Cyber-Krieg oder Cyber-Sicherheit?
von Ingo Ruhmann
Cyber-Kriegsführung als militärisch-geheimdienstlich motivierte Manipulation von Computern bedroht die Sicherheit der IT-Systeme, von deren Funktionieren mittlerweile die meisten sozialen und politischen Systeme auf diesem Globus abhängig sind. Cyber-Kriegsführung als kleiner Teil der Informationskriegsführung verändert zugleich die militärischen Organisationen und Operationsformen grundlegend.
Cyber-Kriegsführung – der Einsatz von Schadsoftware gegen Computer und Netzwerke durch staatliche Akteure – war für viele IT-Sicherheitsexperten lange Jahre ein schein-riesenhaftes Szenario: Es wurde überschaubarer, je intensiver man sich damit auseinandersetzte. Diese Bewertung wird mittlerweile jedoch nicht mehr geteilt.
Ein Grund dafür sind die Beispiele für ernst zu nehmende Cyber-Kriegsaktionen. 2007 störte eine Serie von Cyberattacken die digitalen Infrastrukturen Estlands. Im August 2008 begann der kurze Krieg zwischen Georgien und Russland mit gezielten Cyber-Kriegshandlungen, wie ein Jahr später die private U.S. Cyber Consequences Unit (CCU) in einer detaillierten Untersuchung darlegte.1 Die CCU belegte, dass die Angreifer im Cyberspace Zivilisten ohne direkte Beteiligung russischer Behörden oder Militärs waren, allerdings im Voraus über russische Militäraktionen informiert waren. Eine Erkenntnis aus dieser detaillierten Untersuchung war, dass eine Analyse von IT-Sicherheitsvorfällen heute in ähnlicher Weise möglich ist wie die Untersuchung des Hergangs konventioneller Konflikte durch herkömmliche Militärbeobachter. 2010 schließlich wurde mit Stuxnet ein Computerwurm identifiziert, der hochspezifisch für die Kompromittierung eines Anlagensteuerungssystems der Firma Siemens entwickelt wurde. Die Umstände seines Auftretens im Zusammenhang mit Anlagen des iranischen Atomprogramms, der primäre offline-Verbreitungsweg und der extrem hohe Aufwand zur Programmierung des Wurms legten sofort den Schluss nahe, dass mit Stuxnet eine gezielte Sabotage des iranischen Atomprogramms durch staatliche Stellen beabsichtigt war. Diese Vermutung wurde 2012 von amtlicher Seite in den USA und Israel bestätigt.2
Cyberwar – Infowar
Cyber-Kriegsführung ist eine gezielte Manipulation von Computern und Rechnernetzen mit Mitteln der Informatik und richtet sich gegen eine Infrastruktur von militärischer Relevanz. Militärs nutzen Computer aber weit umfassender zu ihren Zwecken: Sie sammeln Daten, übermitteln Kommandos, koordinieren ihre Aktionen mit vielen Beteiligten. Gegen alle Aspekte dieser Art der Informationsverarbeitung durch das Militär richtet sich die »Informationskriegsführung« in einer »Informationsumgebung«, die aus Sicht der Militärs nur ein Teil der militärischen Operationsumgebung ist.
Zur »Informationsumgebung« gehören die eigenen und gegnerischen militärischen Informationsinfrastrukturen genauso wie das offene Internet, die Medien und die Akteure, die Informationen in diesen Kanälen verbreiten.
In der 1996 veröffentlichten Informationskriegsführungs-Doktrin der U.S. Army, dem Field Manual 100-6, wurden erstmals »Information Operations« definiert. 2003 wurde das Manual ersetzt durch das Field Manual 3-13.3 Demgemäß sind Informationsoperationen „[…] die Anwendung von Kernfähigkeiten der elektronischen Kriegsführung, Computernetzwerkoperationen, psychologischen Operationen, militärischen Täuschungsmanövern und Operationssicherheit, kombiniert mit bestimmten Unterstützungs- und ähnlichen Fähigkeiten, um Informationen und Informationssysteme zu beeinträchtigen oder zu verteidigen und Entscheidungsprozesse zu beeinflussen“.4
Die Mittel für die Informationskriegsführung lassen sich entsprechend ihrer Intensität und Abfolge in einer Hierarchie ordnen, die die Eskalationsschritte sichtbar macht. Die niedrigste Eskalationsstufe ist die Beeinflussung von Medien vor einem bewaffneten Konflikt, es folgt das Ausspähen von Daten über potentielle gegnerische Akteure – im Kern Spionage oder neutraler: »Aufklärung«, – und geht über in einen Schadsoftware-Einsatz, also eine Cyber-Kriegsführung. Eine eindeutig militärische Ebene ist die Zerstörung von Infrastrukturen durch »physische Destruktion«, die als letzte Stufe bis zum Einsatz von Atomwaffen zur Erzeugung eines elektromagnetischen Impulses (EMP) reicht, durch den elektronische Geräte in großem Umkreis überlastet und zerstört werden.
