Teppichmesser oder Computerangriffe?
Der Bedrohungsdiskurs in den USA nach dem 11. September
von Oliver Minkwitz
Dass die Behauptung »10 Hacker und 10 Millionen Euro genügen, um die Welt elektronisch zum Erliegen zu bringen«, eine maßlose Übertreibung ist, gilt auch nach dem 11. September. Nur Journalisten, die sich noch nie ernsthaft mit den Risiken der elektronischen Welt auseinandergesetzt haben, fallen solchen Übertreibungen noch zum Opfer. Trotzdem wird in der Presse immer wieder die Gefahr von Cyberattacken durch feindliche Staaten und durch sogenannte »Cyber-Terroristen« bemüht.1 Unterstützt wird die Ventilierung solcher übertriebener Bedrohungsszenarien vor allem von den US-Militärs, der Regierungsbürokratie und von konservativen Think Tanks wie dem »Center for Strategy and International Security« (CSIS).
Nicht zuletzt durch die Übertreibungen und Argumentationen jenseits der Fakten materialisierte sich der Bedrohungsdiskurs schon während der Clinton-Regierung. Er setzte sich unter der neuen konservativen Bush-Administration fort mit der Schaffung neuer Militärdoktrinen und Organisationen. Ebenfalls weniger bekannt ist, dass das US-amerikanische Militär bei der Planung von »Informations Operationen« als Schwerpunkt zukünftiger Kriegsführung und deren Integration in bestehende Militärstrategien am weitesten vorgeschritten ist.2
Al Qaida, das Internet und Computer
Nach dem 11. September wurde die Bedrohungsdebatte der Cyber-Attacken auf »kritische Infrastrukturen« (Transport, Finanzdienstleistungen, Energie- und Wasserversorgung sowie Regierungsfunktionen) überraschenderweise unbeschadet fortgesetzt. Dabei zeigten die Anschläge auf das World Trade Center gerade das Gegenteil. Die Attentäter konnten mit einem Minimum an technischen Mitteln ihre Anschläge durchführen: Die Terroristen benutzen zwar, wie der Presse zu entnehmen war, Web-Email Accounts, buchten ihre Flüge über die Online-Reisebüros und nutzten möglicherweise Verschlüsselungsprogramme.3 Das Steuern der Flugzeuge in die zwei Türme erforderte wahrscheinlich Training am Simulator und einer der Attentäter überprüfte möglicherweise die Koordinaten der Türme mit Hilfe eines GPS-Senders, der in jedem Elektronik-Laden zu erstehen ist. Dies allerdings als Cyberterrorismus oder als Hinweis darauf zu werten, dass zukünftige Terroristen vor allem im Cyberspace operieren werden, ist absurd. Schon vor den Anschlägen im September galt Osama Bin Laden als »Superterrorist« der »Cyberspace und Terrorismus« verbindet. Es wurde behauptet, dass die Terroristen über Internetcafés anonym Nachrichten austauschen, dass die Al Qaida leicht zugängliche Verschlüsselungsprogramme, wie z.B. Pretty Good Privacy (PGP) nutzt oder ihre Nachrichten in Bilder, Textdateien, Audio-Daten und auf pornographischen Webseiten mittels Steganographie-Softwere versteckt.4 So wiederholte FBI-Direktor Louis Freeh vor einem Senatsausschuss Aussagen des CIA-Chefs George Tenet: „Hizbollah, Hamas, the Abu Nidal organization and Bin Laden‘s al Qa‘ida organization are using computerized files, e-mail and encryption to support their operations.“5 Bewiesen wurde das allerdings nie und zitiert wurden immer wieder anonyme Mitarbeiter aus den Geheimdiensten oder Sicherheitsbehörden. Letztlich stellt die Nutzung von Computern, Internet und Software auch keine großartige Gefahr dar. Denn um wirkliche Cyberangriffe durchzuführen und damit ökonomischen Schaden zu verursachen, benötigt man in der Regel Insider-Wissen: Man muss vor Ort mit den System vertraut sein oder die Passwörter besitzen. Es würde auch nicht ausreichen, nur ein System zu kennen. Terroristen müssten mit unterschiedlichsten Computersystemen vertraut sein, die in der Flugüberwachung, in Atomkraftwerken oder bei Telefongesellschaften eingesetzt werden. Hinzu kommt, dass solche Systeme nicht an öffentliche Netze angeschlossen sind. Im schlimmsten Falle können »Denial-of-Service« Attacken höchstens Shoppingportale – wie Ebay oder Yahoo – treffen und diese zeitweise blockieren, wie dies 1998 durch unbekannte Hackerangriffe geschah.
