, können die Lücken nicht rechtzeitig geschlossen werden. Das Haltbarkeitsdatum entfällt sogar ganz, wenn man Maulwürfe bei Softwareentwicklern hat.

      Löschen

CATOteam 2013
Ceterum censeo...