Auch die Armee ist verwundbar

Über die Bedeutung von Cyberkriegen wird viel diskutiert. Insbesondere zwei Problemkomplexe tauchen dabei immer wieder auf, die sich auch in einem aktuellen Beitrag auf Heise Online wiederfinden.

Zum einen geht es um die Frage der Verwundbarkeit und welche Ziele ein Angreifer (sei es ein anderer Staats oder auch eine Gruppe von Terroristen) elektronisch attackieren könnte. Zumindest der erste Punkt ist jetzt um einen Erfahrungsbericht aus der Schweiz reicher. Das “Eidgenössische Departement des Äußeren” (EDA) sei “mit Erfolg” aus dem Internet angegriffen worden. Den unbekannten Tätern sei es dabei gelungen, Daten aus dem internen Kommunikationsnetzwerken zu stehen. Der Schweizer Armeechef André Blattmann wird in diesem Zusammenhang mit den Worten zitiert

Wir würden an unserem Lebensnerv getroffen, wenn die Codes zur Auslösung unserer Waffensysteme in die falschen Hände geraten würden.

Dem mag man noch entgegenhalten, dass es vielleicht keine gute Idee ist, Zugriffcodes für Waffensysteme in einem an das Internet angeschlossenen Systeme zu speichern. Gerade für sensible Systeme gilt nach wie vor der Grundsatz, dass nur ein “Airgapping”, d.h. das Unterlassen physischer Verbindungen zwischen einem internen und einem externen Netzwerk, sicherstellen kann, dass es zu keinen erfolgreichen Angriffen aus dem Internet kommen kann.

Der zweite Aspekt, der gerade die militärischen Überlegungen immer wieder antreibt ist die Frage, wie man sich gegen einen Cyberangriff wehren kann. Es geht dabei weniger um die Frage, ob ein Land in der Lage ist, ebenfalls erfolgreich Cyber-Vergeltungsschläge auszuführen oder das System, von dem der Angriff ausgeht, elektronisch abzuschalten. Vielmehr ist die entscheidende Frage, ob dieses System tatsächlich der Angreifer ist, oder ob der eigentliche Täter nur geschickt seine Spuren so gelegt hat, dass sich zwei Nationen gegenseitig beschießen. Der Fall von Estland hat recht eindrucksvoll gezeigt, wie leicht man so etwas provozieren könnte.

Im gleichen Heise-Artikel wird auch ein im US-Verteidigungsministerium diskutiertes Konzept angesprochen, was unter dem Stichwort Active Defense diskutiert wird und schlicht die Beweislast versucht umzukehren. Kann ein Cyber-Angriff auf ein bestimmtes Land zurückgeführt werden, so “muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern.” Sofern das Land hierzu nicht in der Lage ist, so wird “seine Unfähigkeit als feindlicher Akt” interpretiert. Ein Angriff soll dann zulässig sein. Gerade im Fall von Estland war jedoch deutlich erkennbar, dass Russland sich schlicht nicht herablassen wollte, von seinem kleinen Nachbarn unter Druck setzen zu lassen.  Ein solches Vorgehen ließe sich dann durch einen geschickt handelnden Täter ausnutzen, um weitere staatliche Spannungen zu interpretieren. Es verwundert daher kaum, dass die Antwort auf die Frage des US-Senats an Keith Alexander, den Oberkommandeur des US-Cybercommand, wie er mit derartigen Fällen umzugehen gedenke, als geheim eingestuft wurde.