Uli Blumenthal: Herr Welchering, warum die Diskussionen?
Peter Welchering: Am Inhalt kann es nicht liegen, denn der ist nicht neu. Da haben Robert Axelrod und Rumen Illiev lediglich noch einmal zusammengefasst, was sie in mehreren Vorträgen schon unters Volk gebracht haben, zuletzt auf der Jahreskonferenz der Vereinigung amerikanischer Politikwissenschaftler, Ende August in Chicago. Der dortige Vortrag hieß: "The strategic timing of cyber exploits", der jetzige Artikel hat die Überschrift "Timing of cyber conflict. Was beide Beiträge in amerikanischen Sicherheitskreisen so beliebt macht, ist das Versprechen, das die Autoren abgeben, ein mathematisches Modell zu liefern, mit dem der optimale Zeitpunkt für einen Cyberangriff errechnet werden kann.
Uli Blumenthal: Wie sieht dieses Modell aus?
Welchering: Ein System von linearen Gleichungen und zwei Tabellen mit Schwellwerten, und dazu fünf Unterscheidungen – alles nicht sehr überzeugend und in Teilen auch gefährlich, weil hier mit einer gewissen Scheinobjektivität die Begründung für den Einsatz einer digitalen Waffe zu einem bestimmten Zeitpunkt gegeben werden kann. Das mögen die Militärs, das mag NSA-Chef Keith Alexander. Denn das ersetzt die politische Diskussion über den Einsatz digitaler Waffen durch nicht sehr aussagekräftige Schwellenwerte. Aber das fällt erst auf den zweiten Blick auf. Denn Robert Axelrod und Rumen Illiev liefern schon ein beeindruckendes Gleichungssystem, da braucht man schon einen Tag oder zwei, bevor man die linearen Gleichungen, mit denen zum Beispiel der Wert einer digitalen Waffe oder der richtige Schwellenwert für den richtigen zeitlichen Einsatz berechnet werden kann. Man kann damit tatsächlich Cyberattacken simulieren. Aber wie das so ist bei Simulationen, man bekommt nur heraus, was man an Rahmenbedingungen vorher in die Simulation hineingegeben hat.
Blumenthal Welche Rahmenbedingungen haben denn Axelrod und Illiev in ihr System gegeben?
Welchering: Sie unterscheiden zwischen Heimlichkeit und Widerstandsfähigkeit einer digitalen Waffe, also etwa eines Virus oder eines Trojaner oder auch eines Computerwurms. Dann gibt es Werte für die Verbreitung der Schadsoftware, linear oder exponentiell. Und insgesamt wird der Wert einer Waffe berechnet. Anhand einer Unterscheidungskaskade entwickeln Axelrod und Illiev Kriterien für die Berechnung einer Empfehlung, nämlich eine digitale Waffe jetzt einzusetzen oder noch zu warten. Und das deklinieren sie dann an Beispielen durch, nämlich etwa am Fall Stuxnet und am Fall des Angriffes der iranischen Cybertruppen auf die Ölgesellschaft Saudi Aramco. Bei Fälle sind ja inzwischen gut dokumentiert.
Blumenthal Welches Ergebnis errechnen die Autoren für den Stuxnet-Angriff und für den Angriff auf die Saudi-Aramco?
Welchering: Trotz aller Vagheit in den Formulierungen kommen sie bei Stuxnet zu dem Ergebnis, dass der sofortige Einsatz nach der Entwicklung richtig gewesen ist, weil Stuxnet auf vier Sicherheitslücken beruhte. Und wenn eine dieser Sicherheitslücken entdeckt und geschlossen worden wäre, hätte Stuxnet nicht mehr funktioniert. Also Stuxnet hatte nur einen geringen Wert für die Widerstandfähigkeit. Im Falle Saudi Aramco kommen die Autoren zu dem Ergebnis, dass mehr Zeit für die Entwicklung größeren Schaden beim Gegner angerichtet hätte, und deshalb der sofortige Vergeltungsschlag strategisch falsch gewesen ist. Das argumentieren sie allerdings sehr zurückhaltend, mit vielen Möglichkeiten, sich eine argumentative Hintertür offen zuhalten.
Blumenthal: Wird dieses mathematische Modell für die zeitliche Planung von Cyberangriffen denn bei den US-Cybertruppen Verwendung finden?
Welchering: Auf alle Fälle. Und deshalb wird es ja so intensiv diskutiert. Das Modell von Axelrod und Illiev ist eine Antwort auf ein ähnliches Modell, das an der chinesischen Nationalen Universität für Verteidigungstechnologie in Changshu in der Provinz Hunan entwickelt wurde. Dort wird mit einem System von mehreren Millionen linearer Gleichungen simuliert, wie Cyberangriffe verlaufen könnten. Und da quengelten die US-Militärs schon seit Frühjahr 2012, als das chinesische Simulationsmodell bekannt wurde, dass sie auch so etwas haben wollten. Den ersten Ansatz dazu haben Robert Axelrod und Rumen Illiev jetzt geliefert.