Wer Code für Software schreibt, muss präzise formulieren. Zum einen, damit der Computer versteht, was zu tun ist und die programmierten Befehle ausführt, sonst funktioniert die App nicht. Zum anderen verhindert präzise geschriebener Code, dass Hacker Ungenauigkeiten ausnutzen können, um Befehle anders zu interpretieren als sie gedacht sind. Stark vereinfacht: Wer einem Computer befiehlt, von eins bis fünf zu zählen, darf sich nicht wundern, wenn der Computer auch nach fünf noch weiter zählt - es hat ihm ja niemand verboten.
Es ist diese Präzision, die dem Titel des Buches "Cyberwar" von Constanze Kurz und Frank Rieger fehlt - und an manchen Stellen auch dem Inhalt. Beide sind als "Sprecher" führende Figuren des Chaos Computer Clubs, des wohl einflussreichsten Vereins in Deutschland, wenn es um Informationstechnik geht. Sie schreiben in der Einleitung: "Uns hat es zunächst widerstrebt, dem Buch den Titel 'Cyberwar' zu geben", denn das Wort bringe "zwangsläufig den Krieg in unsere zivilen Netze." Von einem Krieg zu sprechen, ist zweifellos richtig: Große Hackerangriffe trafen in den vergangenen Jahren zivile Infrastruktur. Vor allem Hackergruppen, die im Auftrag von Staaten arbeiten, testen Experten zufolge derzeit, wie man zum Beispiel Stromnetze lahmlegen kann.
Exklusiv EnBW-Tochter:Hacker haben deutschen Energieversorger angegriffen
Die Attacke galt dem Netz einer EnBW-Tochter. Eine Gefahr für die Stromversorgung konnte rechtzeitig abgewendet werden. Dahinter könnte ein großangelegter Hackerangriff stecken.
Kurz und Rieger: beide sind IT-Sicherheitsexperten, beide jahrelange Kolumnisten der Frankfurter Allgemeinen Sonntagszeitung. Eigentlich können wenige "die Gefahr aus dem Netz" - so der Untertitel - so exzellent beschreiben und erklären wie die beiden Autoren.
Weniger Cyber hätte dem Buch gutgetan
Umso irritierender, dass sich das Präfix "Cyber" durch das Buch zieht. Die Autoren schreiben von Cyberspionage, Cyberangriffen, Cyberwaffen, Cyberraum, Cyberoperationen, Cyberalarm, Cyber-Notstand, Cyberfragen, der "Nation of Islam Cyber Jihad", Cyberzentrum, Cyber-Koordinationskomitee, Cyber-Offensivkräften, Cyber Network Operations und Cyberkriegern. Das alles, noch bevor der Leser auf Seite 30 angekommen ist.
Genau wegen dieses inflationären Gebrauchs, der auch in Politik und Medien zu beobachten ist, ist "Cyber" ein Running Gag in der Hacker-Szene, das Wort wird hier nur ironisch verwendet. Das Buch aber soll eine seriöse Auseinandersetzung mit dem Thema sein. Weniger "Cyber-" hätte dem Buch gut getan.
Die Autoren nehmen Begriffe nicht ernst genug, um sie sauber zu analysieren. Zum Beispiel erwähnen sie den Stuxnet-Angriff, mit dem die USA und Israel das iranische Atomprogramm sabotiert haben. Im Buch heißt es dazu: "Stuxnet war de facto ein Blick in den Waffenschrank, das neuzeitliche Äquivalent zu einem Atomwaffentest."
Nun lässt sich trefflich streiten, ob es sich bei Stuxnet tatsächlich um eine Cyberwaffe handelt. Der Code von Stuxnet manipulierte Zentrifugen, die in der Atomanlage standen und zerstörte sie. Aber selbst angenommen, der Begriff "Waffe" passe und nicht klassisch jener der Sabotage: Der Vergleich hinkt. Denn erstens war Stuxnet kein Test, sondern ein tatsächlich durchgeführter Angriff mit realen Konsequenzen, die die Autoren auf den nächsten Seiten auch beschreiben. Und zweitens bringt eine Atomwaffe unterschiedlos alle Menschem um, die sich in einem bestimmten Radius befinden, die Erde wird verstrahlt. Stuxnet hingegen manipulierte und zerstörte Zentrifugen. Und man kann es nur einmal einsetzen, weil der Code explizit auf die Eigenheiten dieser einen Anlage in Natanz abgestimmt war. In einer anderen Anlage hätte der Code von Stuxnet nicht funktioniert.