Die Integration von Informationskriegsführung in reguläre militärische Operationen zeigt, dass Information Operations – geordnet nach ihrer Gewaltintensität – als Eskalationshierarchie begriffen werden müssen, bei der die Grenzen zwischen Krieg und Frieden zusehends verschwimmen.
Trotz dieser umfassenden Sicht nutzen Information Operations nur eine begrenzte Zahl neuer Elemente. Für IT-Systeme, militärische Organisationen sowie Medien und Öffentlichkeit als Ziele von Information Operations wird im Wesentlichen auf bekannte Operationsformen zurückgegriffen. Eingesetzt werden
gegen IT-Systeme: Mittel der »electronic warfare«, Destruktion mit herkömmlichen Waffen sowie neuartigen EMP-Generatoren;
gegen militärische Organisationen: das Tarnen und Täuschen gegen jede Form der Aufklärung und Spionage, die Störung der Kommunikation durch Mittel der elektronischen Kriegsführung sowie psychologische Mittel;
gegen Medien und Öffentlichkeit: Mittel der psychologischen Kriegsführung, aber auch direkte Gewalt, beispielsweise gegen Journalisten und deren Kommunikationssysteme.
Psychologische Kriegsführung, Spionage, elektronische Kriegsführung und die Destruktion von Kommunikationsknotenpunkten sind schon weit über 60 Jahre im militärischen Einsatz. Seit den 1980er Jahren wurde über erste Erfahrungen mit dem Einbruch in gegnerische Computernetze berichtet, mangels Vernetzung vielfach noch durch Einbruch und Einspielen vor Ort5 – was bei Stuxnet ebenfalls als Angriffsweg genutzt wurde. Neu bei diesen Mitteln sind nur technologische Entwicklungen wie nicht-atomare EMP-Generatoren und die systematische Nutzung von Computerviren gegen vernetzte IT-Systeme bei der Cyber-Kriegsführung.
Einher ging mit der Formulierung von Operationen der Informationskriegsführung eine deutliche Ausdifferenzierung von Gefahren, Operationsformen und potentiellen Gegnern,6 deren Ursache vor allem in der Cyber-Kriegsführung liegt. Dank der im Internet inhärent vorhandenen Manipulationsmöglichkeiten mit erheblichem Schadenspotential ist die Vielfalt potentieller Gegner bei einer Cyber-Kriegsführung kaum mehr begrenzt. Aufgezählt als Beteiligte werden neben den Regierungen potentieller Gegnerstaaten daher Medien, Industrie und Nichtregierungsorganisationen. Da als potentielle Schadensverursacher in Computernetzen auch unauthorisierte Nutzer, Insider und »nonstate activists« aufgeführt werden, ist im militärischen Verständnis bei militärischen Informationsoperationen letztlich jeder Internetnutzer auch ein potentieller Gegner.
Eine relativ überschaubare Zahl neuer militärischer Mittel der Informationskriegsführung und die damit verbundene Sichtweise hat also zu einer ganz erheblichen Ausweitung der »Kampfzone« und der potentiellen Gegner geführt.
Infowar – eine internationale Entwicklung
Diese Entwicklung wurde zwar in den USA intensiv vorangetrieben, von anderen Ländern aber in ähnlicher Weise adaptiert. Die USA sehen sich daher einer ganzen Reihe von Staaten gegenüber, deren Infrastruktur – also die »Informationsumgebung« – weniger auf vernetzte IT-Systeme angewiesen ist, die aber über ausreichende Fähigkeiten und Ressourcen für Manipulationen an IT-Systemen, also eine Cyber-Kriegsführung, verfügen. Hinzu kommt, dass sich Cyber-Kriegsführung durch militärische oder geheimdienstliche Organisationen ebenso wie Spionage nicht nur gegen militärische Gegner, sondern auch gegen Bündnispartner richten kann.
