Informationsschutz, Innere Sicherheit, Globale Entwicklungen

Die NATO und der Cyberwar - eine inkonsistente Zuständigkeit

Von: Dr. Sandro Gaycken, Freie Universität Berlin

Eine mächtige Ankündigung. Konventionelle, kinetische Schläge als Antwort auf Hacker - das scheint vielen Kritikern überzogen. Prima facie ist der Gedanke jedoch berechtigt. Cyberattacken können prinzipiell Schäden anrichten, die denen von Raketenexplosionen ähnlich oder sogar drastisch höher sind.

Der Wurm sollte nichts tun. Wäre er aktiviert worden, hätte er tausende Produktionen und Infrastrukturen weltweit lahmgelegt.

Stuxnet war ein indirekter Beweis. Der Wurm, der als Sabotageangriff auf eine breite Palette von Industrieanlagen geschrieben wurde, hat zwar nichts angerichtet. Er installierte sich nur auf den Systemen ohne Fehlsteuerungen zu initiieren. Aber dies war eine bewusste Entscheidung des Angreifers. Der Wurm sollte nichts tun. Wäre er aktiviert worden, hätte er tausende Produktionen und Infrastrukturen weltweit lahmgelegt. Möglicherweise sogar über längere Zeiträume. Eine schwierige Option. Die meisten Krisenmanagement-Modelle gehen davon aus, dass Infrastrukturausfälle nur etwa 24 Stunden lang problemlos kompensiert werden können. Danach folgt der stufenweise Kollaps. Wochenlange Ausfälle - technisch gesehen durchaus eine Option für militärische Cyberkrieger - können also durchaus Menschenleben kosten. So ist kriegsrechtlich und strategisch die Basis für Rückschläge, respektive deren Androhung gegeben. Ein potentieller Cyberangreifer soll von zukünftigen Angriffen Abstand nehmen, da er sonst die militärische Macht der NATO zu spüren bekäme. So wurde in der Vergangenheit immer reagiert. Das klassische und normalerweise effiziente Schema der Abschreckung.

Schade nur, dass es im Cyberwar nicht funktioniert. Das Säbelrasseln der NATO ist in diesem Fall eine leere Drohung. Nicht, weil die NATO keine militärischen Mittel für Rückschläge zur Verfügung hätte, sondern weil eine der notwendigen Vorbedingungen für einen Rückschlag beim Cyberwar notorisch unerfüllbar ist: die Attribution, die Zuschreibung der originären Angriffe.

Ein Datenpaket ist nichts anderes als eine Geschichte.

