Eines Morgens geben die Bankautomaten kein Bargeld mehr aus. Die Stromversorgung fällt großflächig aus. Fahrstühle bleiben stecken. Der Flugverkehr bricht zusammen. Auf den Straßen Europas herrscht Chaos. Sicherheitskräfte verlieren die Kontrolle über Atomkraftwerke und Staudämme. Der Grund für den Ausnahmezustand: Islamistische Terroristen sind in unsere Computernetzwerke eingedrungen und bringen unsere Zivilisation zum Stillstand.

Schreckensszenarien wie dieses spuken seit Jahren in den Köpfen von Sicherheitsexperten herum. Rein hypothetisch kann es in einer hoch technisierten Welt wie der unseren tatsächlich fatale Folgen haben, wenn Computer ausfallen oder von Terroristen gezielt manipuliert werden. Es ist nicht neu, dass Technikängste, ob begründet oder nicht, eine große Rolle in Alltag und Zeitgeschehen spielen. Neu ist aber die Allgegenwart der neuen Medien – von denen das „Internet“ nicht das einzige, aber sicher eines der prominentesten Beispiele ist. Neu ist auch die Abhängigkeit moderner industrialisierter Gesellschaften von einer Vielfalt von nationalen und internationalen Informationsinfrastrukturen, die als unsicher gelten.

Tatsächlich ist das Internet in vielfältiger Weise mit der internationalen Sicherheitspolitik verwoben, und das weit über das Schreckensszenario Cyberterrorismus hinaus. Das Internet wird heute von einer breiten Palette von sicherheitspolitisch relevanten Akteuren für zahlreiche Aktivitäten genutzt, viele davon friedlich. Dabei ist das Internet meist bloßes Medium zur Informationsbeschaffung und -verbreitung. Doch das Internet wird auch für weniger friedliche Zwecke missbraucht: Brandaktuell ist unter anderem die Art und Weise, wie Terroristen das Internet für die „strategische Kommunikation“ nutzen.

Dass der Terrorismus eine Kombination aus Gewalt und Medienpropaganda einsetzt, ist nichts Neues. Jetzt aber stehen im Unterschied zum 19. Jahrhundert neue Kommunikationsmittel zur Verfügung, um Informationen herzustellen und sie vor allem global verteilen zu können. Und die letzten Jahre haben gezeigt, wie Terroristen die Verbreitung ihrer Video- und Bilderbotschaften über Medien und das Internet, perfektioniert haben.

Zum Beispiel wurde für die Verbreitung von Enthauptungsvideos das Internet eingesetzt. Diese makabre Inszenierung, nicht nur für westliche, sondern auch für arabische Augen kodiert, soll Angst auslösen und Macht demonstrieren und wird als Waffe in der psychologischen Kriegsführung gegen die amerikanische Besatzung eingesetzt,. Terroristische Gruppierungen nutzen das Internet angeblich auch zur Vorbereitung von Attentaten : Schon vor 9/11 kursierte das Gerücht, dass islamistische Terroristen um Osama bin Laden Botschaften in Bildern auf Porno- und Sport-Websites versteckten und so heimlich kommunizierten. Das Internet wird häufig auch als "Fernuniversität des Terrors" dargestellt: Die Attentäter von Madrid zum Beispiel sollen sich bei einer paramilitärischen US-Organisation detaillierte Aufnahmen von Sprengsätzen heruntergeladen haben .

Obwohl solche Bauanleitungen auch in zahlreichen Büchern zu finden sind, wurden derartige Meldungen von den Medien ausgeschlachtet und haben dazu geführt, dass im Namen der Sicherheit strengere Internet-Kontrollen gefordert werden. Dabei geht es vor allem darum, besorgniserregende Inhalte entfernen und die dafür Verantwortlichen schneller bestrafen zu können – auf die Gefahr hin, dass allzu breite Definitionen zu Zensur auch von politischer Opposition führen und die Meinungsfreiheit untergraben könnten.

