Mindestens 2000 Geheimwege kennt die NSA, um sich illegal Zugang zu Systemen zu verschaffen. Es sind Einbrüche, gegen die sich Betreiber von Computersystemen nicht wehren können, da die NSA in diesen 2000 Fällen spezielle Lücken nutzt, über die nur eine Handvoll Menschen Bescheid weiß. Diese Lücken sind die ersten Schritte, um digitale Waffen zu platzieren. Ein Beispiel dafür ist der Stuxnet-Angriff, bei dem das iranische Atomwaffenprogramm sabotiert wurde. Ein Coup, ermöglicht einzig und allein durch Ausnutzen einer ganzen Reihe von Schwachstellen in Computersystemen.
Stuxnet ist vor allem aber: eine Ausnahme. Bislang dient der Begriff Cyberkrieg Regierungen vor allem als Drohkulisse.
So wird in Deutschland und den USA intensiv darüber diskutiert, ob das Internet zu einem Schlachtfeld geworden ist. Der frühere amerikanische Verteidigungsminister Leon Panetta warnte abwechselnd vor einem "Cyber Pearl Harbor" und einem "neuen 11. September", zitierte also jene zwei Ereignisse, die das amerikanische Selbstverständnis grundlegend verändert haben. Angriffe, bei denen Tausende Menschen starben und die als Kriegsgrund dienten.
Dieser Cyberwar werde vor allem die kritische Infrastruktur betreffen, also zum Beispiel Stauseen und Kraftwerke. IT-Experten wie Eugene Kaspersky rechnen damit, dass Hacker 2015 vor allem versuchen werden, diese Einrichtungen digital zu attackieren. Eine Studie aus dem Jahr 2011 ergab, dass 10 000 solcher Systeme online sind und mit teilweise trivialen Methoden übernommen werden können. In Zukunft wird diese Zahl zunehmen und damit die Zahl potenzieller Angriffsziele.
Es starben keine Menschen
Doch Thomas Rid bleibt gelassen. Der Professor für Security Studies am Kings College in London hat ein Buch über das Thema geschrieben, es trägt den Titel "Cyberwar will not take place". Also: Der Cyberkrieg wird nicht stattfinden. "Das Wort Krieg ist einfach fehl am Platz. Es fehlt die physische Gewalt, bei solchen Angriffen sind bisher Menschen weder Menschen verletzt noch getötet worden", sagt Rid. Kriege seien Konfliktsituationen, in denen zwei Gegner jeweils den eigenen Willen durchsetzen wollen, vor allem mit Gewalt.
Beim Konzept Cyberkrieg wird oft betont, dass eine Gleichwertigkeit zu einem physischen Krieg gegeben sein muss. Ein digitaler Angriff muss ähnlich verheerende Folgen haben wie die konventionelle Variante. Genau das sei bislang aber nicht der Fall, so Rid.
Bis heute sind nur zwei Angriffe bekanntgeworden, die in Gänze digital abgelaufen sind und kritische Infrastruktur attackiert haben. Bei einem sind die Umstände noch unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Ende 2014 einen Bericht, in dem es heißt, dass ein Stahlwerk in Deutschland digital angegriffen und dabei ein Hochofen schwer beschädigt wurde (hier die PDF-Datei). Um welches Unternehmen es sich handelt, ist nicht bekannt. Der zweite gut dokumentierte Fall ist Stuxnet. Wer ihn näher betrachtet, versteht das Prinzip von Angriffen besser, die nur im digitalen Raum stattfinden.
Liam O'Murchu ist seit elf Jahren Sicherheitsforscher bei der IT-Firma Symantec und hat die größten Computerwürmer und -viren der vergangenen Jahre analysiert. Auch Stuxnet gehört dazu. "Wir wussten schnell, dass ein Staat dahinterstecken muss", sagt er. Zum einen sei der Programmiercode unüblich groß gewesen - 500 Kilobyte, der Regelfall seien 15 - zum anderen besonders gut geschrieben. "Normalerweise arbeiten zwei bis drei Menschen an Schadsoftware, ungefähr ein halbes Jahr. An Stuxnet hat ein großes Team gearbeitet, über Jahre hinweg", sagt O'Murchu.