Komplexe Sachverhalte clever erklärt
Eindrucksvoll schildern die Autoren dagegen das grundlegende Dilemma digitaler Gesellschaften: Einerseits wird jedes Gerät vernetzt - Waschmaschinen, Kühlschränke, Überwachungskameras. Andererseits haben die Konstrukteure des Großteils dieser Geräte keinen Gedanken an die Sicherheit ihrer Schöpfungen gegen digitale Angriffe verschwendet. Jahrzehntelang haben Forscher versucht, Chips, Laptops, Server, Rechner und den Datenverkehr im Netz abzusichern. Und nun kommt eine neue Geräte-Generation, bei der die Fachleute für die Defensive den Eindruck bekommen, erneut bei Null anzufangen. Die alten Fehler werden wiederholt. Die Welt wird hackbarer, die Gefahren für die Gesellschaft deshalb größer. "Cyberwar" zeigt die Zusammenhänge.
Anschaulich erklären Kurz und Rieger den Druck, der auf Herstellern lastet. "Man will als Erster am Markt sein, ein neues Produkt vor allen anderen anbieten können. Alles, was dabei im Wege steht, ist ein potentieller Umsatzkiller, ein Hindernis auf dem Weg zum Erfolg." Für Sicherheit bleibt keine Zeit. Oft werden Systeme erst dann geschützt, wenn es zu spät ist.
Hackerangriffe:Viel Hype, wenig Cyberkrieg
Was, wenn Hacker ein Kraftwerk attackieren? In Deutschland wird diskutiert, ob das Internet zu einem Schlachtfeld geworden ist. Doch der Begriff "Cyberkrieg" dient vor allem als Drohkulisse.
Es gelingt den Autoren über die Länge des Buches immer wieder, komplexe Sachverhalte in drei bis vier Absätzen auf ihren Kern zu reduzieren. Sie beschreiben eloquent, wie sich ein Schattenmarkt gebildet hat, auf dem Hacker für viel Geld Schwachstellen verkaufen, mit denen Regierungen die eigene Bevölkerung ausspionieren können. Auch Staaten wie Deutschland kaufen bei solchen Anbietern ein, kritisieren die Autoren.
Rieger und Kurz lehnen digitale Spionage und Kriegsführung ab. Sie denken deshalb nicht daran, die Sorgen von Strafverfolgungsbehörden in voller Länge auszuführen. Ermittler warnen, dass ihnen zunehmend Wege und Mittel fehlen, auf die Inhalte digitaler Kommunikation zuzugreifen, zum Beispiel auf Chats. Denn die werden verstärkt durch verschlüsselte Systeme vor dem Zugriff Dritter abgeschirmt.
Die Sorgen der Ermittler erweisen sich oft als übertrieben, das stellen Kurz und Rieger überzeugend dar. Dabei sparen sie aus, dass es in manchen Fällen durchaus wichtig sein kann, nicht nur zu wissen, wer wann mit wem redet, sondern auch, worüber. Stattdessen nennen sie das entsprechende Kapitel "Der Cyberwar im Inneren". Die Sprache legt nahe, dass Ermittler sich im Krieg mit der eigenen Bevölkerung befinden.
"Cyber"-Warnungen durchaus hinterfragen
Es lohnt sich dennoch für jeden, dieses Buch zu lesen. Der Leser begreift schnell, wie hoch der Preis dafür ist, dass kommerzielle wie staatliche Interessen und die Bequemlichkeit der Bürger eine sich immer rascher digitalisierende Welt erzwingen.
Die Schlussfolgerungen, die die Autoren aus ihrer Analyse ziehen, sind interessant, die Leser sollten sie aber durchaus hinterfragen. An einer Stelle schreiben Kurz und Rieger zum Beispiel, dass alle staatlichen Behörden verpflichtet sein sollten, "ihnen bekannt gewordene Sicherheitslücken unverzüglich an denjenigen zu melden, der sie am schnellsten schließen kann." Doch die Realität ist noch komplexer.
Zur Wahrheit gehört nämlich auch, dass der Geheimdienst NSA eine Sicherheitslücke an Microsoft gemeldet hatte. Die NSA soll die Schwachstelle zwar fünf Jahre lang ausgenutzt haben. Aber erst nachdem Microsoft die Sicherheitslücke binnen weniger Monate geschlossen und ein Update bereitgestellt hatte, kam es zu einem weltweiten Angriff mit Erpresser-Software, der Hunderttausende Rechner lahmlegte. Der Angriff hatte massive Auswirkungen: So sagten Krankenhäuser Tausende Termine ab, weil Mitarbeiter mit Stift und Papier arbeiten mussten.
Das Problem lag aber nicht darin, dass die Lücke verspätet gemeldet und geschlossen wurde, sondern dass viele Betreiber sich zu viel Zeit ließen, um das Update von Microsoft einzuspielen. Wer das Buch liest, erfährt solche Details leider nicht.