Waren es Terroristen? Oder steckte ein ausländischer Geheimdienst dahinter? Ein anderer Staat? 2008 platzte in der Türkei eine Pipeline, über die Rohöl transportiert wurde; tagelang brannte es danach, der Schaden wurde auf eine mehrere Millionen Euro geschätzt. Ende vergangenen Jahres wurden von der Nachrichtenagentur Bloomberg in einem Artikel prominent die Tatwaffen präsentiert:
Eine Überwachungskamera und eine Tastatur sollen ausgereicht haben, um die Explosion auszulösen. Denn Kameras werden, ähnlich wie Smartphones und PCs, durch Software gesteuert. Ein kleiner Computer also, der im selben Netz hing wie die Pipeline. So konnten russische Hacker angeblich die Kontrolle übernehmen, die Schiebestation manipulieren - und die Pipeline zum Platzen bringen.
Keine Panzer mehr, sondern Elite-Hacker
Willkommen im Cyberkrieg, könnte man nun sagen. Politiker warnen mittlerweile routinemäßig vor dieser Gefahr: Staaten schicken nicht mehr Soldaten los, sondern bilden Elite-Hacker aus. Statt Städte mit Bomben zuzudecken, wird die kritische Infrastruktur des Landes angegriffen. Bahn- und Stromnetze werden lahmgelegt, Häfen, Kraftwerke, Banken, Finanzmärkte oder eben Pipelines, durch die ein Land mit Öl oder Gas versorgt wird.
Denkbar ist auch, dass ein Chemie-Werk seine Schleusen öffnet und Gift ins Gewässer kippt und so das Trinkwasser verseucht. Denkbar sind ebenfalls: kein Licht, kein Telefon, kein Internet, keine Heizung, keine S- oder U-Bahn. Alles steht still: die Wirtschaft, der Verkehr, das öffentliche Leben - so könnte der Cyberkrieg aussehen, wenn Hacker sich Zutritt in jedes System verschaffen, das über einen Computer gesteuert wird: vom ordinären Büro-PC über das Smartphone bis hin zur Pipeline-Überwachungskamera.
Derzeit schauen die Angreifer erstmal in die Systeme hinein und sammeln Informationen
Auch wenn diese Gefahr real ist: Ganz so einfach wie oft geschildert ist es nicht. Zur Realität gehören drei Punkte. Erstens: Cyberkriege finden aktuell größtenteils im Konjunktiv statt. Der Pipeline-Fall beweist das, wie noch zu zeigen sein wird. Zweitens: Computer sind grundsätzlich angreifbar. Drittens: Staaten könnten sich, ihre Industrie und ihre Bürger besser beschützen, wenn sie es denn wollten. Sie wollen aber nicht; sie gehen lieber auf Nummer unsicher - weil dies vor allem den Geheimdiensten nutzt.
Zunächst zur Pipeline in der Türkei: Auf dem Abschnitt, der zerstört wurde, waren überhaupt keine Kameras installiert; es fehlte also die Tatwaffe, und es gab auch sonst keine Möglichkeit für Hacker, sich von außen Zugang zur Steuerung der Pipeline zu verschaffen. Das geht aus einem internen Prüfbericht hervor, der der Süddeutschen Zeitung vorliegt. Die Prüfer verweisen stattdessen auf die ursprünglichen Ermittlungen, in denen von einer Sprengladung die Rede war. Ein Mitarbeiter der Pipeline sagte, es seien Reste des Sprengstoffs C4 sichergestellt worden. (Die komplette Analyse lesen Sie hier.)
Das Beispiel zeigt: Wer in einem Cyberkrieg Ziele digital angreifen will, muss sehr genau Bescheid wissen, wie die Systeme aufgebaut sind. In der Regel erfordert das ein sehr großes Budget, ein großes Team mit großer Expertise - und keine zu engen zeitlichen Vorgaben.
