Als Kevin Coleman Ende April einen Vortrag vor einer Kommission des amerikanischen Kongress für die amerikanisch-chinesischen Wirtschafts- und Sicherheitsbeziehungen hielt, hatte er eine Überraschung parat. Der Computerexperte des Beratungsunternehmens Technolytics berichtete, dass China für seine Militär- und Regierungscomputer ein Betriebssystem namens Kylin geschaffen habe, das gegen Internetangriffe amerikanischer Militärs und Geheimdienste nahezu immun sei.
Außerdem hätten die Chinesen einen sicheren Mikroprozessor entwickelt, der sie zusätzlich gegen feindliche Hacker und Schadprogramme schütze. "Wir befinden uns in der Anfangsphase eines Wettrüstens im Cyberraum - und müssen entsprechend handeln", warnte er die Volksvertreter.
Damit fachte Coleman eine Diskussion an, die in den USA ohnehin schon begonnen hatte. In Washington, aber auch unter Regierungen Europas und Asiens grassiert die Angst vor einem Cyberkrieg oder einem Terroranschlag im virtuellen Raum. Sie befürchten, Hacker könnten durch geschickte Eingriffe über das Internet und andere Computernetze Stromausfälle auslösen, den Flugverkehr manipulieren oder den Finanzhandel zum Absturz bringen.
"Elektronischer Pearl Harbor"
Der Experte für Internetsicherheit in der Regierung Bush, Richard Clarke, warnte bereits vor Jahren vor einem "elektronischem Pearl Harbor"; im April skizzierte Wall Street Journal-Kolumnist Bret Stephens ein Szenario, das er "Hiroshima, 2.0" nannte. Und UN-Generalsekretär Ban Ki Moon sprach sich Anfang des Jahres dafür aus, Cyberwaffen künftig in der Liste der Massenvernichtungswaffen zu führen.
Wie groß die Gefahr einer Katastrophe in Folge eines Internetangriffs tatsächlich ist, weiß aber niemand ganz genau. Auf der einen Seite stehen Sicherheitsexperten, Regierungsmitglieder, Militärs, Vertreter der Rüstungsindustrie, die furchterregende Szenarien beschwören: Von explodierenden Kraftwerken, abstürzenden Flugzeugen, berstenden Staudämmen und unzähligen Toten ist dabei die Rede.
Auf der anderen Seite finden sich Skeptiker, die einen massiven Unfall nicht ausschließen, aber eben doch für unwahrscheinlich halten. "Man sollte die Gefahren nicht verniedlichen", sagt die an der ETH Zürich lehrende Expertin für Cyberrisiken, Myriam Dunn. "Warnungen vor dem Weltende aus dem Internet hört man aber seit den späten achtziger Jahren regelmäßig - dazu gekommen ist es nicht."
Völlig unbegründet sind die Sorgen um das Gefahrpotential der Netzwerke aber nicht - vor allem, wenn es um Spionage geht. 2007 lasen Cyberspione unter anderem E-Mails des amerikanischen Verteidigungsministers Robert Gates mit. Auch beim Rüstungsunternehmen Lockheed Martin, das für das Pentagon das Tarnkappenflugzeug F-35 Lightning II baut - ein 300 Milliarden Dollar teures Megaprojekt - ist Cyberspionen ein großer Coup gelungen.
Seit 2007 haben sie aus dem firmeninternen Computernetz Terabytes an Daten zu Elektronik und Design des Kampfjets abgesaugt, berichtete das Wall Street Journal Mitte April. Bereits Anfang April hatte die amerikanische Regierung zudem bestätigt, chinesische und russische Hacker würden versuchen, über das Internet das Stromnetz der USA auszukundschaften.
Die Eindringlinge hätten außerdem Schadprogramme installiert, die sie eines Tages zu aktivieren versuchen könnten. Und im September 2008 entdeckten britische und kanadische Sicherheitsexperten Spionagesoftware auf Computern mehrerer Botschaften, darunter im indischen Dharamsala, dem Exilsitz des Dalai Lama. Die Spuren der digitalen Schnüffelattacke führten nach China.
Bereits erste Angriffe
Auch auf neuralgische Knoten im Internet gab es bereits erste Angriffe. Als im vergangenen Sommer die bewaffnete Auseinandersetzung zwischen Russland und Georgien begann, griffen mutmaßlich russische Hacker Georgiens Computernetzwerke an.
Die Folge: Die elektronische Kommunikation der Regierung fiel aus. Ein Jahr davor hatten Hacker das Internet in Estland tagelang lahmgelegt, nachdem dort ein sowjetisches Kriegerdenkmal abgerissen werden sollte. "Das war nicht gerade ausgefeilt, aber effektiv", sagt der frühere CIA-Agent Jack Devine, Präsident der Arkin Group, einer New Yorker Beratungsfirma für Nachrichtendienste.
All das hat die US-Regierung jetzt bewegt, ein eigenes Militärkommando aufzubauen, das Cyberkrieger ausbildet, digitale Verteidigungsanlagen plant und falls nötig selbst elektronische Angriffe ausführt. Das Cyber-Kommando wird alle Initiativen der USA für den Krieg im Netz unter sich vereinen. Wer die neue Abteilung federführend gestalten wird, ist noch nicht entschieden. Doch das soll in Kürze bekannt gegeben werden.
