Eigentlich sollte doch alles um ein Vielfaches transparenter werden mit dem Internet. Stattdessen hat sich in dieser einen Frage aber alles verwischt: Die Unterscheidung zwischen Krieg und Frieden, zwischen Freund und Feind, zwischen Kombattanten und Zivilisten ist im Netz kaum noch möglich. Im Cyberwar, dem Krieg im virtuellen Raum, gilt das meiste, was bei Konflikten zu Lande, in der Luft, zu Wasser und im Weltall noch einigermaßen überschau- und damit unterscheidbar war, nicht mehr. Denn alle gehen gegen alle vor - verdeckt, ohne Kriegserklärung und unter der Wahrnehmungsschwelle einer breiten Öffentlichkeit.

Die Definition von Krieg als bewaffnetem, gewalttätigem Konflikt zwischen mindestens zwei Kollektiven ist in Zeiten virtueller Realität so nicht mehr akkurat. Denn Staaten und deren Stellvertreter beharken einander im virtuellen Raum brutal und beständig, ohne dass sich die Öffentlichkeit dessen bewusst wäre. Was man dabei nicht hört, ist Gefechtslärm. Was man nicht sieht, sind die Treffer, die im Gebiet des Gegners einschlagen.

Befinden wir uns bereits in einem dauerhaften Cyberkrieg, und keiner merkt es? "Wenn man Cyberspionage miteinbezieht, dann ist die Antwort ganz klar Ja. Jeden Tag hacken sich Länder in die Netze anderer Staaten und vor allem auch in die Netzwerke von Unternehmen dieser Staaten", erklärte Richard Clarke, jahrzehntelang einer der höchsten Sicherheitsbeamten der USA und Autor von World Wide War, vor einiger Zeit in einem Interview mit dem Standard.

NSA-Skandal als Beweis

Quasi wie zum Beweis für diese Einschätzung kamen im Sommer vergangenen Jahres die unglaublichen Überwachungs- und Spionageaktivitäten ausgerechnet des amerikanischen Geheimdienstes NSA ans Tageslicht. Es wurde klar, dass der US-Dienst - damals bezeichnenderweise noch in Personalunion vom Chef des Cyberkommandos der US-Streitkräfte, General Keith Alexander, geführt, der in dieser diffusen Welt der Cyberkrieger und Datenschnüffler einer der ganz großen Spieler ist. Einer, der nicht zwischen Alliierten und Gegnern unterscheidet. Einer, der langfristige strategische Ziele hinter die in Bruchteilen von Sekunden wechselnden Szenarien taktischer Kalküle setzt.

Für ihre Zwecke konnte die NSA auf die Daten amerikanischer Informationstechnologiegiganten wie Google oder Facebook sowie auf jene der großen US-Telefongesellschaften zurückgreifen. Daneben manipulierte sie Unterseedatenkabel und gelegentlich auch andere Hardware: Hintertüren in Routern und Computern wurden eingebaut. Die Spione lasen Mobiltelefone aus, vor ihnen waren selbst verschlüsselte Nachrichten nicht sicher, denn sie hatten auch Kryptografieprogramme für ihre Agency jederzeit lesbar gemacht.

Dadurch hatten (und haben aller Wahrscheinlichkeit nach noch immer) die Amerikaner einen kaum eingeschränkten Zugang zur überlebenswichtigen Infrastruktur vieler Staaten ebenso wie zu streng gehüteten Geheimnissen aus deren Unternehmen oder von deren politischen Amtsträgern. Diese forcierte Spionage und potenziell zerstörerischen Angriffe aus dem Internet bedrohen heute unmittelbar ureigenste Interessen eines jeden Landes.

In den vergangenen Jahren haben deswegen unter anderem Frankreich, Deutschland, Großbritannien und die USA selbst Cybersecurity-Strategien vorgelegt. Zuletzt machten vor allem die Doktrinen der Vereinigten Staaten - es gibt Papiere des Weißen Hauses, des State Department, des Pentagon und ein Grundsatzdokument des Heimatschutzministeriums - von sich reden. Darin wird der Cyberspace als neue militärische "Domäne" bezeichnet. Angriffe aus dem Netz auf Infrastruktur und vitale Interessen der USA würden mit "allen zur Verfügung stehenden und notwendigen Mitteln, auch militärischen", beantwortet.

