Internetsicherheit Rede nicht von Krieg, wenn Du Kriminalität meinst

Microsofts Sicherheitsexperte Scott Charney drängt darauf, den inflationären Gebrauch des Begriffes "Cyberwar" zu beenden. Das Gerede von Krieg, wenn eigentlich andere Dinge gemeint seien, verhindere adäquate Reaktionen und notwendige Kooperationen - auch zum Nutzen von Kriminellen.

Scott Charney: Wirtschaftsspionage ist nicht Krieg, Kriminalität nicht dasselbe wie staatliche Neugier

Scott Charney: Wirtschaftsspionage ist nicht Krieg, Kriminalität nicht dasselbe wie staatliche Neugier

Von


Was genau ist ein Krieg? Die Frage ist alles andere als profan, wie nicht nur das Geeiere deutscher Politiker um eine offizielle Sprachregelung bei der Bezeichnung des Konfliktes in Afghanistan zuletzt wieder zeigte. Selbst wenn Kugeln fliegen, Bomben explodieren und Menschen sterben, machen wir die Bezeichnung solcher Konflikte von zahlreichen Faktoren abhängig: Wir unterscheiden Aufstände von terroristischen Aktivitäten, Bürgerkriege von Guerilla-Kriegen, Rebellen von legitimierten Soldaten - übrigens egal, wie die sich aufführen. Nur im Internet wird jeder größere Angriff viel zu schnell zum Krieg erklärt - zum "Cyberwar".

Das, argumentiert Scott Charney, einst oberster Ermittler des US-Justizministeriums in Sachen Internetkriminalität und heute im Management von Microsoft zuständig für Computersicherheit und Umweltthemen, sei kontraproduktiv. Denn schon allein das Wort "War" induziere womöglich die falschen Reaktionen von den falschen Instanzen - und verhindere so adäquate Reaktionen.

Ein einfacher, aber kluger Gedanke, wie ein Blick auf zahlreiche "Cyberwars" der letzten Jahre zeigt. Das fängt damit an, dass es diplomatischen Beziehungen nicht gut tut, von Krieg zu sprechen, wenn jugendliche israelische Cybervandalen palästinensische Web-Seiten attackieren, sich koreanische Script-Kiddies virtuelle Gefechte mit ihren amerikanischen Pendants leisten oder Cracker aus Russland und China wieder einmal auf den Servern amerikanischer Unternehmen herumstochern.

Es endet damit, dass eine Novelle des Cybercrime-Abkommens in Verhandlungen zwischen den USA und Russland in eine Sackgasse gerät, weil sich die Russen von den Amerikanern verständlicherweise auf die Füße getreten fühlen, wenn vom Cyberwar die Rede ist: Der Begriff unterstellt doch letztlich, das hier ein aggressiver Akt von staatlich legitimierter Seite ausgeht. Im sogenannten realen Leben wäre so etwas oft genug Grund für den Abbruch diplomatischer Beziehungen und vielleicht sogar Krieg. Die Unterstellung eines Cyberwar aus einem bestimmten Land ist fraglos ein Affront, wenn diese Attacken in Wahrheit von Seiten des organisierten Verbrechens ausgehen.

Krieg taugt nicht als Generalverdacht

Man schießt also mit ganz schön dicken verbalen Kanonen, wenn man vom Cyberkrieg redet. Der ist mit Sicherheit eine theoretische Möglichkeit, und das macht die Sache nicht einfacher. Die Absicherung der sogenannten kritischen Infrastrukturen ist fraglos nötig, denn längst ist der Grad der Vernetzung hoch genug, eine Cyberattacke zu einer Waffe zu machen, die ganz reale Leben kosten kann. Wer etwa militärische Infrastrukturen "abschießt", kann ein Land blind und wehrlos machen. Wo in anderen Bereichen mit Abkommen, Kontrollinstanzen und mitunter Abrüstung versucht wird, potentiellen Schaden zu begrenzen, hat so etwas in Cyberia gerade erst begonnen.

Kein Wunder: Man wird im Ernstfall seine Probleme haben, Cyberattacken durch abgedrehte Vandalen von gezielten Angriffen durch Wirtschaftsspione, die aggressiven Taten krimineller Bot-Herder von denen einer militärischen Sabotage-IT-Einheit zu unterscheiden. Im Zweifelsfall nutzen sie alle ähnliche "Waffen" und Methoden.

Oder Kriminelle machen sogar ein vermeintlich staatliches Interesse zu ihrem eigenen. So gingen zum Zeitpunkt der Grenzkonflikte zwischen Russland und Georgien zahlreiche Attacken auf georgische Server vom sogenannten Russian Business Network (RBN) aus. Die geheimnisumwitterte Truppe gehört zu den größten kriminellen Playern beim Betrieb von Botnetzen, beim Spamversand, bei Spionageattacken bis hin zum Vertrieb von Kinderpornografie. Für das liebe Mutterland zieht das RBN wohl nur in Ausnahmefällen ehrenamtlich in den Cyberwar.

