Pyritz: Herr Welchering, "supergefährlich" sagen die einen, "bloßer Medienhype" sagen die anderen. Was wissen wir über Monstermind?
Welchering: Zunächst einmal nur das, was Edward Snowden eben dem amerikanischen Magazin "Wired" gesagt hat und was dann von Kim Zetter in Artikelform gebracht wurde. Und da können wir lesen: Bei Monstermind handelt es sich um ein Cyber-Abwehrsystem, das arbeitet mit Mustererkennung und kann so beispielsweise Überlast-Angriffe, also Denial-of-service-Attacken oder aber Trojaner oder Würmer, überhaupt Schadsoftware sehr frühzeitig erkennen. Und es kann dann den Cyber-Angriff, der mit dieser Software geplant war, unschädlich machen und bekämpfen. Und Cyber-Abwehrsysteme dieser Art, die hat die NSA tatsächlich − das wissen wir aus anderen Veröffentlichungen − bereits entwickelt und betreibt sie auch.
Pyritz: Dieses Cyber-Abwehrsystem wird verglichen mit der Star-Wars-Initiative von US-Präsident Ronald Reagan. Mit der sollten Interkontinentalraketen abgefangen werden. Das Besondere an Monstermind ist angeblich, dass es ohne menschlichen Eingriff digitale Waffen gegen Angreifer einsetzt. Wie gefährlich ist das?
Cyber-Abwehr mit Kollateralschäden
Welchering: Es kommt darauf an, wie es genau eingesetzt wird. Und da lässt sich ja auch Kim Zetter in "Wired" sehr stark im Konjunktiv aus. Also so genau wissen wir nicht. Wir wissen aber von vergleichbaren Systemen, die heute schon arbeiten, dass es das tatsächlich manchmal zu so genannten Kollateralschäden kommen. Also wenn etwa von so einem Cyber-Frühwarnsystem eine Schadsoftware erkannt wird und zerstört wird, passiert unter Umständen auch schon mal, dass nicht nur die Datenpäckchen mit dieser Schadsoftware gelöscht werden, sondern auch andere Datenpäckchen. Und dann ist manchmal schwuppdiwupp einfach auch eine E-Mail zerstört worden. Monstermind könnte Trojaner und Würmer früher erkennen, so schreibt "Wired", und Snowden geht davon aus, dass Monstermind eines Tages so funktionieren könnte, das es dann eben automatisch auf Angreifer schießen könnte. Da muss man sehr genau hinschauen, was es wirklich macht.
Pyritz: Dann schauen wir einmal sehr genau hin, auch in die Vergangenheit. Systeme wie Monstermind haben ja relativ lange Entwicklungszeiten. Ist über solche Projekte auf Konferenzen oder in Wissenschaftsmagazinen schon vorher einmal geschrieben worden?
Welchering: Ja, sogar sehr viel. Seit etwa vier Jahren ist das ein absolut mächtiges Thema, und an solchen Cyber-Abwehrsystemen, da steht sehr viel beispielsweise in den Mitteilungen der amerikanischen Akademie der Wissenschaften, oder auch NSA-Forscher haben sich dazu auf internationalen Konferenzen, zuletzt 2012 noch, geäußert. Die meisten dieser Cyberwar-Systeme, die in den USA entwickelt wurden, die beruhen tatsächlich auf Modellrechnungen, die Robert Axelrod von der Universität von Michigan und sein Kollege Rumen Illiev angestellt haben. Sie haben unter anderem mathematische Modelle für Cyber-Angriffe errechnet. Das ist ein System einfach von linearen Gleichungen und Tabellen mit Schwellenwerten, von denen eben diese linearen Gleichungen ausgehen. Die brauchen auch noch eine Mustererkennung, mit der alles anfängt. Und so etwas bieten etwa Sicherheitsfirmen ihren Kunden heute schon als Cyber-Frühwarnsysteme an.
Pyritz: Welche Prozesse laufen bei diesen Systemen denn vollautomatisch ab?
Maschinelle Eingriffe könnten gefährlich werden
Welchering: Also, bei den bisher implementierten Systemen vor allen Dingen die Erkennung von Angriffen, und in der zweiten Stufe auch das Löschen der gefährlichen Datenpäckchen. Eine weitere Eskalationsstufe, nämlich dass ein Router, ein Internetknotenrechner vom Netz genommen wird, wenn Gefahr erkannt wurde, da muss bisher bei den meisten Systemen, die ich kenne, immer noch ein Sicherheitsanalyst entscheiden. Und wenn solche schwerwiegenden Eingriffe in die Infrastruktur maschinell vorgenommen werden, dann könnte es natürlich gefährlich werden. Denn bisher geben diese Frühwarnsysteme Alarm und schlagen Reaktionen vor, und sie bewerten dann auch verschiedene Szenarien, also das, was passiert, das bewerten sie mit Wahrscheinlichkeiten. Das letzte Wort hat der Mensch, der muss die Wahrscheinlichkeit nach noch einmal überprüfen und einschätzen. Und bei Monstermind wäre offenbar dann keine menschliche Instanz mehr beteiligt.
Pyritz: Ist die NSA dann mit einem System wie Monstermind denn eigentlich führend, oder haben auch andere Staaten solches Cyber-Abwehrsystem entwickelt?
Welchering: Nein, führend ist die NSA da eigentlich noch nie gewesen. Als führend gilt bisher China mit dem Cyberwar-System an der Nationalen Universität für Verteidigungstechnologie in Changsha, in der Provinz Hünan. Und die simulieren Cyber-Angriffe und Antworten darauf mit einem System von mehreren Millionen Gleichungen. Die operieren im dreistelligen Bereich, die NSA nach allem, was wir wissen, allenfalls im zweistelligen. Und bekannt wurde dieses chinesische System 2012. Möglicherweise ist Monstermind die amerikanische Antwort darauf, und die IT-Industrie baut eben auf Systeme dieser Art.