Die Bezeichnung des Internet als
„virtueller sicherer Hafen“ für Terroristen (Kofi Annan), die transnational handeln und die nationalen Unterschiede ausnutzen, ist Ausdruck eines staatlichen Ohnmachtgefühls gegenüber einem als unkontrollierbar empfundenen exterritorialen Raums. Gerade in Zeiten internationaler Konflikte, die Massen mobilisieren, kommt dem Internet zusätzliche Bedeutung zu. Obwohl es zynisch erscheinen mag, die digitale Welt mit der wirklichen des Krieges gleichzusetzen: Häufig wird konstatiert, dass Kriege heute viel mehr als früher nicht nur mit Waffen auf dem Schlachtfeld geschlagen werden, sondern auch in den Medien und über Propaganda.

Gerade in den USA wird der so genannten „Soft Power“, also der Möglichkeit Menschen und Nationen durch kulturelle und politische Attraktivität für sich zu gewinnen, sehr großer Stellenwert zugeschrieben. In diesem Zusammenhang wurde das Internet dort früher auch als Werkzeug verstanden, um spezifische Informationen verbreiten zu können. Heute jedoch sieht die US-Regierung das Internet verstärkt als regelfreien Raum, in dem um Deutungshoheit und Wahrheit gerungen wird – und das oft zum Leidwesen staatlicher Akteure. So erstaunt es weniger, dass das Internet von militärischer Seite sogar als buchstäbliche Bedrohung beschrieben wird und dass US-Militärs fordern, das Netz so zu bekämpfen wie ein feindliches Waffensystem: „We must fight the Net“ steht in der amerikanischen
Information Operations Roadmap vom Oktober 2003.

Kombiniert mit den langjährigen Ideen vom Cyberkrieg, bei dem es neben der Verbreitung "grauer" oder "schwarzer" Informationen – d.h. Nachrichten, die aus Wahrheiten, Teilwahrheiten oder gar Lügen zusammengesetzt werden, und zwar so, dass die Wahrheiten die Unwahrheiten plausibel machen –auch um physische oder digitale Zerstörung von Informationsinfrastruktur geht, kommt ein zusätzliches sicherheitspolitisches Thema ins Spiel: die „Rüstungskontrolle“ im Cyberspace. Obwohl Experten wenig Chancen sehen, Formen der traditionellen Rüstungskontrolle auf den Cyberkrieg zu übertragen, wird es eher früher als später nötig sein, ernsthaft über den völkerrechtlichen Schutz ziviler grenzüberschreitender Netzwerkkommunikation sowie die Ausgrenzung kritischer nationaler Infrastrukturen aus zukünftigen Cyberwar-Szenarien zu diskutieren. Denn nur so ist eine langfristige und anhaltende Entwicklung der internationalen Informationsgesellschaft sicherzustellen.

Dr. Myriam Dunn leitet den Forschungsbereich „Neue Risiken“ am
Center for Security Studies der ETH Zürich.

politik-digital: Vor einigen Wochen kam es zu einem massiven Angriff auf die zentralen Server des Internet. Dabei wurde die Funktionsweise von neun von 13 Root Servern erheblich eingeschränkt. Der Nutzer merkte davon jedoch nichts. Sind also die Warnungen vor Cyberterror nur ein Medienhype?

Buss: Ich glaube nicht, dass man Entwarnung geben kann. Es hat ja schon andere Angriffe gegeben, bei denen die Netze über längere Zeit ausgefallen sind. Auch in unseren Ressorts wurden Netze bereits lahm gelegt. Der Schaden dabei ist recht beachtlich.

politik-digital: Betrifft der „Krieg gegen den Terror“ und gegen al Qaeda, die sich nach dem Afghanistan-Krieg weltweit neu formiert, auch die Arbeit Ihrer Stabsstelle?

