Cyberkrieg Aufrüsten gegen die @-Bombe
Der Flugzeugträger "Truman" ist in Stellung gegangen, die Kampfjets lassen ihre Düsen aufheulen. Einsatzziel der 5. US-Flotte ist das Hauptquartier islamistischer Terroristen hoch in den Bergen Afghanistans.
Da klingelt im Weißen Haus das Telefon. Der Angriff müsse sofort gestoppt werden, verlangt der Anrufer und droht mit Vergeltung. Präsident George Bush bleibt hart. Der erste Düsenjet hebt ab.
Minuten später meldet Boston einen unerklärlichen Stromausfall, kurz darauf Chicago, dann Detroit. 3000 Kilometer weiter westlich explodiert in Beverly Hills eine Versorgungsgasleitung und legt ein ganzes Stadtviertel in Schutt und Asche.
Wieder schrillt das Telefon im Oval Office, wieder drohen die Islamisten, wichtige Rechner zu manipulieren. Als kurz darauf die erste Rakete im Lager der Terroristen einschlägt, spielen die Monitore an der Wall Street verrückt.
Eine Viertelstunde später stoßen zwischen Washington und Philadelphia zwei Züge frontal zusammen. Eine Weiche, gesteuert von einem zentralen Leitsystem, war nicht umgesprungen. Der Fernsehsender CNN sendet Bilder vom Unglücksort bis plötzlich der Bildschirm schwarz wird. Der TV-Satellit ist ausgefallen.
So sieht die Zukunft des Krieges aus, jedenfalls in den Szenarien, die amerikanischen Militärs derzeit durchspielen. "Cyberwar" heißt das Stichwort für die Planspiele, die sich wie die Vorlage für einen Science-Fiction-Krimi lesen und doch nach Einschätzung der Spezialisten im Pentagon schon morgen Wirklichkeit sein können.
Die westlichen Industrienationen hat die Angst vor der @-Bombe befallen. Denn die Welt des Internet hat nicht nur die herkömmliche Art des Wirtschaftens revolutioniert, die Vernetzung aller mit allen setzt auch die traditionellen Regeln außer Kraft, nach denen bislang die nationale Sicherheit organisiert wurde.
Ob Wirtschaftsunternehmen, Regierungsbehörden oder Militäreinrichtungen: Überall läuft ein Großteil der Kommunikation und Steuerung heute über Computer und Internet und damit über ein System, bei dem die klassischen Schutzmechanismen wie Firmenausweis und spezielle Sicherheitschecks versagen.
Mehr noch: Der Cyberkrieg ist mit geringem Aufwand von beinah jedem Ort der Welt aus zu führen, vor allem für Terroristen bietet das Internet geradezu perfekte Arbeitsbedingungen.
Mussten Fanatiker sich bislang auf einem streng beobachteten Markt Sprengstoff, Maschinengewehre oder Granaten beschaffen, genügt im Zeitalter des World Wide Web ein Laptop als Waffe. Statt Soldaten in Tarnanzügen schlüpfen heute digitale Armeen aus Bits durch Datenkanäle und nisten sich unbemerkt in PC und Servern ein. Per Mausklick pflanzen sie sich fort und dringen binnen Sekunden über die Bahnen des Internet in alle angeschlossenen Netzwerke vor, mit enormer Zerstörungskraft.
Die Warnungen vor einem "elektronischen Pearl Harbor" haben nun auch die neue US-Regierung auf den Plan gerufen. Präsident Bush und sein Verteidigungsminister Donald Rumsfeld, ohnehin ein großer Fan der Hightech-Kriegsführung, wollen für das Internet einen gigantischen Schutzschild schaffen, der sowohl private als auch staatliche Netzwerke gegen Angriffe abschirmt.
Geschätzte 30 Milliarden Dollar könnte ein solches Programm kosten, mit dem die USA ein Pendant schaffen wollen zu dem umstrittenen Raketenabwehrsystem National Missile Defense, das aus dem All den Schutz vor Attacken gewährleisten soll.
