bedeckt München 30°

Sicherheitsexperte Lewis über Cyber-Krieg:"Es gibt keine hundertprozentige Anonymität für Angriffe"

SZ: Würde das nicht das Alltagsleben massiv stören, Panik verursachen und eine Nation ernsthaft schwächen?

Lewis: Es gibt Tausende Ziele in den USA, und man müsste jedes einzelne davon treffen, um wirklich einen Effekt zu erzielen. Es gibt mindestens 3000 Kraftwerke in den USA. Wir sind verwundbar in der Art, wie wir Strom weiterleiten, und das versuchen wir gerade zu beheben. Man kann das mit strategischen Bombardements vergleichen: Was wir darüber wissen, ist, dass sie ein Fehlschlag waren. Nationen, vor allem Industrieländer, halten einiges aus. Die Leute sind erfinderisch. Jagt man eine Brücke hoch, führen am nächsten Tag Baumstämme über den Fluss. In einem Krieg muss man eine Vielzahl von Zielen mehrere Male über einen ausgedehnten Zeitraum treffen, um die militärischen Fähigkeiten eines Landes zu schädigen. Cyber-Attacken erreichen das nicht.

SZ: Militärische Verteidigung und auch Abschreckung beruhen darauf, dass man weiß, wo ein Angriff seinen Ursprung hat. Wäre es im Fall von Cyber-Attacken nicht so, dass man keine Ahnung hat, von wem man angegriffen wird?

Lewis: Derzeit ist das meiner Ansicht nach nicht der Fall. Es gibt nur eine Handvoll Länder, die zu solchen Angriffen in der Lage sind. Außerdem werden die Schwierigkeiten bei der Zuordnung überschätzt. Es ist nicht so, dass es eine hundertprozentige Anonymität für Angriffe gibt. Vor ein paar Jahren sagte mir der für die offensiven Cyber-Fähigkeiten der USA verantwortliche General, das US-Militär könne in einem Drittel der Fälle Angriffe fast augenblicklich zuordnen. Die Botschaft an den Angreifer ist: "Du spielst Russisches Roulette mit einem Revolver mit nur drei Kammern!" Seither haben mir andere Militärangehörige versichert, dass unsere Fähigkeit, Angriffe zuzuordnen, wesentlich besser ist. Das schafft Unsicherheit für den Angreifer: Ich könnte unerkannt davonkommen, die USA könnten aber auch dahinterkommen. Es ist das Gleiche, wie wenn man ein Sabotage-Kommando losschickt. Man kann die Schilder aus ihren Kleidern trennen, sodass man nicht erkennen kann, woher sie kommen, sollten sie geschnappt werden. Aber wie sicher kann man sein, dass das funktioniert? Das ist, worauf es am Ende ankommt. Aber die Zuordnung wird oft übertrieben als Problem dargestellt.

SZ: Das schreckt vielleicht China oder Russland ab. Aber was ist mit Gegnern, die einen asymmetrischen Vorteil suchen, gar mit nichtstaatlichen Akteuren?

Lewis: Das ist das eigentliche Dilemma. Zurzeit besitzen nur wenige Staaten ernstzunehmende Angriffsfähigkeiten. Aber wir beobachten eine Weiterverbreitung solcher Fähigkeiten an Länder, die nicht so stabil sind, etwa Iran oder Nordkorea, und auch an nichtstaatliche Akteure. Was passiert, wenn Anarchisten die Fähigkeit haben, eine Cyber-Attacke in Gang zu setzen? Sie werden sich nicht abschrecken lassen. Wir müssen unsere Verteidigung stärken, sonst sehen wir ein paar chaotischen Jahren entgegen. Denken Sie an Anonymous. Was können die? Sie können die Internetseite von jemandem verunstalten. Aber wenn sie das Licht in einer Stadt für ein, zwei Tage ausschalten könnten? Das wäre mehr als nur irritierend.