Selbst wenn man also keine »nonstate activists« berücksichtigt, kommen als Beteiligte in Informationskriegen neben den Hochtechnologie-Staaten auch zahlreiche Schwellenländer in Betracht:
Russland setzt weniger auf Computer als auf die Intensivierung konventioneller Methoden, vor allem der psychologischen und elektronischen Kriegsführung,7 verfügt aber zumindest im Privatsektor eindeutig über eine ausreichende Basis an Technik und Kompetenzen zu moderner Cyber-Kriegsführung.
China reklamiert nicht nur die Erfindung des Begriffs »Information Warfare« für sich, sondern verfügt über ähnlich umfassende Konzepte wie die US-Militärs8 und setzt auf einen »Volksinformationskrieg«.9
Taiwan nutzt seine Stärke in der Elektronikbranche und setzt auf den Einsatz von Computerviren und ähnlichen Manipulationsmitteln.10
Indien beginnt nach der Adaption amerikanischer Ideen mittlerweile damit, differenzierte und auf die eigenen Fähigkeiten im IT-Bereich zugeschnittene Ansätze der Cyber-Kriegsführung zu entwickeln.11
In Deutschland hat sich die Bundeswehr seit Mitte der 1990er Jahre dem Schutz vor Information Warfare-Attacken gewidmet und Ansätze für Information Operations als Planungsinstrument entwickelt.12 2002 wurden die ersten organisatorischen Grundlagen gelegt, die 2007 um weitere Aufgaben ergänzt wurden.
Die Erhebung aus verschiedenen offenen Quellen war Aufgabe von zwei mittlerweile umstrukturierten Einrichtungen. Die »Feldnachrichtenkräfte« in der Bundeswehr sind für Personenbefragungen und Beobachtung zuständig, das »Feldnachrichtenzentrum« in Dietz wurde jedoch 2008 aufgelöst. Das »Zentrum für Nachrichtenwesen« der Bundeswehr in Gelsdorf betrieb die Aufklärung und Lagebewertung aus offenen Quellen. Es wurde 2007 aufgelöst und teilweise dem Bundesnachrichtendienst (BND) zugeschlagen.
Der Psychologischen Kriegsführung entstammt das »Zentrum Operative Information« in Mayen, das »Psychologische Verteidigung« (langfristige Einstellungs- und Verhaltensänderung erreichen) betreibt und mit Radio Andernach als Truppensender und Video-Trupps in Einsatzgebieten auf Sendung geht. Für Aufklärung und Informationsbeschaffung zuständig ist außerdem der Militärische Abschirmdienst (MAD), der mit dem BND Daten austauscht.
In der Bundeswehr ist das 2002 gegründete »Kommando Strategische Aufklärung« (KSA) der Truppenteil, dem bei Aufklärung, Psychologischer Kriegsführung und Computer-Netzwerkoperationen das größte Spektrum von Informationskriegsaufgaben zugewiesen wurde. Im KSA wurden alle bisher in den Teilstreitkräften der Bundeswehr vorhandenen Kräfte und Mittel der elektronischen Kriegsführung, also der ortsfesten und mobilen so genannten Fernmelde-/Elektronischen Aufklärung (Fm/EloAufkl), die des Elektronischen Kampfes des Heeres (EloKa) sowie der Satellitengestützten Abbildenden Aufklärung (SGA für SAR-Lupe) gebündelt – insgesamt 6.300 Militärs und 700 Zivilbeschäftigte. 2007 wurde das KSA umstrukturiert und es wurden Standorte aufgegeben. 2009 kam dann die Abteilung »Informations- und Computernetzwerkoperationen« in Rheinbach zum KSA neu hinzu. Im Mai 2010 wurde die »Gruppe Informationsoperationen«, die mit der Produktion von Medieninhalten betraut ist, dem »Zentrum Operative Information« (ZOpInfo) in Mayen zugeordnet.13
Getrennt von diesen operativen Einheiten der Bundeswehr ist das ebenfalls im November 2002 nach zweijähriger Planung eingerichtete »Computer Emergency Response Team der Bundeswehr«, CERTBw, das beim IT-Amt der Bundeswehr in Euskirchen untergebracht ist. Das CERTBw hat – wie andere derartige Teams auch – die Aufgabe, Angriffe auf die IT-Infrastrukturen der Bundeswehr zu erkennen und Schutzmaßnahmen zu treffen. Zur Philosophie des CERTBw gehört, sich mit zivilen CERTs auszutauschen und organisatorisch und konzeptionell eine konventionelle defensive Aufgabe zu verfolgen. Das CERTBw ist daher auch Mitglied im CERT-Verbund14 und stellt seine Arbeit auch bei zivilen Veranstaltungen zur IT-Sicherheit dar.