Das US-Militär will sogar ein zweites Internet bauen, National Cyber Range genannt, das als Testgelände für digitale Verteidigungs- und Angriffsmaßnahmen dient. Es wäre das elektronische Pendant zu einer militärischen Sperrzone wie das Bikini Atoll im Pazifik, auf dem die USA in den 1940er und 1950er Jahren Atomwaffen testeten. Mehrere Firmen haben im Januar den Auftrag erhalten, innerhalb von sechs Monaten erste Prototypen eines Testnetzes zu bauen, unter denen das Pentagon eines oder mehrere zur Weiterentwicklung auswählen wird.
Diese Internetkopie muss riesige Netzwerke simulieren, zu denen all das gehört, was auch das echte Web auszeichnet: Millionen naiv surfender Nutzer, irrlichternde Spionagemails, abgeschottete Firmennetzwerke, Rechenzentren mit Servern, mobile Funknetze, Hackertruppen, die Firewalls überwinden wollen, und Verteidiger, die sie daran zu hindern suchen.
Was digitale Offensivwaffen angeht, gibt sich das amerikanische Militär allerdings bedeckt, obgleich sie zweifellos existieren. Bekannt ist, dass die USA nach dem 11. September AlQaidas Finanz- und Rekrutierungsnetzwerk mit Viren infiltrierten. Sie konnten den Geldfluss der Terroristen teilweise verfolgen und Überweisungen von Finanziers der Gruppe auf Konten umleiten, die vom amerikanischen Militär kontrolliert wurden. 2003 soll das US-Militär auch ernsthaft überlegt haben, im Irak das komplette Internet lahmzulegen.
Mit Kapersoftware ferngesteuerte Computer
Spekuliert wird außerdem über Mikroprozessoren für PC, in deren Architektur Viren quasi fest verdrahtet sind. Im Gespräch sind ferner Methoden, Netze sogenannter Bots - mit Kapersoftware ferngesteuerte Computer also - präventiv zu zerstören, bevor sie für Cyberattacken benutzt werden können. Diese Cyberaufrüstung kommt teuer. Deshalb will der Kongress die Ausgaben für diesen Zweck von derzeit jährlich 7,4 Milliarden Dollar auf 10,7 Milliarden anheben.
Vor dem Hintergrund der in jüngerer Zeit bekannt gewordenen Hackerattacken und der von Militärs ausgemalten Bedrohungsszenarien wird aber auch deutlich: Auch in Zukunft wird kein ernsthafter Krieg allein mit Cyberwaffen geführt, geschweige denn entschieden werden. Das schließt einen Terrorangriff von der Größenordnung wie die Anschläge vom 11. September 2001 allerdings nicht aus. Dazu müssten Hacker lediglich die Kontrolle über potentiell gefährliche Infrastruktureinrichtungen übernehmen, über ein Atomkraftwerk etwa oder über einen Staudamm.
Um diese Bedrohung zu veranschaulichen, werden zwei Beispiele angeführt. Im Jahre 2000 schaffte es ein verärgerter Angestellter eines australischen Klärwerks, mit einem Laptop und einer drahtlosen Internetverbindung aus einer Kläranlage Millionen Liter Abwasser in den Fluss und die Küstengewässer seiner Stadt Maroochydore in Queensland abzulassen.
2007 übernahm während eines vom amerikanischen Heimatschutzministerium geleiteten Experiments am Idaho National Laboratory ein Hacker die Kontrolle über einen Stromgenerator - und ließ das Gerät in einer Wolke von Rauch und Dampf aufgehen. "Man stelle sich einen solchen Angriff gegen sechzig Generatoren vor - und ähnliche Aktionen gegen Chemiefabriken", sagt Scott Borg, Direktor des Instituts US Cyber Consequences Unit, dem Wall Street Journal.
Daniel Rosenfield von der Elliott School of International Affairs an der George Washington University warnte im März in dem Politikjournal Critical Review jedoch davor, solche raren Vorfälle überzubewerten: "Die weitaus größere Gefahr liegt im Störpotential von Cyberangriffen." In Rosenfields Augen sind beispielsweise die Energieversorger inzwischen wachsam genug, dass solche Katastrophen kaum mehr eintreten dürften.
Kostspielige Verwirrung
Was Cyberkrieg heute auszeichne, seien vielmehr kostspielige, Verwirrung stiftende Eingriffe in den elektronischen Datenfluss, die konventionelle Kriege mitunter begleiten könnten. Als klassische Beispiele nennt er Attacken wie in Estland oder Georgien, bei denen Computernetze lahmgelegt wurden, indem sie mit massenhaften digitalen Anfragen überschüttet wurden.
"Die Schreckensszenarien verstellen den Blick auf die wahren Probleme", klagt auch die Sicherheitsexpertin Myriam Dunn. "Dabei erklärt sich dieses Weltuntergangsgeraune oft einfach aus dem Eigeninteresse der Sprecher - seien es die Industrie, die Bürokratie oder die Medien." Dunn und andere mahnen deshalb an, die Diskussion weniger apokalyptisch und mehr pragmatisch zu führen. Etwa die Gefährdung aus dem Internet primär als ein Sicherheitsdefizit zu verstehen.
Um das zu beheben, müssten sich die USA und andere Länder dann nicht darauf konzentrieren, eine Streitmacht von Cyberkriegern und das dazugehörende Waffenarsenal aufbauen. Ebenso wichtig sei es, die Privatwirtschaft zu überzeugen, die einen Großteil der kritischen Infrastruktur jedes Landes kontrolliert. So kommt die Rede rasch auf weniger martialische Mittel: auf staatlich geförderte Forschungsprogramme für Sicherheitstechnik, Haftungsregeln für Sicherheitslücken oder Steueranreize.