Rid Mythos Cyberwar

Vorwort
Es ist zu einer beliebten Phantasie geworden, dass uns ein Cyberkrieg droht. Hollywood hat derlei Befürchtungen bereitwillig aufgegriffen und für uns bebildert. Filme wie Kriegsspiele1 oder, etwas aktueller, Stirb langsam 4.02 wandeln dabei auf vorhersehbaren erzählerischen Pfaden: Finstere Mächte mobilisieren geheime und komplexe Computernetzwerke, um die Welt ins Chaos zu stürzen, ganze Nationen in Geiselhaft zu nehmen und durch einen Einbruch in die gewaltigen und mächtigen Computersysteme des Pentagons einen Atomkrieg auszulösen. Solche Ängste haben immer einen Nerv getroffen. So war auch HAL, Stanley Kubricks alles kontrollierende Maschine an Bord eines Raumschiffs in seinem Film 2001 – Odyssee im Weltraum3 aus dem Jahr 1968, eine eindringliche Verkörperung der tief sitzenden menschlichen Angst, die Kontrolle an die Technik zu verlieren. In Zeiten, in denen immer mehr Menschen und Dinge online gehen, greifen solche Befürchtungen stärker um sich denn je. Die meisten Menschen, ob jung oder alt, arbeiten mit Computern, ohne das Zusammenspiel von Hardware und Software wirklich zu verstehen. Sehr viele tragen ihr Smartphone permanent bei sich. Und sehr viele sind geradezu süchtig nach Vernetzung und checken, wo sie gehen und stehen, ihre E-Mails oder Nachrichten-Feeds aus den Sozialen Netzwerken. Eine ganze Generation ist in dem Glauben aufgewachsen, ihr persönliches und berufliches Glück hänge von digitalen Geräten und permanenter Erreichbarkeit ab. Wer auf seinem Touchscreen herumfingert, noch bevor der Frühstückskaffee fertig ist, wird intuitiv verstehen, dass praktisch alles, was der Tag noch bringen kann, computergesteuert ist: das Wasser aus der Leitung, die Kaffeemaschine, versorgt mit Strom aus dem Kraftwerk, die Ampelschaltung im Straßenverkehr und die S-Bahn, mit der er oder sie zur Arbeit fährt, der Geldautomat, an dem sie Geld holt, der Aufzug, der sie in ihr Büro transportiert, das Flugzeug, das sie nach Berlin oder Neu-Delhi oder New York bringt, das Navigationssystem, das ihr in einer unbekannteren Stadt den Weg weist, und vieles andere mehr. All diese Lebensbegleiter sind mittlerweile alltäglich und unscheinbar geworden – solange sie funktionieren. Genauso alltäglich und allgegenwärtig ist die perfide Angst, dass hinterhältige Bösewichter permanent darauf lauern, in diese Computer und ihre gesamte Software einzudringen und sie zu zerstören, um so ganze Gesellschaften in die Knie zu zwingen: Kein Wasser wird mehr fließen, die Lichter werden verlöschen, Züge entgleisen, Banken unsere Finanzdaten verlieren, Chaos wird auf den Straßen ausbrechen, und Flugzeuge werden vom Himmel fallen. Niemand, so die Devise, ist vor dem kommenden Cyberkrieg sicher, unser digitaler Untergang nur eine Frage der Zeit. Diese Ängste führen uns in die Irre. Sie lenken uns von der wirklichen Bedeutung des Themas Cybersicherheit ab: Vieles spricht dafür, dass Cyberangriffe keine neuen Schneisen für gewaltsame Auseinandersetzungen schlagen, sondern vielmehr das Gewaltniveau ehemals gewaltsamer Konflikte absenken. Erst im 21. Jahrhundert wurde es Streitkräften möglich, Radarstationen und Raketenwerfer lahmzulegen, ohne das Luftabwehrsystem eines Gegners bombardieren und dabei Bedienmannschaften und womöglich Zivilisten töten zu müssen. Heute lässt sich das durch einen Cyberangriff bewerkstelligen. Erst im 21. Jahrhundert sahen sich Geheimdienste in der Lage, gewaltige Mengen an Geheiminformationen durch Computerhacks herauszufiltern und herunterzuladen, ohne Spione an gefährliche Orte zu entsenden, wo diese erst einmal Informanten bestechen, erpressen und gegebenenfalls schädigen müssten. Erst seit dem 21. Jahrhundert können Rebellen und Widerstandskämpfer mit gewaltlosen Mitteln den staatlichen Machtanspruch untergraben, indem sie Anhänger und Sympathisanten online mobilisieren und zu Tausenden auf die Straße bringen. Der weltweite Vormarsch vernetzter Computer verändert das Geschäft von Soldaten, Spionen und Subversiven. Der Cyberspace erzeugt neue – und oft nicht gewaltsame – Handlungsoptionen. Aber auch diese neuen Optionen stoßen auf je eigene Beschränkungen und Schwierigkeiten, die wiederum alle gleichermaßen betreffen, ob sie sich vor neuen Angriffsmöglichkeiten zu schützen versuchen oder die neuen Technologien offensiv für ihre Ziele nutzen wollen. Das vorliegende Buch lotet die Möglichkeiten und Grenzen politisch motivierter Gewalt im Cyberspace aus, mag diese im Namen eines Staates erfolgen oder nicht. Die zunehmende Häufigkeit technisch raffinierter Computerhacks birgt zweifellos erhebliche Risiken und Gefahren, und so ist es ganz entscheidend, diese Risiken und Gefahren richtig zu verstehen und adäquat zu beantworten, damit sie sich entschärfen lassen. Aus