Viele Analysten sehen darin den Versuch, das Konzept der Abschreckung aus der Nuklearwaffenära in den virtuellen Raum zu übertragen. Weil die USA ein hochtechnisiertes und enorm vernetztes Land seien, müssten sie versuchen, Gegner abzuschrecken. Denn es sei für Washington ein Ding der Unmöglichkeit, einigermaßen sichere Defensivkräfte aufzubauen, die alle kritischen Infrastrukturen der Vereinigten Staaten (Stromnetze etwa, Wasserversorgung, Finanztransaktionen oder die Logistik von Lebensmittelketten) hochgradig sichern könnten.

Günstige Waffen

"Es ist relativ einfach, offensive Kapazitäten für den Cyberkrieg aufzubauen", erklärte ein hochrangiger Beamter einer großen europäischen Staatskanzlei dem Autor dieser Zeilen unlängst unter dem Siegel der Verschwiegenheit. "Und es kann für einige Staaten sehr verlockend sein, weil solche Arsenale viel günstiger zu haben sind als nukleare oder kinetische Waffen. Dazu kommt noch der politische Vorteil, dass Angriffe verschleiert werden können und kaum zuordenbar sind."

Damit sind zwei zentrale Begriffe angesprochen: Asymmetrie und Attribution. Einerseits ist es nahezu unmöglich, datenforensisch festzustellen, wer Urheber einer Cyberattacke ist, wenn es ein geschickter Angreifer darauf anlegt, dies zu verschleiern. Die Angriffswellen können über Drittländer geleitet (geroutet), falsche Fährten ausgelegt werden. Damit ist eine zweifelsfreie Identifikation eines attackierenden Landes zeitnah kaum machbar, und das Konzept der Abschreckung verliert an strategischem Gewicht.

Zweitschlagkapazität?

Anders gesagt: Gab es in Zeiten des Kalten Krieges noch Vorwarnzeiten von etwa 40 Minuten, bis zweifelsfrei identifizierbare feindliche Interkontinentalraketen im eigenen Land einschlagen konnten, und war damals - nicht nur theoretisch - ein unmittelbarer Gegenschlag (" Zweitschlagkapazität") möglich, erfolgen digitale Erstschläge in wenigen Millisekunden. Und danach kann niemand verifizieren, wer dahintersteckt, und somit ist es ungewiss, gegen wen allenfalls zurückgeschlagen werden sollte.

Die Asymmetrie hingegen ist am besten mit Beispielen zu beschreiben: China gilt als einer der rührigsten Akteure in der Cyberspionage/-kriegsführung. Die Volksbefreiungsarmee hat eingeräumt, dass sie eine 30 Mann starke Cybereinheit unter dem Namen Blue Army hat, die jederzeit auch Staaten angreifen kann. Das renommierte amerikanische IT-Sicherheitsunternehmen Mandiant kam vor etwa einem Jahr nach umfangreichen datenforensischen Untersuchungen zum Schluss, dass die "Einheit 61398" des chinesischen Militärs für hunderte Hackerangriffe auf US-Unternehmen verantwortlich ist. Diese Truppe soll in einem zwölfstöckigen Hochhaus in Pudong, einem Bezirk Schanghais, sitzen und hunderte Hacker beschäftigen. Seit 2006 sollen sie zumindest 141 Unternehmen angegriffen und ausspioniert haben. Hunderte Terabyte Daten (von Passwörtern bis zu Businessplänen) wurden dabei entwendet.

Starkes Pjöngjang

Für das nach dem Supermachtstatus strebende Peking, das in herkömmlicher Rüstung und militärischem Know-how mindestens 20 Jahre Rückstand auf die USA hat, erweisen sich Cyberkapazitäten als günstige und effiziente Ergänzung. Nordkorea hingegen hat schon mehrfach das um Lichtjahre entwickeltere Südkorea im virtuellen Raum angegriffen (auch über in Österreich stehende Server). Pjöngjang hat in den vergangenen Jahren starke offensive Fähigkeiten entwickelt und ist aufgrund seiner äußerst limitierten internen Vernetztheit selber kaum im Cyberspace angreifbar. Richard Clarke stuft das nordkoreanische Steinzeitregime deswegen sogar als eine der stärksten Nationen in der Cyberkriegsführung ein (siehe Grafik).