Stuxnet war extrem aufwendig
Für Stuxnet wurden vier verschiedene Sicherheitslücken genutzt, sogenannte Zero-Day-Exploits. Es sind jene Geheimwege, von denen die NSA aktuell 2000 kennt. Sie sind nur dann wertvoll, wenn sie geheim bleiben. Sobald betroffene Unternehmen davon erfahren, beheben sie den Fehler. Längst ist ein Schwarzmarkt entstanden, auf dem einzelne Lücken für zu bis zu 500 000 US-Dollar verkauft werden.
Die NSA musste seinerzeit sicherstellen, dass der Wurm sein Ziel erreicht - daher war es wichtig, gut zu investieren. Der Stuxnet-Angriff war extrem aufwendig: Der Wurm verbreitete sich nicht über das Internet, sondern per USB-Stick - er funktionierte nur dann, wenn bestimmte Voraussetzungen erfüllt waren. So musste auf dem Computer eine spezielle Software installiert sein und auf dieser wiederum musste ein spezifisches Programm gestartet werden. Erst dann wurde der Schadcode aktiv. Anschließend übertrug er sich auf einen USB-Stick und von dort aus auf die Steuerungsanlage selbst.
Der Wurm manipulierte die Frequenzumrichter von Zentrifugen. Wochenlang zeichnete der Wurm im Stillen Daten auf, um dann für wenige Minuten den Frequenzbereich auf 1410 Hertz zu erhöhen oder auf zwei Hertz zu senken, jeweils deutlich unter den üblichen Ober- und Untergrenzen.
Der Spielraum für Cyberkrieg ist gering
Um so eine Aktion durchzuführen, ist immenses Insiderwissen nötig, um zum Beispiel herauszufinden, von welcher Firma die Frequenzumrichter stammen und wie sie technisch ausgetrickst werden können. Der Wurm war so programmiert, dass die iranischen Forscher nicht dahinterkommen sollten, was genau die Fehler verursacht. Die Aktion gelang: Das Atomprogramm wurde sabotiert und Schätzungen zufolge um zwei Jahre verzögert.
Der Fall zeigt: Der Spielraum für einen Krieg, der nur digital abläuft, ist allenfalls klein. Die Ziele sind extrem spezifisch; Millionen Dollar und Hunderte Mitarbeiter sind nötig; sie müssen jahrelang Schadsoftware programmieren und gleichzeitig damit rechnen, dass dieser Angriff exakt ein Mal stattfinden kann. Denn sobald die Sicherheitslücken analysiert sind, werden die Systeme gegen erneuten Zugriff abgesichert.
Das US-Militär war im Irak auf die NSA angewiesen
Doch Krieg stellt man sich anders vor - eher so, wie der Journalist Shane Harris ihn in seinem Buch "@War" beschreibt (einen Auszug davon können Sie hier lesen). Der Journalist schildert, wie die NSA im Irakkrieg den Kampf gegen al-Qaida unterstützte. So versuchte der Geheimdienst, sämtliche Kommunikation im Irak abzufangen, um Terroristen zu orten. Es wurden Server gehackt, die al-Qaida benutzte, um Propagandavideos hochzuladen. NSA-Agenten luden ihrerseits Trojaner auf diese Server und infiltrierten so die Handys der Terroristen, um deren Kontakten anschließend gefälschte SMS zu schicken und sie damit an Treffpunkte zu locken - an denen sie US-Soldaten dann festnahmen. Wer das Buch von Harris liest, begreift wie sehr das amerikanische Militär auf den Geheimdienst angewiesen war. "Das ist die Art, wie wir in Zukunft Kriege führen werden. Bodentruppen, gefüttert mit Geheimdienstinformationen", sagt Harris.
