CYBERWAR
Jan Rähm
Duell der Unerkannten

Die Schadsoftware Stuxnet legte Irans Atomprogramm lahm und sorgte damit für den digitalen Erstschlag

In der Wüste von Idaho steht eines der größten Forschungszentren für Energiegewinnung der Welt. Mehr als 50 Atomreaktoren wurden auf dem Gelände gebaut, zwei sind noch in Betrieb. Im März 2007 richtet sich die Aufmerksamkeit der Forscher auf einen simplen Dieselgenerator. Der ruckelt ein paar Mal, erst steigt weißer Rauch auf, dann schwarzer, dann fliegt die Maschine auseinander. In wenigen Minuten zerstören die Forscher den Generator - aus der Ferne. Das Experiment ist als "Aurora Generator Test" in die Geschichte der IT-gestützten Kriegsführung (Cyberwar) eingegangen.

Welche Ausmaße so ein IT-Schaden annehmen kann, wurde 2010 bekannt. Damals sorgte ein Sabotageprogramm für Wirbel, das in verschiedenen Industriesteueranlagen gefunden wurde. Was anfangs nach Industriespionage aussah, entpuppte sich als der bis dato schwerwiegendste Fall IT-gestützter Kriegsführung. Stuxnet hatte die iranische Atomanreicherung unterwandert und manipuliert. Das Programm zerstörte die Zentrifugen in der Urananreicherungsanlage in Natanz. Das Atomprogramm des Landes wurde für Jahre zurückgeworfen. Stuxnet gilt als erste belegte Aktivität digitaler Kriegsführung mit konkreter Schadwirkung in der physischen Welt, eine Art digitaler Erstschlag.

Sichere Distanz Als Urheber werden die USA und Israel vermutet. Bis heute bleibt Stuxnet der einzige halbwegs gesicherte Vorfall der digital geführten Kriegführung, der zu einem expliziten Schaden geführt hat. Zumindest ist es der einzige Vorfall, der auf eine, wenn man so will, digitale Angriffswaffe zurückzuführen ist. Doch auch die im Jugoslawienkrieg eingesetzten Mittel wie Überwachung und Manipulation der Telefonnetze, elektronische Angriffe auf Banken und verschiedene Abhöraktionen werden dem Arsenal der elektronischen Kriegsführung zugeschrieben. Und wenn es um Schäden geht, dürften Drohnen-Angriffe einen der vorderen Plätze belegen. Auch diese Waffen werden heute rein digital und aus großer Entfernung eingesetzt.

Der größte Vorteil des Krieges auf dem digitalen Schlachtfeld dürfte sein, dass die eigenen Kräfte kaum gefährdet sind. Während konventionelle Waffen immer auch das Leben der eigenen Soldaten bedrohen, kann ein digitaler Krieg aus sicherer Distanz geführt werden. Auch die gegnerische Seite profitiert unter Umständen. Der Einsatz von Stuxnet hat nach derzeitigen Kenntnissen kein einziges Menschenleben direkt gefordert.

Geringe Kosten Jedoch steigt mit der zunehmenden Zahl an Vorfällen, die der digitalen Kriegsführung zugerechnet werden, die Gefahr eines Gegenschlages mit konventionellen Waffen. Auch das Risiko, dass ein digitaler kriegerischer oder auch terroristischer Angriff urbane Infrastrukturen in Schutt und Asche legt, wird größer.

Geringe Kosten gelten als der zweite große Vorteil eines Angriffs mit einer digitalen Waffe. So gilt Stuxnet, der einen drei- bis vierstelligen Millionenbetrag gekostet hat, durchaus als Schnäppchen - zumindest aus militärischer Sicht, erklärt Ralph Langner, der die Schadsoftware als einer der ersten analysiert hat: "Stuxnet hat vom Ergebnis her genau das Gleiche erreicht wie ein Luftschlag. Und das zu einem Spottpreis, bei dem auch jeder Militär sagen muss: wunderbar, das machen wir natürlich künftig immer so."