Wir sind in der Experimentier- und Infiltrierphase
Illustration: Lisa Bucher
Das dürfte auch einer der Gründe sein, warum es bis heute nur einen öffentlich bekannten Fall gibt, in dem Sabotage ausschließlich über Computer stattgefunden hat: Stuxnet. Der Angriff wird einem Team aus amerikanischen und israelischen Hackern zugeschrieben. Sie sabotierten das iranische Atomprogramm - ein Angriff, der jahrelang vorbereitet wurde und bei dem die Angreifer bis ins kleinste Detail wussten, wie die Anlagen aufgebaut waren. Zwar existiert auch ein zweiter Fall; ein Hochofen in Deutschland wurde durch Hacker heruntergefahren. Aber die Informationslage ist so dünn, dass man den Fall nicht recht zu beurteilen vermag.
Die Furcht: Hacker legen Stromnetze, Kraftwerke und andere Infrastruktur lahm
Die Realität: Noch ist es nicht so weit - aber die Angreifer rüsten auf
Das Problem: Unsere Gesellschaft ist verletzbar, und es wird zu wenig dagegen getan
Doch auch wenn Cyberkriege im Konjunktiv stattfinden - als Entwarnung sollte das nicht verstanden werden. IT-Sicherheitsexperten sprechen gerne davon, dass wir uns zur Zeit in einer Vorstufe befinden. Sie nennen es Experimentier- und Infiltrierphase: Man rüstet auf, probiert aus - und man spioniert aus. Hacker knacken Netze fremder Staaten und schauen sich an, wie deren Infrastruktur aufgebaut ist, sie sammeln Daten und Informationen; meist stehen hinter diesen Attacken staatliche Akteure - doch diese Angriffe, diese Hacks sind noch weit entfernt von einem Cyberkrieg im eigentlichen Sinne.
Warum bleibt die Politik so seltsam still?
In diese Kategorie fällt auch der digitale Angriff auf den Bundestag. Angreifer sind in das interne Netz des deutschen Parlaments eingedrungen und haben gigabyteweise E-Mails von Abgeordneten abgesaugt. Wer dahinter steckt? Unklar. Wie vertraulich die Daten gewesen sind und ob Geheimdokumente mitgenommen wurden: alles Spekulation. Die Politik bleibt erstaunlich ruhig. Was wäre wohl los, wenn eine Einbrechertruppe Dutzende oder gar Hunderte von Abgeordnetenbüros aufgebrochen und massenhaft Aktenordner mitgenommen hätte? In diesem Falle zuckt man in Berlin mit den Achseln. Verweist auf andere Fälle. Redet von einem weltweiten Phänomen. Aber regt sich kaum auf.
In den USA wurde zu Beispiel eine Personalbehörde gehackt, sensibelste Informationen über Beamte wurden entwendet, selbst über Geldvermögen oder eventuelle Alkoholprobleme. Vier Millionen Menschen sollen betroffen sein, frühere und aktuelle Bedienstete. Ex-Geheimdienstler warnen davor, dass Agenten enttarnt werden könnten. Ein Albtraum, aber auch hier bleibt die Politik erstaunlich still.
Andererseits: So erstaunlich ist das wiederum nicht, wenn ein Staat selbst genau das Gleiche macht, in Datennetze eindringt - und mit Hilfe seiner Geheimdienste heimlich Informationen beschafft. Experten sprechen vom goldenen Zeitalter der Spionage und Überwachung. Denn als Computer und Internet erfunden wurden, ging es nicht darum, diese gegen Eindringlinge abzusichern. Die Systeme sollten erst einmal funktionieren. Dementsprechend sind die Programmiersprachen von damals, die auch heute noch im Einsatz sind, nicht ausgeklügelt genug. Man kann sie austricksen und dazu bringen, geheime Daten auszuspucken.
Hinzu kommt, dass Menschen Fehler machen. In Tausend Zeilen Programmcode findet man mindestens einen Fehler. Betriebssysteme haben Millionen solcher Zeilen. Es gibt also Tausende Schwachstellen. Ist eine davon kritisch, ist das Gesamtsystem angreifbar. Einfach umzustellen auf neue Programmiersprachen ist nicht möglich, weil die Infrastruktur seit Jahrzehnten steht. Man kann ja auch nicht München abreißen, weil einem das Stadtbild plötzlich missfällt.
