BERLIN. Der digitale Krieg ist keine Fiktion: "Es ist keine Übertreibung, wenn ich sage: Die Cyberattacken sind zu einer neuen Form der dauerhaften Kriegsführung auf niedrigem Niveau geworden sind", schätzt Nato-General Anders Fogh Rasmussen die Lage an der Cyberfront ein. Cyber-Experten pflichten ihm bei: Die Nato werde rund 100-mal am Tag von insgesamt 140 Staaten per Internet angegriffen: ein permanenter Angriff auf das westliche Verteidigungsbündnis. Dennoch schreckt die Nato auch in ihrer neuen Strategie seit Lissabon davor zurück, den Bündnisfall auszurufen, wenn ein Partner digital angegriffen wird.
Nicht nur die Nato, auch Einzelstaaten, Konzerne und Armeen hängen zunehmend am selben digitalen Netz, das regelmäßig zum Einfallstor für Cyber-Angriffe wird. So war das Kanzleramt längst Ziel solcher Angriffe, der Staat Estland wurde 2007 komplett lahm gelegt. Das Virus Stuxnet hat eine iranische Atomanlage beschädigt und Wikileaks-Anhänger haben im vergangenen Jahr in der "Operation Payback" zahlreiche Finanzdienstleiter im Net (Paypal, Postfinance) stundenlang mit Anfragen bombardiert - und lahmgelegt. Wikileaks selbst hat in einer spektakulären Aktion weltweit Munition gegen die USA verbreitet. Und seit Ende Dezember lässt die Londoner Börse einen "terroristischen Cyber-Angriff" gegen ihr Hauptquartier ermitteln. China, Russland - und Frankreich, stehen auf der Liste der Bösen ganz oben, gelten der internationalen Internet-Szene als aggressiver Angreifer auf staatliche und private Strukturen.
Trojaner statt Haubitzen
Längst reagieren Staaten und Staatenbündnisse auf die unsichtbare Bedrohung. Die USA haben einen US-Cyber-Command gegründet, die Nato Spezialposten bei Tallin und in Mons bei Brüssel ins Leben gerufen. Die EU hat Enisa (European Network and Information Security Agency) in Heraklion etabliert, um eine hochgradige Netz- und Informationssicherheit zu garantieren, und die Bundeswehr unterhält die "Abteilung Informations- und Computernetzwerkoperationen", die in Rheinbach bei Bonn mit abgeschotteten Anlagen Cyber-Angriffe mit Bits und Bytes verhindern soll. Kein Wunder, dass die heute in München beginnende Sicherheitskonferenz das Thema Cyberkrieg zu einem Schwerpunkt macht.
"Das nächste Pearl Harbor wird ziemlich sicher eine Cyberattacke auf unser Stromnetz sein", raunte unlängst CIA-Chef Leon Panetta bei der Vorstellung eines 5-Jahresplans der Obama-Regierung zur Aufrüstung gegen die Bedrohung aus dem Reich der Bits und Bytes. Kaum ein anderer Rüstungs-Bereich wird von der Politik mit so viel Obacht bedacht wie die digitale Welt. Statt Panzerhaubitzen und Raketen werden zunehmend Botnets und Trojaner als feindliche Waffen identifiziert.
Das kommt nicht von ungefähr. In den USA regiert eine schiere Hysterie in den Sicherheitsbehörden. Aufwändige Testversuche im vergangenen Jahr wie Cyber Storm 3 legten den Verantwortlichen nahe, dass die Infrastruktur - Strom, Wasser, Krankenhäuser und Telekommunikation, Cyber-Angriffe zu knacken ist. "Der Angriff traf auf keine nennenswerte Abwehr", so das alarmierende Fazit nach vier Tagen Daueroffensive übers Internet. Estland, so schwante es den Militärs und Geheimdienstlern, ist überall.