Buss: Wir müssen die IT-Sicherheit für die ganze Bundeswehr gewährleisten. Wir legen die Policy fest und geben die Vorschriften heraus. Mit al Qaeda direkt haben wir aber nicht zu tun. Wir sind grundsätzlich zuständig für die technische und organisatorische Abwehr von Angriffen, egal woher sie kommen, ob Hacker oder Terrorist.

politik-digital: Die Angriffsmöglichkeiten auf IT-Netze werden in den Medien oft blumig beschrieben: Züge entgleisen, der Verkehr bricht zusammen, Gasleitungen explodieren usw. Es gab auch schon Übungen, die ein solches Szenario simuliert haben. Halten Sie solche Folgen eines IT-Angriffs für realistisch?

Buss: Ich sehe die Möglichkeit schon, dass eine Stadt durch einen IT-Angriff lahm gelegt werden könnte. Manche Medien machen die Risiken sicherlich sehr plastisch, aber man sollte sie nicht unterbewerten. Je mehr die Vernetzung fortschreitet, z.B. über das Internet, desto größer sind auch die Möglichkeiten, Angriffe zu fahren. Das Sicherheitsbewusstsein ist bei vielen nicht besonders ausgeprägt, bei Privatnutzern, aber auch im Mittelstand.

politik-digital: Inzwischen wird spekuliert, Terrororganisationen wie al Qaeda bevorzugten eher spektakuläre Attentate, um in die TV-Nachrichten zu kommen, als IT-Angriffe. Hat sich Ihre generelle Einschätzung der IT-Sicherheitslage durch den 11. September verändert?

Buss: Wir haben uns zwar danach Gedanken gemacht, ob das auf die IT-Sicherheit der Bundeswehr Auswirkungen haben könnte, sind aber zu dem Ergebnis gekommen, dass es keinen Einfluss hat. Wir haben unsere Policy nach dem 11. September nicht verändert, denn sie zielt darauf ab, generell zu verhindern, dass sich jemand Zugang zu unseren Netzen verschafft. Dagegen haben die Auslandseinsätze der Bundeswehr das IT-Sicherheitsbewusstsein verändert. Die Bundeswehr war ja in der Vergangenheit, salopp gesagt, eine Manöverarmee. Die Situation ist jetzt eine andere. Die Bundeswehr ist im Einsatz und das Leben von Soldaten ist bedroht. Wenn z.B. in Afghanistan ein Kryptogerät ausfällt und Informationen an die Gegenseite gelangen, dann kann das zu schweren Folgen führen. Indirekt hat das also mit dem 11. September zu tun, aber nicht direkt. Was die Bedrohung durch al Qaeda angeht, so ist meine persönliche Meinung, dass es deren Ziel ist, möglichst viele Menschen umzubringen und die Staaten in ihrem Nerv zu treffen. Von daher glaube ich nicht, dass die al Qaeda einen Cyberangriff gegen die Bundeswehr fahren will. Die Gefahr sehe ich eher in den Auslandseinsätzen. Wenn es möglich wäre, die Kühlanlage eines Atomkraftwerks durch einen Cyberangriff auszuschalten, dann wäre das sicher anders, aber das dürfte nicht so einfach sein.

politik-digital: Gefahr droht also eher vom Cyberwar als vom Cyberterror?

Buss: Ich weiß nicht, ob man das wirklich unterscheiden sollte.

politik-digital: Ein Arbeitspapier eines interministeriellen IT-Planungsstabes forderte unlängst den Einsatz unabhängiger Kryptoprogramme und Open Source-Betriebssysteme, um sich gegen mögliche versteckte Einfallstore in kommerzieller Software zu wappnen. Sehen Sie da Probleme mit den Amerikanern, die ein wirtschaftliches Interesse daran haben, die Software von US-Unternehmen weltweit zu verbreiten?

