Die Lage muss ernst sein, wenn jemand wie Robert Hannigan um ein bisschen Frieden bittet. Hannigan ist der Exchef des mächtigsten britischen Geheimdienstes Ihrer Majestät, des "Government Communications Headquarter", kurz GCHQ. Der Abhörgigant ist der engste Partner der amerikanischen NSA. Nun sagte Hannigan dem Magazin Wired, dass es mit dem Internet so nicht weitergehen könne: "Wir müssen nach einer Art Rüstungskontrolle für den Cyberraum suchen, wir brauchen eine internationale Vereinbarung darüber, was erlaubt ist und was nicht."
Es sei "höchste Zeit" für Regeln. Dies war auch die Botschaft, mit der UN-Generalsekretär António Guterres zur diesjährigen Sicherheitskonferenz in München anreiste. Konferenzchef Wolfgang Ischinger stimmte sofort zu. Und gerade erst veröffentlichten mehr als 30 Hightech-Konzerne eine Art "digitaler Genfer Konvention".
Man werde keinem Staat bei einer Cyberattacke gegen "unschuldige Zivilisten oder Firmen, woher auch immer" helfen, heißt es in der von Branchenriesen wie Microsoft oder Facebook unterschriebenen Deklaration. Wir kennen keine Staaten, ist die Botschaft. Sondern nur Kunden. Zu den Unternehmen kommen die Diplomaten. Solche wie der unermüdliche Karsten Geier im Auswärtigen Amt, der schon als Chef einer eigens eingesetzten Expertengruppe der UN versuchte, für ein wenig Ordnung im Internet zu sorgen.
Das Internet wurde militarisiert
Was also besagt es über den Zustand des Netzes, wenn so viele beginnen, sich so vernehmlich Sorgen zu machen? Nichts Gutes vermutlich. In den vergangenen Monaten ist auch für Laien erkennbar geworden, in welchem Umfang die bedeutsamste Technologie unserer Tage kompromittiert und militarisiert wurde. Viren, Würmer und Hacker tauchen nun in beinahe jeder Nachrichtensendung auf. Krankenhäuser und Weltkonzerne gingen vom Netz. Hacker arbeiteten sich im eigentlich streng geschützten Regierungsnetz bis zum Russland-Referat des Auswärtigen Amtes vor.
Und doch scheinen dies nur Scharmützel zu sein, gemessen an dem, was möglich zu sein scheint. Russische Hacker, so sagen es die US-Geheimdienste, sollen tief in amerikanische und europäische Steuerungssysteme von Wasser- und Elektrizitätswerken, ja sogar von Atomreaktoren, eingedrungen sein. Auf Knopfdruck könne alles lahmgelegt werden. Es ist ein neuer Typus von Waffe: Es muss nichts mehr in die Luft gejagt werden. Es reicht, die Funktionsfähigkeit einer bedeutsamen Infrastruktur zu unterbrechen.
Was in solchen Meldungen stets fehlt, ist der Hinweis, dass die amerikanische NSA und der britische Partner GCHQ (und wer weiß, wer sonst noch) mindestens ebenso tief in die Netze eingedrungen sind. Das Internet ist eine amerikanische Erfindung, die NSA dominiert die Überwachung und Sabotage, so wie Facebook, Google und Apple die kommerzielle Seite beherrschen. Schließlich wurde jahrelang daran gearbeitet. "Praktikanten gesucht, die Dinge kaputt machen wollen", hieß einmal eine Stellenausschreibung einer NSA-Spezialeinheit für Computereinbrüche.
Barack Obama warnte vor einem "Rüstungswettlauf im Netz"
Die bisherigen Attacken sind also vermutlich nicht mehr als Wetterleuchten, denn noch sind wir in der sogenannten Phase 0, dem Eindringen und Ausspähen, dem Implantieren von Zugängen und Schadsoftware. Es ist die Vorbereitung auf das, was bei der NSA die "Phase 3" genannt wird: das "Dominieren" eines Netzwerks, die Möglichkeit, die Kontrolle zu übernehmen, zu manipulieren und zu zerstören. Es braucht nur den Druck auf eine Taste des Keyboards.
