Der Cyberkrieg kommt nicht

Der Hype um digitale Sicherheit verschleiert die Sicht auf jene, die am meisten von Anonymität, Intransparenz und Zwielicht profitieren. Es sind nicht die Militärs – sondern Kriminelle und Geheimdienste.

Es begann mit einem Kriegsdenkmal. Nach tagelangen Strassenprotesten beschloss die estnische Regierung in den frühen Morgenstunden des 27. April 2007, den umstrittenen Bronzesoldaten von Tallinn umgehend von seinem angestammten Platz aus der Stadtmitte zu entfernen. Stattdessen wurde das Denkmal – das die Sowjets 1947 errichtet hatten, um an die sowjetische Befreiung Estlands von der deutschen Besatzung zu erinnern – auf einem Militärfriedhof wiederaufgestellt. Nur Stunden später waren die Websites der Regierung und des Parlaments lahmgelegt. Und auch verschiedene Banken und Medienunternehmen waren im Internet plötzlich nicht mehr zuverlässig erreichbar.

Schnell wurde klar: Es handelte sich um eine breit angelegte Kampagne gegen das vermutlich am stärksten digitalisierte Land der Welt. Doch deren Ursprung und Motivation liessen sich nur erahnen. Viele vermuten bis heute Russland hinter dem digitalen Angriff, endgültig beweisen können sie es jedoch nicht. Der Kreml weist jegliche Beteiligung von sich.

Mehrere Wochen lang bombardierte ein sogenanntes Botnetz – ein Netzwerk aus gekaperten Computern – estnische Websites mit Anfragen, sodass diese unter dem Ansturm immer wieder ausfielen. Das ist vergleichbar mit einem Kiosk, der von Zehntausenden belanglosen Anfragen überhäuft wird: «Wie viel kosten die Zigaretten?», «Verkaufen Sie auch die WOZ?», «Wann fährt der nächste Zug nach Spiez?». Die echte Kundschaft kommt nicht mehr durch; der Verkauf am Kiosk bricht ein. Während des russischen «Tags des Sieges» am 9. Mai 2007 erreichte die Kampagne ihren Höhepunkt. 58 Websites gaben den Geist auf. Estlands grösste Bank war unerreichbar.

Ein solcher «Distributed Denial of Service»-(DDoS)-Angriff ist keine Seltenheit. Doch der Angriff auf die estnische Internetinfrastruktur im Jahr 2007 hatte ein bis anhin nicht gekanntes Ausmass. Vor allem lieferte die Kampagne dem Hype um moderne «Cyberkriege» neuen Aufschwung. Schon zuvor ging die Angst vor HackerInnen um, die ohne Armeen ganze Staaten in Schutt und Asche legen könnten – mit einem blossen Mausklick. Auch heute fürchtet man sich vor Kriegen, die nicht mehr mit Panzern und Flugabwehr entschieden werden, sondern unsichtbar mit Programmiercode – geführt aus düsteren Kellern, an Displays, auf denen Buchstaben und Zahlen rattern.

Manche ziehen Vergleiche zu den Anschlägen vom 11. September 2001. Andere, wie der US-amerikanische Sicherheitsexperte Winn Schwartau, warnten bereits 1991 vor einem «Cyber Pearl Harbor». Solche Katastrophenszenarien finden auch in Europa Anklang. So erklärte die estnische Parlamentssprecherin Ene Ergma nach den Angriffen im Jahr 2007: «Wenn ich mir eine nukleare Explosion und die Explosion in unserem Land im Mai ansehe, sehe ich dasselbe. Genau wie die nukleare Strahlung lässt dich der Cyberkrieg nicht bluten, aber er kann alles zerstören.»

Die fünfte Dimension

Können böswillige HackerInnen mit ein paar Zeilen Code eine Kernschmelze herbeiführen, einen Stausee entleeren, Züge entgleisen oder Flugzeuge abstürzen lassen? Ist die kritische Infrastruktur – Stromversorgung, Kommunikationsnetze, Spitäler – in Gefahr? Und wie können wir uns gegen solche Angriffe schützen und wehren?