Wie also sollen sich Bürger und Unternehmen effektiv schützen? Faktisch ist das nur schwer möglich. Ohne Hilfe des Staates geht es nicht. Schließlich gelang der Stuxnet-Angriff nur, weil Systeme von Siemens kompromittiert wurden. Und es gibt ja Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik, zu deren Kernaufgaben die IT-Sicherheit gehört. Aus diesem Grund hat der Bundestag vergangene Woche auch ein IT-Sicherheitsgesetz verabschiedet. Unternehmen müssen melden, wenn sie gehackt werden, die Behörde schaut sich das an - und warnt gegebenenfalls andere. Ein richtiger Schritt. Doch er geht nicht weit genug.
Für Sicherheitslücken gibt es einen Graumarkt: Firmen helfen den Hackern mit ihren Tipps
Die Rolle, die auch der deutsche Staat spielt, ist hinterlistig. Vom Bundesnachrichtendienst (BND) ist bekannt, dass dieser sich nach Sicherheitslücken umschaut, auch auf dem Graumarkt. Dort tummeln sich Unternehmen, deren Geschäftsmodell es ist, sämtliche Hard- und Software zu knacken. Geheimdienste bezahlen den Anbietern bis zu 500 000 Dollar pro Sicherheitslücke, die sie dank deren Hilfe knacken können.
Der britische Investigativ-Journalist Gordon Corera wird kommende Woche ein Buch veröffentlichen. Intercept heißt es, also: Abhören. Corera hat mit mehr als Hundert Personen gesprochen, von Hackern bis hin zu Geheimdienstchefs. Er beschreibt eindrucksvoll die historische Nähe zwischen Spionen und Technik. Bereits 1914 konnten die Briten ein Überwachungsnetz aufziehen, da das Land die weltweite Infrastruktur der Telegrafenmasten kontrollierte. Täglich wurden so 50 000 Nachrichten abgefangen.
Wer das Buch liest, bekommt einen tiefen Einblick in die Denkweise von Geheimdiensten. Zeppeline wurden anhand von Eckdaten geortet und abgeschossen, die als unknackbar geltende Verschlüsselung der Nazis wurde dechiffriert und damit ein essentieller Beitrag geleistet, um den Zweiten Weltkrieg zu gewinnen. In dieser Tradition sehen sich westliche Geheimdienste.
Doch in all den Jahrzehnten hat sich die Gesellschaft massiv verändert. Verschlüsselung gehört heute zum Fundament der Gesellschaft; ohne sie wäre das Internet nicht denkbar. Geheimdienste haben dagegen kein Interesse an einer Verschlüsselung, sie hielten deshalb bahnbrechende Forschungsergebnisse jahrelang geheim. Dass Softwareprogramme voller Schwachstellen stecken, ist im Interesse der Dienste. Doch natürlich haben die Dienste das Wissen über diese Sicherheitslücken nicht exklusiv; auf dem Graumarkt werden sie an (fast) jeden verkauft. Was dem einen Geheimdienst nutzt, um sich Informationen zu beschaffen, kann jemand anders - ein anderer Geheimdienst, ein fremder Staat oder eine Terrorgruppe - zugleich als Einfallstor für einen Angriff nutzen. Und es kann einem Angreifer irgendwann auch die Möglichkeit eröffnen, einen Cyberkrieg anzuzetteln.
Computerprogramme basieren auf Einsen und Nullen. Rechner entscheiden sich binär: Ja oder nein. Das gilt auch im Bereich Sicherheit. Es gibt nur zwei Möglichkeiten: Angriff oder Verteidigung. Der Staat muss sich entscheiden: Will er seine Bürger und die Wirtschaft schützen, dann muss er alle Lücken schließen, die er finden kann. Dadurch wird alles sicherer - auch für Verbrecher und Terroristen. Oder der Staat gibt sein Budget für Informationen über Schwachstellen aus und spioniert in fremden Ländern; in dem Falle wäre der Schutz von Bürgern und Wirtschaft zweitrangig.
Das Signal, das die Politik derzeit aussendet, ist unmissverständlich: Alle Zeichen stehen auf Angriff!