1982, Russland: An einer Gas-Pipeline explodiert bei Tscheljabinsk eine Verdichtungsstation. Ursache laut Geheimdienstbericht: Ein bewusst eingebauter Softwarefehler, den Programmierer im Auftrag des amerikanischen Geheimdienstes CIA in die kanadische Steuerungssoftware eingeschleust hatten, um einen Software-Diebstahl zu verhindern.
2007, USA: In Idaho explodiert ein Diesel-Testgenerator. Das Ministerium für Heimatschutz hatte nach eigenen Angaben Tests im Labor gefahren. Wissenschaftler des Energieministeriums haben dabei die Steuerdaten des Maschinenleitstands abgefangen und manipuliert. So bekam der Generator völlig überhöhte Freigabewerte für den Zylinderdruck.
2010, Iran: Der Computervirus Stuxnet taucht im Internet auf. Ziel sind offenbar industrielle Steuerungsanlagen. IT-Spezialisten beobachteten, wie unter anderem Zentrifugen einer iranischen Urananreicherungsanlage bei Natans von Stuxnet so herunter gedrosselt wurden, dass sich die Herstellung von waffenfähigem Uran massiv verzögert. Eine Variante von Stuxnet erhöht die Drehzahl von Zentrifugen so stark, dass sie sich selbst beschädigten.
In allen den genannten Fällen war Schadsoftware in die Computer eingeschleust worden, die die Maschinenleitstände oder Verdichtungsstationen steuern und kontrollieren. Lastverteilungsrechner für die Stromnetze, Steuerungsrechner für Raffinerien und andere Chemieanlagen oder Computer von Maschinenleitständen stehen deshalb in besonders überwachten Hochsicherheits-Rechenzentren. Zutritt zu solchen Rechenzentren erhält nur besonders ausgewähltes und überprüftes Personal. Mehrere hintereinander gestaffelte Sicherheitskontrollen sorgen nicht nur dafür, dass kein Unbefugter an die Computer herankommt, sondern verhindern auch, dass Datenträger mit Schadsoftware, wie zum Beispiel Computerviren in das Rechenzentrum hineingeschmuggelt werden können. Und in besonders sicherheitsrelevanten Bereichen sind die Rechenzentren – so scheint es - zu uneinnehmbaren Festungen ausgebaut: Mehrfach verstärkte Betondecken, die sogar einen Flugzeugabsturz aushalten, Sicherheitszäune mit Auffahrbarrieren, durch die nicht einmal ein schwerer Panzer durchbrechen könnte. In Süddeutschland steht zwischen Heidelberg und Stuttgart ein solches Rechenzentrum an einem geheimen Ort, in dem hochsicherheitsrelevante Steuerungsrechner betrieben werden. Eine Ortsbesichtigung.
"Mit Konrad Meyer stehe ich jetzt vor dem Rechenzentrum. Bevor wir aber in dieser Eingangshalle gekommen sind, Herr Meyer, da mussten wir schon einige Sicherheitshürden überwinden. Die erste war der Zaun. Das ist auch nicht ein ganz normaler Zaun, der hängt ziemlich tief in der Erde."
"Der hängt ziemlich tief in der Erde, der hat auch einen Aufprallschutz, also Lkw, dass man da nicht dagegen fahren kann und durchbrechen kann, das ist schon mal ein bestimmtes Merkmal. Dann müssen Sie durch ein Drehtor durch, Sie müssen am Wachdienst vorbei, Sie müssen sich persönlich ausweisen. Da gibt es ein Schleusenssystem, dass Sie überhaupt in die äußere Netzhaut, wie so ein Zwiebelschalenprinzip, hereinkommen."
"Und dann stehen wir hier vor dem Eingang des Rechenzentrums direkt vor uns. Das sieht fast so aus wie in einem Flughafen."
"Ja, das ist wie im Flughafen. Wenn jemand früher Science-fiction gesehen hat, dann ist das wie im Raumschiff Enterprise, Scotty beam me up. Das ist eine Vereinzelungsschleuse. Damit wird sichergestellt, dass der Mensch, der da rein geht, auch sich identifizieren muss und der ist, der er ist. Dass er niemanden auf den Schultern sitzen hat, dass niemand zu zweit durchgeht, deshalb der Begriff Vereinzelungsschleuse."
"Und wie überprüfen Sie das, wenn ich da jetzt hineingehe, dass ich auch wirklich hinein darf?"
"Bei mir sind meine biometrischen Daten hinterlegt. Wenn wir durch die Vereinzelungsschleuse hindurch gehen, muss ich mich identifizieren mit meiner Codekarte. Und ich muss mich mit meiner Hand identifizieren, an einem Venenscanner."
"Ja, dann gehen wir doch mal rein durch diese Vereinzelungsschleuse."
"Damit sind Sie jetzt in einem weiteren Zwiebelring, wenn man so das Zwiebelschalenmodell angeben will. Dahinten sind jetzt die ganzen Rechenzentrumsräume, und außen herum sind die ganzen Versorgungsräume. Das heißt, das heiligste in der Mitte und da würden wir jetzt reingehen. Das ist jetzt eine Serverzelle. Da muss ich mich auch wieder mit dem Venenscanner und der Karte identifizieren. Das sind die Venendaten. Da wird sowohl der Blutfluss gemessen, so dass sichergestellt ist, Sie leben auch, wenn Sie da hinein wollen. Dann haben wir jede Menge Netzwerkkomponenten, von hier aus, wo die Netzwerke verteilt werden. Im Privathaushalt kennt man ja auch WLAN und LAN Verkabelung, das finden Sie hier. Und hier dann auch die Übergabe ins externe Netz, wo das ganze an die Kunden raus geht. Das wäre dann quasi in diesem Netzwerkschränken hier abgebildet. Auf der anderen Seite gibt es da noch so eine Art Konsolidierung, wo sie aus den verschiedenen Serverräumen verdichten. Und von dort aus in die weite Welt hinaus gehen, sei es über das Internet, sei es über die die Verteilerleitungen. Im Privatgebrauch kennt jeder das: dass man so eine Firewall auf seinem PC laufen hat. Das mit ausgeklügelterer Version, mehr Professionalisierung noch, dass findet natürlich dann hier mehrfach statt."
Der Serverraum ist eine Frontlinie im digitalen Krieg. Solche Hochsicherheits-Rechenzentren sind gegen Bomben, Mikrowellenkanonen und die Artillerie gut geschützt. Das wissen auch die Strategieexperten und Planer sämtlicher Armeen auf dieser Welt. Und sie wissen, dass ein erfolgreich angegriffener Computer oder Server in einem Hochsicherheitsrechenzentrum einen größeren Schaden anrichten kann als das Bombardement einer ganzen Stadt. Für den Bonner Informatik-Professor und Sicherheitsexperte Hartmut Pohl ist klar, weshalb die Generalstabsoffiziere in Ost und West, im Abendland wie im Morgenland darauf setzen:
"Also alles, was mit Computern zu tun hat, ist ja programmgesteuert und macht es deswegen unverhältnismäßig leicht anzugreifen. Ich schreibe ein Programm. Da lief neulich der Wurm Stuxnet durch die Welt, wie aufwendig er auch erstellt worden sein mag. Es ist relativ einfach, ein Programm zu schreiben, im Vergleich zum klassischen physischen Krieg, wo man eine Panzer konstruieren muss, eine Rakete konstruieren muss, eine Bombe konstruieren muss, transportieren muss – alles sehr aufwendig. Ein Programm übers Internet zu schicken von einem Computer, der seine Adresse, seine Absenderadresse, verwischt, ist relativ einfach. Andere Angriffe: Man schreibt ein Angriffsprogramm, das so funktioniert: 'Ich suche mir diesen Generator mit einer bestimmten Adresse' oder 'Ich suche mir überhaupt alle Generatoren mit einer bestimmten Steuerungssoftware und greife die an, manipuliere durch das Programm die Steuerungssoftware'. Das läuft dann durch das Programm automatisiert, also programmgesteuert. Ich brauche gar nicht mehr am Rechner zu sitzen. Ich sitze am Rechner einmal, paar Minuten, lass das Programm ins Internet laufen und gehe meiner Wege."
Im Oktober des Jahres 2010 nimmt das Cyber Command der amerikanischen Streitkräfte den Betrieb auf. Die Mission: Vorbereitung und Durchführung umfassender cybermilitärischer Operationen. Im November 2010 diskutieren die Nato-Mitgliedsstaaten auf ihrem Gipfel in Lissabon eine Änderung von Artikel 5 des Nato-Grundlagenvertrags. Bei digitalen Angriffen auf die Infrastruktur eines Nato-Mitglieds soll der Bündnisfall ausgerufen werden können. Bis zum Sommer 2011 soll die Cybereinheit der Bundeswehr, die Computer- und Netzwerkkooperation, kurz CNO, in der Tomburg-Kaserne in Rheinbach bei Bonn "aktives Potenzial" für den Cyberkrieg aufgebaut haben.