Im Cyberwar können geschickte Angreifer nicht identifiziert werden. Eine der systemischen Besonderheiten dieser Kriegsform. Der Grund für diese Non-Attribution liegt in der Natur der digitalen Technik selbst. Ein Datenpaket ist nichts anderes als eine Geschichte. Alle darin enthaltenen Informationen werden eingeschrieben, keine ist unverrückbar physikalisch wie etwa die Rückstände nach einer kinetischen Explosion. Ein geschickter Angreifer hat Zugriff auf die gesamte Geschichte. Er kann also alle möglichen Spuren selbst kontrollieren. Unkontrollierbare, physikalische Spuren gibt es zwar. Im Falle einer Verbreitung des Angriffs über Netzwerke wären dies die besetzen Speicherplätze bei Weiterleitungen der Daten. Aber bei ausreichend vielen Weiterleitungen - sogenannten "Hops" - sind diese Spuren nicht mehr nachvollziehbar. Ist eine Verbindung abgeschlossen und das Datenpaket übermittelt, wird der Speicherplatz freigegeben und binnen Minuten überschrieben. Dann ist die Spur unwiderruflich verloren. Die meisten Angriffe werden allerdings erst Wochen, Monate oder Jahre nach der infektiösen Verbindung überhaupt bemerkt. Auch eine Speicherung aller Verbindungen auf Vorrat, die berüchtigte Vorratsdatenspeicherung, hilft dabei nicht. Sie kann von geschickten Angreifern technisch oder mit nachrichtendienstlichen Methoden umgangen werden. Und sie müsste ohne Ausnahme weltweit umgesetzt werden, was regulativ schon aufgrund der damit verbundenen Datenschutzprobleme unmöglich sein wird. Ähnlich gilt dies auch für eine Verbreitung von Angriffen per USB-Sticks, wie bei Stuxnet. Auch hier gibt der reine Programmcode keine Hinweise auf die Autoren. Alles kann fingiert sein. Eine Option der Aufklärung wäre das klassisch forensische Bemühen, die menschlichen Transporteure der infizierten Sticks ausfindig zu machen. Aber auch das ist nahezu ausgeschlossen. Ein militärischer Angreifer kann auf einen geübten Nachrichtendienst zugreifen. Dieser kann  unidentifizierbar agieren. Die infizierten Sticks können einfach in den Zielbereichen "verloren", mit Originalsticks ausgetauscht oder anonym vermittelt werden. Außerdem ist bei einem Angriff, der sich von einmal infizierten Systemen wieder neu auf unverseuchte USB-Sticks installiert, im Nachhinein kaum mehr auszumachen, welche Sticks die "first patients" waren, also zuerst mit dem Angriff ausgestattet wurden. Die Suche nach dem Stick im Heuhaufen.

Attribution ist also ein unlösbares Problem. Es kann kein technisches, kein forensisches oder regulatives Konzept geben, dass Cyberangreifer identifiziert. Prinzipiell nicht. Die einzige Möglichkeit der Analyse ist die klassische Frage des alten Roms: Cui bono? Aber in vollkommener Abwesenheit anderer Indizien wird dies zu reiner Spekulation.

Außerdem ist bei einem Angriff, der sich von einmal infizierten Systemen wieder neu auf unverseuchte USB-Sticks installiert, im Nachhinein kaum mehr auszumachen, welche Sticks die "first patients" waren.

Dass so etwas leicht schiefgehen kann, hat Stuxnet bewiesen. Nur weil eine leicht anzuzweifelnde Messung der Verbreitung des Wurms eine Konzentration im Iran festgestellt hat und weil zwei "Sicherheitsexperten" - Fachleute für technische Rechnersicherheit - waghalsige Spekulationen über einen Angriff auf das Atomprogramm des Landes in die Medien posaunten, stand für den Großteil der Welt das Täterduo fest: CIA und Mossad. Dabei gab es zu keinem Zeitpunkt konkretere Beweise als eine fragwürdige Messung und ein Sabotagepotential, dagegen allerdings einige klare Gegenindizien gegen einen Angriff auf den Iran. Denn Stuxnet war nicht gerade gut gezielt und unauffällig. Der Wurm wurde vom Angreifer absichtlich breit und auffällig gestreut. Außerdem führt er keine automatisierte Sabotage durch, sondern wartet auf Befehle aus dem Internet. Befehle, die bei einem Sabotageakt gegen die sicherlich nicht mit dem Internet verbundenen Atomanlagen des Irans ausbleiben müssen. Außerdem gilt auch hier, dass alle Spuren fingiert sein können. Selbst wenn also ein Kontext eindeutig scheint, kann der Angriff immer noch von einem völlig anderen Akteur ausgeführt worden sein.

Sicherheit gibt es also nie. Nur Unsicherheit. Eine ungewohnte und unangenehme Einsicht für Militärs. Ihre Arbeit beruht auf Abschreckung, auf der Identifikation von Angreifern und der Androhung oder Durchführung von Rückschlägen. Insbesondere die USA leiden sichtbar unter dem Problem der Non-Attribution. Ihre militärischen Konzepte fußen stark auf ihrer Offensivkraft. Weiß man allerdings nie, wer einen angegriffen hat, kann man auch nicht zurückschlagen. Offensive Abschreckung ist wirkungslos.

