Bericht: Cyberwer, Cyberwie, Cyberwas: Was ist eigentlich Cyberwar?

Totaler Blackout, abstürzende Flugzeuge, gesellschaftlicher Kollaps: Seit Jahren mehren sich die Warnungen vor einem “digitalen Pearl Harbor”. Schließlich seien in einem Cyberwar gerade High-Tech-Gesellschaften am verwundbarsten, mit ein paar Mausklicks könne es mit der Welt, so wie wir sie kennen, vorbei sein. Doch ist das wirklich so? Und wenn nicht, was ist Cyberwar denn dann eigentlich? Darüber diskutierte die Berliner Arbeitsgruppe für Sicherheitspolitik (BAS) am 29.11.2017 mit Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP). Im Hintergrundgespräch im Restaurant im Deutschen Theater räumte Matthias mit so einigen Mythen zum Thema Cyberwar auf und stellte seine Forschung im Bereich der Cyber-Sicherheitspolitik zur Diskussion.

Matthias Schulze diskutiert mit den Teilnehmer*innen

Teilnehmer*innen der Veranstaltung

Gleich zu Beginn stellte Matthias klar: So neu ist das Phänomen Cyberwar gar nicht. Schon 1983 wurde die Idee im Film WarGames behandelt, ab Mitte der 1990er Jahre begann dann die USA, Russland und China verstärkt in die digitalen Kapazitäten von Streitkräften und Nachrichtendiensten zu investieren. Durch den Cyberangriff auf Estland im Jahr 2007 und die Entdeckung der Schadsoftware Stuxnet in iranischen Atomanlagen 2011 wurde die Problematik schließlich auch einer breiteren Öffentlichkeit bekannt.

 

Mit dieser erhöhten Öffentlichkeitswirksamkeit begann, so Matthias, auch die Warnungen vor einem „digitalen Pearl Harbor“ unbedingt zu werden. In solchen Szenarien fallen infolge eines Cyberangriffes kritische Infrastrukturen flächendeckend aus; Strom- und Wasserversorgung, Verkehr und Finanzwesen brechen zusammen; die Gesellschaft kollabiert. Besonders gefährlich sei es, da selbst schwächere Akteure damit High-Tech-Staaten in Sekundenschnelle von überall auf der Welt in die Knie zwingen könnten. Diese Auffassung von Cyberwar ist laut Matthias aber hochgradig irreführend. Die meisten Cyber-Vorfälle sind nämlich im Bereich der Kriminalität zu finden und führen in der Wirtschaft auch tatsächlich zu Milliardenschäden. Zwar eignet sich der digitale Raum für Überwachung und Spionage – aber Angriffe, die durch den physischen Schaden entstehen, sind sehr selten. Daher sieht Matthias die alarmistische Rhetorik zum Cyberwar hauptsächlich als Strategie von Firmen und Behörden, um damit Unsicherheit zu instrumentalisieren und mehr Zuständigkeiten und Mittel zu erhalten.

 

Die versicherheitlichte Sprache hat wenig mit der Realität zu tun

 

Cyber-Operationen, so Matthias, haben mit Einbrüchen mehr gemeinsam als mit Krieg: Die Ziele werden ausgespäht, dann wird eine Schadsoftware gezielt programmiert und in das Zielsystem eingeschleust. Infiziert werden die meisten Systeme jedoch nicht durch komplexe Hacks, sondern durch Tricks wie zB Phishing , bei dem unbedarfte User infizierte Links oder E-Mail-Anhänge öffnen. Die Definitionsschwelle von Krieg als großflächige Zerstörung und Verlust von Menschenleben wird dadurch nicht erreicht – im Gegenteil gab es bisher nur vier bestätigte Fälle, in denen physische Infrastruktur nach Cyberangriffen beschädigt wurde. Ein Grund dafür ist, dass die Kosten-Nutzen-Rechnung nicht aufgeht: Erfolgreiche Cyber-Operationen benötigen enorme Ressourcen und teils jahrelange Vorbereitung, sodass direkte physische Zerstörung meist wesentlich kostengünstiger ist. Das gilt auch für Terroristen, denn ein digitaler Angriff ist vielfach teurer als ein für 300 US-Dollar auf dem Schwarzmarkt erworbenes Sturmgewehr.

 

Die militärische Denkweise ist aber auch bei der Abwehr von Angriffen im Cyberspace nur wenig nützlich. Mit absoluter Sicherheit nachzuweisen, woher ein Angriff kommt, ist kaum möglich. Durch dieses Attributionsproblem ist die Nutzung von Hackbacks , bei denen Angreifer „zurückgehackt“ werden, schwierig. Deshalb ist auch die Analogie des „digitalen Rückschießens “ der Bundeswehr bei Cyberangriffen nicht zutreffend. Insgesamt ist eine glaubhafte Gewaltandrohung gegen digitale Angreifer kaum umsetzbar.

 

Fazit von Matthias: Echter Cyberwar ist unwahrscheinlich, da er zu wenig nutzt und zu viel kostet. Kriminalität, Spionage und Überwachung klappen im Netz dagegen hervorragend. Er sieht daher weniger ein technisches als ein menschliches Problem – meist ist nämlich der Mensch selbst die Schwachstelle, die als sogenannter „ Human Factor “ einen Cybervorfall ermöglicht. Im Verlauf der anschließenden Diskussion kamen weitere Themenfelder auf, wie etwa die Automatisierung von Krieg, das Cyberkommando der Bundeswehr sowie digitale Sicherheit für Privatpersonen. Der Dank der BAS gilt Matthias Schulze, allen Teilnehmenden, und Ex-BAS-Vorstand Ilja Sperling, der den Kontakt zu Matthias vermittelt und die Veranstaltungsvorbereitung unterstützt hat.

 

Matthias Schulze forscht an der Stiftung Wissenschaft und Politik (SWP) zum Thema Cyber-Sicherheitspolitik. Zuvor war er wissenschaftlicher Mitarbeiter an der Friedrich-Schiller-Universität Jena und Visiting Researcher an der University of Toronto. Seine an der Uni Jena eingereichte Promotion trägt den Titel „From Cyber-Utopia to Cyber-War. Normativer Wandel im Cyberspace“.