Knapp 150 Staaten haben auf einer Konferenz am Rand der UN-Vollversammlung im Herbst 2010 mehr oder weniger offiziell bekannt gegeben, dass sie digitale Angriffs- oder Verteidigungswaffen entwickeln. Digitale Waffen, das sind Computerviren, Würmer, Mailbomben, Spionagesoftware und andere Schadprogramme. Solche digitalen Waffen nutzen Sicherheitslücken in Betriebssystemen, Kommunikationsprotokollen und in Anwendungssoftware aus, berichtet Markus Hennig, Technikvorstand des Karlsruher Internet-Sicherheitsspezialisten Astaro AG.
"Mit jeder Schwachstelle, mit jedem Patch, mit jedem Fehler, und Software ist eben einfach mal inhärent mit Fehlern behaftet, entsteht natürlich auch das Potenzial, entsteht die Möglichkeit für Angreifer, für Leute, die das bösartig ausnutzen wollen, genau spezialisiert dafür Tools zu schreiben, die das ausnutzen. Die eindringen in Systeme und sich dann fortpflanzen und diese zur Informationsbeschaffung benutzen."
Schätzungsweise 30.000 sogenannte Schwachstellenforscher beschäftigen sich weltweit mit solchen Sicherheitslücken. Sie sind auf der Suche nach Softwarefehlern und unzureichend abgesicherten Algorithmen. 10.000 dieser Experten arbeiten allein in der Volksrepublik China. Doch auch in Südamerika und Osteuropa sind hochqualifizierte Computerexperten auf der Pirsch nach Softwarefehlern und daraus entstehenden Sicherheitslücken. Exploit-Researcher heissen sie. Verkaufen ihr Wissen um Fehler, Sicherheitslücken und Angriffspunkte an Betriebssystemhersteller, Produzenten von Antivirensoftware, aber auch an Geheimdienste und an Organisationen, die Wirtschaftsspionage betreiben. Im Internet haben sich regelrechte Auktionsbörsen entwickelt, über die derartige Sicherheitslücken und Angriffsprogramme versteigert werden. Vor allen Dingen Kriminelle beschaffen sich dort Angriffsprogramme, um die Konten ahnungsloser Bankkunden online zu plündern, E-Mail-Postfächer in erpresserischer Absicht zu erbeuten oder online Wirtschaftsspionage zu betreiben. Und im Jahr 2007 hat eine kleine Gruppe russischer Hacker über mehrere Tage estländische Regierungscomputer angegriffen und lahmgelegt. Das Angrifspotenzial sei beachtlich, urteilt Informatik-Professor Pohl.
"Die technischen Möglichkeiten sind weit verbreitet. Man muss dazu sagen, von der Technik her können kleine Gruppen sehr wohl ganze Staaten angreifen. Derartige asymmetrische Angriffe sind möglich. Man kann mit einem Computer ein ganzes Netz von Computern, ein Botnet, übernehmen. Oder auch eine ganze Cloud, oder mehrere Clouds übernehmen, und damit dann einen Staat – um wieder auf den Begriff Cyberwar zu kommen – einen Staat anzugreifen. Das ist technisch möglich. Dass man sich dagegen schützen will, ist, ich denke, nützlich. Zumindest für die Bundesrepublik. Für andere technische Staaten auch. Wird aber praktiziert, soweit ich das kennengelernt habe, seit 1990, von den USA, die auf Computerangriffe gegen Regierungsbehörden aktiv reagiert haben, indem sie selber den Angreifer angegriffen haben. Die haben ihm eine Warnung geschickt, und wenn diese Warnung der Angreifer nicht verstanden hat, haben, ich sage mal Behördenmitarbeiter, diesen Angreifer oder dessen Computer, besser gesagt, zerstört."
Um auf diese Bedrohungslage reagieren zu können, haben die Armeen fast aller Staaten dieser Erde während der vergangenen Jahre sogenannte Cybereinheiten etabliert, militärische Organisationen, die digitale Angriffe auf kritische Infrastrukturen wie Stromnetze, Raffinerien, Internet-Knotenrechner oder Banken- und Börsensysteme abwehren sollen. Sie entwickeln und erproben aber auch Angriffsszenarien auf gegnerische Radarstellungen oder die Flugabwehr.
Über eine der grössten Cybereinheiten verfügt die chinesische Volksbefreiungsarmee. 4000 Soldaten mit IT-Kenntnissen sind in Beijing stationiert, weitere 3.000 Exploit-Forscher der Armee kümmern sich auf einem Militärstützpunkt in der Provinz Shandong vor allen Dingen um Sicherheitslücken westlicher Regierungscomputer.
Die wohl schlagkräftigste Cybertruppe unterhält die israelische Armee. Gerüchten zufolge soll sie gemeinsam mit amerikanischen Experten Stuxnet-Routinen für die Manipulation der Frequenzumrichter entwickelt und in der Atomforschungsanlage Dimona getestet haben.
Die russische Armee hingegen hätte zahlreiche exzellente Exploit-Entwickler an die Privatwirtschaft verloren. Sie gelte derzeit in Sachen Cyberwar als nur noch bedingt einsatzbereit. Allerdings könnte die russische Armee im Bedarfsfall auf gut trainierte Computerexperten des russischen Inlandsgeheimdienstes FSB zurückgreifen.
Die Regierung der USA hat sich schon sehr früh um das Thema Cyberwar gekümmert und Anfang der 80er-Jahre zunächst die Central Intelligence Agency mit der Koordinierung der Entwicklung digitaler Waffen betraut. Danach übernahm der technologische Geheimdienst, die National Security Agency (NSA), die Federführung. Nach dem Terroranschlag auf das New Yorker World Trade Centre am 11. September 2001 wurde in einer Kaserne im kalifornischen Monterey ein Koordinierungsstab eingerichtet, der aber wegen heftiger Kompetenzstreitereien zwischen dem Heimatschutzministerium, der NSA und der US Army nicht wirklich in das operative Geschäft vordringen konnte. Letztlich auch auf Grund dieser Erfahrungen übernahm vermutlich dann im Oktober 2010 das Cyber Command der amerikanischen Armee die Aufgabe, cybermilitärische Operationen vorzubereiten und durchzuführen.
Am vergangenen Mittwoch hat das Bundeskabinett auf Vorschlag des Innenministers Thomas de Maiziere die Einrichtung eines "Nationalen Cyber-Abwehrzentrums" beschlossen. Es sollen künftig zum Schutz vor Computerwürmern und Hackern Geheimdienste, Polizei und Militär zusammenarbeiten. Die Federführung liege beim Bundesamt für die Sicherheit in der Informationstechnik BSI. Die neue Institution sollen vor allem Informationen zusammentragen, führte der Bundesinnenminister vor der Presse aus. Denn es sei wichtig zu wissen, welche technische Konfiguration hinter einer Attacke stecke. So könnten neben den bereits beteiligten Bundesämtern für Verfassungsschutz und Katastrophenschutz "anlassbezogen" weitere Stellen wie das Bundeskriminalamt, die Bundespolizei, die Bundeswehr, der Bundesnachrichtendienst und nicht näher bezeichnete Aufsichtsstellen für kritische Infrastrukturen hinzugezogen werden. Die Cybereinheit der Bundeswehr, die Computer- und Netzwerkkooperation in der Tomburg-Kaserne in Rheinbach bei Bonn mit knapp 100 Computerexperten, wolle bis zum Sommer dieses Jahres ihr Konzept für den Cyberkrieg entwickeln.
Doch mit welchem Feind diese Cybertruppen es genau zu tun haben werde, ist auch den Militärs noch überhaupt nicht klar. Am Rande der UN-Vollversammlung haben die Völkerrechtsexperten der Vereinten Nationen im Herbst 2010 versucht, den Begriff Cyberwar genauer zu definieren. Und sie sind zu dem Schluss gekommen: In völkerrechtlicher Hinsicht hat es einen Cyberwar noch nicht gegeben. Denn bisher hat kein Staat einem anderen den Krieg erklärt und ihn aufgrund dieser Erklärung mit Computerviren oder anderer Schadsoftware angegriffen. Begriffsverwirrung kennzeichne diese Diskussion, meint auch Markus Hennig.
