Cyberangriffe sorgen wieder für Schlagzeilen – sei es im Nahostkonflikt oder zwischen den USA und Russland. Konfliktforscher Matthias Schulze sieht die Welt bereits seit Jahren in einem virtuellen Rüstungswettlauf. Ein Angriff könne durchaus einen Verteidigungsfall auslösen, wenn Menschen zu Schaden kämen.
Herr Schulze, befinden wir uns in einem digitalen Rüstungswettlauf?
Ja. Schon seit den 90er-Jahren. 2011 hatten 30 Staaten das Potenzial, Cyberangriffe auszuführen, heute sind es über 100. Man merkt es auch an der Preisentwicklung auf den Schwarzmärkten, wo die Angriffssoftware und Sicherheitslücken gehandelt werden. Solche 0-Day-Sicherheitslücken sind Fehler, über die man unbemerkt in ein anderes System eindringen kann. Die werden nicht an den Hersteller gemeldet, sondern geheim gehalten und gehandelt. Die Preise dafür sind in den letzten Jahren massiv gestiegen, weil die Nachfrage steigt.
Was versteht man unter einem Cyberangriff?
Das Eindringen in ein informationstechnisches System, um bestimmte Effekte auszulösen. Das Ziel kann sein, Spionage zu betreiben, Dateien zu löschen, die einem schaden könnten, oder eine Maschine, ein Gerät, ein anhängendes System zu sabotieren, dass von der Informationstechnik, in die man eindringt, abhängig ist. Das haben die USA mutmaßlich getan, als sie kürzlich in das iranische Netz eingedrungen sind und die Luftabwehr zeitweise ausgeschaltet haben. Je mehr Bereiche der Gesellschaft informationstechnisch verknüpft sind, desto größer wird die Verwundbarkeit. Smart-Cities und autonome Fahrzeuge werden damit zum Sicherheitsproblem.
Durch diese Vernetzung wird es möglich, in ein Elektrizitätswerk oder ein Telefonsystem einzudringen und es auszuschalten. Wie wahrscheinlich sind solche Angriffe heute?
Dass es möglich ist, aber wenig wahrscheinlich, haben die USA mit einem Selbsttest 2007 bewiesen – sie haben einen Generator mittels einer Schadsoftware lahmgelegt. Das berühmteste Beispiel für diese Art Angriffe war die kurzfristige Attacke auf das Elektrizitätsnetz in der Ukraine an Weihnachten 2016. In Kiew konnten sie rechtzeitig noch alles umstellen, also war der Angriff nur halb erfolgreich. Insgesamt ist ein Angriff auf kritische Infrastrukturen etwas sehr Kompliziertes. Sie müssen nicht nur gute Hacker haben. Sie brauchen auch alle Ingenieure mit Kenntnis über die Maschinen und Geräte, mit denen sie es zu tun haben. Das geht nur mit staatlichen Ressourcen und nachrichtendienstlicher Unterstützung. Die Wahrscheinlichkeit eines solchen Vorfalls ist daher also sehr gering. Wenn so etwas passiert, dann in einem ausgewachsenen geopolitischen Konflikt. Dann haben wir aber sicher andere Sorgen.
Aber Stuxnet hat doch funktioniert.
Für den Angriff auf die iranischen Zentrifugen, die das spaltbare Material produzieren sollten, brauchten die USA fünf Jahre der Vorbereitung und ein millionenschweres Budget, inklusive eigens gebauter Testumgebung. Ich kenne aus den vergangenen 40 Jahren nur eine Handvoll dokumentierter Fälle, bei denen kritische Infrastrukturen tatsächlich einmal physisch beschädigt wurden.
Ist denn ein Cyberangriff mit einem militärischen Angriff vergleichbar?
