Christopher Painter ist Cyber-Koordinator des US-Außenministeriums. Er kümmert sich darum, dass die USA in allen Bereichen, die das Internet betreffen, eine einheitliche Linie vertreten. Das Amt gibt es seit vier Jahren. Hochrangige Offiziere und Firmenchefs zucken nicht länger mit den Schultern, wenn sie das Wort "Cyber" hören - das Internet ist zur Chefsache geworden.
Süddeutsche.de: Der Ex-Verteidigungsminister Leon Panetta warnte 2012 in Anspielung auf den Angriff der Japaner auf Hawaii 1941 vor einem "Cyber Pearl Harbor". Wie realistisch ist eine Attacke dieser Größenordnung?
Painter: Vorneweg: Ich glaube nicht, dass wir uns in einem Cyberkrieg befinden. Aber wir machen uns auf jeden Fall Sorgen, dass es zu einem Angriff kommt, bei dem kritische Infrastruktur wie zum Beispiel das Stromnetz ins Visier genommen wird. Also ein Angriff, der nicht nur im digitalen Raum Schaden anrichtet, sondern auch in der analogen Welt schwerwiegende Folgen für unsere Bürger hat. Solche Angriffe haben wir bis jetzt aber noch nicht bemerkt.
Was für Angriffe gibt es dann?
Vor allem massiven Diebstahl und gegen Banken gerichtete DDoS-Attacken (Distributed-Denial-of-Service Attacken: Webseiten werden mit Anfragen überhäuft und brechen unter der Last zusammen; Anm. d. Red.). Wir sehen unterschiedlichste Vorfälle, nicht nur in den USA, sondern weltweit. Dazu gehört auch der Hackerangriff auf Sony Ende 2014. Das war ein Angriff, der in dieser Form selten vorkommt, aber enorme Auswirkungen hat. Da wurde die Souveränität der USA missachtet. Gleichzeitig wurde versucht, das Recht auf Meinungsfreiheit zu verletzen.
Präsident Obama hat Nordkorea für die Attacke auf Sony verantwortlich gemacht. Dabei ist es äußerst schwer, solche Angriffe zuzuordnen.
Richtig. Im Gegensatz zum klassischen Krieg gibt es zum Beispiel keine Raketen, die abgefeuert werden ...
... und Angreifer verwischen ihre Spuren oder legen bewusst falsche Fährten. Woher also die Gewissheit?
Das werde ich nicht kommentieren. Generell ist es eine Herausforderung, bei solchen Angriffen den Täter zu finden. Aber es ist kein unüberwindbares Hindernis. Es ist nicht wie in Hollywood-Filmen, in denen eine einzige Zeile Code ganze Systeme ausschalten kann. Die Aktivität muss eine gewisse Zeit andauern - und somit ist es einfacher zu sehen, woher sie kommt. Außerdem werden Menschen nachlässig, sie machen Fehler. Und nur, weil der Angriff im Cyberraum stattfindet, heißt es nicht, dass man nur diesen digitalen Fußspuren folgen kann.
Sondern?
Ich habe früher als Strafverfolger auch Fälle gehabt, die im Cyberspace stattgefunden haben. Wir haben geschaut, wohin das Geld fließt und mögliche Motive der Täter in Betracht gezogen.
Was, wenn Hacker ein Kraftwerk attackieren? In Deutschland wird diskutiert, ob das Internet zu einem Schlachtfeld geworden ist. Doch der Begriff "Cyberkrieg" dient vor allem als Drohkulisse.
Kürzlich wurde Github, eine Webseite für Programmierer, tagelang angegriffen. Es wurden vor allem zwei Unterseiten herausgepickt, die China-kritische Inhalte lieferten. Laut Berichten von IT-Experten soll in diesem Fall China dahinterstecken.
Dazu kann ich nichts sagen. Wir sind beunruhigt über jede bösartige Aktivität, die sich gegen Individuen oder Firmen richtet, insbesondere, wenn damit das Menschenrecht auf freie Meinungsäußerung verletzt werden soll.