"Also mit Cyberwar habe ich so meine Probleme als Begriff, weil Krieg als Entsprechung gibt es nicht. Wenn man das aus der analogen Welt als konventionellen Krieg übersetzen will, dann ist das sehr schwierig, weil es keine Analogien, keine Möglichkeiten gibt, die darauf passen. Insofern ist der Begriff sehr schwammig und sehr schwierig zu definieren, wo jetzt ein Cyberwar anfängt und wo er aufhört. Ist jetzt ein Botnetz schon eine Waffe oder ist das eher eine Spielerei von Kriminellen? Ist ein Angriff auf eine Webseite ein krimineller Akt, weil sie eine private Webseite ist? Und was ist, wenn es eine staatliche Webseite ist? Ist das dann schon ein Krieg, ein 'War', ein Angriff auf den Staat? Das ist also sehr fließend und sehr unbefriedigend definierbar."
Im Jahr 2007 schaltete die israelische Armee syrische Radaranlagen mittels Mailbomben und Computerviren aus, um unbehelligt von der syrischen Flugabwehr einen Luftangriff gegen eine vermeintliche Atomfabrik zu führen. Doch selbst in diesem Fall wollten die Völkerrechtsexperten der Vereinten Nationen nicht von einem "Cyberwar" sprechen. Denn auch hier hatte kein souveräner Staat einem anderen den Cyber-Krieg erklärt. Es konnte nicht einmal vollständig aufgeklärt werden, woher die Mailbomben stammten, mit denen in einer ersten Angriffswelle die Radarleitrechner der syrischen Luftabwehr in die Knie gezwungen wurden.
Ob hinter solchen digitalen Angriffen Militärs oder Computerkriminelle stecken, lässt sich in den meisten Fällen also gar nicht ausmachen. Nicht selten kaufen Cybertruppen regulärer Armeen Angriffssoftware von Computerkriminellen. Professor Hartmut Pohl kennt auch den Grund für das Interesse so mancher Militärs für digitale Angriffswaffen. Der Informatiker ist Sprecher für IT-Sicherheit der Gesellschaft für Informatik GI:
"Also das ist sehr preiswert. Wenn sie aus der Sicht einer kriegführenden Nation das betrachten. Für den einzelnen Bürger mag das teuer sein, wenn er sich ein Jahr hinsetzen muss und einen einzelnen Angriff programmieren muss. Es ist natürlich nicht trivial, ein solches Netz, Steuernetz für die Stromversorgung, anzugreifen. Die Stromversorger haben in Deutschland im Rahmen des Programms 'Kritische Infrastrukturen' des Bundesamts für Sicherheit in der Informationstechnik erhebliche Sicherheitsmaßnahmen realisiert, aber es gibt natürlich keine hundertprozentige Sicherheit. Man müsste sich überlegen, wo kann angegriffen werden. Ich sag mal, wer da zehn Mannjahre einsetzt, also für eine Million kriegt man so ein Programm leicht auf der Welt erstellt. Gibt’s genügen Gruppen auf der Welt, durchaus kriminelle Gruppen, die in der Lage sind, neue Sicherheitslücken zu suchen - auch in diesen Steuersystemen natürlich, was auch immer gesteuert wird, kann auch eine Chemiefabrik sein oder eine Raffinerie -, diese Steuersystem so zu manipulieren, dass das Werk explodiert, nicht mehr produziert – wie Sie es haben wollen."
Das Beispiel Stuxnet. Der neuartige Computervirus tauchte erstmals im Sommer 2010 auf. Ein weißrussisches Antivirenunternehmen schrieb einen Eintrag in ein Forum im Internet, sie hätten etwas Neues entdeckt. Die Weißrussen nannten es Stuxnet. Die Besonderheit dieses Computerwurms: Er tarnt sich mit digitalen Zertifikaten, die irgendwer bei zwei großen Hardware-Herstellern gestohlen haben muss. Das macht den Sicherheitsforscher Frank Boldewin aus Münster stutzig. Ein digital beglaubigter Schädling?
"Warum hat jemand so einen Aufwand betrieben, um eine Malware so gut im Betriebssystem zu verstecken. Denn so einfach stiehlt man mal nicht eben ein Zertifikat von solchen großen Firmen."
Als eine der ersten Experten weltweit untersuchte Boldewin Stuxnet. Und Stuxnet präsentiert sich gleich einer Matroschka – Code in Code gebettet. Aber die genutzten Sicherheitslücken und die Zertifikate sind nur Nebenschauplätze dessen, was der im Inneren verborgene, gut verschlüsselte Code bewirken soll. Anfangs glaubten viele Experten noch an Spionage. Nicht so Ralph Langner, Chef des Sicherheitsunternehmens Langner Communications aus Hamburg. Ihm war schnell klar: Stuxnet betreibt keine Spionage. Stuxnet hat nur einen Zweck: Sabotage.
"Die eigentliche Schadfunktion passiert ausschließlich auf Industriesteuerungen. Und das sind keine PCs, das sind keine Computer, sondern das sind etwas andere Geräte. Also wenn man so will, kleine Computerchen, die man zum Teil auch als Embedded-Systeme bezeichnet findet, und das Entscheidende bei diesen Industriesteuerungen besteht darin, dass sie elektrisch verbunden sind mit beispielsweise elektrischen Antrieben, mit Pumpen, mit Ventilen. Und dass diese Steuerungen nun eben wie der Name schon sagt, das Verhalten der angeschlossenen Peripherie nun autonom steuern."
Diese Industriesteuerungen, die im Englischen als "Programmable Logic Controller" bezeichnet werden, soll fortan Stuxnet übernehmen. Nur welche Prozesse und Anlagen will der Virus befehligen? Ralph Langner:
"Also, die können Sie einsetzen, um Gaszentrifugen zu steuern. Sie können sie auch einsetzen um Kekse zu backen oder um um Rohöl zu raffinieren. Also die sind völlig anwendungsneutral. Hier kommt dieser Aspekt ins Spiel, der ja schon im Namen der Produktgattung drinsteckt. Sie sind programmierbar. Also so ähnlich wie ein Computer sind sie nicht an einen bestimmten Anwendungszweck gebunden und sie werden eben völlig branchenübergreifend eingesetzt. Warum die jetzt nun in dem Fall gerade angegriffen wurden, das liegt auf der Hand."
Als Urheber kommen für den Sicherheitsforscher keine gewöhnlichen Hacker in Frage. Zu speziell sind die Kenntnisse die es braucht, so sensible Prozesse wie eine Zentrifuge zu steuern. Langner:
"Wir sehen also aus dem Angriff, dass den Angreifern die Details der angegriffenen Anlage komplett bekannt waren bis runter auf Verdrahtungen, auf ganz kleine Feinheiten vom zeitlichen Ablauf her, von den Prozessvariablen, die hier manipuliert werden. Alles das war bis ins kleinste Detail vorher schon bekannt."
IT-Sicherheits-Experten war bald klar, dass nur Geheimdienste in der Lage gewesen seien, solch detaillierte Informationen zu bekommen. Zudem spricht die Vorgehensweise von Stuxnet dafür, dass Jahre der Vorbereitung und der Arbeit in das Stück Software investiert wurden. Langner:
"Also, was wir da in Stuxnet sehen, ist nichts, was sich irgendjemand so in einem Jahr aus dem Ärmel schütteln könnte. Das geht nicht. Selbst die Top-Experten können das nicht. Da ist also uns klar, dass hier Vorarbeiten geleistet wurden, die irgendwo so bis in 2006 etwa zurückgehen. Und nun können wir auf der anderen Seite auch schlussfolgern, dass in 2006 wohl Stuxnet überhaupt noch nicht im Raume stand. Sodass wir eigentlich zu der Schlussfolgerung kommen, dass hier Täter mit am Werk sind, die also schon seit Jahren im Verborgenen diese Fähigkeit, diese grundsätzliche Fähigkeit solcher Cyberschläge systematisch aufgebaut haben, ohne das jetzt auf ein bestimmtes Ziel zu fokussieren wie Natans. Das kam offensichtlich dann erst etwas später ins Spiel. Wir nehmen an, dass das dann zum Beginn von 2008 dann dazu kam. Wo man eben schon auf eine Organisation zurückgreifen konnte, die sich seit einigen Jahren mit der Thematik beschäftigt hat."
Außerdem müsse es ein Testgelände gegeben haben. Stuxnet konnte nämlich nicht ferngesteuert werden. Trotzdem mussten die Schöpfer sicher gehen, dass ihr digitaler Schädling auch das Richtige tut. Langner:
"Die Angreifer hatten ganz offensichtlich die Möglichkeit, diese Waffe vorher zu testen an einer kleinen Modellanlage. Wir haben also sehr gute Hinweise dafür, dass es die in zwei Organisationen gibt. Die eine Organisation ist kürzlich von der 'New York Times' benannt worden. Das ist die Kernforschungsanlage, beziehungsweise der Reaktor in Dimona, also in Israel. Die zweite Organisation ist das National Laboratory in Oak Ridge, also in Tennessee in Amerika. Dort ist bekannt, dass es IR1-Zentrifugen gibt. Und diese bestehenden Zentrifugen haben mit Sicherheit eine nicht ganz unwesentliche Rolle bei diesem ganzen Angriff gespielt."
