SZ: Cyber-Attacken machen bald täglich Schlagzeilen, Cyber-Krieg ist zum Modewort avanciert. Aber hat es schon eine Attacke gegeben, die uns eine Idee vermittelt, wie so ein Krieg aussehen würde?
Im Himmel, auf der Erde, im Meer - wo immer heute Daten strömen, durch die Luft oder durch Kabel, Antennen und Sensoren fangen die elektronischen Signale auf.
(Foto: REUTERS)Lewis: Wir können ausgehend von ein paar Ereignissen ausrechnen, wie ein Cyber-Krieg aussehen würde, aber es hat noch nicht wirklich einen gegeben. Wir haben in den vergangenen fünf Jahren gesehen, dass das Internet ein zentraler Teil der Geschäfts- und Finanzwelt geworden ist und auch der Politik. Kriminelle nutzen das aus. Die meisten Vorfälle sind keine Angriffe - und erst recht kein Krieg. Aber wir sehen einen rapiden Anstieg der Kriminalität. Das macht den Menschen bewusst, wie verwundbar das Netzwerk ist, von dem wir abhängig sind und dass es im Falle eines Krieges wirkliche Schäden geben könnte.
SZ: Aber es gab ja Vorfälle, die mit einem politischen Konflikt zusammenhingen, wie die Attacken auf Estland 2007.
Lewis: Es gibt einen Riesen-Hype um Estland. Manche Leute sagen, die Cyber-Attacken hätten Estland in die Knie gezwungen. Das ist Quatsch. Sie haben enormen Druck auf die Regierung entfaltet, vor allem weil sie sich fragte: Was kommt als Nächstes? Ist das die Vorstufe einer russischen Invasion? Es war eine Aktion, die politischen Zwang ausgeübt hat. Aber es war kein Krieg, kein Angriff. Das ist der Grund, warum die Nato nicht den Bündnisfall nach Artikel fünf ausgerufen hat. Die Attacken wurden nicht als casus belli oder als Anwendung von Waffengewalt eingestuft.Wenn diese Denial-of-Service-Angriffe längerfortgesetzt und ausgedehnt worden wären, sodass sie einer Seeblockade gleichgekommen wären, dann hätte das vielleicht das Niveau von Kampfhandlungen erreicht.Es gibt also ein gewisses Maß an Unklarheit, wenn man Vorkommnisse wie in Estland auf die Spitze treiben würde.
SZ: Was ist mit Georgien im Jahr 2008? Da gingen die Attacken ja mit einer russischen Militäroperation einher.
Lewis: Interessanterweise sieht es danach aus, als seien hier dieselben Leute am Werk gewesen wie in Estland. Die Aktivitäten waren eng abgestimmt mit den Militäroperationen, was ein hohes Maß an Koordination mit der russischen Regierung impliziert. Georgien war ein Hinweis darauf, wie Russland Cyber-Angriffe in künftigen Konflikten einsetzen wird. Das diente politischen Zwecken; es war, was die Russen Informationskriegsführung nennen. Es erhöhte den Druck auf Georgiens Regierung, aber ich würde nicht sagen, dass das schon das Niveau von Kriegsführung erreicht hätte.
SZ:2010 kam der Wurm Stuxnet ans Licht. Der sollte offenkundig das iranische Atomprogramm sabotieren.
Lewis: Stuxnet wäre ein Fall von Waffengewalt, weil er Zerstörung verursachte. Das ist einer der wenigen Fälle, es gibt allenfalls zwei oder drei, die als wirkliche Cyber-Attacken einzustufen sind. Stuxnet war, als würde man eine Kommandoeinheit losschicken, um in das Land einzudringen und eine Anlage zu sabotieren. Das eröffnet für Iran die Frage: Sollen wir das als bewaffneten Angriff, als Kriegshandlung betrachten? Das ist letztlich eine politische Entscheidung. Aber an sich war es kein Krieg. Krieg ist die kontinuierliche, fortgesetzte Anwendung von Gewalt, um Konzessionen von einem anderen Staat zu erzwingen.
SZ: Was würde dann einen Cyber-Krieg ausmachen?