Drohnenkriege basieren auf abgefeuerten Raketen, kombiniert mit sogenannten Metadaten. Als Israel 2007 ein Gebäude, das mutmaßlich ein Reaktor sein sollte, mit Raketen beschoss, hatte der israelische Auslandsgeheimdienst Mossad zuvor einen Trojaner auf dem Laptop eines syrischen Regierungsmitarbeiters installiert und war so an Dokumente über das Gebäude gekommen. "Auch wenn Staaten sich nicht deshalb angreifen, weil sie einander beim Spionieren erwischt haben", sagt Harris, "wird Spionage zur Kriegsführung eingesetzt." Deshalb unterscheidet Harris selbst nicht strikt zwischen Cyberkrieg und Krieg.
Die NSA steht vor einem Dilemma
Harris zeigt in seinem Buch, wie das Szenario des Cyberkrieges als Bedrohungskulisse aufgebaut wurde, um die amerikanische Gesetzgebung massiv zu verändern. Chefs von Geheimdiensten haben Lobbyarbeit betrieben und vor Gefahren gewarnt, damit Geheimgerichte es der NSA erlauben, im Schleppnetz-Verfahren alles zu überwachen, was technisch möglich ist - auch des Terrorismus unverdächtige Personen.
Ein reiner Cyberkrieg dürfte dennoch vorerst unwahrscheinlich sein. Mehrere Experten weisen in Gesprächen darauf hin, dass es aktuell vor allem Staaten seien, die Schadsoftware herstellen und versuchen, sich in die Systeme fremder Nationen einzuhacken. So soll Iran nach Stuxnet mit dem Aufbau einer eigenen Hacker-Einheit begonnen haben, um kritische US-Infrastruktur zu infiltrieren. Angriffe auf Industrieanlagen seien technisch möglich, wenn auch kompliziert durchzuführen. Harris führt seine Szenarien nur im Konjunktiv aus. "Wenn beispielsweise China bewusst die Stromsysteme angreift und diese länger ausfallen, sind Millionen Menschen davon betroffen. Das ist ein sehr aggressives Verhalten", so Harris, "und in den USA würde man sich darauf einstellen, dass dieser Angriff nicht isoliert abläuft, sondern parallel andere Angriffe geplant werden." Angriffe mit Kampfjets also, klassischer Krieg.
Die Fähigkeiten von Terroristen sind (noch) rudimentär
Wahrscheinlicher sei es, dass kritische Infrastrukturen in Zukunft von Terroristen angegriffen würden, da diese keinen Wert auf konventionelle staatliche Diplomatie legen. Ihre Fähigkeiten in diesem Bereich werden noch als rudimentär eingeschätzt - dass sie also tatsächlich Wege finden, um solche Systeme lahmzulegen, sei momentan eher Zufallsfunden geschuldet, aber das könne sich mit der Zeit ändern, so schätzen Experten.
Genau dieser Punkt ist es auch, der der NSA zum Verhängnis werden könnte. Die Agenten kennen zwar 2000 Geheimwege für unbemerkten Zugang, wissen aber nicht, ob auch andere Personen diese Informationen besitzen und sich damit Zugang verschaffen könnten. Die NSA, deren Leitspruch es ist, das Land zu verteidigen, stellt das vor ein Dilemma: Entweder sie weisen Unternehmen auf fehlerhafte Produkte hin und verlieren damit selbst den Zugang - oder sie tun es nicht.
In seinem Buch schreibt Harris folgerichtig: "Sollte es jemals einen Cyberangriff in den Vereinigten Staaten geben, bei dem es zu großen physischen Schäden, Massenpanik oder Toten kommt - wird der Geheimdienst zur Rechenschaft gezogen werden, das nicht verhindert zu haben."