Die gefundenen Routinen im Code legten nahe, dass sich die Zentrifugen nach und nach selbst beschädigten. Es sollte aussehen wie Verschleiß, wie unzuverlässige Bauelemente, wie fehlerhafte Produktionsprozesse. Nur nach einem sollte es nicht aussehen, nach digitaler Sabotage. Langner:
"Wir haben mit Stuxnet zum ersten Mal in der Geschichte überhaupt die Situation, dass ein echtes militärisches Ziel angegriffen worden ist. So etwas gab es bisher einfach nicht. Bisher wurde eben versucht zivile Infrastruktur so ein bisschen zu stören. Hier ist zum ersten Mal ein militärisches Ziel angegriffen worden. Wir dürfen eins nicht vergessen, die Anlage in Natans gehört nicht zur sogenannten kritischen Infrastruktur. Das ist keine zivile Einrichtung, die die Iraner jetzt brauchen würden, um ihre Stromproduktion aufrecht zu erhalten. Das ist überhaupt nicht der Fall."
Der Angriff mit Stuxnet war kostengünstig. Auf nur zehn bis zwanzig Millionen US-Dollar schätzen die Experten die Kosten für die Entwicklung. Eine Menge Geld mag man meinen. Doch nicht, wenn man in militärischen Maßstäben rechnet. Langner:
"Wenn man das ganze vor einem militärischen Hintergrund sieht, dann fällt die Bewertung natürlich völlig anders aus. Wir haben ja mal geschätzt, dass die Kosten für die Entwicklung vielleicht etwa so bei zehn Millionen Dollar gelegen haben. Das wäre jetzt für Schadsoftware sehr, sehr viel. Im militärischen Maßstab ist das natürlich lächerlich. Also das ist ein Spottpreis, wenn man so will. Wenn man sich mal vorstellt, dass Stuxnet ja vom Ergebnis her ganz offensichtlich genau das Gleiche erreicht hat, was ein Luftschlag erreicht hätte, nämlich die Verzögerung des iranischen Nuklearprogramms, also bis man soweit ist, genügend waffenfähiges Material für die erste Atombombe zu haben. Also diese Verzögerung um zwei bis drei Jahre, genau das hätte eine Militäraktion auch geschafft, also - in Anführungsstrichen - nicht mehr. Dann ist es natürlich vom Aufwand her, der getrieben worden ist, einfach ein Spottpreis, wo auch jeder Militär sagen muss: Ja, das ist doch wunderbar, das machen wir natürlich künftig immer so."
Moskau, das ehemalige Institut für Strahlenphysik. Im Computerlabor des Herstellers von Sicherheitssoftware Kaspersky kommt Jubel auf. Zwei der wichtigsten Sicherheitslücken, die auch Stuxnet ausnutzte, sind geschlossen. Sicherheitslücken lassen Schadsoftware erst zur Munition im digitalen Krieg werden. Und weil keine Software, kein Computer und kein informationstechnisches Systeme, wie zum Beispiel Industriesteuerungen, hundertprozentig fehlerfrei programmiert werden kann, werden auch immer neue Sicherheitslücken gefunden. Schadsoftware wie Stuxnet nutzt gleich mehrere und unterschiedliche Sicherheitslücken aus. Das mache sie so gefährlich. Professor Hartmut Pohl.
"Der Transportmechanismus Virus ist eben veraltet. Auf der Höhe des Wissens ist ein Programm, wenn es gezielt einen Computer angreift, erstens. Zweitens wenn es eine Sicherheitslücke ausnutzt auf dem Zielcomputer, die noch nicht veröffentlicht ist. Das hat Stuxnet gemacht. Da sind völlig neue, bisher nicht bekannte Sicherheitslücken ausgenutzt worden. Und auf diese Weise wird, und das ist das Entscheidende, der Angriff nicht erkennbar. Man weiß ja nicht, wonach man gucken soll. Er nutzt die bisher unveröffentlichte Sicherheitslücke, also eine neue, die bisher nur wenige kennen, Sicherheitslücke aus. Der Zielcomputer kann nicht danach gucken, suchen, und ist damit definitives Opfer eines solchen Angriffs. Also, Transportmechanismus Virus ist veraltet. Die Angriffe, die relevanten Angriffe heutzutage und erst recht in der Zukunft werden zielgerichtet vorgenommen. Ein bestimmter oder eine Gruppe von Computern wird angegriffen und andere nicht. Einen solchen Angriff zu finden, ist vergleichsweise schwer, im Vergleich zum Virus, den haben viele sich eingehandelt, und irgendjemand hat mal erkannt: 'Oh, hier ist ein neuer Virus.'"
Zivile Computerexperten sind sich deshalb auch einig, dass es gegen digitale Angriffe nur ein wirksames Mittel zur Verteidigung gibt: Die rasche Veröffentlichung aller Sicherheitslücken, sowie sie bekannt werden. Doch das wissen häufig Regierungen und Geheimdiensten zu verhindern. Sie wollen die ihren Militärs oder geheimdienstlichen Cyberabteilungen bekannten Sicherheitslücken möglichst lange nutzen, um andere Computersysteme ausspionieren oder gar angreifen zu können. Doch das unterbinden Nachrichtendienste und Sicherheitsbehörden verschiedener anderer Staaten. Würden diese Sicherheitslücken nämlich öffentlich gemacht, die zum Beispiel von den Stuxnet-Entwicklern ausgenutzt wurden, wären nicht nur Sabotageattacken auf Industrieanlagen oder Spionageangriffe auf Börsencomputer unmöglich, sondern auch diejenigen behördliche Online-Durchsuchungen, die auf denselben Sicherheitslücken beruhen. Deshalb werden diese Sicherheitslücken geheim gehalten und könnten nicht geschlossen werden. Und deshalb wollten die Militärs neben Panzern, Raketen und Torpedos eben auch einen Trojaner und andere Schadsoftware in ihren Waffenarsenalen haben. Ralph Langner sieht das jedenfalls so.
"Wir müssen natürlich davon ausgehen, dass wir so etwas jetzt häufiger sehen werden. Man kann im Grunde sagen, mit Stuxnet haben wir einen Dammbruch. Wir haben jetzt zum ersten Mal in der Geschichte gesehen, dass so etwas gemacht wird, dass so etwas geht. Also, dass es auch funktioniert. Und wir sehen außerdem in der Nachbereitung dieses Vorfalls, dass es ja, wenn man das Ganze militärisch einordnet, unglaublich attraktiv ist."
Mal eben die Radarüberwachung an einem auch militärisch genutzten Flughafen mit einer Schadsoftware gezielt ausschalten, schnell mal das Telefonnetz mit einem Virus lahmlegen oder in zwei oder drei Großstädten mit einem Trojaner die Lichter ausgehen zu lassen - mit digitalen Angriffswaffen auf der Basis von Sicherheitslücken ist das gut machbar. Und es kostet viel weniger als ein konventioneller Angriff. Sparen ist beim Militär also genau wie auch in der Industrie angesagt. Und nicht nur bei bei der Entwicklung von Angriffswaffen soll gespart werden, sondern auch beim Schutz kritischer Infrastruktur, seien es Kraftwerke, Produktionsanlagen oder Rechenzentren. Frank Boldewin:
"Aber wenn man die Leute hört, die in diesen Bereichen arbeiten, erfährt man auch oft das Wort 'Sparen'. Und Sparen ist nicht unbedingt vereinbar mit Sicherheit, denn Sicherheit ist meist ein Aufwand, den man nicht wirklich bemerkt. Sicherheit merkt man nur, wenn sie fehlt."
Experten fordern immer wieder eine gesetzliche Veröffentlichungspflicht für Sicherheitslücken, an die sich auch Sicherheitsbehörden und Nachrichtendienste halten müssen. Ohne internationale Vereinbarungen zum Umgang mit Sicherheitslücken kommen die Sicherheitsexperten hier aber nicht weiter. Und da habe dummerweise auch die Diskussionen auf der Münchner Sicherheitskonferenz Anfang Februar 2011 deutlich gezeigt, dass eine internationale Übereinkunft zur Veröffentlichung von Sicherheitslücken, mit der dann die Entwicklung digitaler Angriffswaffen verhindert werden könnte, überhaupt nicht in Sicht ist. Stattdessen scheint den Staaten ein digitales Wettrüsten mit Cyberwaffen bevorzustehen, das eine unglaublich gefährliche Dynamik anzunehmen verspricht.