Ein Cyberangriff kann nach gängiger Rechtsauffassung einen Verteidigungsfall auslösen. Etwa wenn Menschenleben verloren gehen und physische Infrastrukturen beschädigt werden, also die Schadenswirkung vergleichbar mit einem physischen Angriff ist. Das zu beurteilen, ist zunächst immer eine politische Ermessensfrage. Wenn man hier den Verteidigungsfall aktivieren würde, würde man natürlich politisch eskalieren, und das mag nicht immer opportun sein, weil es eben ein sehr scharfes Schwert ist. Die Möglichkeit bestünde aber. Gleiches gilt bei Artikel 5, dem Nato-Bündnisfall. Also im allergrößten Worst Case, etwa einem massiven Stromausfall, gibt es bereits Handlungsmöglichkeiten, und es müssten keine neuen Befugnisse geschaffen werden. Nur weil man digital angegriffen wird, muss man ja nicht automatisch digital reagieren.
Sind denn solche Angriffe zurückzuverfolgen, sodass man den Täter eindeutig identifizieren kann?
Eindeutige Zuordnung gibt es eher selten. Es bleibt immer ein Restzweifel. Allerdings braucht man hier auch keine gerichtsfesten Beweise über die Urheberschaft, sondern nur welche, die genügend Glaubwürdigkeit haben, um internationale Unterstützung generieren zu können. Denken Sie dabei zum Beispiel an die Fotos, die die Amerikaner im Zuge des Minenvorfalls im Golf von Oman der Weltöffentlichkeit gezeigt haben. Darauf kann man nicht erkennen, dass das wirklich Iraner waren oder dass die vom iranischen Staat beauftragt wurden. Aber die Fotos beweisen quasi genug, um den Iran in die Bredouille zu bringen. Generell gilt: Je mehr Zeit und Ressourcen man für die Zuordnung eines Cybervorfalls hat, desto besser wird diese. Das kann gerne auch mal mehrere Monate dauern, so lange haben in etwa Stuxnet und Wannacry gedauert. Hier gilt also: Wenn man vorschnell reagiert, beschuldigt man eventuell den Falschen.
Bei nicht staatlichen Akteuren, die solche Angriffe ausführen, fehlen dann jedoch Ziele für eine Vergeltung.
Ja. Es können auch nicht staatliche Akteure sein. Hier muss man zwischen unabhängigen, instruierten und gesteuerten Akteuren unterscheiden. Unabhängige Akteure hätten vielleicht die Fähigkeit, aber vermutlich keine Motivation für destruktive Angriffe auf kritische Infrastrukturen. Da gibt es kein Geld zu verdienen. Staatlich instruierte Hacker gibt es häufig, etwa im Iran und Russland. Das sind oftmals organisierte Kriminelle, die Jobs für Staaten übernehmen. Die könnten so etwas durchführen und dann als „Sündenbock" positioniert werden. Dann heißt es zum Beispiel: „Es waren nicht wir, es waren patriotische Hacker". Doch 99 Prozent aller Cybervorfälle passieren unterhalb dieser Schwelle, zum Beispiel über Bot-Netze, die mit Tausenden von E-Mails pro Minute eine Einrichtung lahmlegen können.
Darf man legal Hackerangriffe mit Gegenhacken bekämpfen?
Völkerrechtlich gesehen haben Sie bei schweren, destruktiven Angriffen ein Recht auf Selbstverteidigung. Die Frage ist, ob ein Hackerangriff vergleichbar mit einem Raketenangriff ist, wenn dabei etwas zerstört wird. Das ist nicht ganz klar. Außerdem müssen Sie herausfinden, woher der Angriff kommt – der Angreifer handelt in der Regel verdeckt. Die Bundeswehr darf im Rahmen der Landesverteidigung aktiv sein. Aber nur, wenn es der Angreifer auf die nationale Sicherheit abgesehen hat.
Wie schützt man Wahlen vor Cyberangriffen?
Da geht es ja eher um die psychologische Komponente. In den USA 2016 wurde nicht primär versucht, die Wahlergebnisse auf Wahlcomputern zu manipulieren, sondern es wurde durch Desinformationskampagnen versucht, die Legitimität des demokratischen Prozesses in Zweifel zu ziehen. Es geht darum, das Vertrauen in einen Staat zu erschüttern, Verschwörungstheorien zu verbreiten. Das sieht man besonders in den ungefestigten Staaten im postsowjetischen Raum.
Im Grunde geht es eigentlich immer um Schwachstellen, die bei Cyberangriffen ausgenutzt werden. Warum wird man diese Lücke nicht schließen können?