Geplant ist die Einführung eines übergreifenden Kontrollsystems, an dem alle gefährdeten Behörden und Unternehmen angeschlossen sind. Denn im Web-Zeitalter genügt es längst nicht mehr, jedes Computersystem einzeln zu schützen. Wer in Zukunft einen US-Killersatelliten abschalten will, muss nicht mehr in die Steuerzentrale des Pentagon eindringen. Schon eine kleine Manipulation an den Datensätzen der Zulieferfirmen, die Teile der Software herstellen, hätte weit reichende Folgen.
Nur mit einer einheitlichen, von allen Unternehmen und Behörden installierten Sicherheitsnorm können Lecks schnell abgedichtet werden. Nur so lässt sich verhindern, dass ein Angreifer durch eine schwach gesicherte Hintertür in sensible Bereiche vorrückt.
Dieses System, Fidnet genannt, soll wie ein Schirm über die empfindliche Infrastruktur gespannt werden. Das Herz ist ein Großrechner, der in Echtzeit alle angeschlossenen Netzwerke überprüft und unablässig nach Auffälligkeiten durchsucht.
Jede Anomalie wird sofort einem Analysezentrum gemeldet. Dort bewerten Experten die Ursache der Störung und informieren bei einem Angriff alle angeschlossenen Netzwerke. Gleichzeitig arbeiten sie Schutzmaßnahmen aus, und ein Sonderteam des FBI wird aktiv.
Das Vorhaben ist anspruchsvoll: Denn neben der Vernetzung von Firmen und Behörden müssen Spezialisten eine Kontroll-Software entwickeln, die sich in Firmen unterschiedlicher Größe aus jeder Branche installieren lässt, und Fidnet braucht eine absolut sichere Firewall.
Der Schutz wird auch deshalb teuer, weil alle Systeme ständig erneuert und erweitert werden müssen. Jeder Hackerangriff, jedes Virus zieht ein neues Abwehrprogramm nach sich. Das schafft Arbeitsplätze für hoch bezahlte IT-Ingenieure doch zu dem 30-Milliarden-Dollar-Schutz, versichern Experten, gibt es keine Alternative.
Auch in Deutschland ist die Gelassenheit verflogen, mit der etwa die Bundesregierung bisher auf die Bedrohungsszenarien der Experten reagierte. Erstmals soll in diesem Jahr, nach US-Vorbild, ein groß angelegter Angriff auf deutsche Rechnersysteme simuliert werden.
Ein erstes Szenario liegt bereits vor mit Berlin als Angriffsziel. Um die Bundesrepublik zu zwingen, "ihre militärischen Kontingente aus dem Kosovo zurückzuziehen", hackt sich dem Strategiepapier zufolge eine "mafiose, international operierende Gruppe" in die Rechner eines Berliner Stromversorgungsunternehmens ein und legt "für mehrere Stunden das gesamte Stromnetz lahm". Während die Mitspieler, darunter Experten der Polizei, der Telekom und des Innenministeriums noch versuchen, den Schaden zu beheben, sabotieren die Angreifer weite Teile des Telefonnetzes. Speziell programmierte PC blockieren durch Dauerwahl die Telefone. Und schließlich legt ein eingeschleuster Täter auch noch das Rechenzentrum einer Großbank lahm.
Wie dramatisch die Folgen wären, beschreibt das virtuelle Kriegsspiel so: "Die Ereignisse lösen über Folgewirkungen den vorübergehenden Zusammenbruch des wirtschaftlichen und öffentlichen Lebens aus." Verkehr und Telefonnetz brechen zusammen, die Flugsicherung fällt aus.