2007, USA: In Idaho explodiert ein Diesel-Testgenerator. Das Ministerium für Heimatschutz hatte nach eigenen Angaben Tests im Labor gefahren. Wissenschaftler des Energieministeriums haben dabei die Steuerdaten des Maschinenleitstands abgefangen und manipuliert. So bekam der Generator völlig überhöhte Freigabewerte für den Zylinderdruck.
2010, Iran: Der Computervirus Stuxnet taucht im Internet auf. Ziel sind offenbar industrielle Steuerungsanlagen. IT-Spezialisten beobachteten, wie unter anderem Zentrifugen einer iranischen Urananreicherungsanlage bei Natans von Stuxnet so herunter gedrosselt wurden, dass sich die Herstellung von waffenfähigem Uran massiv verzögert. Eine Variante von Stuxnet erhöht die Drehzahl von Zentrifugen so stark, dass sie sich selbst beschädigten.
In allen den genannten Fällen war Schadsoftware in die Computer eingeschleust worden, die die Maschinenleitstände oder Verdichtungsstationen steuern und kontrollieren. Lastverteilungsrechner für die Stromnetze, Steuerungsrechner für Raffinerien und andere Chemieanlagen oder Computer von Maschinenleitständen stehen deshalb in besonders überwachten Hochsicherheits-Rechenzentren. Zutritt zu solchen Rechenzentren erhält nur besonders ausgewähltes und überprüftes Personal. Mehrere hintereinander gestaffelte Sicherheitskontrollen sorgen nicht nur dafür, dass kein Unbefugter an die Computer herankommt, sondern verhindern auch, dass Datenträger mit Schadsoftware, wie zum Beispiel Computerviren in das Rechenzentrum hineingeschmuggelt werden können. Und in besonders sicherheitsrelevanten Bereichen sind die Rechenzentren – so scheint es - zu uneinnehmbaren Festungen ausgebaut: Mehrfach verstärkte Betondecken, die sogar einen Flugzeugabsturz aushalten, Sicherheitszäune mit Auffahrbarrieren, durch die nicht einmal ein schwerer Panzer durchbrechen könnte. In Süddeutschland steht zwischen Heidelberg und Stuttgart ein solches Rechenzentrum an einem geheimen Ort, in dem hochsicherheitsrelevante Steuerungsrechner betrieben werden. Eine Ortsbesichtigung.
"Mit Konrad Meyer stehe ich jetzt vor dem Rechenzentrum. Bevor wir aber in dieser Eingangshalle gekommen sind, Herr Meyer, da mussten wir schon einige Sicherheitshürden überwinden. Die erste war der Zaun. Das ist auch nicht ein ganz normaler Zaun, der hängt ziemlich tief in der Erde."
"Der hängt ziemlich tief in der Erde, der hat auch einen Aufprallschutz, also Lkw, dass man da nicht dagegen fahren kann und durchbrechen kann, das ist schon mal ein bestimmtes Merkmal. Dann müssen Sie durch ein Drehtor durch, Sie müssen am Wachdienst vorbei, Sie müssen sich persönlich ausweisen. Da gibt es ein Schleusenssystem, dass Sie überhaupt in die äußere Netzhaut, wie so ein Zwiebelschalenprinzip, hereinkommen."
"Und dann stehen wir hier vor dem Eingang des Rechenzentrums direkt vor uns. Das sieht fast so aus wie in einem Flughafen."
"Ja, das ist wie im Flughafen. Wenn jemand früher Science-fiction gesehen hat, dann ist das wie im Raumschiff Enterprise, Scotty beam me up. Das ist eine Vereinzelungsschleuse. Damit wird sichergestellt, dass der Mensch, der da rein geht, auch sich identifizieren muss und der ist, der er ist. Dass er niemanden auf den Schultern sitzen hat, dass niemand zu zweit durchgeht, deshalb der Begriff Vereinzelungsschleuse."
"Und wie überprüfen Sie das, wenn ich da jetzt hineingehe, dass ich auch wirklich hinein darf?"
"Bei mir sind meine biometrischen Daten hinterlegt. Wenn wir durch die Vereinzelungsschleuse hindurch gehen, muss ich mich identifizieren mit meiner Codekarte. Und ich muss mich mit meiner Hand identifizieren, an einem Venenscanner."
"Ja, dann gehen wir doch mal rein durch diese Vereinzelungsschleuse."
"Damit sind Sie jetzt in einem weiteren Zwiebelring, wenn man so das Zwiebelschalenmodell angeben will. Dahinten sind jetzt die ganzen Rechenzentrumsräume, und außen herum sind die ganzen Versorgungsräume. Das heißt, das heiligste in der Mitte und da würden wir jetzt reingehen. Das ist jetzt eine Serverzelle. Da muss ich mich auch wieder mit dem Venenscanner und der Karte identifizieren. Das sind die Venendaten. Da wird sowohl der Blutfluss gemessen, so dass sichergestellt ist, Sie leben auch, wenn Sie da hinein wollen. Dann haben wir jede Menge Netzwerkkomponenten, von hier aus, wo die Netzwerke verteilt werden. Im Privathaushalt kennt man ja auch WLAN und LAN Verkabelung, das finden Sie hier. Und hier dann auch die Übergabe ins externe Netz, wo das ganze an die Kunden raus geht. Das wäre dann quasi in diesem Netzwerkschränken hier abgebildet. Auf der anderen Seite gibt es da noch so eine Art Konsolidierung, wo sie aus den verschiedenen Serverräumen verdichten. Und von dort aus in die weite Welt hinaus gehen, sei es über das Internet, sei es über die die Verteilerleitungen. Im Privatgebrauch kennt jeder das: dass man so eine Firewall auf seinem PC laufen hat. Das mit ausgeklügelterer Version, mehr Professionalisierung noch, dass findet natürlich dann hier mehrfach statt."
Der Serverraum ist eine Frontlinie im digitalen Krieg. Solche Hochsicherheits-Rechenzentren sind gegen Bomben, Mikrowellenkanonen und die Artillerie gut geschützt. Das wissen auch die Strategieexperten und Planer sämtlicher Armeen auf dieser Welt. Und sie wissen, dass ein erfolgreich angegriffener Computer oder Server in einem Hochsicherheitsrechenzentrum einen größeren Schaden anrichten kann als das Bombardement einer ganzen Stadt. Für den Bonner Informatik-Professor und Sicherheitsexperte Hartmut Pohl ist klar, weshalb die Generalstabsoffiziere in Ost und West, im Abendland wie im Morgenland darauf setzen:
"Also alles, was mit Computern zu tun hat, ist ja programmgesteuert und macht es deswegen unverhältnismäßig leicht anzugreifen. Ich schreibe ein Programm. Da lief neulich der Wurm Stuxnet durch die Welt, wie aufwendig er auch erstellt worden sein mag. Es ist relativ einfach, ein Programm zu schreiben, im Vergleich zum klassischen physischen Krieg, wo man eine Panzer konstruieren muss, eine Rakete konstruieren muss, eine Bombe konstruieren muss, transportieren muss – alles sehr aufwendig. Ein Programm übers Internet zu schicken von einem Computer, der seine Adresse, seine Absenderadresse, verwischt, ist relativ einfach. Andere Angriffe: Man schreibt ein Angriffsprogramm, das so funktioniert: 'Ich suche mir diesen Generator mit einer bestimmten Adresse' oder 'Ich suche mir überhaupt alle Generatoren mit einer bestimmten Steuerungssoftware und greife die an, manipuliere durch das Programm die Steuerungssoftware'. Das läuft dann durch das Programm automatisiert, also programmgesteuert. Ich brauche gar nicht mehr am Rechner zu sitzen. Ich sitze am Rechner einmal, paar Minuten, lass das Programm ins Internet laufen und gehe meiner Wege."
Im Oktober des Jahres 2010 nimmt das Cyber Command der amerikanischen Streitkräfte den Betrieb auf. Die Mission: Vorbereitung und Durchführung umfassender cybermilitärischer Operationen. Im November 2010 diskutieren die Nato-Mitgliedsstaaten auf ihrem Gipfel in Lissabon eine Änderung von Artikel 5 des Nato-Grundlagenvertrags. Bei digitalen Angriffen auf die Infrastruktur eines Nato-Mitglieds soll der Bündnisfall ausgerufen werden können. Bis zum Sommer 2011 soll die Cybereinheit der Bundeswehr, die Computer- und Netzwerkkooperation, kurz CNO, in der Tomburg-Kaserne in Rheinbach bei Bonn "aktives Potenzial" für den Cyberkrieg aufgebaut haben.