Cyberterrorismus ist ein Mythos
Die Logik, die hinter diesen absurden und irrelevanten Cyberterrorismus-Vermutungen steht, ist allerdings einfach zu erklären. Die Geheimdienste haben seit Jahren Angst, im Rennen um die immer stärker werdende und einfacher zu bedienende Kryptographie-Software vollständig abgehängt zu werden. Der Mythos des »Cyberterrorismus« dient da als Legitimations- und Argumentationshilfe der Sicherheitsbehörden, um gesetzliche Beschränkungen beim Abhören, bei Eingriffen in die Privatsphäre zu minimieren, eine Erhöhung des Budgets zu erreichen und die Liberalisierung des Handels mit Krytographie-Software rückgängig zu machen. Noch unter der Clinton-Regierung galten Ausfuhrbeschränkungen für Krypto-Technologie. Das populäre Programm PGP fiel bis 1998 sogar unter das Kriegswaffen-Exportverbot der USA. Für die Attentate auf das World Trade Center, das US-amerikanische Schlachtschiff »Cole« oder die US-Botschaften in Nairobi und Daressalam war die Informationstechnologie jedoch nicht das entscheidende Hilfsmittel.
Letztlich entscheidend für die Durchführung der Attentate im September war, dass die Täter externe Finanzquellen hatten, zu allem bereit waren und es ihnen gelang, auf Grund mangelnder Flughafensicherheit, Teppichmesser in die Maschinen zu schmuggeln. Mit Computer- oder Informationskriegsführung hat das beim besten Willen nichts zu tun. Dass Terroristen Emails benutzen oder ihre Emails verschlüsseln, ist auch keine neue Qualität. Die Nutzung von Informationstechnologie durch Terroristen ist genauso banal wie die Nutzung des Telefons, des Autos oder das unsichtbar machen von Nachrichten, indem man mit Zitronensaft schreibt.
Bedrohungsdiskurse auf Autopilot
Obwohl nach den Anschlägen deutlich wurde, dass das von vielen Experten seit Jahren herbeigeredete »elektronische Pearl Harbor« ausblieb, wurde die Gefahr von »Cyberterroristen« bemüht. Aus dem Joint Task Force-Computer Network Operations, das für die teilstreitkraftübergreifende offensive und defensive Nutzung des Cyberspace durch die US-Militärs zuständig und dem US Space Command unterstellt ist, ließ der Pressesprecher noch am selben Tag verlauten, dass man keine gefährlichen Aktivitäten verzeichne: „We are doing the same things we do every day (…)but so far we‘re seeing no increased activity on our networks.“6 Die zentrale Regierungsstelle für die Abwehr von Cyberattacken, das National Infrastructure Protection Center (NIPC) gab dennoch eine Warnung an privatwirtschaftliche und kommunale Mitglieder aus, alle nicht unbedingt notwendigen Computersysteme vom Netz zu nehmen. Die Presse sprang ebenfalls darauf an und USA-Today berichtete über mögliche Cyberanschläge, die nach den Szenarien von Experten in der Folge von Anschlägen in der physikalischen Welt auch elektronisch zu erwarten seien.7 Unter diesem Druck nahm US-Präsident Bush eine symbolische Umstrukturierung vor. Er richtete ein »Office of Cyberdefense« im Weißen Haus ein, das dem ebenfalls neugeschaffenen »Office for Homeland Security« unterstellt wurde.8 Der Grundstein für dieses Amt wurde allerdings schon unter Clinton, 1998 mit der »Presidential Decision Directive Nr.63« (PDD-63), gelegt. Es blieb auch in der Verantwortung von Richard Clark, der vorher bereits als nationaler Koordinator im Weißen Haus zuständig für den Schutz der kritischen Infrastruktur war.9 Unter dem Eindruck der Terroranschläge setzte sich mit Schaffung des »Office for Homeland Security« eine Politik durch, die zum ersten Mal in der US-amerikanischen Geschichte die Verteidigung des eigenen Territoriums in den Blick nahm. Auf der militärischen Seite wurde die Kommandostruktur der amerikanischen Streitkräfte neu strukturiert und ein eigenes Kommando zur Verteidigung des US-amerikanischen Territoriums geschaffen.10
Der 11. September hätte somit die Debatte um Informationskrieg und die Verletzlichkeit von kritischen Infrastrukturen mit einem Schlag beenden können. Mittlerweile ist der »Cyber-Bedrohungsdiskurs« allerdings eingeschliffen und mit der neugeschaffenen Behörde (Office for Homeland Security) auch institutionell verankert.
