Richard Clarke beriet früher US-Präsidenten, heute reicht er seine Tipps an Firmenchefs weiter. Auf einer Fachkonferenz fasste er kürzlich zusammen, wie in Chefetagen über IT-Sicherheit nachgedacht wird: "Die sagen: 'Ich schütte dich zu mit Geld, ich sehe keine Rendite, und die Probleme, über die du redest, sind bei uns nie passiert.'"
Doch 2016 war ein Jahr, in dem viele Bedrohungs-Szenarien tatsächlich wahr geworden sind, sagt Clark. Ein Jahr, in dem Konzerne und Gesellschaft auch gemerkt haben, dass sie weitgehend auf sich alleine gestellt sind. Clarke nennt sieben Fälle, unter anderem den Angriff auf das Stromnetz in der Ukraine - Hacker legten es für Stunden lahm - und mehrere Cyberangriffe auf Swift, die Basis des globalen Geldverkehrs. Beide Angriffe sollen durch staatliche Stellen unterstützt worden sein.
Derselbe Staat, der vor den Bedrohungen eines Cyberkriegs warnt, hat sich den Interessen der Geheimdienste verschrieben. Bürger und Wirtschaft schützt er nicht.
Hans-Georg Maaßen, Chef des Bundesamtes für Verfassungsschutz, sprach kürzlich auf der Computermesse Cebit davon, dass "Nachrichtendienste und Streitkräfte fremder Länder den Cyberraum zunehmend als 'virtuelles Gefechtsfeld' betrachten." Die Bundesregierung vertritt daher die Meinung, dass kritische Infrastrukturen, zum Beispiel das Strom- und Schienennetz, von Staat und Wirtschaft gemeinsam abgesichert werden müssen.
Denn eine Gesellschaft, in der nahezu alles vom Funktionieren digitaler Prozesse abhängt, besitzt plötzlich deutlich mehr Angriffsfläche. Florin Talpes ist Chef des Antivirenherstellers Bitdefender und hat einen guten Überblick, was aktuelle Gefahren angeht. "Die Realität sieht leider so aus, dass die Welt in Zukunft unsicherer werden wird", sagt Talpes mit Blick auf smarte Uhren und smarte Häuser. Spione können sich, auch in Friedenszeiten, in den Netzwerken fremder Staaten umgucken und Informationen sammeln. Es ist ein Raum, in dem aktuell keine Regeln gelten.
Die Zahl digitaler Angriffe aus China ist stark zurückgegangen
Einer, der gerne Regeln etablieren will, ist Microsofts Nummer zwei, Brad Smith. Wenn Microsoft in das Weiße Haus eingeladen wird, um mit dem Präsidenten zu reden, früher Obama, heute Trump, ist Brad Smith auf den Fotos zu sehen. Seit Anfang des Jahres reist er um die Welt, um über eine Idee zu reden, die man beim ersten Hören als naiv bezeichnen könnte. Darum braucht Smith ein positives Beispiel. Wenn er über Hacker spricht, beginnt Smith mit China.
Smith fordert vor allem zwei Dinge: erstens, eine Art digitale Variante der Genfer Konvention. "Staaten sollten sich dazu verpflichten, in Friedenszeiten unter keinen Umständen zivile Infrastruktur anzugreifen", sagt er. Zweitens will er das digitale Äquivalent der Internationalen Atomenergie-Organisation (IAEA). Diese soll Hacking-Angriffe untersuchen, Täter ermitteln - und auch unter Druck setzen können. Mit einem solchen Vorschlag hätte man sowohl den Angriff auf das Stromnetz in der Ukraine als auch den auf Swift international ächten können.
Beide Forderungen betreffen internationales Völkerrecht. Sie wirken deshalb im ersten Moment fehl am Platz, wenn sie aus dem Mund von einem der Microsoft-Chefs kommen. Doch Smith entgegnet, auf einer Konferenz der Princeton-Universität: "Der Cyberraum ist der neue Kriegsschauplatz" - und klingt damit ähnlich wie Verfassungsschutz-Chef Maaßen.
Wenn Hacker einer Nation schaden wollen, finden sie Schwachstellen in Software. Also auch in Produkten, die Microsoft anbietet. Dringen Hacker in ein fremdes Netzwerk ein, schicken Firmen wie Microsoft ihre technischen Analysten vorbei, um die Angreifer wieder aus dem Netz zu entfernen.
Angriffe aus China signifikant reduziert
An diesem Punkt kommt Smith auf China zu sprechen. "Seit September 2015 hat sich die Zahl der Angriffe, die wir aus China sehen, signifikant reduziert", sagt er. Im September 2015 beschlossen USA und China, auf Wirtschaftsspionage zu verzichten. Ein freiwilliger Verzicht, der sich tatsächlich messen lasse: Weniger Firmengeheimnisse werden gestohlen, Diplomatie wirke und schütze die Wirtschaft, weltweit.
Wenn Smith redet, klingt es fast so, als wäre Microsoft ein Staat und Smith sein Außenminister (er selbst würde sich nie so bezeichnen). Es ist eine erstaunliche Aussage, die der Manager trifft. Normalerweise schweigen Firmen kategorisch über Hacker-Angriffe. Apple und Google zum Beispiel wollten sich zu der Aussage von Smith lieber nicht äußern. Aber es ist eine Aussage, die Smith eben auch strategisch hilft. Dadurch wirken seine Forderungen nicht mehr naiv, sondern durchaus durchdacht.
Attacken bleiben in Firmennetzen im Schnitt 100 Tage unentdeckt
Denn zur Realität gehört auch, dass Staaten gezielt nach Schwachstellen in Software suchen, die sie ausnutzen können. Dadurch können sie spionieren, sabotieren und angreifen. "Wir haben seit Jahrhunderten akzeptiert, dass Regierungen sich gegenseitig ausspionieren", sagt Smith. Doch die Grenze ist fließend. Die Sicherheitslücken, die ausgenutzt werden - also der Weg in das Netzwerk hinein - kann identisch sein. Staaten geben viel Geld aus, um diese Lücken zu finden. Warum sollten sie also dieses Wissen mit den Firmen teilen?
"Wir gehen nicht davon aus, dass diese Welt sicherer wird, wenn Regierungen in unsere Netzwerke eindringen", sagt Smith. Wenn es nach ihm ginge, sollten Regierungen das Wissen um Schwachstellen direkt weiterleiten. Doch er weiß auch, dass Staaten sich weigern, nicht zuletzt mit einem Hinweis darauf, dass andere Staaten sich diese Frage gar nicht erst stellen. Deshalb fordert Smith auch ein internationales Abkommen.
Ein Kampf, bei dem nur eine Seite gewinnt: die Hacker
Bis es soweit ist, müssen sich Firmen vor Angreifern schützen, die ihren IT-Abteilungen meist deutlich überlegen sind. Während die Konzern-IT keinen Fehler machen darf, genügt es Angreifern, hin und wieder mal richtig zu liegen. Es ist ein Kampf, bei dem die eine Seite nur gewinnen, die andere nur verlieren kann - aber das nicht sofort erkennt.
Das ist gemeint, wenn Talpes von Bitdefender einen Satz sagt, wie man ihn in den vergangenen Jahren öfter hören konnte: "Die Frage ist nicht, ob ein Unternehmen gehackt wird. Die Frage ist, wie schnell es dem Unternehmen auffällt." Einem aktuellen Bericht der IT-Sicherheitsfirma Fireeye zufolge bleiben Hacker in Firmennetzwerken im Durchschnitt mehr als 100 Tage unentdeckt.