Eine Weile wurden Konzepte vorgelegt, die den Mangel an Attribution mit einer Erhöhung der Intensität der Rückschläge kompensieren wollten. Russland etwa hat in diese Richtung gedacht. Putin hatte vor einigen Jahren einmal angekündigt, Cyberattacken mit Atomraketen zu beantworten. Prima facie ist die Erhöhung der Strafe eine sinnvolle Idee. Abschreckung besteht aus dem Produkt aus Identifizierbarkeit und Höhe der Strafe. Kann man das eine nur mäßig gewährleisten, muss folglich das andere drastisch erhöht werden, um die Abschreckungswirkung zu erhalten. Aber dies präsupponiert noch, dass man zumindest manchmal einen Angreifer sicher identifizieren kann. Das ist aber eben nie möglich. Die Unwahrscheinlichkeit der Attribution ist kein Ausdruck einer Frequenz von mal sicheren, mal unsicheren Identifizierungen. Sie ist ein Ausdruck einer fundamentalen Unsicherheit jeder einzelnen möglichen Identifizierung. Damit nützt auch die Erhöhung der Strafe nichts. Sie produziert nur noch eine paradoxe Konsequenz, nämlich das nicht nur der Falsche bestraft wird, sondern dieser auch noch unverhältnismäßig hart.

Die USA müssten sich in diesem Bereich der Kriegsführung wohl vom Konzept der "assured retaliation" verabschieden und zu einem "denial of benefit" übergehen

Auf diese Art lässt sich keine Verteidigungspolitik machen. Eine Einsicht, die langsam auch in die Führungsebenen durchsickert. Vize-Verteidigungsminister William Lynn III. hat vor Kurzem bekannt gegeben, die USA müssten sich in diesem Bereich der Kriegsführung wohl vom Konzept der "assured retaliation" verabschieden und zu einem "denial of benefit" übergehen. Wie das dann aussehen soll, ist noch unklar. Es darf mit Fug und Recht bezweifelt werden, ob ein Denial of Benefit asymmetrisch hergestellt werden kann, also nur für den Angreifer und nicht für den Angegriffenen. Wahrscheinlicher ist, dass man schlicht seine Informatisierung und Netzwerke zurückbauen muss, um die Abhängigkeiten wieder zu reduzieren. Denn Informationstechnik lässt sich insgesamt nur äußerst mäßig gegen militärische Angreifer sichern. Das bedeutete dann allerdings, dass man sich auch die Vorteile versagen muss. Der Denial of Benefit wäre also - in gewissem Maße - symmetrisch. Zur genaueren Bewertung müssen hier allerdings erst die konkreten Konzepte vorgelegt werden.

Vorerst also zurück zum konventionellen Konzept des Rückschlags und zur Ankündigung der NATO. Inzwischen ist klar, warum gerade sie kein First Responder für Cyberangriffe sein kann. Das Bündnis ist ein reines Abschreckungsinstrument. Wenn Abschreckung bei Cyberattacken prinzipiell nicht greifen kann, kann die NATO in diesem Bereich - und zwar exakt in diesem Bereich - nicht arbeiten. Sie kann nicht drohen, sie kann keinen Bündnisfall ausrufen. Jedes Militär, das Cyberwaffen entwickelt, weiß das. Das Attributionsproblem ist hinlänglich bekannt, und seine offensive Nutzung wird intensiv beforscht. Die NATO ist also zahnlos. Ihre drakonischen Ankündigungen sind sicherheitspolitisch wirkungslos. Das Bündnis wäre gut beraten, sich selbst Cyberwarkapazitäten zuzulegen, um seinen Offensivapparat damit zu bereichern. Und es sollte einen gesunden Rückbau seiner intensiven Abhängigkeiten von der Informationstechnik konzipieren. Aber es sollte sich nicht für das Unmögliche zuständig erklären. Das nährt nur seinen einschlägig bekannten Spitznamen.

15.11.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40