Mindestens 2000 Geheimwege kennt die NSA, um sich illegal Zugang zu Systemen zu verschaffen. Es sind Einbrüche, gegen die sich Betreiber von Computersystemen nicht wehren können, da die NSA in diesen 2000 Fällen spezielle Lücken nutzt, über die nur eine Handvoll Menschen Bescheid weiß. Diese Lücken sind die ersten Schritte, um digitale Waffen zu platzieren. Ein Beispiel dafür ist der Stuxnet-Angriff, bei dem das iranische Atomwaffenprogramm sabotiert wurde. Ein Coup, ermöglicht einzig und allein durch Ausnutzen einer ganzen Reihe von Schwachstellen in Computersystemen.
Stuxnet ist vor allem aber: eine Ausnahme. Bislang dient der Begriff Cyberkrieg Regierungen vor allem als Drohkulisse.
So wird in Deutschland und den USA intensiv darüber diskutiert, ob das Internet zu einem Schlachtfeld geworden ist. Der frühere amerikanische Verteidigungsminister Leon Panetta warnte abwechselnd vor einem "Cyber Pearl Harbor" und einem "neuen 11. September", zitierte also jene zwei Ereignisse, die das amerikanische Selbstverständnis grundlegend verändert haben. Angriffe, bei denen Tausende Menschen starben und die als Kriegsgrund dienten.
Dieser Cyberwar werde vor allem die kritische Infrastruktur betreffen, also zum Beispiel Stauseen und Kraftwerke. IT-Experten wie Eugene Kaspersky rechnen damit, dass Hacker 2015 vor allem versuchen werden, diese Einrichtungen digital zu attackieren. Eine Studie aus dem Jahr 2011 ergab, dass 10 000 solcher Systeme online sind und mit teilweise trivialen Methoden übernommen werden können. In Zukunft wird diese Zahl zunehmen und damit die Zahl potenzieller Angriffsziele.
Es starben keine Menschen
Doch Thomas Rid bleibt gelassen. Der Professor für Security Studies am Kings College in London hat ein Buch über das Thema geschrieben, es trägt den Titel "Cyberwar will not take place". Also: Der Cyberkrieg wird nicht stattfinden. "Das Wort Krieg ist einfach fehl am Platz. Es fehlt die physische Gewalt, bei solchen Angriffen sind bisher Menschen weder Menschen verletzt noch getötet worden", sagt Rid. Kriege seien Konfliktsituationen, in denen zwei Gegner jeweils den eigenen Willen durchsetzen wollen, vor allem mit Gewalt.
Beim Konzept Cyberkrieg wird oft betont, dass eine Gleichwertigkeit zu einem physischen Krieg gegeben sein muss. Ein digitaler Angriff muss ähnlich verheerende Folgen haben wie die konventionelle Variante. Genau das sei bislang aber nicht der Fall, so Rid.
Bis heute sind nur zwei Angriffe bekanntgeworden, die in Gänze digital abgelaufen sind und kritische Infrastruktur attackiert haben. Bei einem sind die Umstände noch unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Ende 2014 einen Bericht, in dem es heißt, dass ein Stahlwerk in Deutschland digital angegriffen und dabei ein Hochofen schwer beschädigt wurde (hier die PDF-Datei). Um welches Unternehmen es sich handelt, ist nicht bekannt. Der zweite gut dokumentierte Fall ist Stuxnet. Wer ihn näher betrachtet, versteht das Prinzip von Angriffen besser, die nur im digitalen Raum stattfinden.
Liam O'Murchu ist seit elf Jahren Sicherheitsforscher bei der IT-Firma Symantec und hat die größten Computerwürmer und -viren der vergangenen Jahre analysiert. Auch Stuxnet gehört dazu. "Wir wussten schnell, dass ein Staat dahinterstecken muss", sagt er. Zum einen sei der Programmiercode unüblich groß gewesen - 500 Kilobyte, der Regelfall seien 15 - zum anderen besonders gut geschrieben. "Normalerweise arbeiten zwei bis drei Menschen an Schadsoftware, ungefähr ein halbes Jahr. An Stuxnet hat ein großes Team gearbeitet, über Jahre hinweg", sagt O'Murchu.