Knapp 150 Staaten haben auf einer Konferenz am Rand der UN-Vollversammlung im Herbst 2010 mehr oder weniger offiziell bekannt gegeben, dass sie digitale Angriffs- oder Verteidigungswaffen entwickeln. Digitale Waffen, das sind Computerviren, Würmer, Mailbomben, Spionagesoftware und andere Schadprogramme. Solche digitalen Waffen nutzen Sicherheitslücken in Betriebssystemen, Kommunikationsprotokollen und in Anwendungssoftware aus, berichtet Markus Hennig, Technikvorstand des Karlsruher Internet-Sicherheitsspezialisten Astaro AG.
"Mit jeder Schwachstelle, mit jedem Patch, mit jedem Fehler, und Software ist eben einfach mal inhärent mit Fehlern behaftet, entsteht natürlich auch das Potenzial, entsteht die Möglichkeit für Angreifer, für Leute, die das bösartig ausnutzen wollen, genau spezialisiert dafür Tools zu schreiben, die das ausnutzen. Die eindringen in Systeme und sich dann fortpflanzen und diese zur Informationsbeschaffung benutzen."
Schätzungsweise 30.000 sogenannte Schwachstellenforscher beschäftigen sich weltweit mit solchen Sicherheitslücken. Sie sind auf der Suche nach Softwarefehlern und unzureichend abgesicherten Algorithmen. 10.000 dieser Experten arbeiten allein in der Volksrepublik China. Doch auch in Südamerika und Osteuropa sind hochqualifizierte Computerexperten auf der Pirsch nach Softwarefehlern und daraus entstehenden Sicherheitslücken. Exploit-Researcher heissen sie. Verkaufen ihr Wissen um Fehler, Sicherheitslücken und Angriffspunkte an Betriebssystemhersteller, Produzenten von Antivirensoftware, aber auch an Geheimdienste und an Organisationen, die Wirtschaftsspionage betreiben. Im Internet haben sich regelrechte Auktionsbörsen entwickelt, über die derartige Sicherheitslücken und Angriffsprogramme versteigert werden. Vor allen Dingen Kriminelle beschaffen sich dort Angriffsprogramme, um die Konten ahnungsloser Bankkunden online zu plündern, E-Mail-Postfächer in erpresserischer Absicht zu erbeuten oder online Wirtschaftsspionage zu betreiben. Und im Jahr 2007 hat eine kleine Gruppe russischer Hacker über mehrere Tage estländische Regierungscomputer angegriffen und lahmgelegt. Das Angrifspotenzial sei beachtlich, urteilt Informatik-Professor Pohl.
"Die technischen Möglichkeiten sind weit verbreitet. Man muss dazu sagen, von der Technik her können kleine Gruppen sehr wohl ganze Staaten angreifen. Derartige asymmetrische Angriffe sind möglich. Man kann mit einem Computer ein ganzes Netz von Computern, ein Botnet, übernehmen. Oder auch eine ganze Cloud, oder mehrere Clouds übernehmen, und damit dann einen Staat – um wieder auf den Begriff Cyberwar zu kommen – einen Staat anzugreifen. Das ist technisch möglich. Dass man sich dagegen schützen will, ist, ich denke, nützlich. Zumindest für die Bundesrepublik. Für andere technische Staaten auch. Wird aber praktiziert, soweit ich das kennengelernt habe, seit 1990, von den USA, die auf Computerangriffe gegen Regierungsbehörden aktiv reagiert haben, indem sie selber den Angreifer angegriffen haben. Die haben ihm eine Warnung geschickt, und wenn diese Warnung der Angreifer nicht verstanden hat, haben, ich sage mal Behördenmitarbeiter, diesen Angreifer oder dessen Computer, besser gesagt, zerstört."
Um auf diese Bedrohungslage reagieren zu können, haben die Armeen fast aller Staaten dieser Erde während der vergangenen Jahre sogenannte Cybereinheiten etabliert, militärische Organisationen, die digitale Angriffe auf kritische Infrastrukturen wie Stromnetze, Raffinerien, Internet-Knotenrechner oder Banken- und Börsensysteme abwehren sollen. Sie entwickeln und erproben aber auch Angriffsszenarien auf gegnerische Radarstellungen oder die Flugabwehr.
Über eine der grössten Cybereinheiten verfügt die chinesische Volksbefreiungsarmee. 4000 Soldaten mit IT-Kenntnissen sind in Beijing stationiert, weitere 3.000 Exploit-Forscher der Armee kümmern sich auf einem Militärstützpunkt in der Provinz Shandong vor allen Dingen um Sicherheitslücken westlicher Regierungscomputer.
Die wohl schlagkräftigste Cybertruppe unterhält die israelische Armee. Gerüchten zufolge soll sie gemeinsam mit amerikanischen Experten Stuxnet-Routinen für die Manipulation der Frequenzumrichter entwickelt und in der Atomforschungsanlage Dimona getestet haben.
Die russische Armee hingegen hätte zahlreiche exzellente Exploit-Entwickler an die Privatwirtschaft verloren. Sie gelte derzeit in Sachen Cyberwar als nur noch bedingt einsatzbereit. Allerdings könnte die russische Armee im Bedarfsfall auf gut trainierte Computerexperten des russischen Inlandsgeheimdienstes FSB zurückgreifen.
Die Regierung der USA hat sich schon sehr früh um das Thema Cyberwar gekümmert und Anfang der 80er-Jahre zunächst die Central Intelligence Agency mit der Koordinierung der Entwicklung digitaler Waffen betraut. Danach übernahm der technologische Geheimdienst, die National Security Agency (NSA), die Federführung. Nach dem Terroranschlag auf das New Yorker World Trade Centre am 11. September 2001 wurde in einer Kaserne im kalifornischen Monterey ein Koordinierungsstab eingerichtet, der aber wegen heftiger Kompetenzstreitereien zwischen dem Heimatschutzministerium, der NSA und der US Army nicht wirklich in das operative Geschäft vordringen konnte. Letztlich auch auf Grund dieser Erfahrungen übernahm vermutlich dann im Oktober 2010 das Cyber Command der amerikanischen Armee die Aufgabe, cybermilitärische Operationen vorzubereiten und durchzuführen.
Am vergangenen Mittwoch hat das Bundeskabinett auf Vorschlag des Innenministers Thomas de Maiziere die Einrichtung eines "Nationalen Cyber-Abwehrzentrums" beschlossen. Es sollen künftig zum Schutz vor Computerwürmern und Hackern Geheimdienste, Polizei und Militär zusammenarbeiten. Die Federführung liege beim Bundesamt für die Sicherheit in der Informationstechnik BSI. Die neue Institution sollen vor allem Informationen zusammentragen, führte der Bundesinnenminister vor der Presse aus. Denn es sei wichtig zu wissen, welche technische Konfiguration hinter einer Attacke stecke. So könnten neben den bereits beteiligten Bundesämtern für Verfassungsschutz und Katastrophenschutz "anlassbezogen" weitere Stellen wie das Bundeskriminalamt, die Bundespolizei, die Bundeswehr, der Bundesnachrichtendienst und nicht näher bezeichnete Aufsichtsstellen für kritische Infrastrukturen hinzugezogen werden. Die Cybereinheit der Bundeswehr, die Computer- und Netzwerkkooperation in der Tomburg-Kaserne in Rheinbach bei Bonn mit knapp 100 Computerexperten, wolle bis zum Sommer dieses Jahres ihr Konzept für den Cyberkrieg entwickeln.
Doch mit welchem Feind diese Cybertruppen es genau zu tun haben werde, ist auch den Militärs noch überhaupt nicht klar. Am Rande der UN-Vollversammlung haben die Völkerrechtsexperten der Vereinten Nationen im Herbst 2010 versucht, den Begriff Cyberwar genauer zu definieren. Und sie sind zu dem Schluss gekommen: In völkerrechtlicher Hinsicht hat es einen Cyberwar noch nicht gegeben. Denn bisher hat kein Staat einem anderen den Krieg erklärt und ihn aufgrund dieser Erklärung mit Computerviren oder anderer Schadsoftware angegriffen. Begriffsverwirrung kennzeichne diese Diskussion, meint auch Markus Hennig.