Buss: Microsoft ist nun einmal der Marktführer. Wir sind nicht in der Lage, auch nur im Ansatz zu überprüfen, ob da irgendwelche Bugs drinnen sind – selbst dann nicht, wenn Microsoft den Source Code offen legen würde. Die Abhängigkeit von einem einzigen Unternehmen ist natürlich nie gut. Die Bundesregierung hat daher die Offensive gestartet, mit Open Source wie Linux zu arbeiten. Aber auch da ist es schwierig sicher zu stellen, dass keine Bugs drinnen sind. Schwachstellen gibt es auch bei Linux.

politik-digital: Eine wichtige Rolle beim Schutz kritischer Infrastrukturen spielen die CERTs (Computer Emergency Response Team), die es in manchen Großunternehmen schon länger gibt. Die Bundeswehr hat nun ein eigenes CERT aufgebaut. Wie sieht dessen Ausstattung aus?

Buss: Das Kernteam besteht aus acht Mitarbeitern. Geplant ist ein Ausbau auf 25 Mitarbeiter. Das Kernteam hat seine einjährige Ausbildung vor kurzem abgeschlossen. Meine Stabsstelle hat dieses CERT auf der Grundlage einer Studie von IBM initiiert. Ziel ist es, die Netze der Bundeswehr zu überwachen, um Angriffe rechtzeitig zu erkennen und möglichen Schäden vorzubeugen oder entstandene Schäden zu beseitigen. Dieses Team wird mit den anderen CERTs, vor allem dem CERT-Bund, eng zusammenarbeiten.

politik-digital: Im April wurde das Amt für Informationsmanagement und IT der Bundeswehr eingerichtet. Ist das auch für die Abwehr von Cyberterror und Cyberwar zuständig?

Buss: Wir im Ministerium machen die Planung, Steuerung und Kontrolle. Das Amt ist der nachgeordnete Bereich und das durchführende Organ. Es besteht aus zwei großen Komplexen. Es gibt einen Querschnittsbereich und einen Projektbereich. Im Querschnittsbereich gibt es ein Element IT-Sicherheit, das mir nachgeordnet ist und mir zuarbeitet. Dort erstellt man Vorschriften, führt Inspektionen durch und befasst sich mit Informationsoperationen. Wobei ich klar sage, dass es nicht unsere Aufgabe ist, sich Gedanken zu machen, wie man aktiv Informationsoperationen durchführen kann. Der aktive Anteil ist Sache der Streitkräfte, wenn er überhaupt gemacht wird. Das ist momentan mit zwanzig Fragezeichen zu versehen, weil es da eine ganze Menge Probleme, vor allem rechtlicher Art, gibt. Wir unterstützen den passiven Anteil.

politik-digital: Was heißt aktiv und passiv?

Buss: Passiv heißt Abwehr und aktiv heißt Attacke. Zur Zeit plant die Bundeswehr aber keine aktiven Informationsoperationen.

politik-digital: Die Amerikaner haben solche Operationen ja schon durchgeführt, zum Beispiel im Kosovo-Krieg.

Buss: Vorsicht, da muss man unterscheiden, was man macht. Zu den aktiven Informationsoperationen gehört auch, was man früher psychologische Kriegsführung genannt hat, das heißt der Versuch einer Beeinflussung der Bevölkerung und der Streitkräfte. Das ist die eine Komponente. Damit haben wir überhaupt nichts zu tun. Die andere ist, einen Angriff gegen ein IT-Netz zu fahren, zum Beispiel Webseiten manipulieren. Ob die Amerikaner das machen, weiß ich nicht. Ich gehe mal davon aus. Wir machen das nicht. Ich weiß aber, dass es im Kosovo auch Angriffe auf unsere Webseiten gegeben hat. Damit kommen Sie aber noch nicht in die Netze herein. Eine weitere Möglichkeit wäre, in Netze eindringen, um Informationen zu manipulieren und zu zerstören. Das wird zurzeit nicht gemacht und zwar einfach deswegen, weil Sie nicht in der Lage sind, das zu steuern. Wenn Sie einen Virus einsetzen, haben Sie keinen Einfluss darauf, wohin er sich überall verteilt. Wenn Sie zivile Netze mit denen der Streitkräfte verbunden haben, kommen Sie in zivile Netze herein und das ist ein Verstoß gegen das Völkerrecht. Das ist rechtlich sehr problematisch und daher fahren die Amerikaner das auf ganz kleiner Flamme.

politik-digital: Es war aber zu lesen, dass serbische Computersysteme der Luftaufklärung und der Abwehrgeschütze manipuliert wurden, so dass sie nicht funktioniert haben.