Die gleiche Loslösung von der Realität wie in der Debatte um Cyberterrorismus, findet sich in der Debatte um die US-amerikanische Raketenabwehr wieder. Auch hier stellt sich die Frage nach dem Sinn eines Verteidigungssystems, das extrem teuer und nur für ein extrem unwahrscheinliches Szenario Schutz bietet, wie es der Senator und Vorsitzende Tom Daschle noch im August 2001 auf den Punkt brachte: „National Missile Defense is the most expensive possible response to the least likely threat we face“.11 Die Wahrscheinlichkeit, dass eine den USA feindlich gesinnte Nation ein komplettes und funktionierendes Raketenprogramm auf die Beine stellt und dann auch noch die Intention besitzt, die USA tatsächlich anzugreifen, hat selbst der CIA im letzten Bedrohungsbericht nach unten korrigieren müssen.12 Viel eher gehen Terrorexperten davon aus, dass Terroristen weiterhin konventionelle Bomben bauen werden oder es ihnen im schlimmsten Falle gelingt, eine »radiologische Waffe« aus gestohlenem Plutonium zu bauen.13 Auch wenn letzterer Fall ein mögliches Katastrophenszenario darstellt, ein Raketenschirm bietet dagegen genauso wenig Schutz wie gegen Angriffe mit chemischen oder biologischen Waffen.
Clintons elektronisches Erbe und ein neuer (alter) Dreh
Den Mythos des Cyberterrorismus gab es schon vor der jetzigen Bush-Regierung und sie erreichte einen Höhepunkt während der Amtszeit von US-Präsident Clinton. Das Szenario – oder besser »der mediale Hype um ein mögliches elektronisches Pearl Harbor« – geistert schon seit über 10 Jahren durch die Gemeinschaft sogenannter Sicherheitsexperten. Der sicherheitspolitische Bedrohungsdiskurs der US-amerikanischen Entscheidungsträger ist dabei immer inkonsistent gewesen. So wechselten die identifizierten Akteure im Bedrohungsdiskurs der US-amerikanischen Militärs immer wieder beliebig zwischen jugendlichen Hackern, nichtidentifizierbaren Terroristen und feindlichen Staaten. So behauptet z.B. der Staatssekretär Jacques Gansler, dass jugendliche Hacker eine „reale Bedrohungsumgebung“ für die nationale Sicherheit seien.14 Wie wenig konkret diese Bedrohungswarnungen waren und dass sie lediglich dem Ziel dienten, eine neue Bedrohungsdimension zu konstruieren, zeigt sich, wenn nach Details und Umständen von Hackerangriffen auf das Pentagon gefragt wird. So musste John Hamre, der sich als zweiter Staatssekretär im Verteidigungsministerium und jetzt tätig im CSIS, als einer der größten Warner vor einem »elektronischen Pearl Harbor« hervorgetan hat, passen, als ein Journalist in einer Pressekonferenz nachhakte: „A journalist then asked: »When you say there were fewer incidents than in a normal weekend, can you help us with the numbers? On a normal weekend you have a hundred, a thousand, ten thousand?« John Hamre: »You know, I‘ll be happy to answer the question, but I honestly don‘t have the data. I know we had four instances where we pulled the plug on some hackers that were trying to break in. You know, this is a problem that‘s been growing . . .« Another question: »What areas did they want to break into?« John Hamre: »I don‘t really know.«“15