"Also mit Cyberwar habe ich so meine Probleme als Begriff, weil Krieg als Entsprechung gibt es nicht. Wenn man das aus der analogen Welt als konventionellen Krieg übersetzen will, dann ist das sehr schwierig, weil es keine Analogien, keine Möglichkeiten gibt, die darauf passen. Insofern ist der Begriff sehr schwammig und sehr schwierig zu definieren, wo jetzt ein Cyberwar anfängt und wo er aufhört. Ist jetzt ein Botnetz schon eine Waffe oder ist das eher eine Spielerei von Kriminellen? Ist ein Angriff auf eine Webseite ein krimineller Akt, weil sie eine private Webseite ist? Und was ist, wenn es eine staatliche Webseite ist? Ist das dann schon ein Krieg, ein 'War', ein Angriff auf den Staat? Das ist also sehr fließend und sehr unbefriedigend definierbar."
Im Jahr 2007 schaltete die israelische Armee syrische Radaranlagen mittels Mailbomben und Computerviren aus, um unbehelligt von der syrischen Flugabwehr einen Luftangriff gegen eine vermeintliche Atomfabrik zu führen. Doch selbst in diesem Fall wollten die Völkerrechtsexperten der Vereinten Nationen nicht von einem "Cyberwar" sprechen. Denn auch hier hatte kein souveräner Staat einem anderen den Cyber-Krieg erklärt. Es konnte nicht einmal vollständig aufgeklärt werden, woher die Mailbomben stammten, mit denen in einer ersten Angriffswelle die Radarleitrechner der syrischen Luftabwehr in die Knie gezwungen wurden.
Ob hinter solchen digitalen Angriffen Militärs oder Computerkriminelle stecken, lässt sich in den meisten Fällen also gar nicht ausmachen. Nicht selten kaufen Cybertruppen regulärer Armeen Angriffssoftware von Computerkriminellen. Professor Hartmut Pohl kennt auch den Grund für das Interesse so mancher Militärs für digitale Angriffswaffen. Der Informatiker ist Sprecher für IT-Sicherheit der Gesellschaft für Informatik GI:
"Also das ist sehr preiswert. Wenn sie aus der Sicht einer kriegführenden Nation das betrachten. Für den einzelnen Bürger mag das teuer sein, wenn er sich ein Jahr hinsetzen muss und einen einzelnen Angriff programmieren muss. Es ist natürlich nicht trivial, ein solches Netz, Steuernetz für die Stromversorgung, anzugreifen. Die Stromversorger haben in Deutschland im Rahmen des Programms 'Kritische Infrastrukturen' des Bundesamts für Sicherheit in der Informationstechnik erhebliche Sicherheitsmaßnahmen realisiert, aber es gibt natürlich keine hundertprozentige Sicherheit. Man müsste sich überlegen, wo kann angegriffen werden. Ich sag mal, wer da zehn Mannjahre einsetzt, also für eine Million kriegt man so ein Programm leicht auf der Welt erstellt. Gibt’s genügen Gruppen auf der Welt, durchaus kriminelle Gruppen, die in der Lage sind, neue Sicherheitslücken zu suchen - auch in diesen Steuersystemen natürlich, was auch immer gesteuert wird, kann auch eine Chemiefabrik sein oder eine Raffinerie -, diese Steuersystem so zu manipulieren, dass das Werk explodiert, nicht mehr produziert – wie Sie es haben wollen."
Das Beispiel Stuxnet. Der neuartige Computervirus tauchte erstmals im Sommer 2010 auf. Ein weißrussisches Antivirenunternehmen schrieb einen Eintrag in ein Forum im Internet, sie hätten etwas Neues entdeckt. Die Weißrussen nannten es Stuxnet. Die Besonderheit dieses Computerwurms: Er tarnt sich mit digitalen Zertifikaten, die irgendwer bei zwei großen Hardware-Herstellern gestohlen haben muss. Das macht den Sicherheitsforscher Frank Boldewin aus Münster stutzig. Ein digital beglaubigter Schädling?
"Warum hat jemand so einen Aufwand betrieben, um eine Malware so gut im Betriebssystem zu verstecken. Denn so einfach stiehlt man mal nicht eben ein Zertifikat von solchen großen Firmen."
Als eine der ersten Experten weltweit untersuchte Boldewin Stuxnet. Und Stuxnet präsentiert sich gleich einer Matroschka – Code in Code gebettet. Aber die genutzten Sicherheitslücken und die Zertifikate sind nur Nebenschauplätze dessen, was der im Inneren verborgene, gut verschlüsselte Code bewirken soll. Anfangs glaubten viele Experten noch an Spionage. Nicht so Ralph Langner, Chef des Sicherheitsunternehmens Langner Communications aus Hamburg. Ihm war schnell klar: Stuxnet betreibt keine Spionage. Stuxnet hat nur einen Zweck: Sabotage.
"Die eigentliche Schadfunktion passiert ausschließlich auf Industriesteuerungen. Und das sind keine PCs, das sind keine Computer, sondern das sind etwas andere Geräte. Also wenn man so will, kleine Computerchen, die man zum Teil auch als Embedded-Systeme bezeichnet findet, und das Entscheidende bei diesen Industriesteuerungen besteht darin, dass sie elektrisch verbunden sind mit beispielsweise elektrischen Antrieben, mit Pumpen, mit Ventilen. Und dass diese Steuerungen nun eben wie der Name schon sagt, das Verhalten der angeschlossenen Peripherie nun autonom steuern."
Diese Industriesteuerungen, die im Englischen als "Programmable Logic Controller" bezeichnet werden, soll fortan Stuxnet übernehmen. Nur welche Prozesse und Anlagen will der Virus befehligen? Ralph Langner:
"Also, die können Sie einsetzen, um Gaszentrifugen zu steuern. Sie können sie auch einsetzen um Kekse zu backen oder um um Rohöl zu raffinieren. Also die sind völlig anwendungsneutral. Hier kommt dieser Aspekt ins Spiel, der ja schon im Namen der Produktgattung drinsteckt. Sie sind programmierbar. Also so ähnlich wie ein Computer sind sie nicht an einen bestimmten Anwendungszweck gebunden und sie werden eben völlig branchenübergreifend eingesetzt. Warum die jetzt nun in dem Fall gerade angegriffen wurden, das liegt auf der Hand."
Als Urheber kommen für den Sicherheitsforscher keine gewöhnlichen Hacker in Frage. Zu speziell sind die Kenntnisse die es braucht, so sensible Prozesse wie eine Zentrifuge zu steuern. Langner:
"Wir sehen also aus dem Angriff, dass den Angreifern die Details der angegriffenen Anlage komplett bekannt waren bis runter auf Verdrahtungen, auf ganz kleine Feinheiten vom zeitlichen Ablauf her, von den Prozessvariablen, die hier manipuliert werden. Alles das war bis ins kleinste Detail vorher schon bekannt."
IT-Sicherheits-Experten war bald klar, dass nur Geheimdienste in der Lage gewesen seien, solch detaillierte Informationen zu bekommen. Zudem spricht die Vorgehensweise von Stuxnet dafür, dass Jahre der Vorbereitung und der Arbeit in das Stück Software investiert wurden. Langner:
"Also, was wir da in Stuxnet sehen, ist nichts, was sich irgendjemand so in einem Jahr aus dem Ärmel schütteln könnte. Das geht nicht. Selbst die Top-Experten können das nicht. Da ist also uns klar, dass hier Vorarbeiten geleistet wurden, die irgendwo so bis in 2006 etwa zurückgehen. Und nun können wir auf der anderen Seite auch schlussfolgern, dass in 2006 wohl Stuxnet überhaupt noch nicht im Raume stand. Sodass wir eigentlich zu der Schlussfolgerung kommen, dass hier Täter mit am Werk sind, die also schon seit Jahren im Verborgenen diese Fähigkeit, diese grundsätzliche Fähigkeit solcher Cyberschläge systematisch aufgebaut haben, ohne das jetzt auf ein bestimmtes Ziel zu fokussieren wie Natans. Das kam offensichtlich dann erst etwas später ins Spiel. Wir nehmen an, dass das dann zum Beginn von 2008 dann dazu kam. Wo man eben schon auf eine Organisation zurückgreifen konnte, die sich seit einigen Jahren mit der Thematik beschäftigt hat."
Außerdem müsse es ein Testgelände gegeben haben. Stuxnet konnte nämlich nicht ferngesteuert werden. Trotzdem mussten die Schöpfer sicher gehen, dass ihr digitaler Schädling auch das Richtige tut. Langner:
"Die Angreifer hatten ganz offensichtlich die Möglichkeit, diese Waffe vorher zu testen an einer kleinen Modellanlage. Wir haben also sehr gute Hinweise dafür, dass es die in zwei Organisationen gibt. Die eine Organisation ist kürzlich von der 'New York Times' benannt worden. Das ist die Kernforschungsanlage, beziehungsweise der Reaktor in Dimona, also in Israel. Die zweite Organisation ist das National Laboratory in Oak Ridge, also in Tennessee in Amerika. Dort ist bekannt, dass es IR1-Zentrifugen gibt. Und diese bestehenden Zentrifugen haben mit Sicherheit eine nicht ganz unwesentliche Rolle bei diesem ganzen Angriff gespielt."