Lewis: Cyber-Krieg, wie ihn Staaten führen würden, wäre Teil eines größeren militärischen Konflikts. Wir wissen aus öffentlich zugänglichen Dokumenten, wie die Doktrin einiger weniger Staaten aussehen würde. Wenn etwa die USA und China in einen Konflikt über Taiwan gerieten, würden die Chinesen Cyber-Techniken einsetzen in Kombination mit elektronischer Kriegsführung und Attacken auf Satelliten sowie Raketenangriffen auf US-Marine-Verbände. Die USA haben einen Vorteil in der Kriegsführung, weil sie Computer, Satelliten und Netzwerke nutzen - die Kommandeure erhalten haufenweise Daten. Wenn man das unterbrechen kann, verlieren die US-Truppen an Kampfkraft. Die USA würden versuchen, mit China das Gleiche zu tun. Die Kommandostruktur, die Gefechtsstände zu unterbrechen, den Nebel des Krieges zu verstärken - das wäre der erste Teil eines Cyber-Konflikts. Aber Staaten werden keinen reinen Cyber-Krieg beginnen. Cyber-Waffen sind nicht so zerstörerisch. Man kann damit nicht viel erreichen.Auch wenn Russland, China, die USA, Großbritannien, Israel und auch Frankreich die Fähigkeit haben, wirkliche Cyber-Angriffe zu führen - es ist nicht wahrscheinlicher, als dass sie eine Rakete abfeuern.
SZ: Szenarien, wie etwa die Strom- und Wasserversorgung per Cyber-Attacke lahmzulegen, sind also nicht realistisch?
Lewis: Ein Staat würde für den Einsatz von Cyberwaffen die gleiche Art militärischer Entscheidungen vornehmen wie für jede andere Art von Waffen. Welchen Vorteil bringt es, die Stromversorgung zu kappen? Und was sind die Risiken dabei? Wenn die USA und China im südchinesischen Meer kämpfen, ist das ein begrenzter Konflikt. Wenn China zivile Ziele auf dem Gebiet der USA attackiert, ist das eine ungeheure Eskalation, die das Risiko birgt, dass die USA auf chinesischem Boden zurückschlagen. Streitkräfte werden gründlich darüber nachdenken, bevor sie einen solchen Angriff wagen. Dazu kommt, dass solche Attacken schwierig sind, und wir dazu neigen, den Schaden zu überschätzen, den sie anrichten. Ich kann mir nicht vorstellen, warum jemand sich die Mühe machen sollte, die Wasserversorgung anzugreifen.
"Es gibt keine hundertprozentige Anonymität für Angriffe"
SZ: Würde das nicht das Alltagsleben massiv stören, Panik verursachen und eine Nation ernsthaft schwächen?
Lewis: Es gibt Tausende Ziele in den USA, und man müsste jedes einzelne davon treffen, um wirklich einen Effekt zu erzielen. Es gibt mindestens 3000 Kraftwerke in den USA. Wir sind verwundbar in der Art, wie wir Strom weiterleiten, und das versuchen wir gerade zu beheben. Man kann das mit strategischen Bombardements vergleichen: Was wir darüber wissen, ist, dass sie ein Fehlschlag waren. Nationen, vor allem Industrieländer, halten einiges aus. Die Leute sind erfinderisch. Jagt man eine Brücke hoch, führen am nächsten Tag Baumstämme über den Fluss. In einem Krieg muss man eine Vielzahl von Zielen mehrere Male über einen ausgedehnten Zeitraum treffen, um die militärischen Fähigkeiten eines Landes zu schädigen. Cyber-Attacken erreichen das nicht.
SZ: Militärische Verteidigung und auch Abschreckung beruhen darauf, dass man weiß, wo ein Angriff seinen Ursprung hat. Wäre es im Fall von Cyber-Attacken nicht so, dass man keine Ahnung hat, von wem man angegriffen wird?