Vor allem eine Erkenntnis sollen solche Planspiele vor Augen führen: In der vernetzten Welt ist die Trennung von staatlichen und privaten Interessen aufgehoben, zumindest bei Fragen der nationalen Sicherheit. Der Feind fällt nicht mehr nur mit Panzern und Bombern ein, für deren Abwehr allein der Staat zuständig ist, sondern schleicht sich über die Datenbahnen der Wirtschaft ins Land. Damit verändert sich auch die Arbeitsteilung zwischen Militär und Industrie: Während in der klassischen Industriegesellschaft die Firmen die Sicherung ihrer Anlagen dem Militär übertrugen, müssen die Unternehmen sich nun selbst schützen. Schließlich sind es ihre Quellcodes und ihre Programme, die den Cyberterroristen den Weg bahnen.
Lange Zeit wurde auch in den Vereinigten Staaten die Gefahr unterschätzt, die das Internet mit sich bringt. Die Euphorie über den beispiellosen Wirtschaftsaufschwung, den die New Economy den großen Industrienationen bescherte, ließ wenig Platz für Krisenszenarien.
Zwar legte Ex-Präsident Bill Clinton schon 1998 eine erste Direktive vor, die bis zum Jahr 2003 den Schutz der nationalen Infrastruktur weitgehend sicherstellen sollte. Doch umgesetzt wurde der Nationale Abwehrplan bislang nicht. Der Kongress lehnte ab, die Experten konnten sich auf kein Vorgehen einigen.
Wie anfällig das Internet gegen Störversuche und Sabotage ist, wurde in den vergangenen Jahren immer wieder deutlich. Allein das Virus "I love you" fraß weltweit Millionen von Dateien und richtete Schäden in Höhe von 20 Milliarden Mark an. Das Bundeskriminalamt stieß bei seinen Ermittlungen eher zufällig auf einen 18jährigen Berufsschüler, der mit seinem "Fireburn-VBS-Virus" ebenfalls eine breite Spur der Verwüstung hinterlassen hatte.
E-Mail-Bombardements, so genannte Denial-of-Service-Attacken, legten im vergangenen Jahr die Dienste führender Internet-Firmen wie Yahoo, EBay oder Amazon lahm. Und in der Programmiererhochburg Microsoft drangen im Oktober vergangenen Jahres vermutlich russische Hacker gar zum Allerheiligsten vor: Sie fanden den geheimen Quellcode von Windows, die streng gehütete Seele des Microsoft-Betriebssystems.
Selbst das US-Verteidigungsministerium, wo der Vorläufer des Internet vor 32 Jahren entwickelt wurde, wird der Geister, die es rief, kaum noch Herr. Die Zahl der Angriffe auf den mit großem Aufwand geschützten Pentagon-Computer stieg 1998/ 99 innerhalb von zwölf Monaten von 5844 auf 22 144. Vor drei Jahren brach ein 18-jähriger Israeli spektakulär in den Rechner ein, andere Cybereinbrecher drangen in das Netz der US-Navy ein.
Und nicht immer handelt es sich bei den Eindringlingen um Teenager, die vom Heimcomputer aus ihre Allmachtsphantasien ausleben. Weltweit entwickeln Staaten Methoden der digitalen Kriegführung, Spionage inklusive.
Taiwan meldete Zehntausende von Einbruchsversuchen aus China in seine Systeme. Im Kosovokrieg legten die Serben den Nato-Computer mit Tausenden von E-Mails lahm. Auch im Nahen Osten brachten E-Mail-Fluten die Server sowohl der Israelis als auch der islamistischen Hisbollah-Miliz zum Kollaps.
Welche Bereiche als besonders gefährdet gelten und deshalb unter den Cyberschutzschild fallen sollen, hat noch die Clinton-Regierung in einem im Januar vorgelegten Bericht minutiös aufgezählt. Namhafte Banken und Energieunternehmen finden sich auf der Liste ebenso wie Transportfirmen, Wasserversorger und natürlich Notfalldienste der Feuerwehr, der Polizei und der Krankenhäuser.