«Es wurde lange mit solchen Extremszenarien, wie wir sie aus Actionfilmen kennen, für einen möglichen Cyberkrieg mobilisiert», sagt Myriam Dunn Cavelty. Die Politikwissenschaftlerin sitzt in ihrem Büro an der ETH Zürich, wo sie seit Jahren zur Gefahrenwahrnehmung forscht. An der Wand hängen Kinderzeichnungen; auf dem Tisch stapeln sich Bücher über Cyberwaffen, Cyberangriffe, Cybersicherheit, Cyberverteidigung. Derweil rekonstruiert sie, welchen Einfluss die vermeintliche Gefahr von solchen Cyberangriffen auf die Politik hatte. «Wenn wir einen Begriff wie ‹Cyberkrieg› hören, denken wir sofort ans Militär. Wir glauben, dass dieses analog zum konventionellen Krieg für die digitale Kriegsführung zuständig sein sollte.» Und vor allem löse dieser Glaube die Vorstellung eines Krieges aus, der nur im digitalen Raum ausgetragen würde. «Aber», so die Politologin, «ein solcher Krieg findet nicht statt.»

Für Dunn Cavelty ist das Wort «Cyberkrieg» nichts anderes als eine rhetorische Floskel. Es diene dazu, eine Gefahr heraufzubeschwören, die dann im politischen Prozess ausgeschlachtet werden könne – ähnlich wie der «war on drugs» oder der «war on terror». Mit dieser Analyse ist sie nicht allein; unter SicherheitsforscherInnen ist diese Sicht tonangebend. So schrieb Thomas Rid von der Johns-Hopkins-Universität bereits 2013 ein Buch über den «Mythos Cyberwar». Die Pointe: Die Gefahr eines Cyberkriegs gebe es schlicht nicht. Sie sei ein Gespenst. «Es hat in der Vergangenheit keinen Cyberkrieg gegeben, es findet gegenwärtig keiner statt, und es ist überaus wahrscheinlich, dass auch in Zukunft keiner über uns hereinbrechen wird», schreibt er und hält auch in der vier Jahre später erschienenen zweiten Ausgabe – eine halbe Ewigkeit in der digitalen Zeitmessung – an dieser Analyse fest.

Diese deeskalierende Betrachtung dringt jedoch kaum in die internationale Politik vor. Weltweit reagieren Staaten auf die neuen technischen Angriffe, als ob man sich in einem neuen Krieg befände und entsprechend aufrüsten müsste. Bloss ein Jahr nach der Estlandkampagne baute die Nato mit dem Cooperative Cyber Defense Centre ein Zentrum zur Abwehr von Cyberangriffen – und zwar in Tallinn. Zudem gilt der digitale Raum mittlerweile verbreitet als fünfte Dimension des Krieges – neben Land, Wasser, Luft und Weltall.

ForscherInnen wie Rid kritisieren, dass das völlig fehlgeleitet sei. Jeder digitale Angriff könne nur im physischen Raum eine Wirkung entfalten – ansonsten verpuffe er. Die digitale Sphäre als unabhängige, fünfte Dimension zu bezeichnen, befeure bloss das Märchen vom abgekoppelten Cyberkrieg. Trotzdem haben sich die Nato-Mitgliedstaaten darauf geeinigt, dass der bekannte Artikel 5 des Nato-Vertrags auch bei einem Cyberangriff zum Tragen kommen könnte: Demnach würde es sich auch bei einem Cyberangriff auf ein Land – ähnlich wie bei einem Raketenangriff – um einen Angriff auf alle Bündnisstaaten handeln.

Auch die Schweiz setzt sich seit letztem Jahr verstärkt mit Cyberangriffen in Kriegskontexten auseinander, etwa im Rahmen der Mitte 2018 veröffentlichten Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS). Diese sieht mehrere Massnahmen vor, um dem Militär mehr Schlagkraft bei der Abwehr von Angriffen im digitalen Raum zu geben – sei es bei der Verteidigung kritischer Systeme, der Identifikation von AngreiferInnen oder der Störung von Angriffen.

2018 wurde auch erstmals ein «Cyber-Lehrgang» in der RekrutInnenschule durchgeführt. In vierzig Wochen lernen RekrutInnen, in Netzwerken und Quellcodes Schwachstellen zu analysieren und diese dann besser zu schützen. Was im Grunde eine nützliche Sache ist, kommt ziemlich klischiert daher: Die Titelseite des dazugehörigen Factsheets ist fast komplett schwarz. Einzig zwei bedrohlich verengte Augen blicken die Leserin an. Auf der letzten Seite prangt kaum lesbar Grau auf Schwarz das Motto: «Fighting hackers.» Fehlen nur noch kryptische Zeichen, die wie im Film «The Matrix» über die Seiten fliegen. Wen erstaunt es da, dass Anfang September mit Thomas Süssli der Hauptverantwortliche des Bereichs Cyber Defense zum neuen Armeechef ernannt wurde?