Der frühere BND-Chef Gerhard Schindler hat die Gefahr vor Abgeordneten des Bundestages einmal so beschrieben: Wer Cyberspionage könne, der könne auch Cybersabotage. Den "Horrorvorstellungen" - dieses Wort benutzte Schindler wirklich - seien keine Grenzen gesetzt: Talsperren, Flughäfen, der Finanzverkehr. Der ehemalige Fallschirmjäger beschrieb den Krieg der Zukunft.
Die nächste Auseinandersetzung, so glauben viele beim Militär, wird nicht zuerst zu Wasser, zu Land oder in der Luft ausgetragen. Sondern in den Leitungen. Barack Obama gehörte zu jenen Politikern, die das Risiko lange ignorierten, um dann mit großen Sorgen aus dem Amt zu scheiden. Bei seinem Abschiedsbesuch in Berlin sprach er von dem drohenden "Rüstungswettlauf im Netz" und mahnte politische Lösungen an.
Trumps Sicherheitsberater hat eine Vorliebe fürs Schießen - auch digital
Jetzt sitzt ein anderer im Weißen Haus und zu seinem neuen Nationalen Sicherheitsberater hat er ausgerechnet John Bolton gewählt, einen Mann, der eine Vorliebe für das Schießen hat, auch im digitalen Raum. Der NSA empfahl er einmal, als Zielübung Wikileaks vom Netz zu nehmen. Auf russische, iranische, nordkoreanische Hacker-Attacken solle "unverhältnismäßig", reagiert werden, also mit voller Wucht zurückgeschlagen werden. Milde verführe nur zu mehr Angriffen. Amerika soll endlich zeigen, was es kann.
So also steht es nun um das Internet. Manche erinnert es an ein Schlachtfeld am Vorabend des Krieges. Riesige Potenziale für Zerstörung wurden aufgebaut und warten auf ihren Einsatz. Aber kaum jemand hat Angst davor. Digitale Waffen kann man nicht sehen, sie werden auf keiner Militärparade vorgeführt. Was sie tatsächlich anrichten können, gilt als Staatsgeheimnis. Niemand geht gegen diese Bedrohung auf die Straße, dabei wären die Bürger die Betroffenen von vielen Auseinandersetzungen. Ganz so wie der moderne Bombenkrieg den Zivilisten zum Opfer gemacht hat.
Lange hofften Militärtheoretiker, dass es so schlimm nicht kommen werde. Mit der Cyberbedrohung sei es doch so ähnlich wie mit den Nuklearwaffen: Weil man sich gegenseitig Schreckliches antun könne, würde auf ihren Einsatz verzichtet. Tatsächlich aber werden solche Mittel ständig eingesetzt, nie mit voller Wucht, aber dafür von immer mehr Staaten. Cyberattacken rangieren irgendwo zwischen Spionage und Krieg. Es gibt keine klaren Linien, keinen definierten Casus Belli.
Der NSA sind einige ihrer Cyberwaffen gestohlen worden
In den USA wurde lange und ohne Ergebnis darüber diskutiert, ob die von den dortigen Geheimdiensten behauptete Beeinflussung der Wahlen durch Russland so etwas wie ein kriegerischer Akt gewesen sei. Braucht es einen physischen Akt der Zerstörung - oder reicht auch ein psychologischer? Bolton fand, dass sogar die mutmaßlich von Nordkoreas Machthaber befohlene Attacke auf Sony (Kim soll sich maßlos über eine filmische Parodie über ihn namens "The Interview" geärgert haben) "mindestens Staatsterrorismus" sei. Vielleicht auch mehr.
Bei den UN debattierten sie jahrelang Szenarien: Ist das Manipulieren einer Ampelanlage in Berlin ein kriegerischer Akt? Eher nein, selbst wenn es Tote gäbe. Eine Attacke auf die Wasserversorgung? Eher ja. Wenn man denn wüsste, woher die Angriffe so genau kommen, die Zuordnung ist schwer. Auch weil einige Waffen inzwischen vagabundieren. Der NSA sind auf bisher ungeklärten Wegen einige ihrer hoch gefährlichen Cyberwaffen gestohlen worden. Sie wurden, zumindest zeitweise, von einer Gruppe namens "Shadow Brokers" zum Kauf angeboten. Im Silicon Valley war das Entsetzen groß. Es ist, als wären dem US-Militär ein paar Cruise Missiles abhandengekommen, erklärte ein hochrangiger Manager.