Lewis: Derzeit ist das meiner Ansicht nach nicht der Fall. Es gibt nur eine Handvoll Länder, die zu solchen Angriffen in der Lage sind. Außerdem werden die Schwierigkeiten bei der Zuordnung überschätzt. Es ist nicht so, dass es eine hundertprozentige Anonymität für Angriffe gibt. Vor ein paar Jahren sagte mir der für die offensiven Cyber-Fähigkeiten der USA verantwortliche General, das US-Militär könne in einem Drittel der Fälle Angriffe fast augenblicklich zuordnen. Die Botschaft an den Angreifer ist: "Du spielst Russisches Roulette mit einem Revolver mit nur drei Kammern!" Seither haben mir andere Militärangehörige versichert, dass unsere Fähigkeit, Angriffe zuzuordnen, wesentlich besser ist. Das schafft Unsicherheit für den Angreifer: Ich könnte unerkannt davonkommen, die USA könnten aber auch dahinterkommen. Es ist das Gleiche, wie wenn man ein Sabotage-Kommando losschickt. Man kann die Schilder aus ihren Kleidern trennen, sodass man nicht erkennen kann, woher sie kommen, sollten sie geschnappt werden. Aber wie sicher kann man sein, dass das funktioniert? Das ist, worauf es am Ende ankommt. Aber die Zuordnung wird oft übertrieben als Problem dargestellt.
SZ: Das schreckt vielleicht China oder Russland ab. Aber was ist mit Gegnern, die einen asymmetrischen Vorteil suchen, gar mit nichtstaatlichen Akteuren?
Lewis: Das ist das eigentliche Dilemma. Zurzeit besitzen nur wenige Staaten ernstzunehmende Angriffsfähigkeiten. Aber wir beobachten eine Weiterverbreitung solcher Fähigkeiten an Länder, die nicht so stabil sind, etwa Iran oder Nordkorea, und auch an nichtstaatliche Akteure. Was passiert, wenn Anarchisten die Fähigkeit haben, eine Cyber-Attacke in Gang zu setzen? Sie werden sich nicht abschrecken lassen. Wir müssen unsere Verteidigung stärken, sonst sehen wir ein paar chaotischen Jahren entgegen. Denken Sie an Anonymous. Was können die? Sie können die Internetseite von jemandem verunstalten. Aber wenn sie das Licht in einer Stadt für ein, zwei Tage ausschalten könnten? Das wäre mehr als nur irritierend.
SZ: Was folgt daraus für die Cyber-Verteidigung? Welche Fähigkeiten muss ein modernes Industrieland entwickeln?
Lewis: Das heißt, dass man auf mindestens drei Ebenen Fähigkeiten braucht. Ein Teil sind militärische Fähigkeiten und Geheimdienste, um potentiellen Gegnern klarzumachen, dass man in der Lage ist, auf Angriffe zu antworten. Man braucht starke Strafverfolger. Daran mangelt es, weil Länder nicht bereit sind zu kooperieren. Eine bessere, internationale Strafverfolgung würde das Risiko von Cyber-Attacken reduzieren. Und schließlich braucht man einen Heimatschutz-Ansatz, vor allem die Härtung kritischer Infrastrukturen gegen Angriffe. Wir wissen, dass private Firmen das von sich aus nicht in ausreichendem Maße tun werden. Deshalb brauchen wir Regulierungen für manche Schlüsselbranchen, damit die minimalen Anforderungen an die Cyber-Sicherheit erfüllt werden. Das betrifft aber nur sehr wenige Sektoren: Stromversorger, Telekommunikations- und Internetdienstanbieter sowie das Finanzsystem.
SZ: Cyberattacken nutzen ja üblicherweise Sicherheitslücken in Netzwerken oder Programmierfehler in Software aus. Um solche Attacken detektieren zu können und eine wirksame Verteidigung aufzubauen, muss man also diese Sicherheitslücken finden - etwas, was man auch braucht, um offensive Fähigkeiten entwickeln zu können. Wenn man eine Lücke entdeckt hat, kann man sie entweder stopfen oder man lässt sie offen, um sie später für offensive Zwecke zu nutzen. Wie kann man dieses Dilemma lösen?