GeheimagentInnen im Internetzeitalter

Das Militär muss sich gegen digitale Angriffe wehren können. Das ist in Zeiten der durchdringenden Digitalisierung unbestritten. Immerhin lässt sich fast jedes Netzwerk – sei es zur internen Kommunikation, zur Erkennung von physischen Angriffen oder zur einfachen Logistik – grundsätzlich von HackerInnen abhören, manipulieren oder gänzlich lahmlegen. Doch der Begriff des Cyberkriegs gaukelt uns vor, die Gefahr sei im militärischen Bereich besonders gross. «Schaut man aber genau hin, merkt man, dass Nachrichtendienste viel aktiver sind», sagt Dunn Cavelty. Nicht erst seit den Enthüllungen des CIA-Whistleblowers Edward Snowden wisse man, dass Geheimdienste im grossen Stil Netzwerke überwachen und Schwachstellen ausnutzen, offenhalten oder ganz bewusst einbauen.

Ohnehin passen Internet und Geheimdienste zusammen wie Topf und Deckel. Das unsichtbare, uns alle umgebende Netz aus Internet, Smartphones, Computern, lokalen Netzwerken und intelligenten Maschinen ist wie geschaffen für Spionage und Manipulation. «Man sieht meist nicht sofort, ob die eigenen Systeme bereits infiziert sind und was das genau bedeutet», erklärt Dunn Cavelty. «Das Verborgene ist ein essenzieller Teil der ganzen Gefährdung.»

Tatsächlich wird, was früher mit AgentInnen oder Spitzeln gemacht wurde, heute durch die Infiltration und Spionage von fremden Computernetzwerken ergänzt. So können Informationen beschafft, Abläufe analysiert, Datenströme mitverfolgt und – falls gewünscht – ein Betrieb aktiv sabotiert werden. «Das ist im Grunde eine Weiterführung dessen, was Geheimdienste bereits früher gemacht haben», erläutert Dunn Cavelty. «Jetzt wird es einfach auch in Computernetzwerken gemacht. So etwa sucht man nach Einfallspunkten in ein Netzwerk, damit man in diesem irgendwann aktiv werden kann.»

Der bekannteste Fall einer solchen Sabotage wurde 2010 aufgedeckt. Ein bösartiger Computerwurm mit dem Namen Stuxnet war darauf programmiert, das iranische Atomprogramm zu stören. Forensische Analysen ergaben, dass der Wurm spätestens Ende November 2007 in Umlauf gebracht worden war. Im Visier des Wurms waren industrielle Steuersysteme, die üblicherweise nicht direkt mit dem Internet verbunden sind und zum Beispiel Zentrifugen zur Anreicherung von Uran steuern. Deshalb verbreitete sich Stuxnet unter anderem über infizierte USB-Sticks von einem Computer zum nächsten. So sollte die Wahrscheinlichkeit erhöht werden, dass die digitale Lücke zwischen Internet und Steuersystemen überwunden werden konnte.

Kaum war der Wurm im System, veränderte er unbemerkt die Geschwindigkeit der Zentrifugen, wodurch sie schnell zerstört wurden. Besonders perfid war, dass der Wurm die Sabotage geschickt verschleierte. Wissenschaftler und die Betreiberinnen konnten unmöglich eruieren, weshalb die Zentrifugen reihenweise ausstiegen. Am Ende zerstörte der Wurm einen signifikanten Teil der iranischen Zentrifugen – und warf das Atomprogramm um Monate zurück.

«Lange meinte man, Cyberangriffe seien die Waffen der Schwachen», erzählt Dunn Cavelty. «Diese Sicht hat sich als absolut falsch herausgestellt. Schaut man sich genau an, wer die meisten Fähigkeiten hat, sind es die mächtigen Staaten mit grossen Geheimdiensten.» So auch bei Stuxnet. Viele gehen davon aus, dass entweder die USA oder Israel oder beide beteiligt waren. Denn die gesamte Operation war hochgradig komplex und nutzte mehrere unbekannte Schwachstellen im Windows-Betriebssystem aus. Sie wurde jahrelang vorbereitet und geheim gehalten. Und vor allem hatte sie ein sehr spezifisches, eng umrissenes Ziel.

