bedeckt München 16°

Sicherheitsexperte Lewis über Cyber-Krieg:"Wir müssen unsere Verteidigung stärken"

Bisher sind nur wenige große Staaten in der Lage, einen Cyber-Krieg zu führen. Doch die Technologie dafür verbreitet sich: Länder wie Iran oder Nordkorea könnten sich das zunutze machen - ebenso wie Hacker-Gruppen oder gar Terroristen. Wir stehen vor chaotischen Jahren, wenn wir die Abwehr dagegen nicht in Ordnung bringen, warnt James A. Lewis.

SZ: Cyber-Attacken machen bald täglich Schlagzeilen, Cyber-Krieg ist zum Modewort avanciert. Aber hat es schon eine Attacke gegeben, die uns eine Idee vermittelt, wie so ein Krieg aussehen würde?

Satellitenschüssel am Yangming in Taipei

Im Himmel, auf der Erde, im Meer - wo immer heute Daten strömen, durch die Luft oder durch Kabel, Antennen und Sensoren fangen die elektronischen Signale auf.

(Foto: REUTERS)

Lewis: Wir können ausgehend von ein paar Ereignissen ausrechnen, wie ein Cyber-Krieg aussehen würde, aber es hat noch nicht wirklich einen gegeben. Wir haben in den vergangenen fünf Jahren gesehen, dass das Internet ein zentraler Teil der Geschäfts- und Finanzwelt geworden ist und auch der Politik. Kriminelle nutzen das aus. Die meisten Vorfälle sind keine Angriffe - und erst recht kein Krieg. Aber wir sehen einen rapiden Anstieg der Kriminalität. Das macht den Menschen bewusst, wie verwundbar das Netzwerk ist, von dem wir abhängig sind und dass es im Falle eines Krieges wirkliche Schäden geben könnte.

SZ: Aber es gab ja Vorfälle, die mit einem politischen Konflikt zusammenhingen, wie die Attacken auf Estland 2007.

Lewis: Es gibt einen Riesen-Hype um Estland. Manche Leute sagen, die Cyber-Attacken hätten Estland in die Knie gezwungen. Das ist Quatsch. Sie haben enormen Druck auf die Regierung entfaltet, vor allem weil sie sich fragte: Was kommt als Nächstes? Ist das die Vorstufe einer russischen Invasion? Es war eine Aktion, die politischen Zwang ausgeübt hat. Aber es war kein Krieg, kein Angriff. Das ist der Grund, warum die Nato nicht den Bündnisfall nach Artikel fünf ausgerufen hat. Die Attacken wurden nicht als casus belli oder als Anwendung von Waffengewalt eingestuft.Wenn diese Denial-of-Service-Angriffe längerfortgesetzt und ausgedehnt worden wären, sodass sie einer Seeblockade gleichgekommen wären, dann hätte das vielleicht das Niveau von Kampfhandlungen erreicht.Es gibt also ein gewisses Maß an Unklarheit, wenn man Vorkommnisse wie in Estland auf die Spitze treiben würde.

SZ: Was ist mit Georgien im Jahr 2008? Da gingen die Attacken ja mit einer russischen Militäroperation einher.

Lewis: Interessanterweise sieht es danach aus, als seien hier dieselben Leute am Werk gewesen wie in Estland. Die Aktivitäten waren eng abgestimmt mit den Militäroperationen, was ein hohes Maß an Koordination mit der russischen Regierung impliziert. Georgien war ein Hinweis darauf, wie Russland Cyber-Angriffe in künftigen Konflikten einsetzen wird. Das diente politischen Zwecken; es war, was die Russen Informationskriegsführung nennen. Es erhöhte den Druck auf Georgiens Regierung, aber ich würde nicht sagen, dass das schon das Niveau von Kriegsführung erreicht hätte.

SZ: 2010 kam der Wurm Stuxnet ans Licht. Der sollte offenkundig das iranische Atomprogramm sabotieren.

Lewis: Stuxnet wäre ein Fall von Waffengewalt, weil er Zerstörung verursachte. Das ist einer der wenigen Fälle, es gibt allenfalls zwei oder drei, die als wirkliche Cyber-Attacken einzustufen sind. Stuxnet war, als würde man eine Kommandoeinheit losschicken, um in das Land einzudringen und eine Anlage zu sabotieren. Das eröffnet für Iran die Frage: Sollen wir das als bewaffneten Angriff, als Kriegshandlung betrachten? Das ist letztlich eine politische Entscheidung. Aber an sich war es kein Krieg. Krieg ist die kontinuierliche, fortgesetzte Anwendung von Gewalt, um Konzessionen von einem anderen Staat zu erzwingen.

SZ: Was würde dann einen Cyber-Krieg ausmachen?

Lewis: Cyber-Krieg, wie ihn Staaten führen würden, wäre Teil eines größeren militärischen Konflikts. Wir wissen aus öffentlich zugänglichen Dokumenten, wie die Doktrin einiger weniger Staaten aussehen würde. Wenn etwa die USA und China in einen Konflikt über Taiwan gerieten, würden die Chinesen Cyber-Techniken einsetzen in Kombination mit elektronischer Kriegsführung und Attacken auf Satelliten sowie Raketenangriffen auf US-Marine-Verbände. Die USA haben einen Vorteil in der Kriegsführung, weil sie Computer, Satelliten und Netzwerke nutzen - die Kommandeure erhalten haufenweise Daten. Wenn man das unterbrechen kann, verlieren die US-Truppen an Kampfkraft. Die USA würden versuchen, mit China das Gleiche zu tun. Die Kommandostruktur, die Gefechtsstände zu unterbrechen, den Nebel des Krieges zu verstärken - das wäre der erste Teil eines Cyber-Konflikts. Aber Staaten werden keinen reinen Cyber-Krieg beginnen. Cyber-Waffen sind nicht so zerstörerisch. Man kann damit nicht viel erreichen.Auch wenn Russland, China, die USA, Großbritannien, Israel und auch Frankreich die Fähigkeit haben, wirkliche Cyber-Angriffe zu führen - es ist nicht wahrscheinlicher, als dass sie eine Rakete abfeuern.

SZ: Szenarien, wie etwa die Strom- und Wasserversorgung per Cyber-Attacke lahmzulegen, sind also nicht realistisch?

Lewis: Ein Staat würde für den Einsatz von Cyberwaffen die gleiche Art militärischer Entscheidungen vornehmen wie für jede andere Art von Waffen. Welchen Vorteil bringt es, die Stromversorgung zu kappen? Und was sind die Risiken dabei? Wenn die USA und China im südchinesischen Meer kämpfen, ist das ein begrenzter Konflikt. Wenn China zivile Ziele auf dem Gebiet der USA attackiert, ist das eine ungeheure Eskalation, die das Risiko birgt, dass die USA auf chinesischem Boden zurückschlagen. Streitkräfte werden gründlich darüber nachdenken, bevor sie einen solchen Angriff wagen. Dazu kommt, dass solche Attacken schwierig sind, und wir dazu neigen, den Schaden zu überschätzen, den sie anrichten. Ich kann mir nicht vorstellen, warum jemand sich die Mühe machen sollte, die Wasserversorgung anzugreifen.