Mit dem Antritt der Bush-Regierung änderte sich das Akteursbild. Statt transnationaler terroristischer Akteure rückten nun wieder konkrete Staaten, vor allem die sogenannten Schurkenstaaten oder strategische Rivalen wie China und Russland in den Mittelpunkt der Debatte. Selbst Kuba und das elektronisch eher weniger vernetze Nordkorea, wurden nun als mögliche elektronische Herausforderer genannt. So beschrieb Admiral Thomas R.Wilson Kuba als möglichen Cyber-Angreifer: „Admiral Wilson: »Cuba is, Senator, not a strong conventional military threat. But their ability to ploy asymmetric tactics against our military superiority would be significant. They have strong intelligence apparatus, good security, and the potential to disrupt our military through asymmetric tactics. And I think that is the biggest threat that they present to our military.« Senator Wyden: »What would be an example of an asymmetric tactic that you‘re speaking of?« Wilson: »Using information warfare or computer network attack, for example, to be able to disrupt our access or flow of forces to the region.« Wyden: »And you would say that there is a real threat that they might go that route?« Wilson: »There‘s certainly the potential for them to employ those kind of tactics against our modern and superior military«.“16
Diese Warnungen wurden in der Folge von sämtlichen Mitgliedern des Bush-Kabinetts wiederholt. So verglich die Nationale Sicherheitsberaterin, Condolezza Rice, »Cyberwarfare« mit dem Kalten Krieg und bezeichnete den „Schutz kritischer Infrastrukturen“ als eine Aufgabe der klassischen Abschreckung.17 Der Kommandeur des US-Space Command, General Ralph E. Eberhart, selbst zuständig für US-Angriffe aus dem Cyberspace, rückte China in den Mittelpunkt seiner Bedrohungsanalyse. Als nach dem Abschuss des US-amerikanischen Spionageflugzuges durch chinesische Kampfflugzeuge ein Schlagabtausch unter Hackergruppen aus beiden Ländern stattfand, sprach auch die Presse wieder von einem Cyberkrieg. Allerdings ging es auch hierbei nicht um einen Angriff auf richtige Infrastrukturen, die zum Funktionieren einer technisierten Gesellschaft notwendig sind, es wurden lediglich ungenügend geschützte Webseiten verändert. Das bezeichnet man besser als Webgraffiti.18
Im April 2002 wurde erneut die China-Karte gespielt als ein geheimer CIA-Bericht in der Los Angeles Times zitiert wurde, nach dem China großangelegte Angriffe auf US-amerikanische und taiwanesische Computernetzwerke und »internet-linked miltary systems« plane.19 Unerwähnt blieb, dass es vor allem US-amerikanische Informations- und Telekommunikationsfirmen sind, die in China die elektronische Infrastruktur aufbauen. Passend zur Neuausrichtung der Debatte durch die neue Bush-Regierung wartete die National Security Agency mit der Feststellung auf, dass mittlerweile über 100 Staaten „already have or are developing computer network attack capabilities“.20 Das ist immerhin ein Sprung um 500 Prozent im Vergleich zu den etwa 20 Staaten, die das Defense Science Board noch im März desselben Jahres nannte.21
Nicht verschont blieben die NATO-Allierten durch Warnungen von Verteidigungsminister Rumsfeld und Präsident Bush. Beide nannten vor NATO-Gremien, Cyberattacken als „zukünftige Herausforderungen“ für die NATO in einem Atemzug mit Terrorismus, High-Tech Waffen, Raketen und Massenvernichtungswaffen.22
Es fehlt eine kritische Selbstreflexion