Die Reaktion auf solche Angriffe aber, argumentierte Charney am Mittwoch auf einer Security-Tagung in Dallas, ist natürlich abhängig von ihrer Bewertung: Ein krimineller Angriff verlangt nach schneller, grenzüberschreitender Kooperation von Polizeibehörden. Ein echter Cyberwar-Angriff würde dagegen nach einer weit weniger kooperativen staatlichen Reaktion verlangen. Würde ein Angriff zum Cyberkrieg erklärt, glaubt Charney, könnten sich auch Unternehmen aus der Verantwortung genommen fühlen: So etwas müsse ja wohl der Staat regeln. Andererseits mag der Vorwurf des Cyberwar verhindern, dass ein beschuldigter Staat angemessen gegen Kriminelle in seinem Land vorgeht. Kurzum: Die Begriffsunschärfe führe zu unangemessenen Reaktionen und könne die Dinge so verschlimmern, statt sie zu verbessern.

Statt dessen, so Charney, solle man klare Kategorien einführen, um die Dinge zu benennen. Er schlägt vier vor:

  • Computerkriminalität
  • militärische Spionage
  • Wirtschaftsspionage
  • kriegerische Cyberangriffe ("Cyberwarfare").

Die Sensibilität dafür, dass hier zu lange verbal mit Mittelstreckenraketen auf Spatzen geschossen wurde, scheint zu wachsen. In Dallas pflichteten zahlreiche Redner Charney bei, bis hin zu Howard Schmidt, dem IT-Sicherheitskoordinator des Weißen Hauses: Cyberwar sei eine inkorrekte Metapher, wenn man bedenke, dass die meisten Angriffe kriminelle Taten seien und darauf abzielten, Geld zu ertricksen.

Was natürlich das Grundproblem der Bewertung und Zuordnung nicht aus der Welt schafft, wie Charney in seinem Papier ausführt: Er erinnert an die Anfang Januar als Google-Hacks bekannt gewordenen Cyber-Attacken auf zahlreiche US-Unternehmen, die zu diplomatischen Verstimmungen zwischen den USA und China führten. Mit höchster Wahrscheinlichkeit ging es auch hier um Wirtschaftsspionage. Rückverfolgungen der Datenwege deuten auf Täter im geografischen Raum China hin. Beweise dafür, dass der chinesische Staat verwickelt war oder die Spionageattacken sanktionierte, gibt es nicht.

Was tun, wenn wirklich eine staatliche Attacke läuft?

So wenig wie beim 2008 entdeckten Ghostnet, das gemeinhin ebenfalls chinesischen Tätern zugeschrieben wird. Das Spionagenetzwerk attackierte Unternehmen, Banken, militärische Netzwerke, aber offenbar auch gezielt sowohl Regierungsrechner diverser Staaten einschließlich Deutschland sowie die Rechner der tibetischen Exilregierung.

Ein krimineller Hack? Unwahrscheinlich, aber wie geht man mit so etwas um?

Pragmatischer, mit abgestuften und klaren, statt reflexhaften öffentlichen Reaktionen, meint Charney: "Es wird wichtig sein, sich auf die Wahrscheinlichkeit einer akkuraten Zuordnung (einer Attacke) zu konzentrieren, statt auf eine sichere Zuordnung der Verantwortlichkeit. In vielen Bereichen ist diese Sicherheit aber natürlich nicht zu erreichen."

Wichtiger als das "Wer attackiert da?", sei also zunächst: "Was ist das für eine Attacke und wie reagieren wir darauf?"

Je nach Zuordnung müsse die Reaktion dann durch unterschiedliche Instanzen erfolgen, die mitunter erst zu schaffen seien. Zum Teil müssten sie aber einfach auch nur klar benannt werden, so das für Strafverfolger wie Diplomaten klar geregelt sei, mit wem sie wann über was reden könnten. Wie man mit Spionage umgeht und darauf angemessen reagiert, wissen die Diplomaten schließlich seit Jahrhunderten: Gemeinhin passiert da wohl einiges in Hinterzimmern, bevor es zu öffentlichen Schuldzuweisungen kommt.

Das alles ist höchst bedenkenswert, und wenn auch nur aus einem Grund: Das seit eineinhalb Jahrzehnten immer dann, wenn irgend ein Virus kursiert einsetzende Gerede vom Cyberwar ist schlicht ermüdend - und es höhlt den Begriff aus bis zur Bedeutungslosigkeit. Wer nimmt das noch ernst, wenn es wirklich einmal passiert?

Scott Charneys Thesenpapier steht im Internet zum Download bereit (unteres Drittel der Seite, "rethinking the cyber threat", als PDF oder XPS-Datei).

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.