SZ: Was folgt daraus für die Cyber-Verteidigung? Welche Fähigkeiten muss ein modernes Industrieland entwickeln?

Lewis: Das heißt, dass man auf mindestens drei Ebenen Fähigkeiten braucht. Ein Teil sind militärische Fähigkeiten und Geheimdienste, um potentiellen Gegnern klarzumachen, dass man in der Lage ist, auf Angriffe zu antworten. Man braucht starke Strafverfolger. Daran mangelt es, weil Länder nicht bereit sind zu kooperieren. Eine bessere, internationale Strafverfolgung würde das Risiko von Cyber-Attacken reduzieren. Und schließlich braucht man einen Heimatschutz-Ansatz, vor allem die Härtung kritischer Infrastrukturen gegen Angriffe. Wir wissen, dass private Firmen das von sich aus nicht in ausreichendem Maße tun werden. Deshalb brauchen wir Regulierungen für manche Schlüsselbranchen, damit die minimalen Anforderungen an die Cyber-Sicherheit erfüllt werden. Das betrifft aber nur sehr wenige Sektoren: Stromversorger, Telekommunikations- und Internetdienstanbieter sowie das Finanzsystem.

SZ: Cyberattacken nutzen ja üblicherweise Sicherheitslücken in Netzwerken oder Programmierfehler in Software aus. Um solche Attacken detektieren zu können und eine wirksame Verteidigung aufzubauen, muss man also diese Sicherheitslücken finden - etwas, was man auch braucht, um offensive Fähigkeiten entwickeln zu können. Wenn man eine Lücke entdeckt hat, kann man sie entweder stopfen oder man lässt sie offen, um sie später für offensive Zwecke zu nutzen. Wie kann man dieses Dilemma lösen?

Lewis: Es stimmt, dass man sich leichter verteidigen kann, wenn man aus den offensiven Fähigkeiten Rückschlüsse für die Defensive zieht. Es ist nicht unerlässlich, aber es macht es einfacher. Die Frage kommt regelmäßig auf, ob man eine Lücke bekanntmacht oder das Geheimnis für sich behält. Es muss einen politischen Prozess innerhalb der Regierung geben, um diese Entscheidungen zu treffen. Die USA haben sich üblicherweise dafür entschieden, dass es besser ist, eine Verwundbarkeit abzustellen und die Information zu teilen, als sich die Angriffsmöglichkeit zu erhalten. Manches davon ist schlicht Arroganz, weil wir immer davon ausgehen, dass uns schon etwas anderes einfallen wird. Aber das kann man nicht allein dem Militär oder Geheimdiensten überlassen. Es muss eine politische Kontrolle auf Kabinettsebene geben, die diese Entscheidungen trifft.

SZ: Was ist mit dem Datenschutz und dem Schutz der Privatsphäre im digitalen Raum? Steht das im Widerspruch zu den Sicherheitsanforderungen?

Lewis: Die Leute sind zu Recht besorgt, denn die effektivsten Techniken in der Cyber-Sicherheit sind intrusiv. Man muss den Datenverkehr anschauen, wenn man die Muster böswilliger Aktivitäten erkennen will. Wenn man das macht, ist die Reaktion vieler Menschen: "Gut, sie sagen, dass sie nur meinen Datenverkehr beobachten, um Schadprogramme zu erkennen. Aber woher weiß ich, dass sie nicht auch den Inhalt mitlesen?" Das ist eine berechtigte Frage. Deswegen müssen wir über Aufsicht nachdenken, über Transparenz, darüber, wie man den Bürgern garantieren kann, dass dies nur für die Cyber-Sicherheit getan wird und nicht für weiterreichende Zwecke. Das stellt sich als wirklich schwierig heraus, auch weil staatliche Stellen sich in der Vergangenheit nicht daran gehalten haben. Am Ende geht es um die Frage: Trauen die Bürger dem Staat? Wie man dieses Vertrauen aufbauen kann, das ist die Frage.

Lesen Sie mehr zum Thema

Zur SZ-Startseite