Hannigans Appell erinnert an den deprimierenden Status quo: hoch gefährliche Waffen überall, aber nirgendwo sind Normen, Regeln oder eine Abrüstungsvereinbarung in Sicht. Der Appell des früheren Geheimdienst-Chefs scheint aber zugleich ein hoffnungsvolles Indiz dafür zu sein, dass die Sache selbst denjenigen über den Kopf gewachsen ist, die sich als Sieger einer jeden Auseinandersetzung wähnten. Die Erkenntnis wächst, dass es in einem Kampfgebiet, in dem die eigenen Bürger leben, lieben und arbeiten, keinen Gewinner geben kann, sondern nur Verlierer.
19 Hacker können mehr Schaden anrichten als 19 Attentäter
Michael Sulmeyer, ein früherer Berater Obamas für Cybersicherheit, hat es einmal so formuliert: "Sei vorsichtig mit Streichhölzern, wenn du in Benzin getränkt bist." Dass die Suche nach Normen bisher keine große Rolle spielte, hat einen simplen Grund: Der Computer ist eine Erfindung der Spionagewelt, die keine Regeln liebt, und die wenigen, auf die man sich mühsam verständigt, auch gerne einmal bricht. Das neumodische Wort Cyber steht dabei für ein altes Geschäft: die schwarze Kunst des Abhörens, der elektronischen Kriegsführung und der Desinformation.
Dem Vorläufer des GCHQ gelang mithilfe früher elektrischer Rechenmaschinen das Knacken des berühmten "Enigma-Codes" des deutschen Militärs im Zweiten Weltkrieg. Dieses Geheimwissen half, Nazi-Deutschland zu bezwingen. Es war zudem der Beweis dafür, dass es sinnvoller sein kann, die Kommunikation des Feindes nicht zu stören, sondern lieber abzuhören. Im Ersten Weltkrieg hatten die Briten noch die Seekabel gekappt, die das Deutsche Reich mit dem Rest der Welt verbanden.
Erst mithören und mitlesen, dann manipulieren und zerstören
Auch das Internet hat jedenfalls in Teilen eine militärische Geschichte. Ein Vorläufer, das Arpa-Netz, wurde in den Sechzigerjahren im Auftrag des Verteidigungsministeriums der Vereinigten Staaten entwickelt. Heute steuern Rechner das Alltagsleben, der Computer ist überall. Das macht die nächste Entwicklungsstufe möglich: nicht mehr nur mithören und mitlesen, sondern auch eindringen, manipulieren, zerstören.
Eigentlich goldene Zeiten für Geheimdienste. Wenn da nicht die Erkenntnis wäre, dass alles, was man dem Gegner antun kann, einem auch selbst widerfahren kann. George W. Bush soll einmal ziemlich entsetzt gewesen sein, als ihm seine Fachleute erklärten, dass 19 Hacker viel mehr Schaden anrichten könnten als die berüchtigten 19 Attentäter, die am 11. September 2001 vier amerikanische Inlandsflüge kaperten.
Lange galt deshalb das Gebot der Zurückhaltung. Während des Kosovo-Konflikts in den späten Neunzigerjahren entschied sich die US-Regierung dagegen, das serbische Bankensystem vom Netz zu nehmen. 2003 warnte das US-Finanzministerium vor einer Manipulation der Bankkonten von Saddam Hussein. Zu groß war die Sorge, einen Präzedenzfall zu schaffen.
Ein digitaler Wurm sollte das Nuklearprogramm des Iran sabotieren
Die USA und Israel feuerten dann doch aus Sicht vieler Experten den ersten Schuss ab. Notgedrungen, argumentieren diejenigen, die damals an der Entscheidung beteiligt waren. Mit dem ersten jedenfalls später bekannt gewordenen digitalen Kriegsakt sollte ein echter Krieg verhindert werden: Ein Computer-Wurm namens "Stuxnet" sabotierte die Zentrifugen, in denen Iran hoch angereichertes Uran produzierte. Potenzieller Stoff für eine Atombombe.
US-Präsident Barack Obama soll Stuxnet erst freigegeben haben, nachdem ihm seine Fachleute versichert hatten, dass das Virus sich nicht einfach zum nächsten iranischen Krankenhaus weiterverbreitet und dort Rechner der Intensivstation lahmlegt. Es war Hannigans Kollege, der Ex-NSA-Chef Michael Hayden, der die Bedeutung dessen mit dem August 1945 und dem Abwurf der ersten Atombomben verglich.