Sicherheitslücken sind ein Strukturproblem der Digitalisierung. Komplexe Systeme bestehen aus Milliarden von Zeilen Programmcode. Statistisch gesehen kommen auf 1.000 Zeilen zehn bis 50 Fehler. Nicht jeder ist problematisch, aber manche sind Eingangstore, um ein System zu knacken. Um auf dem Markt bestehen zu können, sind den Softwareherstellern schnelle Innovationen wichtiger als sicher gebaute Systeme. Gerade bei den Start-ups zeigt sich das – sie werfen Produkte auf den Markt, die erst im Laufe der Zeit sichererer werden. In Deutschland lernen die Informatikstudenten zwar auch, wie man Programme schreibt, aber nicht, wie man sichere Programme baut – das sind optionale Kurse.
Kennen Sie Beispiele?
Die digitale Bank N26 ist unglaublich schnell gewachsen. Jetzt steht sie unter der Aufsicht der Bafin, der Bundesanstalt für Finanzdienstleistungsaufsicht, weil es Unregelmäßigkeiten und Fälle des Missbrauchs gab, die auf fehlende Sicherheitsprozesse zurückzuführen sind.
Und die großen Anbieter wie Microsoft oder Cisco?
Die Firmenpolitik ist die, dass man lieber eine Software auf den Markt wirft, bevor sie ganz sicher ist, als zu warten, bis die Konkurrenz einem zuvorkommt. Dann bringt man einfach später ein Software-Update raus oder ein Reparaturprogramm und verdient wieder Geld damit und immer so weiter. Diese Fehleranfälligkeit scheint niemanden wirklich zu stören – die Berliner Verwaltung arbeitet zum Beispiel größtenteils noch mit Windows 7. Dafür gibt es bald überhaupt keine Update-Möglichkeit mehr.
Wir haben in Deutschland das Cispa in Saarbrücken, das BSI, die Zentrale Stelle für Informations-sicherheit (Zitis), dazu noch das Kommando Cyber- und Informationssicherheit (CIR) der Bundeswehr und demnächst noch eine Agentur für Cybersicherheit in Halle. Brauchen wir wirklich so viele Cybersicherheitseinrichtungen?
Deutschland hat lange in der Defensive gearbeitet, und darin sind wir auch ganz gut. Allerdings gehen wir jetzt auch in die Offensive, etwa mit Zitis, dem Kommando CIR und der neuen Agentur in Halle. Zumindest beschaffen wir uns die Werkzeuge, analysieren das Lagebild und bereiten uns vor. Aber wie erfolgreich das ist, ist keine Frage der Quantität. Zehn oder 50 gute Spezialisten genügen, wenn es um einen Angriff geht.
Haben wir genug davon?
Wir haben ein Fachkräfteproblem. Insofern sollten wir die wenigen, guten Informatiker, die wir haben, lieber in die Defensive als in die Offensive stecken. Die meisten Informatikstudenten gehen in die Wirtschaft, der öffentliche Dienst ist für sie finanziell nicht attraktiv. Das ist ein großes Problem.
Sie haben sich einmal für das „ethische Hacken" ausgesprochen – was versteht man darunter?
Ethische Hacker sind Schwachstellenjäger, man nennt sie auch White Hats. Sie fahnden nach Programmfehlern, decken sie auf, melden sie den Herstellern und bekommen dafür Geld. Das nennt man Bug-Bounty. Microsoft setzt auf diese White Hats, Google hat ein eigenes Projekt Zero, bei dem nach Schwachstellen in Software gesucht wird. Man bedient sich der Weisheit der Masse – schließlich sind die kundigen Hacker über die ganze Welt verteilt.
Dass White Hats wichtig sind, hat etwa die Entdeckung der Sicherheitslücken Spectre und Meltdown in gängigen Prozessoren gezeigt – daran waren Google-Spezialisten und unabhängige Wissenschaftler beteiligt. Solche Prozesse sollten stärker unterstützt werden, etwa durch Hacker-Wettbewerbe – das würde mehr Sicherheit bringen, als in die Offensive zu gehen.