Die USA hat China in der Vergangenheit bereits beschuldigt, Cyber-Angriffe auszuführen.
Es ist wichtig, in diesen Fällen klar und deutlich zu sagen, wer hinter dem Angriff steckt. So ein Verhalten ist in jeder Hinsicht inakzeptabel. Es ist wichtig, dass wir eine Norm etablieren, die solches Verhalten verbietet.
Wäre ein internationales Abkommen nicht sinnvoller?
Wir brauchen keine komplett neuen Regeln. Die USA weisen seit geraumer Zeit darauf hin, dass internationale Gesetze auch im Cyberspace gelten.
Doch diese Dokumente binden niemanden. Im Bereich Cyber-Kriminalität gibt es ein internationales Regelwerk, um Klarheit zu schaffen. Was einen Cyberkrieg ausmacht, ist hingegen unklar. Warum?
Ich selbst mag den Begriff Cyberkrieg nicht, eben weil er nur vage definiert ist. Obama hat im Fall von Sony auch von einem Cyberkonflikt gesprochen, und nicht von Krieg. Wir sind nicht ansatzweise an einem Punkt, an dem wir ein Vertrag aufsetzen könnten. Das ist alles noch zu sehr in der Entwicklung. Wir wollen, dass die Staaten gemeinsam anerkennen, dass im Cyberspace internationales Recht gilt.
Drei Dinge sind uns wichtig. Erstens: Staaten dürfen keine kritischen Infrastrukturen von anderen Staaten angreifen. Nicht in Friedenszeiten zumindest. Zweitens: Staaten dürfen nicht die Arbeit von CERT-Stellen (die sich um die Sicherheit der IT-Infrastruktur kümmern; Anm. d. Red.) behindern. Drittens: Auf Wunsch eines Drittstaates sollte es einem Staat erlaubt sein, beim Entschärfen eines Angriffs zu helfen.
Das klingt stark nach einer Vorstufe zu einem Abkommen.
Beim Atomwaffensperrvertrag gab es auch eine gemeinsame Haltung einer sehr großen Gruppe. Diese entschied sich zu handeln, um die Verbreitung von spaltbarem Material zu verhindern. Sie haben sich selbst zurückgehalten und sind dann gegen jene vorgegangen, die außerhalb der Gruppe standen. Das sollten wir jetzt auch versuchen: Konsens über einen längeren Zeitraum aufzubauen. Daran haben Staaten Interesse.
Seit dem Kalten Krieg gibt es ein Notfall-Telefon zwischen den USA und Russland, inzwischen auch für den Cyberbereich. Sollte so etwas auch für China eingeführt werden?
Es ist wichtig, dass man Missverständnisse, Fehleinschätzungen und unfreiwillige Eskalationen verhindert. Und weil der Bereich über den wir reden, so neu ist, wäre es durchaus eine Möglichkeit, so ein Notfall-Telefon einzurichten.
Die NSA soll Sicherheitslücken sammeln, mit denen Firmen angegriffen werden können. Falls ein Unternehmen tatsächlich attackiert wird und die NSA die ausgenutzte Schwachstelle gekannt hat - ist sie dann mitverantwortlich dafür?
In den USA und weltweit setzt man sich dafür ein, dass solche Schwachstellen aufgedeckt werden.
Hat sich durch die Enthüllungen von Edward Snowden die Verhandlungsposition der USA gegenüber anderen Staaten verändert?
Es ist für uns und für jede demokratische Gesellschaft wichtig, sicherzustellen, dass man die richtige Aufsicht und die richtigen Verfahren einsetzt. Ich glaube, die USA haben ein gutes System dafür. Aber wir dürfen nicht aus den Augen verlieren, was unser eigentliches Ziel ist. Wir müssen das Internet frei, offen und für alle nutzbar halten.