Die dramatische Cyber-Bedrohungsrhetorik nimmt kein Ende. Hantiert wird mit übertriebenen Statistiken und Halbwahrheiten. Auch die vom Pentagon gerne verbreitete Zahl von täglich 30.000 Hackerattacken auf die US-Streitkräfte ist mit Vorsicht zu genießen. Denn mitgezählt werden bei solchen Angaben immer auch unidentifizierbare, aber ungefährliche Pings oder der versuchte Aufbau von Telnet-Verbindungen zu Rechnern der Streitkräfte. Die wirkliche Zahl der schweren Einbruchsversuche wird sich wahrscheinlich auf unter 10 belaufen. Was bislang in der US-amerikanischen Debatte fehlt ist eine kritische Selbstreflexion der eigenen Vorreiterrolle. Die USA setzen selbst massiv auf die Kriegsführung durch Informationen und Computersysteme. In der »Quadrennial Defense Review 2001« des Verteidigungsministeriums wird die Fähigkeit zur Führung von Informationskriegen als Kernkompetenz der Streitkräfte bezeichnet. Die »Nuclear Posture Review« die im Januar 2002 nur in Bruchstücken der Öffentlichkeit vorgestellt wurde, sieht sogar einen neuen Trend. In Zukunft sollen Informations-Operationen zusammen mit konventionellen High-Tech es möglich machen, die Einsatzschwelle für Nuklearwaffen zu erhöhen. Dass die USA mit einer solchen Militärpolitik der Aufrüstung und Militarisierung des Cyberspace erst richtig Schubkraft verleihen ist ausgemacht.
Andere Staaten werden bei einer solchen Politik nicht abseits stehen wollen. Auch der Planungsstab des Auswärtigen Amts nimmt sich in einer kürzlich erschienen Studie des Themas an. Allerdings in viel gemäßigteren Tönen. Dort heißt es unter anderem, dass neben militärischen und technischen Schutzmaßnahmen auch Ansätze der Rüstungskontrolle im Cyberspace entwickelt werden müssen. Erste Vorschläge dazu sind von der unabhängigen Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS) schon seit längerem gemacht worden.23
Anmerkungen
1) z.B.: Süddeutsche Zeitung, Attacken aus dem Laptop: Neben Flugzeugbomben und Biowaffen fürchtet Amerika den Cyber-Terrorismus, 15.10.2001. Eine lobenswerte Ausnahme ist das Online-Magazin »Telepolis« mit der kontinuierlichen und kritischen Berichterstattung zu solchen Themen: http://www.heise.de/tp
2) vgl. Für eine Diskussion der offensiven Elemente der älteren Information-Operations Planungen der USA siehe Geiger, Gebhard: Offensive Informationskriegsführung. Die »Joint Doctrine for Informatio Operations« der US-Streitkräfte: sicherheitspolitische Perspektiven, Berlin: Stiftung Wissenschaft und Politik 2002. Ebenso auch Bendrath, Ralf: Informationskriegsabteilungen der US-Streitkräfte. Eine Zusammenstellung der mit offensive Cyberattacken befassten Einheiten der US-Streitkräfte, Berlin: FoG:IS Arbeitspapier Nr. 3 2001.
3) Frankfurter Rundschau, Im Fahndungseifer nach den Anschlägen in den USA leistete sich das FBI in vielen Fällen peinliche Fehlgriffe, 24.10.2001.
4) So eine Meldung von Reuters, die von anderen Medien aufgegriffen wurde und die kritisch Hinterfragt wurde von Wired: Bin Laden – Steganography Master?, 7.02.2002. http://www.wired.com/news/print/0,1294,41658,00.html (1.06.2002)
5) 107th U.S. Congress, Senate, Committee on Judiciary, Subcommittee for the Technology, Terrorism, and Government Information, Statement of Louis J. Freeh, Director FBI. for the Record on Cybercrime, Washington, DC: 28.03.2000.