Kritische Infrastrukturen: Militarisierung der IT-Sicherheit?
Militärs, die in einem Informationskrieg gegnerische militärische Systeme mit Störsendern der elektronischen Kriegsführung oder anderen Mitteln angreifen, sind eine alltägliche Erscheinung. Mit Angriffen auf Computersysteme verändern sich die Gewichte. Die sicherheitsrelevanten militärischen Kommandonetze waren bislang vom Internet abgeschottet, Einzelheiten über Manipulationen an diesen Netzen gelangen nur selten an die Öffentlichkeit.
Zunehmend sind jedoch auch militärische Netze mit dem Internet vernetzt. Zum einen, um das Internet für die Informationsbeschaffung zu nutzen, vielfach aber auch, um weniger sensitive Daten zu übermitteln. Durch diese Vermischung von zivilen und militärischen IT-Netzwerken und die Abhängigkeit der Militärs von zivilen logistischen und organisatorischen Infrastrukturen gewinnt die Bedrohung an Bedeutung, dass sich potentiell gegnerische Militäreinheiten oder »Cyberterroristen« an zivilen IT-Infrastrukturen zu schaffen machen, von deren störungsfreiem Funktionieren die zivile Informationsgesellschaft vital abhängig ist. IT-Infrastrukturen werden so zu »kritischen Infrastrukturen«, die dadurch definiert werden, dass ihr Ausfall in einer technisierten Gesellschaft zu erheblichen Problemen führt. Dies sind neben IT- und Kommunikationssystemen die Versorgung mit Energie und fossilen Brennstoffen, das Banken- und Finanzsystem, Verkehr, Wasserversorgung, Notfall- und Rettungsdienste sowie Regierungsdienste.
Aus dieser Abhängigkeit erwächst der Anspruch, kritische zivile Infrastrukturen mit Mitteln der IT-Sicherheit in militärischer Hand zu schützen. Auch das CERTBw ist in dieser Sichtweise eine an zivilen Kooperationsstrukturen ausgerichtete Spezialistentruppe zu genau diesem Zweck. Allerdings stellt sich die Frage, ob wirklich zuverlässig und schnell erkannt wird, wer die Urheber von Attacken sind und welche Organisation mit Gegenmaßnahmen zu beauftragen ist. Bisher jedenfalls wurden oft jugendlicher Hacker vorschnell als internationale Verschwörer und »Cyberterroristen« ausgemacht.15
Begrenzung von Informationskriegsführung
Informationskriegsführung sieht das Internet als Kampfraum. Cyber-Kriegsführung bedient sich der Manipulation von Computersystemen als Kampfmittel. Die gegen Industrie-Steuerungsanlagen programmierte Stuxnet-Schadsoftware belegt, dass nicht nur die mit dem Internet vernetzten Computer Ziele von Angriffen sind, sondern auch solche in abgeschotteten Industrieanlagen, sofern das gleiche Computermodell auch in einer strategisch wichtigen Industrieanlage genutzt wird.
