Dieser Text wurde zur Verfügung gestellt von CATO.
Doch ist die Gefahr wirklich so groß? http://4.bp.blogspot.com/-gBayuXOUQQM/U0VTPIr4PQI/AAAAAAAAAL8/tA6WWyaMFgA/s1600/uscybercom+logo.png Logo des US Cyber Command
Eine gängige Meinung ist, dass mit der Fähigkeit zum Cyberkrieg ein Krieg sehr viel einfach zu führen ist, und dass wir deshalb mit einem erhöhtem Kriegsrisiko rechnen müssen. Ich möchte auf die Argumentation eingehen, die dahinter steckt, bevor ich analysiere, inwieweit sie zutrifft.
Erstens wird angeführt, dass militärische Operationen im Internet die Dimension des Raumes nicht beachten müssen. Herkömmliche Streitkräfte müssen ihre Waffen erst physisch in die Nähe ihres Feindes bringen, bevor sie einsatzbereit sind. Folglich haben nur Großmächte, die sich ein Arsenal an Flotten, Luftstreitkräften, Raketen, usw. leisten können, sogenannte global strike capabilities, d.h. die Fähigkeit, weltweit militärisch zuzuschlagen. Im Internet entfällt diese Komponente völlig. Einem Computervirus ist es relativ egal, ob sich der Zielcomputer im Iran oder lediglich eine Straße weiter befindet. Somit ist weltweite Einsatzbereitschaft nicht mehr nur den Großmächten vorbehalten, sondern steht potentiell jedem Land zur Verfügung, das in der Cyberdomäne aufgerüstet hat.
Zweitens wird allgemein anerkannt, dass sich kein Computersystem hundertprozentig vor einem Angriff schützen lässt. Selbst wenn die Administratoren und Softwareentwickler sich sehr gut auskennen und gewissenhaft arbeiten, werden sich bei solch komplexen Systemen immer Fehler einschleichen, die von Angreifern ausgenutzt werden können. Somit ergibt sich scheinbar eine militärische Ungleichgewicht, in der die Offensive sehr viel einfacher ist als die Defensive.
Drittens muss man auch noch beachten, dass die Kosten für die Entwicklung eines Cyberangriffs relativ gesehen sehr gering sind. Zwar wird Stuxnet schon ein paar Millionen Dollars gekostet haben, verglichen mit den Kosten für ein Geschwader moderner Jagdflugzeuge ist dies jedoch ein Schnäppchen.
Diese Faktoren zusammen führen zum Konzept der asymmetrischen Kriegsführung. Dieses besagt, dass auch kleine Länder mit einer realistischen Erfolgschance große Länder im Cyberspace angreifen können, obwohl letztere ihnen mit herkömmlichen Waffen haushoch überlegen wären. Vielleicht kehrt sich das Kräftegleichgewicht sogar um: denn je stärker ein konventionelles Militär ist, desto technologisierter ist es auch (zumindest meistens), und desto anfälliger ist es gegenüber Cyberangriffen. Ist Cyberwar also der „große Gleichmacher“1 der Kriegsführung?
Obwohl die obige Argumentation logisch erscheinen mag, gibt es mittlerweile viele Kriegstheoretiker und andere Experten, die sie für nicht realistisch halten2. Ihre wichtigste Kritik basiert auf der Annahme der „Katastrophentheoretiker“, dass sich jedes Land schlagkräftige militärische Cyberfähigkeiten wird leisten können. Denn obwohl es stimmt, dass die Entwicklung eines Supervirus auf der Oberfläche monetär nicht viel kostet, gibt es dennoch enorme verdeckte Kosten.
Um eine Cyberwaffe des Stuxnet- oder Flame-Kalibers zu entwickeln, braucht man hochausgebildete Profis, Computerexperten der Weltklasse, nicht nur ein paar Hobbyhacker3. Schließlich gewinnt auf diesem Schlachtfeld, wie im ersten Teil erwähnt, die Seite, die das größte Fachwissen hat. Nicht jedes Land hat Zugriff auf diese menschliche Ressource oder die Möglichkeiten, solche Experten auszubilden.
