03.02.13

Vernetzung

Wenn der Krieg der Computer Wirklichkeit wird

Stromnetze, Wasserversorgung, Sicherheitsanlagen: vor Hackerangriffen nicht sicher. Weltweit schürt das Ängste. Doch IT-Experten und Völkerrechtler warnen davor, von einem Krieg zu sprechen.

Von Bernd Schöne

Vom Auto bis zum Kraftwerk, vom Stromzähler bis zur Straßenbahn. Vernetzung macht bislang isoliert operierende technische Systeme effektiver, kostengünstiger und umweltverträglicher, weil man sie präziser steuern und verwalten kann. Damit steigt allerdings auch das Risiko gezielter Attacken. Die Industrienationen könnten plötzlich ganze Teile ihrer lebensnotwendigen Infrastruktur verlieren.

Im Mai 1998 befahl der damalige Präsident Bill Clinton den Aufbau geeigneter Abwehrmaßnahmen. Seither gibt es eine eigene Behörde zum Schutz kritischer Infrastruktur, viel sicherer ist die Technik aber nicht geworden.

Der Ton wird aber immer aggressiver. Jenseits des Atlantiks redet man viel vom Krieg der Computer, dem Cyberwar. Auf den Sicherheitskonferenzen Deep Sec in Wien und IT-Defense in Berlin analysierten IT-Experten die aktuelle Bedrohungssituation. Das Ergebnis: Das Risiko ist real, die Abwehr schwierig, aber von Krieg sollte man besser nicht reden. Hacker agieren wie Vandalen oder wie unzufriedene Angestellte, nicht wie Armeen.

Europa setzt daher auf defensive Strategien. Doch auch das ist nicht immer einfach, weil das Bedrohungspotenzial schnell steigt, und Schutzstrategien schwer zu finden sind.

Angst um die Stromversorgung

Die Ängste sind nicht aus der Luft gegriffen. Der umstrittene Film über den Propheten Mohammed im September 2012 motivierte Hacker zum Angriff auf den Bankensektor. Damals knickten die Bankserver der "Bank of America" unter der Wucht von 100 Gigabit Schadcode pro Sekunde ein, abgefeuert von gehackten Rechnern rund um den Globus.

In den USA geht die Angst vor ähnlichen Angriffen auf die Strom- und Wasserversorgung um. Ein Schutz ist teuer und langwierig, denn es würde die Entwicklung neuer, robuster Computer-Systeme erfordern.

In Deutschland kämpfen Sicherheitsexperten aktuell damit, die bislang verbauten "dummen" Stromzähler durch vernetzte, fern auslesbare und fernsteuerbare intelligente Stromzähler zu ersetzen, ohne das Stromnetz zu gefährden. Bislang ist offen, wie man für Jahrzehnte die Zähler vor Manipulation durch Schadcode schützen kann. Dieser könnte das Stromnetz gefährden, wenn er plötzlich in ganzen Stadtteilen energieintensive Lasten ein- oder ausschalten würde.

Das mit der Lösung beauftragte deutsche "Bundesamt für Sicherheit in der Informationstechnik" musste die Veröffentlichung des angeforderten technischen Regelwerkes mehrfach verschieben.

Digitales Musterstädtchen

In den USA sind nicht nur die Zähler, sondern ganze Verteilerstationen und sogar Kernkraftwerke über das Internet verknüpft. Deshalb wird hier aktuell ein neues Kapitel im Kampf gegen den Computer-Krieg aufgeschlagen. Nach Abschotten und Ausschalten wollen Experten nun in einem digitalen Musterstädtchen Angriff und Verteidigung üben. Militärs und Zivilisten versuchen, das 15.000 Seelen Nest "Cyber City" zu verteidigen.

Das Örtchen in dem für die US Air Force entwickelte Simulationsprogramm ist so virtuell wie die Angst der amerikanischen Politik vor einem rein digitalen Krieg, so die einhellige Meinung der Referenten auf der Sicherheitstagung Deep Sec in Wien.

"Einen reinen Cyberwar wird es nicht geben", erläutert die österreichische Informatikerin Karin Kosina, "dazu fehlen Cyberangriffen einfach wesentliche Attribute des Krieges, so führt er nicht zu vergleichbaren Verwüstungen und Zerstörungen."

Karin Kosina ist Absolventin der Diplomatische Akademie in Wien und hat dort über die völkerrechtlichen Aspekte des digitalen Krieges gearbeitet. "Um von einem Krieg zu sprechen, müsste man außerdem einen speziellen Staat zweifelsfrei als Angreifer identifizieren, das ist aber im Cyberspace prinzipiell unmöglich, es gibt einfach viel zu viele Möglichkeiten, sich hinter gekaperten Rechnern zu verstecken", sagt die Expertin.

Kein Krieg, sondern Sabotage

Aber selbst wenn der Angreifer identifiziert ist, kann eine digitale Attacke nur schwer als Kriegsgrund gelten. Die meisten Staatsrechtler werten solche Handlungen eher als Akt der Sabotage, vergleichbar der Agententätigkeit. Dem angegriffenen Staat stünde Schadensersatz zu, aber nicht das Recht, selbst zu kriegerischen Mitteln greifen zu dürfen.