Besonders verlockend für Militärs ist auch der dritte große Vorteil eines digitalen Angriffs: Die Möglichkeiten der perfekten Verschleierung. Wer clever und gut ist, fliegt nicht auf. Demzufolge sind auch Schuldzuweisungen mit Vorsicht zu genießen. So werden China und Russland immer wieder pauschal mindestens der digitalen Spionage verdächtigt. Die USA bezichtigten China zuletzt des Angriffs auf eine US-Krankenversicherung. Konkrete Beweise wurden nicht veröffentlicht.

Gute Tarnung Meist lässt sich weder feststellen, woher ein Angriff kommt, noch, wer dahinter steckt. Der IT-Sicherheitsberater Christoph Fischer betont: "Seit es Geheimdienste gibt, tarnen die sich. Und sich auf Computern zu tarnen, ist noch viel einfacher als im richtigen Leben."

So nutzen mutmaßlich viele Geheimdienste aus, dass gerade Russland, aber auch China massiv in den digitalen militärischen Sektor investieren. "Ich würde sagen, dass sich einige eine chinesische Tarnkappe überziehen", meint Sicherheitsexperte Fischer.

Warum aber wurde Stuxnet bekannt? Experten gehen davon aus, dass die Schadsoftware nach erfolgreichem Einsatz noch eine weitere Funktion hatte. Die Urheber wollten entdeckt werden, sie wollten zeigen, was sie können und dass sie gewillt sind, ihre Fähigkeiten einzusetzen.

ür Staaten wie Deutschland gilt es vor allem, digitale Bedrohungen abzuwehren. Doch künftig soll auch die Bundeswehr die Fähigkeiten der digitalen Kriegsführung ausbauen - ungeachtet der Tatsache, dass die Truppe schon seit Jahren international anerkannte und begehrte Ausrüstung vorweisen kann, wie die Flottendienstboote "Alster", "Oker" und "Oste", die maßgeblich zur elektronischen Informationsgewinnung über Ex-Jugoslawien beitrugen. Verteidigungsministerin Ursula von der Leyen (CDU) will die vorhandenen Fähigkeiten zentral bündeln und erweitern. Verschiedene Medien schreiben, damit wolle die Ministerin die Armee für die "Cyber-Kriegsführung" umbauen. Doch worum geht es - Angriff oder Abwehr? Für letzteres gäbe es eine effektivere "Waffe": Eine Pflicht, Sicherheitslücken in Hard- und Software zu schließen und in angemessener Zeit zu veröffentlichen. Außerdem sollten Unternehmen für Fehler haften. Solche Pflichten würden gleich in mehrfacher Hinsicht für mehr Sicherheit sorgen. Denn wenn Lücken schnellstmöglich nach Bekanntwerden geschlossen würden, würde das einen florierenden Handel austrocknen: Besonders effektive Lücken werden für hohe Summen weitergegeben. Die Lücken, die Stuxnet ausgenutzt hat, sollen mehrere Millionen US-Dollar wert gewesen sein. Ohne eine solche Pflicht bleibt alles, wie es ist: Der Handel blüht, Militärs und Nicht-Militärs rüsten gegenseitig weiter auf und es wird immer wieder zu schweren Zwischenfällen kommen, wie dem Hacker-Angriff auf den Bundestag.

Wirksamer Schritt Ein Vorwurf aus IT-Kreisen lautet: Mit dem 2015 verabschiedeten IT-Sicherheitsgesetz hätten sowohl die Haftung für als auch die Veröffentlichung von Sicherheitslücken festgeschrieben werden können. Doch diese Abwehrmaßnahme im digitalen Krieg will sich offenbar niemand leisten. "Das IT-Sicherheitsgesetz ist ein Witz, ein vollständiger Fehlanreiz", kritisiert die Informatikerin Constanze Kurz, Sprecherin des Chaos Computer Clubs. Mit weniger bestehenden Sicherheitslücken hätten es auch Angreifer in der digitalen Welt schwer - egal ob IT-Kriminelle oder bewaffnete Kräfte. Trojaner, Viren, Würmer und andere digitale Angriffswerkzeuge würden vielfach ins Leere laufen. Es wäre nicht der einzige, aber ein ziemlich wirksamer Schritt im "Cyber-Kampf".

Der Autor ist freier Journalist.