Einkaufen auf dem Exploit-Schwarzmarkt

Das alles sind Hinweise darauf, dass es bei den aktuellen politischen Cyberattacken vor allem um neue Varianten uralter Geheimdienstoperationen geht: Sabotage, Spionage und Subversion. Und hier gilt: Je grösser der Geheimdienst, desto grösser die Möglichkeiten. Das betrifft auch das Budget, denn spezifische Angriffe zu programmieren und auszuführen, kostet viel Geld. Die Angriffe bauen wie bei Stuxnet oft auf bisher unentdeckten Schwachstellen in Software auf. Für den Handel mit solchen sogenannten Exploits gibt es einen grossen Schwarzmarkt.

Marc Ruef von der Zürcher Informationssicherheitsfirma Scip AG beobachtet diesen Markt seit 25 Jahren. «In unseren Modellen unterscheiden wir zwischen Cyberkriminalität und staatlichen Akteuren», erklärt Ruef, während er auf einer Grafik die Kosten für verschiedene Exploits zeigt. Die meisten davon kosten weniger als 10 000 US-Dollar. Sie sind für Kriminelle interessant. Doch jährlich gibt es auch Tausende, die mehr als 100 000 Dollar wert sind. Einzelne Exploits sollen gar für Millionen verkauft worden sein. Summiert man diese Verkäufe, kommt man auf ein geschätztes Marktvolumen von mehreren Hundert Millionen Dollar pro Jahr, Tendenz steigend. Wer hat dieses Geld zur Verfügung?

Bislang ist es praktisch unmöglich, die Einkäufe echten Personen oder Gruppierungen zuzuweisen. Das ist ein generelles Problem bei Cyberangriffen. «Die Attribution ist einerseits technisch sehr schwierig, weil sich Spuren leicht verwischen lassen», erklärt Ruef. «Andererseits ist es politisch gefährlich, falsche Quellen zu vermuten.» Doch weil die Angriffe immer mit realpolitischen Entwicklungen verknüpft sind, lassen sich zumindest realistische Verdächtige ermitteln oder auch das Risiko für die Zukunft abschätzen.

Dafür braucht es mehr als bloss technische Analysen. «Wir modellieren die politische Exponiertheit eines bestimmten Landes und das entsprechende Risiko eines Angriffs», erklärt Ruef. Welche wirtschaftlichen Abhängigkeiten bestehen? Wie steht es um die diplomatischen Beziehungen? Am Ende liefert eine solche Analyse eine Tabelle, auf der ersichtlich ist, wie wahrscheinlich ein Angriff von einem auf ein anderes Land ist. Die einzelnen Zellen sind je nach Risiko eingefärbt. Viel Grün gibt es nicht. Es dominieren Gelb, Orange und Rot. So scheint es also fast so, als ob alle gegen alle digital spionieren und sabotieren würden.

Und die Schweiz? Hier erlaubt das seit September 2017 geltende Nachrichtendienstgesetz den Mitarbeitenden des Nachrichtendiensts des Bundes (NDB) das «Eindringen in Computersysteme und Computernetzwerke», um Informationen zu beschaffen oder «den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen», falls diese Systeme für Angriffe auf kritische Infrastrukturen verwendet würden. Auch im Ausland kann der NDB offensiv agieren, um Daten abzusaugen oder Vorgänge zu stören.

Ob sich der NDB auch auf dem Exploit-Markt bedient? Das lässt sich nicht beantworten. Sicher aber ist: Zumindest besteht ein explizites Interesse an Menschen, die Codes programmieren können, um Schwachstellen auszunutzen. In Stellenausschreibungen des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), dem auch der NDB angehört, werden denn auch ExpertInnen für das «Auffinden von Schwachstellen und Backdoors» gesucht. Die künftigen Angestellten sollen nicht nur Erfahrung in der Analyse fremder Systeme mitbringen, sondern auch in der «Entwicklung von Exploits». Erst kürzlich hat der Bundesrat beim NDB eine Aufstockung um hundert Stellen bewilligt. Ein respektabler Teil der neuen MitarbeiterInnen wird sich wohl mit Cybersicherheit beschäftigen – und dabei auch offensiv vorgehen dürfen. Die Begründung ist immer dieselbe: Es gebe eine unsichtbare Gefahr, darum brauche es mehr Kapazitäten.