Aber hat es tatsächlich schon einen regelrechten Cyberkrieg gegeben? "Der Begriff ist an das Kriegsvölkerrecht gebunden, das Krieg als einen bewaffneten Angriff definiert, bei dem es schwerwiegende Schäden und Tote gibt. Das findet zurzeit im Cyberspace nicht statt, und das ist auch in absehbarer Zeit technologisch nicht vorstellbar", erklärt ein Experte des Nato Cooperative Cyber Defence Center for Excellence in Tallinn dem Standard. Zudem sei Krieg immer etwas, das auch der Angegriffene zu definieren habe.

Beispiel Estland

Beispiel Estland, Frühjahr 2007: Nach der Versetzung einer Gedenkstatue für die Rote Armee aus dem Zentrum Tallinns in die Peripherie (sinnigerweise auf einen Soldatenfriedhof, nur ei-nen Steinwurf vom heutigen Nato-Cybercenter entfernt) gibt es Unruhen in der estnischen Hauptstadt. Plötzlich brechen Regierungswebsites des kleinen, aber hochvernetzten Staates zusammen. Auch die Banken sind zeitweilig gelähmt. Ein mutmaßlich russischer Cyberangriff hält das Land für Stunden nieder. Obwohl Moskau jede Verantwortung dafür dementiert, spricht Tallinn politisch von einem Angriff auf das Land. Verfolgt allerdings werden die Angreifer nur mit juristischen Mitteln. Von militärischen Maßnahmen sieht die kleine Baltenrepublik verständlicherweise ab.

Fall Georgien

Im Falle des russisch-georgischen Krieges im Sommer 2008 waren Cyberoperationen ein Bestandteil militärischer Operationen. Mit den einfallenden russischen Panzern rollten auch Angriffe im virtuellen Raum auf georgische Regierungswebsiten (durch massive Distributed-Denial-of-Service-Attacken, siehe untenstehende Grafik).

Im aktuellen russisch-ukraininischen Konflikt hat es laut Franz-Stefan Gady vom EastWest Institute in New York noch keine bestätigten Fälle russischer Cyberattacken auf ukrainische Einrichtungen gegeben. Der Grund dafür sei, erklärt der Analytiker, dass Moskau eventuelle Rückwirkungen von Cyberwaffen auf die technisch eng verwandten eigenen Systeme fürchte und die Nato - im Gegensatz zu Georgien 2008 - heute über entsprechende Abwehrkapazitäten verfüge.

Computerwurm Stuxnet

Das im Juni 2010 entdeckte Schadprogramm Stuxnet, das Industriesteuerungssysteme der Firma Siemens (Siematic S7) in iranischen Zentrifugen zur Urananreicherung manipulierte, gilt unterdessen als erster großer Akt von Cybersabotage. Der laut allen Experten mit großem finanziellem und zeitlichem Aufwand programmierte Computerwurm veränderte die Umdrehungsgeschwindigkeiten der Zentrifugen pakistanischer Herkunft, beschädigte sie damit und warf so das iranische Atomprogramm signifikant zurück.

Die Programmierer Stuxnets blieben lange unbekannt. Im US-Präsidentschaftswahlkampf 2012 allerdings erschien in der New York Times ein Artikel, in dem der üblicherweise vom Weißen Haus exzellent informierte Journalist David Sanger behauptete, dass Präsident Barack Obama höchstpersönlich den digitalen Erstschlag gegen den Iran befohlen haben soll - übrigens mit einem Programm, das Obama von seinem Vorgänger George W. Bush empfohlen bekam und das er auch übernahm. 2011 dann sollen die USA laut Washington Post bereits 231 solcher offensiven Cyberoperationen durchgeführt haben.

Dennoch wertete Teheran Stuxnet nicht als einen Anlassfall für eine offene kriegerische Auseinandersetzung. Stattdessen tauchte im Sommer 2012 plötzlich der Computervirus Shamoon auf, der 30.000 Computer (mit Microsofts Windows-NT-Betriebssystem) der saudischen Ölgesellschaft Aramco zerstörte. Das Unternehmen war danach wochenlang damit beschäftigt, seinen normalen Betrieb wiederherzustellen. Zu der Attacke bekannte sich später eine Gruppe namens Schwert der Gerechtigkeit.

Einen Spezialfall stellte zuletzt die "Syrische Elektronische Armee" (SEA) dar, die Angriffe auf US-Einrichtungen startete. Unter den Opfern der SEA sollen auch Medienunternehmen wie die New York Times und das Wall Street Journal gewesen sein.