Buss: Solche Angriffe können Sie aber auch mit anderen Mitteln machen, zum Beispiel durch elektronische Kampfführung. Insofern weiß ich nicht, was da gelaufen ist. Ich bezweifle, dass Viren eingesetzt wurden.

politik-digital: Wie ist die Aufgabenverteilung vorgesehen zwischen dem IT-Amt und der IT-Gesellschaft, die in Zukunft im Rahmen des Herkules-Projekts gegründet werden soll?

Buss: Die Frage kann ich Ihnen im Augenblick nicht beantworten. Wir haben ein Ranking gemacht zwischen den beiden Konsortien, die sich um der Herkules-Projekt beworben haben. Ein Ranking ist noch keine endgültige Vergabeentscheidung. Momentan sind wir in der Due-Diligence-Phase, das heißt wir besprechen mit den Unternehmen die Details. Sicher ist, dass Planung, Steuerung und Kontrolle der IT-Sicherheit im Ministerium verbleiben. Wir behalten auch das CERT der Bundeswehr.

politik-digital: Wie lösen Sie das Problem, dass das Netz prinzipiell unsicherer wird, wenn es z.B. durch Outsourcing stärker mit Netzen von Privatunternehmen verknüpft wird? Denn es gibt dann ja mehr Schwachstellen und Einfallstore als in einem geschlossenen Netz. Geht der Trend zur Privatisierung in der Bundeswehr zu Lasten der IT-Sicherheit?

Buss: Sicherlich schaffen Sie dadurch zusätzliche Risiken, aber sie sind beherrschbar. Wichtig ist, dass man die Schnittstellen nach außen kennt und diese entsprechend sichert. Es kommt auf die Definition der Schnittstelle an.

politik-digital: Zu dem Konsortium ISIC 21, das in der Ausschreibung für das Herkules-Projekt auf Platz eins gerankt wurde, gehört Mobilcom. Das Rendsburger Mobilfunk-Unternehmen kommt ja momentan nicht aus den Negativ-Schlagzeilen. Sind Sie auf einen möglichen Ausfall von Mobilcom vorbereitet?

Buss: CSC Ploenzke hat versprochen, dass das keine Probleme verursachen würde.
Das Gespräch führte Ulrich Hottelet.

Zusammenstoßende Züge, explodierende Gasleitungen, plötzliche Stromausfälle, manipulierte Aktienbörsen, lahm gelegte Satelliten: Das Schreckensszenario eines umfassend geführten Cyberwar macht vor kaum einer Einrichtung des modernen Lebens Halt. Über die technische Realisierbarkeit solcher Computerattacken streiten die Experten zwar, aber viele Staaten, allen voran die USA, rüsten derzeit ihre IT-Kapazitäten für die informationsgesteuerte Kriegführung massiv auf. Die Amerikaner scheuen dabei keine Kosten: Milliarden Dollar müssten Staat und Wirtschaft in den nächsten Jahren investieren, um für die elektronische Kriegführung, auch Cyberwar oder Infowar genannt, gewappnet zu sein, fordern amerikanische Militärs und Geheimdienstler seit längerem. Nach einem kürzlich erschienenen Bericht der Washington Post hat Präsident Bush im Juli eine geheime Direktive über den offensiven Einsatz von Cyberwaffen unterzeichnet. Amerikanische Kritiker weisen auf die unzureichende Beherrschbarkeit solcher Attacken und die Gefahr von Gegenschlägen auf US-Unternehmen hin.

