"Der Cyberkrieg ist längst hier"
Im Interview spricht die renommierte Cyberwar-Expertin Myriam Dunn Cavelty über echte und fiktive Cyberkriege, die Rolle des Militärs und die Zukunft von Sicherheit.
Frau Dunn Cavelty, Sie haben sich intensiv mit dem Thema Cyberwar auseinandergesetzt. Zu welchen Ergebnissen sind Sie gekommen? Werden sich die nächsten Kriege im Internet abspielen?
Myriam Dunn Cavelty: Der Cyberkrieg ist in einer gewissen Form längst hier, sieht aber anders aus, als er häufig dargestellt wird. Das erste Problem an diesem Begriff ist das Wort „Krieg“, das traditionellerweise eine spezifische Form der politischen Gewalt mit schwerwiegenden Konsequenzen bezeichnet. Heutzutage halten ernstzunehmende Fachexperten eine kriegerische Auseinandersetzung, die ausschließlich im virtuellen Raum stattfindet und eben solche schwerwiegenden Konsequenzen für die Bevölkerung nach sich ziehen würde, für höchst unwahrscheinlich.
Kleinere Cybervorfälle, z.B. in der Form von staatlich gesponsertem Hacktivismus, oder eine Militäraktion begleitende Operationen in Computernetzwerken sind jedoch längst Begleiterscheinungen von bewaffneten Konflikten und politischen Unruhen. Man nennt diese Form operationeller Cyberkrieg, während die erste Form als strategischer Cyberkrieg bezeichnet wird. Das heißt konkret, dass heute schon alle Konflikte eine virtuelle Komponente haben – und dass alle Konflikte der Zukunft diese auch haben werden. Das Problem mit dem Begriff „Cyberwar“ ist aber, dass er von vielen Stakeholdern inflationär verwendet wird – auch, um in politischen Prozessen Ressourcen zu mobilisieren. Wenn mit dem Begriff „Krieg“ operiert wird, erscheint die Zuständigkeit des Militärs eine beschlossene Sache, und so fließen dann Gelder in eine tendenziell falsche Richtung. Denn die Rolle des Militärs in der Cybersicherheit ist stark eingeschränkt, insbesondere wenn es um den Schutz von Netzwerken zu Friedenszeiten geht – und das ist bei dieser Thematik der Normalfall.
Wieso funktionieren Erzählungen über Cyberkriege so gut?
Cyber-Ängste drücken sich im Extremfall in Schreckensszenarien aus, in denen staatliche oder terroristische Attentäter in unsere Computernetzwerke eindringen und uns über die Manipulation oder Zerstörung verschiedener kritischer Infrastrukturen – sehr häufig handelt es sich in den Szenarien um das Stromnetz – in die Knie zwingen oder sogar gleich in die Steinzeit zurückversetzen. Diese „worst case“ Szenarien bergen alles in sich, was bei Menschen maximale Angst auslöst: Ein Cyberkrieg kommt sozusagen aus dem Nichts, kann jederzeit und überall erfolgen, jeden treffen, von jedem durchgeführt werden, kann kaum aufgehalten werden und birgt ultimativ die Gefahr, das Ende der menschlichen Zivilisation zu bedeuten. Über die Jahre haben sich jedoch differenzierte Szenarien herausgebildet, in denen von dieser Fixierung auf Krieg weggerückt wird und viel pragmatischer die Verwundbarkeiten eines Landes evaluiert werden.
Wenn wir an den Cyberangriff auf den deutschen Bundestag denken: Das klingt nicht danach, als wäre die Bundesregierung gut “gerüstet” gegen Hackerattacken?
Gegen Hackerattacken kann man besser oder schlechter, aber niemals vollständig geschützt sein. Es gilt: Wenn ein guter Hacker genug Zeit aufwendet, kommt er in jedes System rein. Auf absehbare Zeit wird das auch so bleiben. Wir müssen mit weiteren Vorfällen rechnen, tendenziell auch mit solchen, die schwerwiegende ökonomische und politische Konsequenzen zur Folge haben, denn die Angriffsflächen und Verwundbarkeiten steigen mit zunehmender Vernetzung – Schlagwort “Industrie 4.0”. Diese steht ganz im Zeichen wirtschaftlicher Effizienz: Sicherheit spielt immer noch eine stark untergeordnete Rolle.
Wie sieht Cyberkriminalität tatsächlich aus? Welche Bedrohungen und Risiken sind real und welche eher Fiktion?
Wir sehen wenige bzw. keine „großen“, wirklich schwerwiegenden Attacken, aber eine Menge konstanter, kleiner und mittlerer, die vor allem finanzielle Konsequenzen nach sich ziehen. Schätzungen der jährlichen Kosten gehen sehr weit auseinander, auch weil nicht so ganz klar ist, was gemessen werden soll. Es ist aber unumstritten, dass die Cyberkriminalität eine Form der Kriminalität ist, die ungewollte Kosten für jede Volkswirtschaft generiert. Darüber hinaus gibt es einen gut organisierten, recht reifen „Schwarzmarkt“, auf dem Hackerdienste und Wissen über Sicherheitslücken gekauft werden können. Dort bedienen sich auch Geheimdienste, die solches Wissen für die Cyberspionage oder ganz allgemein für das Infiltrieren von Netzwerken brauchen. Das explodierende Atomkraftwerk aufgrund einer Cyberattacke ist Fiktion und wird es bleiben – alles andere ist hingegen nicht Fiktion. Eine Menge unterschiedlicher Akteure treibt sich heute ohne Erlaubnis in fremden Netzwerken herum.