Mehr Sicherheit dank neuer Systeme?

Eine Alternative dazu wäre die Entwicklung von tatsächlich sicheren Geräten, Netzwerken und Kommunikationsprotokollen. Das würde uns alle vor solchen Exploits schützen. Denn die grosse Masse der Angriffe gehen von Kriminellen aus, die sich bereichern wollen. Genau wie die Geheimdienste haben sie ein Interesse an Schwachstellen und Sicherheitslücken. Doch im Gegensatz zu deren Präzisionswaffen bevorzugen Kriminelle die digitale Schrotflinte.

Wie beim Cryptowurm Wannacry, der im Mai 2017 sein Unwesen trieb. Innert kürzester Zeit verbreitete er sich dank Windows-Sicherheitslücken auf über 200 000 Computern auf der ganzen Welt. Die betroffenen Maschinen wurden kryptografisch verschlüsselt und erst gegen Bezahlung von Lösegeld wieder freigegeben. Dabei zeigte sich, wie sehr es in vielen privaten und öffentlichen Institutionen an der nötigen Sensibilität und Kompetenz bei der Abwehr solcher verhältnismässig leicht abzuwehrender Attacken mangelt.

Was lässt sich dagegen unternehmen? «Es gibt kein System, das gegen jeden Angriff sicher ist», erklärt Peter Müller, Studiendirektor des Departements Informatik an der ETH Zürich. Dort startete letzte Woche der erste Schweizer Studiengang für Cybersicherheit. «Absolute Sicherheit gibt es schlicht nicht. Doch wir können versuchen, bestimmte Arten von Angriffen auszuschliessen. Damit machen wir es für den Angreifer schwieriger.»

Müller weiss, dass die Nachfrage nach gut ausgebildeten SicherheitsexpertInnen gross ist, in der Verwaltung und in der Privatwirtschaft. Und natürlich beim Militär und den Geheimdiensten. Auch deshalb wurde der neue Masterstudiengang aufgegleist. Werden hier also die CybersoldatInnen der Zukunft ausgebildet? Müller verneint. «Wir werden den Studierenden beibringen, wie sie die nächste Generation von Systemen bauen können», erklärt er.

Diese neuen Systeme sollten fundamental andere Eigenschaften haben. Ein Beispiel sei das Internet, das ursprünglich nicht auf Sicherheit getrimmt worden sei. «Es gab zahlreiche Versuche, das klassische Internet sicherer zu machen», sagt Müller. «Aber das ist letzten Endes nur Flickschusterei. Wenn man ein System nicht fundamental neu entwirft, sodass es wirklich sicher ist, wird man dieses Ziel nicht erreichen.» Sicherheit müsse von Anfang an mitgedacht werden. Erst einmal ein System zu bauen und es anschliessend sicher machen zu wollen, sei ein Katastrophenrezept.

Um solche Systeme zu entwickeln, müssen die Studierenden das feindselige Denken der AngreiferInnen verinnerlichen. «Man muss sich daran gewöhnen, immer mit dem Schlimmsten zu rechnen», erläutert Müller. «Das braucht eine pessimistische Sicht auf alle Systeme. Wir müssen uns immer fragen, was im schlimmsten Fall passieren könnte – und wie wir uns dagegen wehren können.»

Fürwahr keine besonders inspirierende Sicht auf Cybersicherheit. Wobei Müller relativiert: «Frustrierend ist es nur dann, wenn man auf der oberflächlichen Ebene versucht, ein ewiges Katz-und-Maus-Spiel zu gewinnen. Da hat man Tausende Hacker, die gegen einen sind.» Das Ziel des neuen Studiengangs sei vielmehr, den Studierenden das nötige Wissen zu vermitteln, um den HackerInnen dank sicherer Systeme einen echten Schritt voraus zu sein.

Bleibt zu hoffen, dass sie dieses Wissen gut einzusetzen wissen. Denn Geheimdienste reissen ganz bewusst Löcher ins digitale Ökosystem. Doch vielleicht führt der aktuelle Fokus auf digitale Sicherheit am Ende ja tatsächlich zu solideren Systemen für alle. Dann könnte der Mythos Cyberkrieg womöglich endgültig begraben werden.

Dieser Artikel wurde in der WOZ 38/19 veröffentlicht. Das Bild stammt von Jason Blackeye.