Nur wenige Themen haben in letzter Zeit in den Medien so viel Beachtung gefunden wie Cyber-Warfare. Manche Kommentatoren sehen bereits das Ende konventioneller Kriegsführung und haben die Vision, wie im virtuellen Raum Bits gegen Bits und Bytes gegen Bytes kämpfen, ohne dass menschliches Blut vergossen wird. Dies ist natürlich Unsinn. Auch wenn die Informationstechnologie eine immer größere Rolle in unserem heutigen Alltag einnimmt, so bleibt sie doch bloß ein Mittel zum Zweck. Sie wird im modernen Krieg eine vorbereitende und unterstützende Rolle einnehmen, aber nicht mehr. Wie das dann funktionieren wird, konnte man im Kaukasuskrieg 2008 erkennen. Wenige Stunden vor bzw. gleichzeitig mit dem Einmarsch werden wichtige IT-Strukturen über das Internet angegriffen und sabotiert.
Stuxnet hat einen Krieg vermieden
Auch Stuxnet läutete keine neue Ära der Kriegsführung ein. Stuxnet war ein Sabotageakt, der geholfen hat, einen Krieg zu vermeiden statt zu führen. Früher hätte man einen Saboteur in eine feindliche Fabrik gesandt, heute macht man das per USB-Stick. Dank des Erfolges von Stuxnet wurde das iranische Atomprogramm um geschätzte zwei Jahre aufgehalten. Die USA und Israel haben nun zwei Jahre mehr Zeit gewonnen, um über ihre nächsten Schritte nachzudenken und diese vorzubereiten. Wir können sicher sein, dass sie dies auch gerade tun.
Die Befürchtung, dass nun eine Welle von Stuxnet-Nachahmungen auftauchen könnte und die halbe westliche Welt lahm legen werde, ist unbegründet. Stuxnet ist eine hochkomplexe Software, deren Entwicklung nicht nur ein Team von erfahrenen Experten aus mehreren Fachgebieten benötigte, sondern auch Millionen Euro kostete und viele Monate in Anspruch nahm. Es gibt nur fünf oder sechs Länder weltweit, die so ein Projekt durchführen können. Das Wissen um dieses Können dient zur gegenseitigen Abschreckung. In diesem Licht ist auch die jüngste Erklärung des Pentagons zu sehen, die einen militärischen Gegenschlag als Antwort auf einen Cyberangriff anführt.
Viel größere und realistischere Bedrohung geht von den zahlreichen Crackern und Cyberkriminellen aus, die in letzter Zeit in die Webseiten und Server von bekannten Unternehmen wie Sega, Nintendo und Sony eingedrungen sind. Es handelt sich dabei nicht um ausländische Militärexperten, sondern um jugendliche Hobby-Hacker (sogenannte „Script-Kiddies“), die sich im Internet austoben, und Kriminelle, die damit Geld verdienen. Beide Gruppen bedienen sich spezieller Angriffssoftware, die im Internet kostenlos oder für wenig Geld erhältlich sind. Und beide Gruppen wissen auch, dass die Wahrscheinlichkeit, überführt und für die Taten zur Rechenschaft gezogen zu werden, äußerst gering ist. Es ist nur eine Frage der Zeit, bis sich auch Terrororganisationen dieser einfachen, aber effektiven Angriffsmethoden bedienen werden.
Ein politisches Problem
Die Lösungen, die bisher zur Erhöhung der Sicherheit im Internet vorgeschlagen wurden, sind nicht ausreichend. Es handelt sich nämlich dabei in erster Linie um ein politisches Problem und erst in zweiter Linie um ein technisches. Eine vollständige Kontrolle des Internets mit technischen Mitteln ist nicht möglich. Aber das sollte auch nicht das Ziel sein. Die gesamte IT-Sicherheit muss sich aus seiner reaktiven Position befreien und viel stärker präventiv und dynamisch agieren. Dies geht nur mit Hilfe der Politik. So wie es staatliche Brandschutzbestimmungen für Häuser gibt, die ein Mindestmaß an Sicherheit vorschreiben, so muss es auch einen von staatlicher Seite verlangten Mindest-IT-Schutz für Unternehmen und Institutionen geben, der erfüllt werden muss.
Es sollte hinterfragt werden, ob wirklich jedes Wasserkraftwerk oder Heizwerk an das Internet angeschlossen werden muss. Dies ist zwar einfach und kostengünstig, stellt aber ein völlig unnötiges Risiko dar. Das Zivil- und Strafrecht muss besser an die Internetkriminalität angepasst werden, gleichfalls die Computerforensik der Polizeibehörden. Es wird kein Weg daran vorbei führen, dass sich kritische Computersysteme und -netzwerke von statischen, leicht erkund- und angreifbaren Gebilden zu sich permanent selbstständig verändernden Systemen (sogenannten „Moving Targets“) entwickeln, die möglichst wenig Angriffsfläche für möglichst kurze Zeit bieten. Mit Maßnahmen wie diesen kann die Internetsicherheit und Widerstandsfähigkeit im Alltag und im Falle eines Angriffs durch Cyberterroristen signifikant erhöht werden.