Cyberterrorismus Wecke keine schlafenden Hunde

Über Cyberterrorismus wird seit einem Jahrzehnt geredet, immer häufiger dient die Warnung davor als Argument zur Durchsetzung unpopulärer Gesetze. Dabei streiten Experten noch immer, ob es ihn überhaupt gibt - und ob man wirklich öffentlich darüber reden sollte.

Das Wort Terrorismus definiert der Duden als "Ausübung von politisch motivierten Gewaltakten". Versteht man "Gewalt" als destruktiven Akt mit dem Ziel der Schädigung eines anderen, dann ist das WWW längst ein Kriegsschauplatz: Da beharken sich palästinensische und israelische Hacker, Chinesen attackieren China-kritische Webseiten, angebliche Russen fegen estnische Server aus dem Web und selbst Viren werden mitunter noch als destruktive Form politischen Protestes verbreitet.

Das Problem dabei: man adelt mit dem Furcht-Etikett "Terrorismus" zumeist vergleichsweise harmlose Taten zu lebensbedrohlichen Akten. Es gibt qualitative Unterschiede zwischen explodierenden Autobomben, durch die Dutzende sterben oder verstümmelt werden, und DDoS-Attacken gegen die Webseiten von Autohändlern, Regierungen oder Hackergruppen anderer Nationalität. Auch wenn ein Virus tausende Laptops außer Gefecht setzt, fangen deren Nutzer darum nicht an zu bluten.

Der Nachweis, dass Cyber-terroristische Taten Leben gekostet hätten, ist bisher nicht gelungen - es sei denn, man zählt, wie das viele Sicherheitspolitiker gern tun, die elektronische Kommunikation mit hinzu, die bei der Vorbereitung physischer Attacken fraglos fleißig genutzt wird. Dann aber wären auch Postkarte und Telefon als terroristische Waffen zu sehen.

Cyberterrorismus: Unter Experten umstritten

Und darum gibt es auch Experten wie Stephen Cummings, immerhin Chef der britischen Behörde zum Schutz kritischer Infrastrukturen, die schon dem Begriff Cyberterrorismus höchst skeptisch gegenüberstehen. Cummings wagte sich auf einer Cyber-Security-Konferenz in London Mitte der Woche mit einer nüchternen These vor: "Cyberterrorismus ist ein Mythos."

Cummings bestreitet dabei gar nicht, dass es zahlreiche aggressiv und destruktiv gemeinte politische Attacken im Web gibt. Er sieht aber die qualitativen Unterschiede zu dem, was Terroristen in der physischen Welt verbrechen. Die Debatte darüber wird seit Jahren geführt. Auch Jacob Olcott, beim US-Heimatschutzministerium damit betraut, eine schlagkräftige Cyber-Abwehrtruppe aufzubauen, erkennt an, dass das über Phänomen des Cyberterrorismus längst noch keinen Konsens gibt: "Es gibt eine Menge Meinungsverschiedenheiten darüber", sagte er bei der RSA-Sicherheitskonferenz Anfang April, "womit wir es hier zu tun haben."

Terror ist ein großes Wort, das nicht zu inflationär gebraucht werden sollte, meinen Leute wie Cummings. Es gebe Dingen eine Wichtigkeit, die sie eigentlich nicht besitzen: "Ich meine", sagte er in London, "dass die Diskussion über Cyberterrorismus unsere Aufmerksamkeit von den weit drängenderen terroristischen Bedrohungen ablenkt, die noch immer physische sind."

Und mehr noch: "Wer weiß, wenn wir zu viel über Cyberterrorismus reden, vielleicht erkennen Terroristen dadurch das Potential [solcher Attacken] in einer Art und Weise, die wir uns nicht wünschen würden." Im Klartext: Die dauernde Warnung vor dem Cyberterrorismus könnte die schlafenden Hunde erst wecken.

Opfer nur eine Frage der Zeit?

Vielleicht hatte Cummings bei seiner Rede den amerikanischen US-Heimatschutzminister Michael Chertoff im Sinne, der in der Woche zuvor ganz andere Töne angeschlagen hatte. Auf der RSA-Sicherheitskonferenz hatte er das Potential cyberterroristischer Anschläge mit dem Massenmord am 11. September 2001 verglichen (2602 Tote). Selbst ein einzelner Täter könne im Internet Schäden verursachen, die man früher nur durch Bombenabwürfe oder das Zünden von Sprengsätzen hätte erreichen können. Konkret nannte Chertoff die DDoS-Attacke gegen estnische Regierungsrechner, die im April und Mai 2007 die dortigen Regierungsnetze für zwei Wochen fast zum Abrauchen gebracht hatten.

Ein Beispiel, das auch auf der Londoner Konferenz zur Sprache kam. "Ich würde sagen, wir leben bereits in einem Zeitalter des Cyberterrorismus, und vielleicht sogar des Cyberkriegs", sagte dort Christian-Marc Liflander vom estnischen Verteidigungsministerium. Konkreter wurde auch er nicht, weil selbst diese bisher größte Attacke auf ein Regierungsnetz letztlich nicht auf die Urheber zurückgeführt werden konnte. Die Attacke kam von Rechnern aus 76 Ländern und wurde wohl über ein Botnet koordiniert. Attackiert wurden Estlands Server von ganz normalen Privatrechnern aus aller Welt.

Fließende Übergänge zwischen Cybercrime und -terror

Solche Netzwerke gekaperter Rechner aber kann prinzipiell jeder für wenige Tausend Dollar mieten. Die Art der Attacke war letztlich profan, sie hätte auch von einem pickeligen Frustschieber in Estland kommen können, dem man eine Lehrstelle als Fuhrpark-Wächter verweigert hatte. Denn das ist eines der größten Probleme der Security-Experten: Wie soll man gezielten Cyberterrorismus von politisch motiviertem Vandalentum, wie Internet-Kriminalität von pubertären Bandenkriegen zwischen Defacer-Banden (Webseiten-Verunzierern) unterscheiden?

