Wassertropfen in einem Spinnenetz
1 | 2 | 3 Pfeil rechts

Sicherheit im Cyberspace


21.10.2016
Im Sommer 2016 veröffentlichte eine Hackergruppe, die sich "The Shadow Brokers" nennt, Teile des Werkzeugkastens der sogenannten Equation Group, einer offensiven Cybereinheit, die dem US-Auslandsgeheimdienst NSA nahestehen soll. Unter den offengelegten Instrumenten befanden sich unter anderem Schadcode und Programme zum Ausnutzen von Sicherheitslücken, sogenannte Exploits.[1] Der Fall war nicht nur eine Blamage für die Equation Group, sondern verdeutlichte erneut, dass das Internet mittlerweile zu einem sicherheitspolitischen Raum geworden ist, in dem die klassischen, staatlichen Verfahren allein nicht mehr ausreichen, um für Sicherheit zu sorgen. Außerdem zeigte er klar, dass Sicherheitslücken in Software selbst für diejenigen gefährlich sind, die sie üblicherweise nutzen.

Im Folgenden sollen – mit Blick auf die sicherheitspolitischen Herausforderungen – die Besonderheiten des Cyberspace analysiert und eingeordnet werden. Wir werfen dabei einen Blick auf Paradigmen und Paradoxien dieses vom Menschen geschaffenen Raums und beleuchten drei nationale Strategien (USA, Deutschland, Russland) für die Herstellung von Cybersicherheit. Weil im Datenraum einzelstaatliches Handeln allein noch keine Lösungen für sicherheitspolitische Probleme erlaubt, weiten wir im Anschluss den Fokus auf internationale Kooperation und nehmen dabei den sogenannten Cyberterrorismus in den Blick. All dies soll unter der Fragestellung geschehen, ob den konzeptionellen Besonderheiten des Raums politisch ausreichend Rechnung getragen wird.

Der Cyberraum war niemals sicher



Der Shadow-Brokers-Fall steht an der Spitze einer Entwicklung von digitaler Aufrüstung und Versicherheitlichung des Cyberraumes. Dieser wird zunehmend als Herausforderung für die nationale Sicherheit erachtet. Bislang haben 72 Staaten Cybersicherheitstrategien formuliert;[2] hinzu kommen Vereinbarungen in und zwischen supranationalen beziehungsweise intergouvernementalen Organisationen wie EU und NATO.[3] Dass der Cyberraum für Angriffe genutzt werden kann, ist keine Neuigkeit. Lange Zeit war der sicherheitspolitische Fokus allerdings auf kriminelle Akteure gerichtet. Bereits 1989 kursierte die erste Erpresser-Software "AIDS", die über 5,25-Zoll-Disketten weltweit Computer infizierte. Auf den Rechnern der Betroffenen führte sie zur Verschlüsselung zahlreicher Daten, die nur gegen eine Lösegeldzahlung wieder freigegeben wurden.[4] Über staatliche Interessenverfolgung per Cyberangriff war indes wenig bekannt. Hier wurde erst 2007 ein Präzedenzfall geschaffen: Damals legten DDoS-Attacken mutmaßlich russischer Hackergruppen etliche Regierungs-, Banken- und Nachrichtenseiten Estlands lahm, nachdem ein sowjetisches Kriegerdenkmal aus der Hauptstadt Tallinn verlegt werden sollte.[5]

Den ersten und bisher einzig bekannten militärischen Cyberangriff auf einen anderen Staat begingen die USA und Israel 2011 mit dem Trojaner "Stuxnet" auf das iranische Atomprogramm. Dabei wurden mehrere Zentrifugen zur Anreicherung von Uran zerstört.[6] Erstmalig wurde ein Cyberangriff genutzt, um Schäden physischer Infrastrukturen herbeizuführen. In nationalen Verteidigungs- und Cyberstrategien ist Stuxnet seither ein häufig zitierter Präzedenzfall. Viele Staaten versuchen deshalb, möglichst große Kontrolle über das Internet oder wenigstens über ihre nationale Internetinfrastruktur zu erlangen. So ist auch das sogenannte HACIENDA-Programm des britischen Nachrichtendienstes GCHQ zu verstehen, das 2014 durch den ehemaligen NSA-Mitarbeiter Edward Snowden aufgedeckt wurde. Es soll den Cyberraum und verwundbare Infrastrukturen kartografieren.[7] Andere Staaten verfolgen wohl ähnliche Absichten.