Aufgabe des Critical Infrastructure Assurance Office (CIAO), das dem Nationalen Sicherheitsrat untersteht und für die Cyberaufrüstung zuständig ist, wird es nun sein, Militär, FBI und die Geheimdienste mit gefährdeten Privatfirmen zusammenzubringen. CIAO-Direktor John Tritak soll im Sommer einen ersten Bericht vorlegen, wie er sich Zusammenarbeit mit der Privatwirtschaft vorstellt.
Doch die könnte sich schwierig gestalten. Denn die Firmen der New Economy stehen einer engen Kooperation mit der Regierung und vor allem der Militärbürokratie erkennbar skeptisch gegenüber. Politisch trennen die Internet-Pioniere und die Mitarbeiter gerade der Bush-Administration Welten: Gründer wie Microsoft-Chef Bill Gates oder AOL-Chef Steve Case gehören der Nach-Vietnam-Generation an und haben nie beim Militär gedient.
Groß sind auch die kulturellen Unterschiede, das beginnt schon bei der Bekleidung und dem Arbeitstempo. Anders als traditionelle Firmen wie der Telefonriese AT&T oder der Computerkonzern IBM haben die jungen Start-up-Unternehmer weder Sympathien für Hierarchien und Befehlsstrukturen, noch sind sie über langjährige Aufträge an Behörden gebunden.
Hinzu kommt, dass die jungen Firmengründer die Bürokraten in der Verwaltung belächeln. Längst fühlen sie sich dem berühmten technischen Geheimdienst NSA (National Security Agency) überlegen, und dies nicht nur bei der Leistung ihrer Computer. Warum, so fragen sich nun viele Entrepreneure im Silicon Valley, sollen sie die Regierungskontrolleure in ihre Häuser lassen, damit die dort Überwachungssoftware einrichten?
Ganz anders hingegen ist die Situation in Deutschland. Hier ist es vor allem die Wirtschaft, die die Gefahren, die aus dem Netz kommen, ernst nimmt. Viele deutsche Unternehmen haben in den vergangenen Jahren den Posten eines Chief Information Officers geschaffen, der sich um die IT-Sicherheit kümmert. Die Sicherheitsexperten von Großkonzernen wie Deutsche Bank, Lufthansa, Siemens, EADS und Telekom treffen sich regelmäßig in dem Arbeitskreis Schutz von Infrastrukturen.
In ihrem Risikobewusstsein "sind die Unternehmen allen staatlichen Behörden weit voraus", urteilt Uwe Nerlich, Direktor des IABG-Zentrums für europäische Strategieforschung in Ottobrunn, das die Bundesregierung in Sicherheitsfragen berät. Zwar gebe es in einigen Ministerien auf Referatsebene einzelne Beamte, die sich mit dem Thema beschäftigen, "aber das ist alles punktuell".
Doch inzwischen hat auch die Regierung die lauernde Gefahr aus dem Netz zum Teil erkannt, Innenminister Otto Schily hat vor einem Jahr die Eingreiftruppe "Sicheres Internet" aufgestellt. Auch die Bundeswehr und der Bundesnachrichtendienst haben mittlerweile die Bedeutung des Themas entdeckt und eigene Arbeitsgruppen gebildet.
Das Planspiel "Cyberwar" wird auch in Deutschland das Bewusstsein schärfen, hoffen Fachleute wie Nerlich. Sie fordern einen nationalen Koordinator für Terrorismusabwehr im Internet. Die Regierung solle endlich ein Expertenteam zusammenstellen, das erst einmal die sensiblen Einrichtungen und Firmen ermittelt und IT-Sicherheitsexperten ausbildet.
Nur so ließen sich die Risiken eines Cyberangriffs zumindest minimieren. "Wir können es uns einfach nicht leisten", sagt Jan Knop, Leiter des Rechenzentrums der Universität Düsseldorf, "beim Schutz unserer eigenen Informationstechnik-Infrastruktur auf die Maßnahmen und Erfahrungen der Amerikaner zu warten."
WOLFGANG KRACH, GEORG MASCOLO, MICHAELA SCHIEßL