Außerdem werden unzählige Informationen über das Ziel gebraucht, um einen funktionierenden Angriff entwickeln zu können. Ralph Langner, ein deutscher IT-Sicherheitsexperte, der bei der Analyse von Stuxnet mitarbeitete, meinte scherzhaft, dass die Entwickler von Stuxnet „wahrscheinlich die Schuhgröße des Operators [in Natanz] kannten“4. Eine solche Fülle an benötigten Informationen setzt ein hervorragendes Nachrichtendienstwesen voraus, das auch längst nicht jedes Land besitzt. Um diesen Punkt zu verdeutlichen sei erwähnt, dass es Vermutungen gibt, dass der Hauptzweck des Spionagevirus Duqu (der fast genauso komplex war wie Stuxnet) war, die nötigen Informationen für einen weiteren Stuxnet-ähnlichen Angriff zu sammeln. Es lohnt sich also anscheinend, einen Supervirus zu schreiben, um an die Information für den nächsten Virus zu kommen.
Letztlich sei zu bemerken, dass es keinen „one-size-fits-all“ Angriff gibt. Jedes Computersystem ist einzigartig, jedes weist eine andere Kombination aus Hard- und Software auf. Daraus folgt, dass für fast jedes Ziel ein neuer Angriff entwickelt werden muss, da ein Exploit, der auf dem einen System funktioniert hat, nicht zwingend auf einem zweiten wirksam ist. Man muss also als potentieller Angreifer für jedes einzelne Ziel Informationen sammeln und seinen Angriff individualisieren. Das kostet natürlich viel Zeit und Geld.
Aus diesen Gründen denken viele Experten, dass der Cyberkrieg die internationale Machtbalance nicht groß verändern wird. Denn die einzigen, die sich den Aufwand eines großen Cyberangriffes leisten können, sind diejenigen, die auch einen konventionellen Angriff starten könnten. Und selbst für diese Großmächte wäre der Aufwand für einen Angriff in dem Ausmaße, der die Befürchtungen der Katastrophentheoretiker wahr werden lassen würde, wahrscheinlich untragbar.
Das bedeutet nicht, dass die Cyberdomäne unbedeutend ist. Im Gegenteil, ihre Bedeutung hat sie bereits bewiesen, und sie wird in Zukunft allen Prognosen zufolge immer wichtiger werden, wahrscheinlich umsomehr, wenn sie zusammen mit herkömmlichen Angriffen eingesetzt wird. Dennoch ist nicht davon auszugehen, dass wir in näherer Zukunft Zeugen eines digitalen dritten Weltkrieges werden. Wie Thomas Rid von der Universität London meint: „Ich denke, dass das Szenario eines cyber-Pearl Harbor oder sogar eines cyber-9/11 eine Übertreibung ist.“5 Wir können also beruhigt schlafen.
Autor: Daniel Vedder
Die Cyberwar-Trilogie:
-
-
-
Digitale Apokalypse?
Dieser Text erschien ursprünglich auf CATO.
Sollte eine DIskussion mit dem Autor persönlich gewünscht sein, bitten wir Sie höflichst, die Kommentarfunktion unter obigem Link zu nutzen.
1. Adam P. Liff (2012): :“Cyberwar: A New ‘Absolute Weapon’? The Proliferation of Cyberwarfare Capabilities and Interstate War,” Journal of Strategic Studies, 35:3, 401-428
2. Thomas Rid (2012): “Cyber War Will Not Take Place”, Journal of Strategic Studies, 35:1, 5-32
3. So wurde z.B. für Flame eine komplizierte kryptographische Methode komplett neu entwickelt. Es werden also nicht nur Computerexperten benötigt, sondern auch Experten aus jeder anderen betroffenen Fachrichtung.
4. Ralph Langner (2011) “Cracking Stuxnet, a 21st century cyber weapon“, TED Talks http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
5. Jonathan Marcus (2013) “Are we really facing Cyberwar?“ BBC News http://www.bbc.co.uk/news/technology-21653361
Was ist Ihre Meinung?
Kommentare einblendenDiskutieren Sie mit.