Cyber-Kriegsführung durch Militärs und Geheimdienste – nicht »Cyberterrorismus« – bedroht die zivilen Infrastrukturen der Informationsgesellschaft. Der »Virtual Criminology Report« des IT-Sicherheitsunternehmens McAfee beschäftigte sich 2009 erstmals nicht mit allgemeinen IT-Sicherheitsproblemen und deren kriminellen Verursachern, sondern mit staatlichen Stellen und den Bedrohungen durch die „so gut wie eingeläutete“ Cyber-Kriegsführung.16 McAfee fordert eine offene Debatte über die Gefahren von Cyber-Kriegen. Es gehe darum, die weitgehend hinter verschlossenen Türen stattfindende Diskussion über Cyber-Kriegsführung, die gravierende Folgen für die Allgemeinheit haben werde, auch in der Öffentlichkeit zu diskutieren.
Immerhin haben die Aktionen der letzten Jahre zu der Einsicht geführt, dieses sicherheitspolitische Thema nicht allein aus militärischem Blickwinkel zu sehen, sondern auch zum Gegenstand einer politischen Abstimmung zu machen. Im Dezember 2009 meldete die New York Times, dass die USA Verhandlungen mit Russland aufgenommen haben, um eine „Verbesserung der Internetsicherheit und eine Begrenzung der militärischen Nutzung des Internet“ zu erreichen.17 Politikberater aus den USA und Russland publizierten 2011 einen ersten gemeinsamen Report zu Cyber-Konflikten mit dem Ziel einer internationalen Konfliktregulierung in diesem Bereich.18
Ein nahe liegender Maßstab für die Bedeutung dieser Gespräche ist der Vergleich mit der heute zur Informationskriegsführung zählenden elektronischen Kriegsführung. Dabei geht es um das Ausspähen elektronischer Signale und Kommunikation und entsprechende Schutzmaßnahmen. Die seit dem Zweiten Weltkrieg ununterbrochen andauernde elektronische Kriegsführung ist gekennzeichnet durch einen ganz speziellen Rüstungswettlauf. Dazu gehören nicht nur elektronische Gegenmaßnahmen, sondern auch elektronische Gegen-Gegenmaßnahmen, wie das Abstrahlen von Störsignalen. Die Schäden durch diese meist auf militärische Systeme angewandte Form der Informationskriegsführung sind jedoch begrenzt.
Für Cyber-Kriege mit Computerviren und Netzattacken gilt diese Begrenztheit nicht. Es wäre daher für alle Seiten vernünftig, Schäden zu vermeiden und eine internationale Verständigung zu erreichen.19 Nicht ganz so überraschend war aber nach den ersten Gesprächen zur Kontrolle von Cyber-Kriegsführung, dass im Wesentlichen über Differenzen berichtet wurde. Hoffnung auf Fortschritte macht die von U.S.-Präsident Obama im Mai 2011 vorgestellte globale Cyberspace-Strategie, die als kurzfristige Maßnahme vorsieht, ein „internationales Politik-Rahmenwerk für Cybersecurity“ zu entwickeln, um gemeinsam mit anderen Staaten die Sicherheit im Internet zu verbessern.20
Fazit
Fest steht, dass IT-Systeme unsicher und offen für Manipulationen sind. Zusätzlich zur grundlegend verbesserten Sicherheit von IT-Systemen sind Organisationen wie CERTs nötig zum Schutz gegen Manipulationen. Ohne zusätzliche Fachleute in diesen spezialisierten Organisationen wird die Verbesserung des Niveaus der IT-Sicherheit nicht erreichbar sein.
Wenn zwischenstaatliche Konflikthintergründe bei IT-Sicherheitsproblemen an Bedeutung gewinnen, wird die unweigerliche Folge eine weitere sicherheitspolitische Destabilisierung bei Bedrohungen der IT-Sicherheit sein. Durch ein stärkeres militärisches Engagement und einen damit einhergehenden Rüstungswettlauf analog zur elektronischen Kriegsführung kann aber weder eine höhere Effektivität in Sachen IT-Sicherheit erwartet werden noch eine Stärkung der Strafverfolgung.
Internationale Übereinkünfte zur Verbesserung der IT-Sicherheit – zusätzlich zu höheren Investitionen in die zugehörige Technik – und zur Begrenzung von Information Warfare21 sind daher der einzige Weg zu einer verlässlichen zivil nutzbaren IT-Infrastruktur. Die politische Einsicht in die Notwendigkeit scheint vorhanden. Die Zukunft wird zeigen, ob sie ohne größere IT-Katastrophen auch zu einem tragfähigen Ergebnis führt.