Schad- und Spähsoftware

In die letzte Kategorie gehörte der angebliche "Cyberwar" zwischen vermeintlichen Hackern aus Israel, Libanon und den Palästinensergebieten: Sie schossen jeweils Webserver der anderen Ethnie ab und zählten ihre Trophäen wie einst Revolverhelden die Kerben an ihren Colts. Terrorismus? Cyberkrieg? Wohl kaum: Wenn solche Beispiele etwas beweisen, dann nur, dass kritische Infrastrukturen heute generell gefährdeter sind als früher.

Das alles heißt jedoch nicht, dass Cyberwar und Cyberterrorismus nicht denkbar wären.

Düstere Visionen, wenig Beispiele

Ideen für mögliche und unmögliche Attacken auf kritische Infrastrukturen werden wahrlich genügend ventiliert. Kurz nach den Terror-Attacken auf das World Trade Center halluzinierten amerikanische Geheimdienstler unheilsschwanger über die Möglichkeit, Terror-Hacker könnten per Internet-Zugriff die Tore von Staudämmen öffnen, um Städte zu überfluten. Auch das Horror-Szenario der Attacke auf Kraftwerke und andere potentiell Leben gefährdende kritische Infrastrukturen, auf wichtige Kommunikationsnetze oder den internationalen Datenverbund der Banken wurde immer wieder ins Spiel gebracht. Zumindest manches davon ist theoretisch möglich.

Das bisher einzige öffentlich gewordene Beispiel einer Cyberattacke auf eine kritische Infrastruktur, bei der tatsächlich physische Schäden entstanden, geschah im Jahr 2000 in Australien. Der in der Presse als Hacker titulierte Vitek B. drang in die Steuerungsmechanismen der Abwasserentsorgung im australischen Bundesstaat Queensland ein und entließ mehrere Millionen Liter der stinkenden Brühe in die Umwelt. Man sieht: es ist möglich. Zumindest, wenn man sich wirklich auskennt: Vitek B. war ein Insider.

Cyberterror - konkrete Bedrohung oder Alibi für die elektronische Rüstung?

Der im Jahr 2001 zu zwei Jahren Haft verurteilte vermeintliche Hacker entpuppte sich als frustrierter Ex-Angestellter einer Firma, die die Wasserbehörde mit der Software für die Fernsteuerung ihrer Anlagen versorgte. Die Möglichkeit der Infiltration einer kritischen Infrastruktur mit dem Ziel, diese von innen oder mit Insiderwissen zu schädigen, gab es wohl schon in der Antike - sehr "Cyber" ist das nicht. Es ist ja auch kein Zufall, dass man die perfidesten Schadprogramme im Internet ausgerechnet "Trojaner" taufte - die Illias lässt grüßen.

Schutzmechanismen tun also Not - auch Cummings sieht das so: Es brauche mehr internationale Koordination. Man könnte auch "noch mehr" sagen, denn bereits 2001 unterzeichneten 26 europäische Länder die Budapester Konvention gegen Datenkriminalität, die in dieser Hinsicht erste Schritte einleitete. Gerade in den letzten Monaten aber kommt immer mehr Bewegung in die Sache: Anfang April gab die Nato bekannt, in Brüssel die "Cyber Defence Management Authority" (CDMA) etablieren zu wollen.

Schutz und Abschreckung

"Wir müssen unseren Vorsprung vor den bösen Jungs wahren", erklärte in der zweiten Aprilwoche ein Nato-Sprecher gegenüber Silicon.com. "Die Bedrohung kann aus vielen Richtungen kommen: Internetkriminalität, Cyberterrorismus und durch die Aktivität von Staaten."

Damit macht das Verteidigungsbündnis öffentlich, was die Spatzen seit langem von den Dächern pfeifen: Wenn es Organisationen oder Institutionen gibt, die sich systematisch sowohl auf die Verteidigung gegen Internetattacken, als auch auf entsprechende Angriffe vorbereiten, dann sind dies Militär und Geheimdienste.

Kein Wunder: Schon kurz, nachdem das Internet öffentlich zugänglich wurde, gab es erste Hacks gegen Militär- und Regierungsrechner. Bisher waren es jedoch entweder Neugierige, Spione oder Chaoten auf der Suche nach Ufo-Akten, die sich in den Datenbanken des Pentagon umsahen. Prinzipiell wäre es durchaus vorstellbar, dass die eines Tages jemand einfach abzuknipsen versucht - oder Vorgänge in Gang setzt, die tatsächlich Opfer fordern.

Auch der US-Heimatschutzminister Michael Chertoff wählte bei seiner Ansprache auf der RSA-Security-Konferenz wohl kaum zufällig eine höchst martialische Sprache: Er verglich die Bemühungen der US-Regierungen in Sachen Cyber-Security mit dem "Manhattan Project" - der Entwicklung der ersten Atombombe.

Was mehr nach Rüstungspolitik klingt, als nach Terrorabwehr. Denn dass zahlreiche Staaten in Spionage, Propaganda und zunehmend auch im Militär auf Hacking-Methoden zurückgreifen, darf als sicher gelten. Die unglücklich gewählte Analogie zum Manhattan-Project ist dabei so korrekt wie verräterisch: Natürlich geht es dabei auch, wenn nicht sogar vornehmlich um die Entwicklung von Angriffsmethoden.

Denn das ist das Grundprinzip der Abschreckung: Wenn Du mich angreifst, schlage ich stärker noch zurück. Cyberterroristen wird man so aber kaum treffen.

Die Wiedergabe wurde unterbrochen.