Tatsächlich hat weltweit das Wettrüsten mit digitalem Equipment begonnen. In den USA koordiniert seit April 2010 ein "US-Cyber-Command", eine Unterabteilung des Verteidigungsministeriums, die Ressourcen: Über 1000 Cyber-Krieger spähen per Computer das Internet aus. Die USA schicken mit Milliardenaufwand 40 000 Soldaten ihrer neuen Cyber-Division in den Einsatz auf dem digitalen Schlachtfeld. Und das scheinbar erfolgreich von US- und israelischen Experten angegriffene Iran brüstet sich damit, die weltweit zweitgrößte Cyber-Armee an ihren Computern zu halten. Das chinesische Hacker-Heer gar soll nach Geheimdienst-Schätzungen bis zu 150 000 Mann umfassen. Ein chinesischer Geheimdienstwitz sagt dazu: "Warum sollten wir beispielsweise das US-Finanzsystem angreifen? Die Wall Street arbeitet doch längst für uns!"
Stuxnet hat die Angst beflügelt
Längst nicht alle Experten sehen die Gefahr eines Cyberkriegs als real an. Eine gerade veröffentlichte umfangreiche Studie der OECD ("Reducing Systemic Cybersecurity Risk" schließt Cyberkriege großen Stils in der nächsten Zukunft aus: zu kompliziert, zu teuer, kaum steuerbar und von den bereits existierenden hervorragenden Sicherungen der relevante Systeme wirksam geschützt: "Es ist unwahrscheinlich, dass es einen echten Cyberkrieg gibt." Staaten, so der Ratschlag, sollten ihre relevanten Systeme sämtlich in vom Internet abgeschotteten Systemen mit hochgradiger Verschlüsselungstechnik betreiben, um Angriffe auszuschließen.
Tatsächlich sind es nicht nur die Wikileaks-Veröffentlichungen und der scheinbar so glorreiche Sieg der US- und israelischen Experten beim Bau des Schädlingsvirus Stuxnet, die die Phantasie und die Angst beflügeln. Viele der lautesten Mahner sind frühere CIA - oder NSA-Direktoren wie Vize Admiral Michael McConnell oder Richard Clarke, beide prominente und medienerfahrene Geheimdienstveteranen der Ära Bush, die jetzt im Sold von Consulting-Firmen oder von Lockheed Martin, EADS oder Raytheon stehen. Ihre Sorge um die Sicherheit der westlichen Welt hat ihren stärksten Verbündeten in den milliardenschweren Rüstungsprogrammen der Verteidigungsministerien.In keinem anderen Bereich des Lebens ist gefühlte Bedrohung so wertschöpfend wie hier.
Jede Art von Gegenschlag ist illusorisch
Andere Experten verweisen darauf, dass kaum ein anderes Land der Welt in seiner Infrastruktur so parzelliert, regionalisiert und diversifiziert ist wie die USA. Der eine große Schlag gegen, beispielsweise, das US-Stromnetz, wie es Panetta befürchtet, sei aufgrund der Vielzahl von Netzen völlig unmöglich. Doch der Kampf um Verteidigungsbudgets, Forschungsaufträge und neue Abwehrwaffen ist erst die Ouvertüre zur wahren Bedrohung. Auch die Horrorvision von Verteidigungsminister Karl-Theodor zu Guttenberg "heutzutage kann ein kleiner USB-Stick ganze Behörden zusammenbrechen lassen" ist eine rein hypothetische Annahme irrealer Schutzlosigkeit und stößt bei Experten, die sich mit der Verschlüsselung und Abschottung solcher Netze beschäftigen, auf Skepsis. Zudem hat das Beispiel Stuxnet gezeigt: Nur hochentwickelten Staaten können mit viel Knowhow, Insiderwissen, fast endlosen Ressourcen und über lange Zeiträume solche effektive Cyberwaffen bauen, wie es die Phantasie als Realität ausmalt.
Dennoch oder gerade deshalb ist es für die Angegriffenen schwierig bis unmöglich herauszufinden, wer der Aggressor ist: Nur die Angreifer wissen, wer sie sind. Das heißt für die Militärs: Jede Art von Gegenschlag ist illusorisch. Bis heute ist nicht klar, wer Estland lahm gelegt hat oder wer tatsächlich Stuxnet per USB-Stick in den iranischen Atomreaktor lanciert hat. Schlimmer noch: Im Gegensatz zum regulären Angriffskrieg merkt der Angegriffene zumeist nicht einmal, dass er angegriffen wurde. Der klassische Nato-Bündnisfall - Gegenwehr bei bewaffnetem Angriff eines Mitglieds - taugt schon deshalb nicht fürs Internet.