Anmerkungen
1) Overview by the US-CCU of the Cyber Campaign Against Georgia in August of 2008. US-CCU Special Report, August 2009.
2) Seit Drucklegung dieses Artikels in der FifF-Kommunikation im Herbst 2011 wurde bekannt, dass Stuxnet durch den militärischen US-Geheimdienst NSA und eine israelische Geheimdienstabteilung entwickelt wurde. Siehe z.B. Christian Stöcker: Enthüllung über Stuxnet-Virus. Obamas Cyberangriff auf Irans Abomanlagen. SPIEGEL Online, 1.6.2012.
3) Headquarters, Department of the Army: FM 3-13 (FM 100-6) Information Operations: Doctrine, Tactics, Techniques, and Procedures. November 2003.
4) FM 3-13, op.cit., S.1-13
5) Jay Peterzell: Spying and Sabotage by Computer. Time, March 20, 1989, S.41 Oberstleutnant Erhard Haak: Computerviren – ein Kampfmittel der Zukunft? Soldat und Technik, Nr.1/1989, S.34-35.
6) FM 3-13, op.cit., S.1-2ff.
7) Igor Panarin (1998): InfoWar und Autorität. In: G. Stocker, C. Schöpf (Hrsg.): Information.Macht.Krieg. Wien: Springer Vienna, S.105-110.
8) Shen Weiguang (1998): Der Informationskrieg – eine neue Herausforderung. In: G. Stocker, C. Schöpf (Hrsg.): Information.Macht.Krieg. Wien: Springer Vienna, S.67-91.
9) Wei Jincheng (1998): Der Volksinformationskrieg. In: G. Stocker, C. Schöpf (Hrsg.): Information.Macht.Krieg. Wien: Springer Vienna, S.92-104.
10) Florian Rötzer: Taiwans Militär probt Angriffe mit Computerviren. Telepolis, 8.8.2000.
11) C. Uday Bhaskar: Trends in Warfare – A Conceptual Overview. Strategic Analysis, Dec. 2000, S.1577-1589- Vgl auch: Ajai K. Rai: Media at War – Issues and Limitations. Strategic Analysis, Dec. 2000, S.1681-1694. Sowie: Vinod Anand: An Integrated And Joint Approach Towards Defence Intelligence. Strategic Analysis, Nov. 2000, S.397-1410.
12) Ralf Bendrath: Informationstechnologie in der Bundeswehr. Telepolis, 25.7.2000
13) Informationsprofis arbeiten enger zusammen. Bundeswehr-Pressemeldung vom 29.06.2010.
14) cert-verbund.de.
15) Armin Medosch: FBI deckt internationale Verschwörung von Cyber-Terroristen auf. Telepolis, 17.1.2001.
16) McAfee: Virtual Criminology Report 2009. Virtually Here: The Age of Cyber Warfare. Santa Clara, 2009.
17) John Markoff, Andrew E. Kramer: In Shift, U.S. Talks to Russia on Internet Security. The New York Times, December 13, 2009, S. A1.
18) Karl Rauscher, Andrey Korotkov: Russia-U.S. Bilateral on Critical Infrastructure Protection: Working Towards Rules for Governing Cyber Conflict – Rendering the Geneva and Hague Conventions in Cyberspace. New York: EastWest Institute, February 2011.
19) Committee on Deterring Cyberattacks (2010): Proceedings of a workshop on deterring cyberattacks: informing strategies and developing options for U.S. Policy. Washington D.C.:: National Academy Press.
20) [White House:] Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure. Washington D.C. Mai 2011, S. vi.
21) Ingo Ruhmann: Rüstungskontrolle gegen den Cyberkrieg? Telepolis, 4.01.2010.
Ingo Ruhmann ist Informatiker, wissenschaftlicher Referent und Lehrbeauftragter sowie Gründungsmitglied des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. Er arbeitet zu Datenschutz, IT-Sicherheit sowie Informatik und Militär. Dies ist ein gekürzter und leicht aktualisierter Nachdruck aus Ausgabe 4-2011 der »FIfF-Kommunikation«, Zeitschrift des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung. Der vollständige Artikel kann unter fiff.de abgerufen werden. Wir danken dem Autor und der Redaktion für die Nachdruckrechte.