In welcher Form sind Unternehmen oder auch Individuen bedroht? Und wie können sie sich schützen?
Daten sind Geld. Daten zu stehlen lohnt sich. Deshalb sind grundsätzlich alle Menschen bedroht, die Daten generieren oder verwalten. Die gängigen Schutzmechanismen wie Anti-Virus Scanner, Firewalls, gute Passwörter etc. sind unbedingt richtig anzuwenden – darüber hinaus den gesunden Menschenverstand gebrauchen und nicht allem und jedem trauen. E-Mails, die einem komisch erscheinen, löschen. Nicht auf Links klicken, bei denen man nicht sicher ist, wohin sie führen usw. Das richtige Verhalten im Cyberspace erhöht die Sicherheit schon recht massiv. Aber wie schon gesagt, wenn ein Unternehmen ins Fadenkreuz einer gezielten Hackerattacke gerät, dann nützen die gängigen Schutzmechanismen nichts. Dann braucht es einen guten Krisenbewältigungs- und -managementplan, Resilienz und – wenn möglich – eine gute Versicherung.
Welche Rolle spielt der Staat, um Cybersicherheit zu gewährleisten? Ist der Staat künftig überhaupt noch in der Lage, Sicherheit für Unternehmen und Individuen in einer digitalen, vernetzten Welt herzustellen und zu bewahren?
Cyberaggression und -kriminalität spielt sich heute mehrheitlich in privaten, nicht-staatlichen Netzwerken ab. In diesen hat der Staat nichts zu suchen. Er kann höchstens im Dialog und durch „Public-Private Partnerships“ versuchen, gemeinsam mit Unternehmen mehr Sicherheit zu generieren. Im heutigen System ist es grundsätzlich allen Individuen und Firmen selber überlassen, für ihre Sicherheit zu sorgen bzw. für sich selber zu definieren, wie viel Sicherheit sie wollen und zu welchem Preis. Dieses System der Freiwilligkeit funktioniert nicht, wenn man es aus der Sicht des Staates und der nationalen Sicherheit betrachtet, denn es wird zu wenig Sicherheit produziert.
Zu verstehen, welche Art von Kosten generiert werden, ist außerordentlich schwierig. Im Bereich der Cyberrisiken haben wir es nämlich mit Angreifern zu tun, die gezielt Schutzmaßnahmen umgehen und Verwundbarkeiten ausnutzen. Ein fixes und quantifizierbares Maß an Informationssicherheit für die Zertifizierung kann es daher nicht geben. Was zählt, ist vielmehr das Vorhandensein bestimmter Sicherheitsmanagementsysteme oder auch der Einsatz von soliden Krisenmanagementplänen. Die Dynamik setzt ein hohes Maß an spezialisiertem Wissen voraus, das sich nicht alle Unternehmen leisten können und das auch der Staat nicht unbedingt hat.
Welche Rolle spielt "Sicherheit" in Zukunft, falls wir in einer umfassend transparenten, also quasi geheimnislosen Gesellschaft leben?
Sicherheit ist ein Grundbedürfnis des Menschen und eine der Hauptaufgaben des Staates. Ohne Sicherheit funktioniert unsere Gesellschaft nicht. Die Sicherheit im Informationszeitalter kann aber nicht als absolute Sicherheit verstanden werden – es ist eine Sicherheit, der man sich ständig annähern muss, ohne je ruhen zu können. Wir müssen davon ausgehen, dass es Vorfälle geben wird, und wir müssen lernen, mit ihnen umzugehen. Sicherheit ist auch in einer Symbiose mit Freiheit zu sehen – ohne Freiheit keine Sicherheit, ohne Sicherheit keine Freiheit. Die richtige Balance zwischen diesen zwei Werten zu finden, ist heute eine neue, schwierige Aufgabe geworden.
Dr. Myriam Dunn Cavelty ist stellvertretende Leiterin für Forschung und Lehre am Center for Security Studies der ETH Zürich. Sie publiziert regelmäßig in internationalen Fachzeitschriften und ist Autorin und Herausgeberin mehrerer Bücher zu Themen rund um Sicherheit im Informationszeitalter. Neben ihrer Forschungs-, Lehr- und Publikationstätigkeit berät sie Regierungen, internationale Institutionen und Unternehmen in den Bereichen Cybersecurity, Cyberwar, Schutz kritischer Infrastrukturen, Risikoanalyse und strategische Früherkennung.
Image Credits: Unsplash / Artem Bryzgalov