Es gibt gar keinen Grund zur Panik, sagen dagegen einige seiner Kollegen in Militär und Think Tanks: Cyber sei enorm nützlich, Krieg könne künftig unwahrscheinlicher werden, weil sich nun die Doktrin der Abschreckung beinahe beliebig ausbauen lasse. Etwa mit einem angedrohten Angriff auf die Steuerverwaltung eines Staates oder seine Börsen. Durch Cyberangriffe, so argumentieren die Optimisten, habe es bis heute keinen einzigen Toten gegeben.
"Wollen wir warten, bis es zu einer Katastrophe mit Tausenden Toten kommt?"
Richtig ist: Jedenfalls keinen, den man kennt. Das WannaCry-Virus führte dazu, dass im Mai 2017 in Großbritannien 19 000 medizinische Termine - darunter viele Operationen - abgesagt oder verschoben werden mussten. Microsoft-Chef Brad Smith, übrigens der Initiator der digitalen "Genfer Konvention" sagt, dass schon heute das Leben normaler Menschen bedroht sei: "Wollen wir wirklich warten, bis es zu einer Katastrophe mit Tausenden Toten kommt?"
Bei Smith paart sich technischer Sachverstand mit historischem Verständnis, wo die Staaten zögern, dringt er auf Lösungen. Die Initative für das Rote Kreuz, so argumentiert der Microsoft-Mann, sei schließlich auch von Privatleuten ausgegangen, aus Sorge vor der Modernisierung von Kriegswaffen, die zu schrecklichen Verletzungen und Verstümmelungen führen können.
Dass die Industrie vorprescht, liegt auch an der Enttäuschung über die Politik. Seit 2004 debattiert bei den UN eine sogenannte Gruppe der Regierungsexperten. "Wir suchen nach Tischmanieren für Staaten", sagt man dort. Aber was ist von allen schon immer betriebene Spionage, was ist ein Akt des Krieges, was ist zur Verteidigung erlaubt, was ist ein Angriff? Hayden verglich die Debatte einmal mit einem Glaubenszwist, wie zwischen Jesuiten und Dominikanern. Unlösbar also.
Ein Nichtangriffspakt für das Finanzsystem
Dabei sah es zwischendurch nach großem Fortschritt aus. Die Regeln des Völkerrechts sollten gelten, das Gebot der Nichteinmischung, was womöglich sogar auch die Manipulation einer ausländischen Wahl umfasst hätte. Aber dann fiel alles wieder auseinander zwischen Russen, Chinesen, Amerikanern und Europäern. Jetzt sind die UN offiziell in einer Denkpause. Aber der Druck wächst.
In die Lücke stoßen so lange andere. Tim Maurer von der Carnegie-Foundation propagiert den Vorschlag, dass die G-20-Staaten eine Art Nichtangriffspakt für das Finanzsystem schließen. Die zuständigen Minister haben sich mit der Idee bereits befasst. Der Harvard-Professor Joseph Nye, einer der großen amerikanischen Vordenker, hält ein Verbot von Cyberwaffen derzeit nicht für durchsetzbar, aber empfiehlt Vereinbarungen für geschützte Ziele. Wasserwerke, Krankenhäuser und vor allem Atomanlagen könnten auf diese Liste kommen. Außerdem wurde früher über Angriffe oft geschwiegen, man wollte die eigene Verwundbarkeit nicht offenbaren.
In der Vergangenheit kam die Vernunft erst nach der bitteren Erkenntnis
Heute werden sie öffentlich gemacht, und der vermutliche Angreifer wird sanktioniert. Erstmals ist auch die Bundesregierung diesen Weg gegangen, als sie die Ausweisung von vier russischen Diplomaten nicht nur mit dem versuchten Giftmord an dem Ex-Agenten Sergej Skripal und seiner Tochter Julia, sondern auch mit dem Einbruch in das deutsche Regierungsnetz begründete.
Die Erkenntnis wächst, aber sehr langsam. Historisch folgten die Ächtung und Begrenzung hochgefährlicher Waffen stets der bitteren Erfahrung, welche ungeheure Zerstörung sie anrichten können. Die Vernunft setzte erst ein, als die schrecklichen Konsequenzen ihres Einsatzes offensichtlich wurden. Es scheint, dass diese Regel leider auch im Cyberzeitalter noch Gültigkeit besitzt.