Spezielle Herausforderungen



Die konzeptionellen Besonderheiten des Cyberspace sind inzwischen vielfach dokumentiert. Kein Raum bietet bessere Möglichkeiten, die Spuren eigener Aktivitäten zu verwischen, falsche Fährten zu legen und die Rückverfolgbarkeit von Angriffen zu verhindern. Im globalen Netz werden zwangsläufig Dritte, insbesondere ihre IT-Infrastruktur, in den Konflikt hineingezogen. Ihrer durch das Völkerrecht auferlegten Sorgfaltspflicht können Staaten nur bedingt nachkommen, wollen sie nicht die Freiheit und Offenheit des Internets durch vollständiges Überwachen gefährden. Die Attribution von Aktivitäten, insbesondere von aggressiven, bleibt schwierig, wenn nicht unmöglich. Die dafür antretende Computerforensik sammelt nachträglich meist Indizien, keine Beweise. Viele technische Merkmale, die oftmals als politische Beweiskette für oder gegen Aktivitäten bestimmter Staaten ins Feld geführt werden, halten einer konsistenten juristischen Beweisführung nicht stand. Ob Zeitstempel und sprachspezifische Kommentare in Quellcodes, spezielle Codefragmente, Routinen oder Programmiertechniken: All das ist fälschbar, und kaum etwas lässt sich so leicht verbreiten wie Software(schad)code und die dafür nötigen Sicherheitslücken.

Gleichzeitig sind die meisten Staaten abhängig von kommerzieller Hard- und Software und damit auch von deren Sicherheit. Nationale technologische Souveränität in der IT ist schon deshalb eine Illusion, weil die Produktions- und Lieferketten globalisiert sind. Wirtschaftlich würde eine nationale, souveräne IT für die meisten Staaten auch keinen Sinn ergeben, weil die heimischen Märkte zu klein für die nötigen Investitionen in Forschung, Entwicklung und Produktion sind.

Schon diese wenigen Beispiele zeigen, dass klassische Paradigmen der Sicherheitspolitik nicht ohne Weiteres auf den Cyberspace übertragbar sind. Abschreckung kann nur funktionieren, wenn der Angreifer glaubhaft mit Vergeltung rechnen muss, doch das Attributionsproblem untergräbt diese Logik. Der Staat als Garant für Sicherheit im Cyberspace ist oft selbst abhängig von kommerziellen Unternehmen und tritt zudem nicht selten janusköpfig auf, etwa wenn staatliche Stellen Sicherheitslücken aufkaufen, um sie später gezielt einzusetzen, sei es zur Strafverfolgung und polizeilichen Prävention oder nachrichtendienstlich beziehungsweise militärisch. Zudem verwischt die Trennung zwischen Zivilem und Militärischem: Akteure beider Bereiche verwenden gleiche oder ähnliche IT-Infrastruktur, beide stehen in ähnlichen Abhängigkeiten zu kommerziellen Softwareanbietern. Selbst staatliche Hacker und Cyberkriminelle unterscheiden sich kaum in den eingesetzten technischen Mitteln.

Schließlich versagt das Rechtsprinzip der Territorialität insbesondere für digitale Daten, wenn sie losgelöst von ihren realen Ursprüngen global verarbeitet und gespeichert werden. Die neueste Fassung der US-amerikanischen Cyberstrategie spricht deshalb von einem gemeinsam geteilten Raum (shared space).[8] Weil internationale Rechtsetzung in der Regel fehlt, kommt es zu Kollisionen unterschiedlicher nationaler Regulierungen. Dies ist nicht neu. Neu ist, dass die Daten im Datenraum delokalisiert verarbeitet und gespeichert werden. Der Cyberspace ist kein homogener, klar begrenzter Rechtsraum wie die internationale See, sondern ein durch die Anwendung von technischen Protokollen aufgespannter, virtueller Datenraum. All dies spricht dagegen, den Cyberspace als einen traditionellen, sicherheitspolitischen Raum aufzufassen; stattdessen gilt es, die Gültigkeit bestimmter Konzepte wie zum Beispiel Abschreckung, Verteidigung und Rüstungskontrolle neu zu bestimmen.

Die Gefahr von Cyberangriffen geht von unterschiedlichsten Akteuren aus. Einzeltäter tummeln sich hier genauso wie professionell organsierte Hackergruppen, kriminelle Banden ebenso wie militärische und nachrichtendienstliche Hackerkommandos. Cybersicherheitsexperten gehen davon aus, dass die Gefahr von Angriffen nicht ab-, sondern weiter zunimmt.[9] Als größte Gefahrenquelle gelten professionelle und staatliche Hackerteams, die (Industrie-)Spionage betreiben oder kritische Infrastrukturen angreifen.