Lewis: Es stimmt, dass man sich leichter verteidigen kann, wenn man aus den offensiven Fähigkeiten Rückschlüsse für die Defensive zieht. Es ist nicht unerlässlich, aber es macht es einfacher. Die Frage kommt regelmäßig auf, ob man eine Lücke bekanntmacht oder das Geheimnis für sich behält. Es muss einen politischen Prozess innerhalb der Regierung geben, um diese Entscheidungen zu treffen. Die USA haben sich üblicherweise dafür entschieden, dass es besser ist, eine Verwundbarkeit abzustellen und die Information zu teilen, als sich die Angriffsmöglichkeit zu erhalten. Manches davon ist schlicht Arroganz, weil wir immer davon ausgehen, dass uns schon etwas anderes einfallen wird. Aber das kann man nicht allein dem Militär oder Geheimdiensten überlassen. Es muss eine politische Kontrolle auf Kabinettsebene geben, die diese Entscheidungen trifft.
SZ: Was ist mit dem Datenschutz und dem Schutz der Privatsphäre im digitalen Raum? Steht das im Widerspruch zu den Sicherheitsanforderungen?
Lewis: Die Leute sind zu Recht besorgt, denn die effektivsten Techniken in der Cyber-Sicherheit sind intrusiv. Man muss den Datenverkehr anschauen, wenn man die Muster böswilliger Aktivitäten erkennen will. Wenn man das macht, ist die Reaktion vieler Menschen: "Gut, sie sagen, dass sie nur meinen Datenverkehr beobachten, um Schadprogramme zu erkennen. Aber woher weiß ich, dass sie nicht auch den Inhalt mitlesen?" Das ist eine berechtigte Frage. Deswegen müssen wir über Aufsicht nachdenken, über Transparenz, darüber, wie man den Bürgern garantieren kann, dass dies nur für die Cyber-Sicherheit getan wird und nicht für weiterreichende Zwecke. Das stellt sich als wirklich schwierig heraus, auch weil staatliche Stellen sich in der Vergangenheit nicht daran gehalten haben. Am Ende geht es um die Frage: Trauen die Bürger dem Staat? Wie man dieses Vertrauen aufbauen kann, das ist die Frage.
"Autoritäre Systeme sind inzwischen viel kultivierter und geschickter"
SZ: Gibt es Ihrer Meinung nach in den westlichen Ländern eine ausreichende und wirksame Aufsicht, sei es in den USA, Großbritannien oder Deutschland?
Lewis: Vermutlich ist die Antwort in jedem der Fälle nein. Der Grund ist folgender: Die sensibelsten Arten technischer Aufklärung stehen in direkter Beziehung mit der Cyber-Sicherheit, und jedes der drei genannten Länder, aber auch Frankreich China und Russland betrachten diese Art der Aufklärung als das Heiligste vom Heiligen, etwas, über das man öffentlich nicht spricht. Wir müssen also einen Weg finde, wie wir über Dinge sprechen können, die einst als Tabu galten, und das ist schwierig. Man kann Cyber-Sicherheit nicht verstehen, wenn man technische Aufklärung nicht versteht. Aber sobald man das sagt, kommt jemand und stempelt "top secret" drauf. Wir müssen einen Weg finden, ein bisschen offener zu sein, um der Öffentlichkeit vermitteln zu können, dass es Aufsicht und Kontrollen gibt, die das Risiko für die Privatsphäre und die Bürgerrechte reduzieren.
SZ:Es ist wohl eine berechtigte Annahme, dass diese Sorgen in China oder Russland weniger ernst genommen werden als in den USA oder in Europa. Geraten wir dadurch gegenüber diesen Staaten ins Hintertreffen?
Lewis:Wir sind im Nachteil. Das ist eine größere politische Debatte. Von Russland einmal abgesehen: China ist ein leninistischer Staat, auch wenn er den Kapitalismus befürwortet. Es gibt keine freien Wahlen und keine öffentlichen Debatten, keine Bürgerrechtsorganisationen. Das gleiche trifft im Wesentlichen auf Russland zu. Autoritäre Regime haben einen unmittelbaren Vorteil. Aber das Gegenargument war immer, auf lange Sicht wird die Demokratie siegen, und ich hoffe, dass sich das bewahrheitet.
SZ:Glauben sie, dass die Vorteile eines relativ freien Netzes die Nachteile aufwiegen?