6) Federal Computer Weekly: Spacecom on alert for cyberattacks, 11.09.2001. http://www.fcw.com/fcw/articles/2001/0910/web-cyber-09-11-01.asp (1.06.2002)
7) USA Today: Computer Network System At Risk for Terrorism, 13.09.2002.
8) Computer World: Bush taps Clarke as Cyberdefense Chief, 1.10.2001. http://www.computerworld.com/securitytopics/security/story/0,10801,64376,00.html (1.06.2002). Bush, George W.: Executive Order, Establishing the Office of Homeland Security and the Homeland Security Council., Washington, DC: 8.10.2001.Bush, George W.: Executive Order, Critical Infrastructure Protection in the Information Age, Washington, DC: 16.10.2001.
9) vgl. Kelle, Alexander/Schaper, Annette: Bio- und Nuklearterrorismus. Eine kritische Analyse der Risiken nach dem 11. September 2001, Frankfurt a.M.: HSFK-Report 2001.
10) New York Times: Pentagon Revamping Command Structure, 17.04.2002.
11) Remarks by Senate Majority Leader Tom Daschle at »The Woodrow Wilson International Center for Scholars« http://daschle.senate.gov/pressroom/speeches/2001A09615.html (9.08.2001)
12) Kubbig, Bernd: Die »Achse des Bösen« und ihre vermutete Gefährlichkeit, in: Frankfurter Rundschau, 12. Februar 2002. Siehe auch die Übersetzung des Dokumentes von Martina Glebocki und Alexander Wicker: National Intelligence Council, National Intelligence Estimate: Ausländische Raketenentwicklungen und die Bedrohung durch ballistische Raketen bis 2015. Öffentlicher Report an den Kongress. http://www.hsfk.de/abm/back/docs/nie2001.pdf (1.06.2002)
13) Kelle, Alexander/Schaper, Annette (siehe FN 10).
14) Wired: Teens a Threat, Pentagon Says, 2.06.1998. http://www.wired.com/news/news/business/story/12687.html
15) Vgl. Auszüge aus dem Crypt Newsletter von George Smith http://sun.soci.niu.edu/~crypt/other/harbor.htm (1.06.2002)
16) Transkription des öffentlich Teils des 107th U.S. Senate, Select Committee on Intelligence, Hearings on World Wide Threats vom 7.02.2001 unter http://www.cluebot.com/articles/01/02/08/1638232.shtml (1.06.2002)
17) The Register, Hack attacks called the New Cold War, 23.3.2001. http://www.theregister.co.uk/content/8/17820.html (1.06.2001)
18) Florian Rötzer, Banges warten auf den Cyberwar…, in: Telepolis 1.5.2001. http://www.heise.de/tp/deutsch/special/info/7513/1.html (1.06.2002)
19) Los Angeles Times, CIA Warns of Chinese Plans for Cyber-Attacks on U.S., 25.04.2002.
20) ABC News: Clear and Present Danger? Government Warns that its Computer Systems Need Security Improvments, 29.8.2001. http:// http://abcnews.go.com/sections/scitech/dailynews/govt_security010829.html (1.06.2002).
21) Office of the Undersecretary of Defense for Acquisition: Technology and Logistics: Protecting the Homeland. Report of the Defense Science Board Task Force on Defensive Information Operations Volume II, Washington, DC: März 2000. http://www.acq.osd.mil/dsb/dio.pdf (1.06.2002).
22) Bush, George W.: Excerpted remarks at the Meeting of the North Atlantic Council, Brüssel 13.6.2001, http://www.nato.int/docu/speech/2001/s010613g.htm (1.06.2002).
23) Minkwitz, Olivier/Schöfbänker, Georg: Information Warfare. Die neue Herausforderung für die Rüstungskontrolle, in: Vierteljahresschrift für Sicherheit und Frieden (S+F), Bd. 18, Nr. 2, 2000, S. 150-163. Die FoG:IS ist zu erreichen unter http://www.fogis.de und betreibt die Mailingliste infowar.de.
Olivier Minkwitz ist Mitarbeiter der Hessischen Stiftung für Friedens- und Konfliktforschung (HSFK).