Die gefundenen Routinen im Code legten nahe, dass sich die Zentrifugen nach und nach selbst beschädigten. Es sollte aussehen wie Verschleiß, wie unzuverlässige Bauelemente, wie fehlerhafte Produktionsprozesse. Nur nach einem sollte es nicht aussehen, nach digitaler Sabotage. Langner:
"Wir haben mit Stuxnet zum ersten Mal in der Geschichte überhaupt die Situation, dass ein echtes militärisches Ziel angegriffen worden ist. So etwas gab es bisher einfach nicht. Bisher wurde eben versucht zivile Infrastruktur so ein bisschen zu stören. Hier ist zum ersten Mal ein militärisches Ziel angegriffen worden. Wir dürfen eins nicht vergessen, die Anlage in Natans gehört nicht zur sogenannten kritischen Infrastruktur. Das ist keine zivile Einrichtung, die die Iraner jetzt brauchen würden, um ihre Stromproduktion aufrecht zu erhalten. Das ist überhaupt nicht der Fall."
Der Angriff mit Stuxnet war kostengünstig. Auf nur zehn bis zwanzig Millionen US-Dollar schätzen die Experten die Kosten für die Entwicklung. Eine Menge Geld mag man meinen. Doch nicht, wenn man in militärischen Maßstäben rechnet. Langner:
"Wenn man das ganze vor einem militärischen Hintergrund sieht, dann fällt die Bewertung natürlich völlig anders aus. Wir haben ja mal geschätzt, dass die Kosten für die Entwicklung vielleicht etwa so bei zehn Millionen Dollar gelegen haben. Das wäre jetzt für Schadsoftware sehr, sehr viel. Im militärischen Maßstab ist das natürlich lächerlich. Also das ist ein Spottpreis, wenn man so will. Wenn man sich mal vorstellt, dass Stuxnet ja vom Ergebnis her ganz offensichtlich genau das Gleiche erreicht hat, was ein Luftschlag erreicht hätte, nämlich die Verzögerung des iranischen Nuklearprogramms, also bis man soweit ist, genügend waffenfähiges Material für die erste Atombombe zu haben. Also diese Verzögerung um zwei bis drei Jahre, genau das hätte eine Militäraktion auch geschafft, also - in Anführungsstrichen - nicht mehr. Dann ist es natürlich vom Aufwand her, der getrieben worden ist, einfach ein Spottpreis, wo auch jeder Militär sagen muss: Ja, das ist doch wunderbar, das machen wir natürlich künftig immer so."
Moskau, das ehemalige Institut für Strahlenphysik. Im Computerlabor des Herstellers von Sicherheitssoftware Kaspersky kommt Jubel auf. Zwei der wichtigsten Sicherheitslücken, die auch Stuxnet ausnutzte, sind geschlossen. Sicherheitslücken lassen Schadsoftware erst zur Munition im digitalen Krieg werden. Und weil keine Software, kein Computer und kein informationstechnisches Systeme, wie zum Beispiel Industriesteuerungen, hundertprozentig fehlerfrei programmiert werden kann, werden auch immer neue Sicherheitslücken gefunden. Schadsoftware wie Stuxnet nutzt gleich mehrere und unterschiedliche Sicherheitslücken aus. Das mache sie so gefährlich. Professor Hartmut Pohl.
"Der Transportmechanismus Virus ist eben veraltet. Auf der Höhe des Wissens ist ein Programm, wenn es gezielt einen Computer angreift, erstens. Zweitens wenn es eine Sicherheitslücke ausnutzt auf dem Zielcomputer, die noch nicht veröffentlicht ist. Das hat Stuxnet gemacht. Da sind völlig neue, bisher nicht bekannte Sicherheitslücken ausgenutzt worden. Und auf diese Weise wird, und das ist das Entscheidende, der Angriff nicht erkennbar. Man weiß ja nicht, wonach man gucken soll. Er nutzt die bisher unveröffentlichte Sicherheitslücke, also eine neue, die bisher nur wenige kennen, Sicherheitslücke aus. Der Zielcomputer kann nicht danach gucken, suchen, und ist damit definitives Opfer eines solchen Angriffs. Also, Transportmechanismus Virus ist veraltet. Die Angriffe, die relevanten Angriffe heutzutage und erst recht in der Zukunft werden zielgerichtet vorgenommen. Ein bestimmter oder eine Gruppe von Computern wird angegriffen und andere nicht. Einen solchen Angriff zu finden, ist vergleichsweise schwer, im Vergleich zum Virus, den haben viele sich eingehandelt, und irgendjemand hat mal erkannt: 'Oh, hier ist ein neuer Virus.'"
Zivile Computerexperten sind sich deshalb auch einig, dass es gegen digitale Angriffe nur ein wirksames Mittel zur Verteidigung gibt: Die rasche Veröffentlichung aller Sicherheitslücken, sowie sie bekannt werden. Doch das wissen häufig Regierungen und Geheimdiensten zu verhindern. Sie wollen die ihren Militärs oder geheimdienstlichen Cyberabteilungen bekannten Sicherheitslücken möglichst lange nutzen, um andere Computersysteme ausspionieren oder gar angreifen zu können. Doch das unterbinden Nachrichtendienste und Sicherheitsbehörden verschiedener anderer Staaten. Würden diese Sicherheitslücken nämlich öffentlich gemacht, die zum Beispiel von den Stuxnet-Entwicklern ausgenutzt wurden, wären nicht nur Sabotageattacken auf Industrieanlagen oder Spionageangriffe auf Börsencomputer unmöglich, sondern auch diejenigen behördliche Online-Durchsuchungen, die auf denselben Sicherheitslücken beruhen. Deshalb werden diese Sicherheitslücken geheim gehalten und könnten nicht geschlossen werden. Und deshalb wollten die Militärs neben Panzern, Raketen und Torpedos eben auch einen Trojaner und andere Schadsoftware in ihren Waffenarsenalen haben. Ralph Langner sieht das jedenfalls so.
"Wir müssen natürlich davon ausgehen, dass wir so etwas jetzt häufiger sehen werden. Man kann im Grunde sagen, mit Stuxnet haben wir einen Dammbruch. Wir haben jetzt zum ersten Mal in der Geschichte gesehen, dass so etwas gemacht wird, dass so etwas geht. Also, dass es auch funktioniert. Und wir sehen außerdem in der Nachbereitung dieses Vorfalls, dass es ja, wenn man das Ganze militärisch einordnet, unglaublich attraktiv ist."
Mal eben die Radarüberwachung an einem auch militärisch genutzten Flughafen mit einer Schadsoftware gezielt ausschalten, schnell mal das Telefonnetz mit einem Virus lahmlegen oder in zwei oder drei Großstädten mit einem Trojaner die Lichter ausgehen zu lassen - mit digitalen Angriffswaffen auf der Basis von Sicherheitslücken ist das gut machbar. Und es kostet viel weniger als ein konventioneller Angriff. Sparen ist beim Militär also genau wie auch in der Industrie angesagt. Und nicht nur bei bei der Entwicklung von Angriffswaffen soll gespart werden, sondern auch beim Schutz kritischer Infrastruktur, seien es Kraftwerke, Produktionsanlagen oder Rechenzentren. Frank Boldewin:
"Aber wenn man die Leute hört, die in diesen Bereichen arbeiten, erfährt man auch oft das Wort 'Sparen'. Und Sparen ist nicht unbedingt vereinbar mit Sicherheit, denn Sicherheit ist meist ein Aufwand, den man nicht wirklich bemerkt. Sicherheit merkt man nur, wenn sie fehlt."
Experten fordern immer wieder eine gesetzliche Veröffentlichungspflicht für Sicherheitslücken, an die sich auch Sicherheitsbehörden und Nachrichtendienste halten müssen. Ohne internationale Vereinbarungen zum Umgang mit Sicherheitslücken kommen die Sicherheitsexperten hier aber nicht weiter. Und da habe dummerweise auch die Diskussionen auf der Münchner Sicherheitskonferenz Anfang Februar 2011 deutlich gezeigt, dass eine internationale Übereinkunft zur Veröffentlichung von Sicherheitslücken, mit der dann die Entwicklung digitaler Angriffswaffen verhindert werden könnte, überhaupt nicht in Sicht ist. Stattdessen scheint den Staaten ein digitales Wettrüsten mit Cyberwaffen bevorzustehen, das eine unglaublich gefährliche Dynamik anzunehmen verspricht.