Lewis:Das ist ein bekanntes Problem der Statistik: Man schaut sich die Erfahrungen der Vergangenheit an und versucht daraus die Zukunft vorherzusagen. Im abgelaufenen Jahrhundert waren die Demokratien in jedem Fall in der Lage, den Autoritarismus zu überflügeln. Und wir nehmen daher an, wenn Demokratien dazu im 20. Jahrhundert in der Lage waren, dann werden sie es auch 2012 sein. Ich weiß es nicht. Autoritäre Systeme sind inzwischen viel kultivierter und geschickter. Das ist nicht mehr die Sowjetunion.
SZ:Eine Idee, wie man mit diesem Problem zu Rande kommen könnte, ist das wir sowas wie einen Verhaltenskodex für Staaten brauchen, wie es der britische Außenminister William Hague vergangenes Jahr in München vorgeschlagen hat, wahrscheinlich sogar eine Begrenzung der Fähigkeiten, wie sie die Rüstungskontrollverträge bei den Atomwaffen erreicht haben. Kann das für Cyberwaffen funktionieren, die ja unter totaler Geheimhaltung entwickelt werden können?
Lewis:Viele Leute reagieren allergisch, wenn man Rüstungskontrolle erwähnt. Aber es gibt die Idee von Normen, ein Modell, bei dem sich gleichgesinnte Staaten darauf verständigen, was das richtige Verhalten für verantwortungsbewusste Staaten ist. Das wäre eine nützliche Sache. Was erwarten wir, wie sich Staaten im Cyberspace verhalten sollen? Was erwarten wir, wie sie über Kriegsführung denken und wie sie das existierende internationale Recht über bewaffnete Konflikte anwenden? Das wären alles sinnvolle Schritte weil sie die Breite möglicher Cyber-Konflikte eingrenzen würden und das Risiko von Fehlkalkulationen und das Maß an Unsicherheit verringern würden. Worüber ich mir Sorgen mache, ist, dass eine Tages jemand etwas tun wird, und der Angegriffene dies als bewaffneten Angriff fehlinterpretiert und es in der Folge zu einem militärischen Konflikt kommt. Wenn wir die Unsicherheit reduzieren, die Fehlwahrnehmungen, dann schafft das Stabilität.
Es wäre gut, wenn wir das bald tun würden, aber eine Konferenz zu dem Thema, die jüngst in London stattgefunden hat, war ein schlechter Start dafür. Es gibt diese alten Mythen über das Internet, wie wundervoll und frei es ist und welch Quelle von Innovation. Das ist größtenteils Unsinn, China hat kein offenes und freies Internet und ist in die vergangenen dreißig Jahre in Folge schneller gewachsen als jedes andere Land auf der Welt. Aber wenn Leute an Unsinn glauben tun wir unglücklicherweise unsinnige Dinge.
SZ:Was wäre dann ihr Vorschlag?
Lewis:Ich glaube, wir müssen innehalten und sagen, die Mythen, die Ideologie, die zur Erschaffung diese Technologie geführt haben, funktionieren nicht mehr für das, was eine globale Infrastruktur geworden ist. Wir müssen es überdenken. Das gilt für jede dieser neuen Technologien. Denken sie an die ersten Leute, die mit dem Flugzeug geflogen sind und die Romantisierung des Fliegens. Heutzutage ist Fliegen alles andere als romantisch, oder? Aber es ist sicher, es ist zuverlässig. Sie tauchen am Flughafen auf, steigen ein und am anderen Ende wieder aus. Das war in den Pioniertagen nicht immer so. Denken sie an die Seefahrt: Früher hat man sein Testament gemacht, bevor man einschiffte. Mit der Zeit haben Regierungen Standards und Regeln auch auf die Schifffahrt ausgedehnt. Das Finanzsystem: Wenn man früher Geld ins Ausland transferiert hat, konnte man nie sicher sein, dass man es wiedersah. Jetzt haben wir ein globales Finanzsystem, das auf Regeln aufbaut und auf Zusammenarbeit zwischen Staaten und privatwirtschaftlichen Unternehmen. Was in der Pionierphase richtig war, ist heute nicht mehr angemessen, und wir müssen neu darüber nachdenken. Sehr weit sind wir dabei allerdings noch nicht gekommen.