Elektronisches Pearl Harbor

Das amerikanische Streben nach militärischer Überlegenheit im Infowar ist nicht neu. Seit 1998 wurden eine Vielzahl von Initiativen und Kommissionen gegründet, um Sicherheitsschwachstellen in Computern und Netzwerken von Regierungsstellen und maßgeblichen IT- und Infrastruktur-Unternehmen aufzudecken und ein Konzept zu ihrer Bekämpfung zu erarbeiten. Seit dem Amtswechsel im Weißen Haus drängt die US-Regierung verstärkt darauf, ein „elektronisches Pearl Harbor“ zu verhindern. Besonders der Technologie-Geheimdienst NSA (National Security Agency) warnt in schöner Regelmäßigkeit vor Cyberterrorismus, um, wie Kritiker vermuten, neue Aufgaben an sich zu ziehen und so höhere Budgets zu erschließen. Plastisch machte es James Adams, Mitglied im Beratungsstab der NSA und des Pentagon, in einem Interview mit dem Handelsblatt: „Jeder weiß, wenn er heute einen Nuklearschlag gegen die USA unternähme, würde er völlig zerstört. Diese totale Abschreckung brauchen wir im virtuellen Raum auch, vor allem zum Schutz unserer kritischen Infrastruktur. Wenn ein Staat unsere Wasserversorgung unterbricht, müssen wir fähig sein, seine Stromversorgung oder sein Bankensystem digital lahm zu legen.“

In jüngster Zeit mehren sich die Warnungen aus Washington. Richard Clarke, der Vorsitzende des dem Präsidenten unterstehenden Critical Infrastructure Protection Board, wies darauf hin, dass Osama bin Laden Anschläge auf die wirtschaftliche Infrastruktur der USA angekündigt habe. Insbesondere die steigende Nutzung schlecht gesicherter wireless-Technologien sei eine Gefahrenquelle. Vor kurzem legte das FBI nach und berichtete von zunehmenden Cyberattacken pro-irakischer Hacker.

weltweites Aufrüsten

Doch nicht nur die USA, auch Russland, China, Frankreich, Israel, Indien und Pakistan bauen ihre Infowar-Fähigkeiten aus. Der Umsatz für „integrierte Systemarchitektur im militärischen Bereich (C4ISR)“ wird nach Schätzung der Unternehmensberatung Frost & Sullivan allein in Europa von über sieben Milliarden Dollar 2002 auf neuneinhalb Milliarden im Jahr 2008 steigen. Dabei werde der europäische Markt zu einem der offensten Märkte. „Impulse gehen von technischen Neuerungen und vor allem vom Doktrinwandel aus“, heißt es in der Analyse.

Gegenseitige Hackerangriffe auf Netzwerke gab es bereits im Nahen Osten zwischen Israelis und Palästinensern und zwischen Amerikanern und Chinesen nach dem Absturz eines US-Spionageflugzeugs vor der chinesischen Küste. Handelte es sich dabei meist um harmlose Web-Graffitis, so zeigte der Krieg im Kosovo, was die Cyberwaffen schon heute vermögen: Den Amerikanern gelang es, serbische Radarabwehrsysteme so zu manipulieren, dass sie nicht existierende Ziele erfassten und damit wirkungslos wurden.

Die Bundesregierung will die kritischen Netze von Staat und Wirtschaft insbesondere durch den Verbund von Computer Emergency Response Teams (Certs) schützen. Bundesinnenministerium, Polizei und Deutsche Telekom führten vergangenes Jahr ein Planspiel durch, bei dem ein koordinierter Cracker-Angriff einer mafiösen Gruppe auf die Berliner Infrastruktur simuliert wurde, um die Bundesregierung zu zwingen, die Bundeswehr aus dem Kosovo zurückzuziehen. Auch die europäischen Sicherheitsorgane verlegen ihre Manöver vermehrt vom Unterholz in den Wäldern auf die Datenautobahn.