Um die Abwehr solcher Attacken abzuwehren, hielt die Nato (im Verein mit Finnland, Schweden, Irland und Österreich) unter anderem Ende November ein Cybermanöver ab, bei dem es gegen Hackerangriffe ging und um die Wiederherstellung militärischer Kommunikationssysteme. Rund 100 Soldaten des Bundesheeres waren bei der Übung dabei, sie bilden das Military Cyber Emergency Response Team (milCERT), das mit zwei weiteren CERTs Österreichs Infrastrukturen schützt. In Großbritannien wurden währenddessen Angriffe auf Banken simuliert. Auch das gehört zu den "kritischen Infrastrukturen" einer Gesellschaft. Fallen diese aus (etwa Strom-, Wasser-, Lebensmittel-, Geldversorgung), erklären die Militärs, dann müsse man binnen Tagen Zustände erwarten, wie sie nach dem Hurrikan Katrina in New Orleans geherrscht hätten.

Frankreich rüstet auf

Deswegen wird - bei gleichzeitig weltweit schrumpfenden Militärhaushalten - in solche Kapazitäten relativ viel investiert. Vor wenigen Wochen erst gab Frankreich bekannt, dass es eine Milliarde Euro zur Verbesserung seiner Cyberfähigkeiten ausgeben will. Im Jahr 2013 habe man allein auf französische Verteidigungs- und Militäreinrichtungen mehr als 800 Cyberangriffe gezählt - Tendenz steigend. Auch Großbritannien gab im Herbst 500 Millionen Pfund frei, um Personal für seine Cybertruppen anzuheuern.

Großes Geschäft

Daraus wird auch ein großes Geschäftspotenzial für IT- und Rüstungsunternehmen sichtbar, die inzwischen alle über eigene Cyberwarfare-Abteilungen verfügen. Die Cybersparte des britischen Rüstungskonzerns BAE Systems, Detica, schätzte das Marktvolumen schon vor Jahren allein für Großbritannien auf 15 Milliarden Pfund. Denn neben den Militärs rüsten auch die Unternehmen dramatisch auf - an Material und Mannstärke.

Genützt allerdings hat das bisher wenig, glaubt man der US-Expertin und früheren Cyberbeauftragten des Weißen Hauses, Melissa Hathaway. Durch die immer dichter werdende Vernetzung insbesondere in industrialisierten Staaten würden diese immer anfälliger für alle möglichen Attacken aus dem Internet. Sie fordert, die G-20 müsste sich der Cybersicherheit annehmen und das zu einer ihrer Topprioritäten machen.

Uno soll helfen

Andernorts will man mit den Vereinten Nationen weiterkommen: Im Gefolge des NSA-Skandales warnte Brasiliens Präsidentin Dilma Rousseff davor, dass der "Kampf gegen den Terrorismus" nicht als "Alibi für den Cyberkrieg" genutzt werden dürfe. Gemeinsam mit Deutschland macht sich Brasilien bei der Uno für eine internationale Regelung zum Schutz der Privatsphäre im Internet stark. "Das ist der Moment, um die Voraussetzungen zu schaffen, dass der Cyberspace nicht durch Spionage, Sabotage und Attacken auf Systeme und Infrastruktur anderer Länder als Kriegswaffe instrumentalisiert wird", sagte Rousseff vor der Uno. Anfang November reichte Brasília gemeinsam mit Berlin eine UN-Resolution gegen das Ausspähen elektronischer Kommunikation ein.

Cyberkriegsexperten wie Franz-Stefan Gady vom EastWest Institute argumentieren hingegen für absolute Offenheit in allen Belangen: "Was es braucht, ist Cyberstabilität. Alle, auch die Militärs, müssen die Karten auf den Tisch legen. Der springende Punkt ist Resilienz (die Belastbarkeit der Systeme, Anm.)."

Daraus könnte in der Tat auch das möglich werden, was US-Cybercommand-Chef Keith Alexander bereits vor Jahren eingefordert hat: internationale Abrüstungsverträge für den virtuellen Raum nach dem Vorbild der nuklearen Abrüstung im Kalten Krieg. Dann wäre zumindest eine Analogie aus dem Nuklearzeitalter in Cyberzeiten - positiv - angewendet. (DER STANDARD, 8.3.2014)