Die US-Sicherheitssoftwarefirma Symantec entdeckte 2015 mehr als 430 Millionen neue Varianten von Schadsoftware, was einer Zunahme von 36 Prozent gegenüber dem Vorjahr entspricht. Mehr als verdoppelt habe sich die Ausnutzung von sogenannten Zero-Day-Schwachstellen.[10] Sobald diese Schwachstellen öffentlich werden, bleibt den Entwicklern kaum Zeit, diese durch ein Sicherheitsupdate zu korrigieren, bevor Kriminelle sie ausnutzen. Entdeckte und weiterverkaufte Schwachstellen werden bevorzugt von staatlichen Akteuren für Überwachungsmaßnahmen und Angriffe benutzt. Auch Stuxnet bediente sich mehrerer solcher Zero-Day-Sicherheitslücken.[11] Der Handel mit diesen Schwachstellen befeuert ein Geschäftsmodell sogenannter Sicherheitsfirmen, an dessen Austrocknung Regierungen im Sinne der staatlichen Sicherheitsvorsorge eigentlich größtes Interesse haben müssten. Dass Sicherheitsorgane diese Lücken im Namen der Sicherheit aufkaufen und dann nicht an die Hersteller melden (um sie später selbst für Angriffe zu verwenden), gehört zu den Paradoxien der Cybersicherheit.

Ein weiteres Paradoxon des Cyberspace entsteht durch die Verwischung der Unterschiede zwischen Offensive und Defensive, also das Ausnutzen von offensiven Fähigkeiten für defensive Zwecke. Insbesondere für militärische und nachrichtendienstliche Akteure gilt mittlerweile die Devise, dass das Eindringen in fremde Computersysteme und die Analyse ihrer Schwachstellen noch keinen Angriff im klassischen Sinne darstellt. Wenn aber alle die Systeme der jeweils anderen infiltriert haben, wer ist dann Angreifer und wer Verteidiger? Die politischen und technischen Hemmschwellen in diesem "Spiel" sind jedenfalls deutlich gesunken. Der Cyberangriff auf den Deutschen Bundestag im Sommer 2015 verdeutlicht den Trend und zeigt die Verwundbarkeit wichtiger staatlicher Infrastrukturen.


Fußnoten

1.
Vgl. Patrick Beuth, NSA: Unbekannte versteigern angebliche Waffen von Elitehackern, 16.8.2016, http://www.zeit.de/digital/internet/2016-08/nsa-shadow-brokers-hack-equation-group«.
2.
Vgl. ITU, National Strategies Repository, http://www.itu.int/en/ITU-D/Cybersecurity/Pages/National-Strategies-repository.aspx«.
3.
Vgl. NATO, Cyber Defence Pledge, 8.7.2016, http://www.nato.int/cps/en/natohq/official_texts_133177.htm«.
4.
Vgl. Hauke Gierow, Der Virus des wunderlichen Dr. Popp, 7.7.2016, http://www.golem.de/news/die-erste-ransomware-der-virus-des-wunderlichen-dr-popp-1607-121809.html«.
5.
DDoS steht kurz für "Distributed Denial of Service": Durch eine Vielzahl von gleichzeitigen Angriffen auf ein Computersystem wird dieses zeitweilig durch Überlastung zum Erliegen gebracht. Vgl. Florian Rötzer, DDoS-Angriffe auf estnische Server waren kein "Cyberwar", 12.6.2007, http://www.heise.de/-138918.html«.
6.
Vgl. David E. Sanger, Obama Ordered Wave of Cyberattacks Against Iran, 1.6.2012, http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html«.
7.
Vgl. Julian Kirsch et al., NSA/GCHQ. Das HACIENDA-Programm Zur Kolonisierung des Internet, 15.8.2014, http://www.heise.de/-2292574.html«.
8.
Vgl. The White House, U.S. Government, National Security Strategy, Washington D.C. 2015, http://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strategy.pdf«.
9.
Vgl. Accenture/HfS Research, The State of Cybersecurity and Digital Trust 2016, 2016, S. 3ff., http://www.accenture.com/us-en/insight-cybersecurity-digital-trust-2016«.
10.
Vgl. Symantec, Internet Security Threat Report 2016, Mountain View 2016, S. 5.
11.
Vgl. Kim Zetter, Countdown to Zero Day. Stuxnet and the Launch of the World’s First Digital Weapon, New York 2015, S. 88ff.
Creative Commons License Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/3.0/
Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/3.0/
Autoren: Marcel Dickow, Nawid Bashir für Aus Politik und Zeitgeschichte/bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.