diesem Grund sei hier ein kurzes Wort zur neueren Debatte über Cybersicherheit erlaubt: Denn sie ist unzulänglich und vielerorts von unterirdischer Qualität. Die allgemeine Diskussion findet in Technologie-Fachblättern, Zeitschriften und spezialisierten Netzforen, aber natürlich auch in den Massenmedien, der Wissenschaft, in Blogs und Mikroblogs statt. Sie wird auf unzähligen Workshops und Konferenzen geführt, zu denen Vertreter der Privatwirtschaft, des Staates, der Nachrichtendienste und des Militärs sowie Hacker und Wissenschaftler aus vielen wissenschaftlichen Disziplinen zusammenkommen. Sie erfolgt sowohl öffentlich als auch hinter verschlossenen Türen oder gar unter strengster Geheimhaltung. Zweifellos produziert eine Reihe ausgewiesener Experten regelmäßig hoch qualifizierte Forschungsergebnisse zum Thema Cybersicherheit; ohne deren solide Arbeit hätte dieses Buch gar nicht geschrieben werden können. Doch je weiter man in politische oder militärische Kreise, in Denkfabriken, Parlamente, Ministerien und Militärakademien vordringt, desto rarer scheinen sich echte Spezialisten zu machen und desto schriller wird der Ton. Die Naivität der strategischen Debatte erweist sich am Aufkommen eines merkwürdigen Jargons, der sich nicht zuletzt in der von politischen Bescheidwissern und nicht wenigen Uniformträgern geradezu inflationär gebrauchten substantivierten Form des Wortes »cyber« ausdrückt und ungefähr so klingt: »Ich interessiere mich für Cyber« oder »Wie definiert man Cyber?« – eine Frage, die mir ein Beamter allen Ernstes stellte, unmittelbar nachdem ich bei einer Präsentation vor beiden Kammern des britischen Parlaments empfohlen hatte, dieses trendige, aber leere Schlagwort nicht substantivisch zu gebrauchen. Weder Informatiker, Programmierer oder Experten für Softwaresicherheit noch Technikjournalisten oder seriöse Wissenschaftler verwenden »Cyber« normalerweise als Substantiv. Überhaupt habe ich im Lauf der Jahre ein extremes Misstrauen gegenüber »Substantivierern« entwickelt, die oft kaum einen Gedanken an die erforderlichen technischen Details zu verschwenden scheinen – ein Phänomen, das sich in Washington ebenso beobachten lässt wie in London, Paris, Berlin und anderswo. Umso wichtiger ist es, die Qualität der Debatte zu beflügeln. Die Öffentlichkeit hat eine informiertere, differenziertere und realistischere Diskussion verdient als die bisher geführte. Und sie verdient auch besser durchdachte und umgesetzte Richtlinien und Gesetze zur Cybersicherheit. Mythos Cyberwar wurde in dem Bestreben geschrieben, der Leserschaft einen fundierten und dennoch verständlichen Beitrag zu dieser Debatte an die Hand zu geben, in dem Versuch, die Diskussion zu vertiefen, den Hype herunterzukochen und angemessen auf einige der drängendsten Sicherheitsfragen einzugehen. Das Buch soll Studenten, Analysten und Journalisten als Quelle dienen. Die Diskussionen und Seminare über Cybersicherheit finden in verschiedenen akademischen Fachrichtungen statt, von denen Politikwissenschaft und Informatik an erster Stelle stehen, gefolgt von Rechtswissenschaft und Soziologie. Ich hoffe, dass all die unterschiedlichen Rezipienten dieses Buch aufschlussreich finden werden: Ingenieurinnen, Computercracks und Technikfreaks profitieren vielleicht von der strategischen Vogelperspektive, Politexpertinnen und Soziologen ziehen womöglich einen Nutzen aus den verständlich dargestellten technischen Details, und Studierende all dieser Disziplinen wissen vielleicht beides zu schätzen. Als einzelner Autor kann man sich allerdings nicht der Illusion hingeben, das gesamte Spektrum der Cybersicherheit abzudecken, wie die lange Liste von Danksagungen deutlich macht. Um der besseren Zugänglichkeit willen sind die neun Kapitel dieses Buches als eigenständige Essays angelegt, von denen jeder mit je eigenen Fragen, Argumenten und Mikro-Fallstudien aufwartet. Eine Bemerkung noch zu den hier verwendeten Quellen. Die anregendsten Debatten um die jüngsten Entwicklungen im Bereich der Cybersicherheit spielen sich nicht in wissenschaftlichen Zeitschriften ab, sondern in zahlreichen Technologie-Blogs und auf Websites, die man nicht als Blog bezeichnen kann. Auch von den wichtigsten längeren Studien und Berichten sind viele nicht in Zeitschriften erschienen, die sich nach akademischen Konventionen zitieren lassen, sondern auf Websites von Unternehmen oder manchmal von Einzelpersonen. Andere Artikel, die womöglich schwieriger aufzutreiben sind, zitiere ich mit einer URL. Weil aber viele URLs so aufgebläht und oft kurzlebig sind, habe ich beschlossen, stattdessen einen bitly.com-Link mit Statistiken zur Verfügung zu stellen4, der dem Leser den vollständigen Link, das Datum seiner ersten Verwendung und weitere Nutzerstatistiken bietet –...