Genau dieses Recht hätten die USA gerne, sonst wäre der angreifende ihrer Meinung nach zu sehr im Vorteil.

Darum versuchen die Autoren des virtuellen Schlachtfeldes, den Datenverkehr in der virtuellen Stadt so präzise wie möglich nachzubilden, um preiswertere Lösungen zu finden.

Die einzelnen Elmente einer realen Stadt, die zahllosen Steuercomputer der Industrieanlagen und der Telekommunikation, sind die zentralen Schwachpunkte, wie der Berliner IT-Experte und Unternehmer Felix Lindner ausführt. "Nirgendwo kann man sichere Computer oder sichere Infrastruktur kaufen, diese stammt noch aus einer Zeit, als niemand daran dachte, sie mit dem Internet zu verbinden. In feindlicher Umgebung sind sie massiv verwundbar, und die zunehmende Vernetzung potenziert die Gefahren noch. Wer überall ungesicherte Zugänge ins Web einbaut, darf sich nicht wundern, wenn er gehackt wird", erklärt Lindner.

Amateure, organisierte Kriminalität und staatliche Stellen

Experten unterscheiden vier Gruppen von Angreifern. Amateure, die sich ihre Kenntnisse aus Foren im Internet besorgt haben. Experten, die über großes eigenes Wissen verfügen, aber alleine oder in kleinen Gruppen agieren. Dann kommt das organisierte Verbrechen mit weit größeren finanziellen und personellen Ressourcen. An oberste Stelle stehen staatliche Stellen mit nahezu unbegrenzten Möglichkeiten.

Alle vier Gruppen nutzen aber, und das ist einmalig in der Geschichte, dieselben Schwachstellen in Computersystemen für ihre Attacken, und können ihre Identität so perfekt verschleiern. Jüngstes Beispiel ist der massive Angriff auf das Rechnernetz der "New York Times".

Die Zeitung hatte zuvor über das private Milliardenvermögen der Familie des chinesischen Premiers Wen Jiabao berichtet.

Ziel der Hacker waren Passwörter und Zugangsberechtigungen zu internen Dokumenten und zwar gezielt von jenem Korrespondenten, der für den Bericht verantwortlich war. Als Einfallstor dienten Spionageprogramme, die vermutlich unwissentlich von den Mitarbeitern selbst installiert wurden, als sie auf E-Mail Anhänge klickten. Solche Attacken sind äußerst beliebt und haben große Aussicht auf Erfolg.

"Gegen eine glaubwürdig formulierte E-Mail ist kein Kraut gewachsen", erläutert Stefan Strobel, Geschäftsführer der Beratungsfirma cirosec, die Leute öffnen sie, wobei sie sich den Rechner mit einem Schadprogramm infizieren. Wichtig ist, dass es im Firmennetz einen geeigneten Abwehrmechanismus gibt, der Einbrüche und Manipulationen im Netzwerk erkennt und so einen Datenverlust verhindert oder zumindest minimiert."

Angriff als beste Verteidigung?

Viel an Schutz ist das nicht. Ist deshalb Angriff die beste Verteidigung? Die Obama Administration denkt seit drei Jahren zunehmend offensiver. Beim Cyber City Projekt sind Gegenangriffe daher fester Bestandteil des Übungsprogramms.

Beim Angriff auf die iranischen Uranmühlen mit dem Computerwurm "Stuxnet" im Jahr 2010 zeigte sich allerdings auch, dass sich Attacken im Cyberspace nicht auf das ursprüngliche Ziel beschränken lassen, der Schad-Code griff auch auf viele zivile Rechner über, auch in den USA selbst.

"Cyberangriffe mit selbstreplizierendem Code sollte man international ächten und verbieten", sagt Felix Lindner, "ähnlich wie bei Biowaffen unterscheidet ein Computervirus nicht nach zivilen und militärischen Zielen."

In den USA sieht man die Situation wohl generell anders, wie der Vortrag von Robert M. Lee von der US Air Force zeigte. Hier sieht man Stuxnet eher als Demonstration der technischen Möglichkeiten, ähnlich der Fähigkeit zu Flächenbombardements in Vietnam. Dieser Herausforderung müsse man sich stellen.

Eine neue Variante im Ränkespiel der Rechner ist die Inbetriebnahme von kritischer Infrastruktur durch andere Staaten gegen den Willen der örtlichen Regierung. Als der arabische Frühling durch Softwarefilter seiner strategischen Führung beraubt werden sollte, schmuggelten die USA unauffällige Antennen und neue Netzwerkknoten in die Länder.

Facebook und Twitter konnten so kräftig mithelfen, die politische Landschaft durch gut organisierte Demonstrationen zu verändern, denn auf diesen Plattformen wurden die Anweisungen übermittelt. Der am Samstag bekannt gewordene Angriff auf Twitter, bei dem mindestens 250.000 Konten kompromittiert worden sein sollen, war nach Angaben der Firma ebenfalls keine Arbeit von Angehörigen der Kategorie "Amateur Hacker", sondern von Profis.