Hacker schalten die Zivilisation ab!

Nach dem FACTS in seiner aktuellen Ausgabe ungefragt und ohne Rücksprache “Werbung” für dieses Blog gemacht hat (danke, normalerweise muss man für Werbung recht viel Geld hinblättern!), möchte ich das Stammtischniveau meines Kommentars über die Einstellung des Facts, trotz den überaus vielen Kommentaren von verschiedensten Lesern (ich habe noch nie so viele Kommentare für einer meiner zeitaufwendigeren Beiträge erhalten), nicht beibehalten und in diesem (und hoffentlich auch in den zukünftigeren) Beiträgen mich wieder fundierter äussern. Trotzdem, vergessen Sie bitte nicht – trotz des Domainnamens, der für ein gewisses Aufsehen sorgen soll, ist dieses Blog privater Natur und in keinster Weise mit der Schweizer Armee oder Teile der Schweizer Armee verbunden (weder offiziell noch inoffiziell). Ich erwarte von Ihnen (dem Leser) in keinster Weise, dass sie meine Ansichten teilen – im Gegenteil, bilden Sie sich ihre eigene Meinung, bleiben Sie kritisch und schreiben Sie doch ab und zu einen Kommentar zu den “eher gehaltvolleren” Beiträgen auf diesem Blog.

Wer “Die Hard 4.0” gesehen hat, fragt sich, ob eine ähnliche Cyberattacke möglich ist oder nur eine verrückte Idee von Drehbuchautoren wiedergibt. Auch an einigen sicherheitspolitischen Anlässen wird gerne die Ansicht verbreitet, dass Hacker quasi per Knopfdruck die Zivilisation abschalten könnten. Mitte Mai, als Estlands Regierung ein sowjetisches Militärdenkmal entfernte, wurde die Informatikinfrastruktur staatlichen Einrichtungen und Banken Ziel von Cyberattacken und nicht nur die New York Times sah darin einen kriegerischen Akt:

The attacks have peaked and tapered off since then, but they have not ended, prompting officials there to declare Estonia the first country to fall victim to a virtual war. “If you have a missile attack against, let’s say, an airport, it is an act of war,” a spokesman for the Estonian Defense Ministry, Madis Mikko, said Friday in a telephone interview. “If the same result is caused by computers, then how else do you describe that kind of attack?”
Officials in Estonia have accused Russia of orchestrating the attacks, officially or unofficially. They raised the issue at a meeting of NATO on Monday, with Defense Minister Jaak Aaviksoo saying that the alliance, which Estonia joined in 2004, needed to urgently debate the question — once seemingly a distant threat — of whether mass computer attacks posed a threat to national security.

Nach einigen Wochen Abkühlung der Gemüter berichtete die New York Times am 24. Juni, dass es sich bei der Attacke bloss um Distributed Denial of Service Attacken handelte – das heisst, dass die Regierung und die Banken zwar über das Internet nicht mehr erreichbar waren, dass jedoch keine Daten geklaut, gelöscht oder sonst wie in Mitleidenschaft gezogen wurde. Sicherlich ist dieser Zustand ärgerlich, aber weit weg von irgendwelchen kriegerischen (Gewalt-) Akten. Auch die Szenarien in “Die Hard 4.0″ kann man getrost ins Reich der Fantasien befördern. Natürlich können einzelne digitale Attacken auf Firmen recht mühsam und teuer werden (beispielsweise bei einem Denial of Service auf das E-Banking). Die Steuerung von Kernkraftwerke mittels Internetverbindung, das Lahmlegen ganzer Infrastrukturen oder gar das Auslösen von Interkontinentalraketen ergeben zwar gute Filme, entsprechen aber kaum der Realität.

Wie kann nun ein “digitaler Angriff” aussehen?

“Instead of thinking in terms of the industry’s repeated warnings of a digital Pearl Harbor [..] cyberwarfare will be far more subtle, in that certain parts of the system won’t work, or it will be that we can’t trust information we’re looking at.” — Danny McPherson, Computerexperte von Arbor Networks (Quelle: New York Times)

Die Grenze zu ziehen, ab wann ein “digitaler Angriff” als kriegerischer Akt betrachtet werden kann, scheint mir – nicht nur im Fall von Estland – als sehr riskant. Nachrichtendienst, Gegennachrichtendienst, Psychologische Operationen und das sicherstellen der Informationsherrschaft in einem Konfliktfall sind klar militärische Gebiete – das Abwehren von Denial of Service Attacken und das Sicherstellen, dass Wirtschaft und Verwaltung ungestört das Internet verwenden können, ist jedoch ein ziviles Problem, das auch mit zivilen (polizeilichen) Mitteln gelöst werden müsste. Die Bombardierung angenommener Quellen von Cyberattacken (wenn man die Standorte überhaupt richtig lokalisieren kann) geht dabei in eine absolut falsche Richtung.

Empfehlen kann ich die CSS-Analyse 16 (Juni 2007), die auch aufzeigt ,wie weit die Schweiz auf dem Gebiet der Critical Infrastructure Protection (CIP) vorbereitet ist. Der Ansatz umfasst dabei nicht nur Cyberattacken, sondern der Schutz von Infrastrukturen allgemein (beispielsweise auch vor Naturkatastrophen).

Das amerikanische Beispiel und die bisherigen Erfahrungen weiterer Länder lassen auf vier, teilweise eng verknüpfte Herausforderungen für eine wirksame CIP-Politik schliessen.

Erstens ist eine fundierte Einschätzung von Art und Ausmass der relevanten Risiken und Bedrohungen erforderlich. Statt des derzeit einseitigen Fokus auf den Terrorismus sollte CIP wieder einem breiteren Ansatz folgen und sich mit der Anfälligkeit hochkomplexer Systeme generell befassen. Bezüglich einer differenzierten Lageanalyse kommt den Nachrichtendiensten eine wichtige Rolle zu. Sie ist umso wichtiger, als je nach Gefahr die Verantwortlichkeiten anders liegen und Schutzpraktiken anders zu gestalten sind. Um den Schutz vor Gefahren und Risiken im «normalen» Rahmen – dazu gehören etwa neben Hackerangriffen auch kleinere natürliche Katastrophen – muss der Infrastrukturbetreiber selber bemüht sein. Vom Staat hingegen wird erwartet, dass er Schutz vor Gefahren einer höheren Stufe bieten kann, wie zum Beispiel Angriffe von Terroristen und anderen Staaten.

Zweitens braucht es ein grösseres Verständnis der Verwundbarkeiten, inklusive der Interdependenzen zwischen Infrastrukturen. Es hat sich gezeigt, dass aufgrund hochkomplexer Systeme die bestehende Methodik nicht ausreicht, um die ganze Spannweite des Problems zu erfassen. In strategischer Hinsicht geht es im Gegensatz zum dominierenden «technischen Zugang» oft weniger darum, Risiken «objektiv» zu quantifizieren und zu messen, als sie in ihrem gesellschaftlichen, politisch-institutionellen, kulturellen oder ökonomischen Kontext zu verstehen.

Drittens gilt es die Frage zu beantworten, was eine Infrastruktur überhaupt «kritisch» macht. Nach 9/11 wurde die Liste von kritischen Infrastrukturen in den USA stark ausgeweitet: Kritisch ist nun auch, was Rückwirkungen auf die Psyche und die nationale Moral haben könnte. Dies führt zu fast unüberwindbaren Problemen für die Konzeption von Schutzmassnahmen: Wie kann man Sicherheit gewähren, wenn potentiell fast alles kritisch und deshalb schützenswert ist? Schwellenwerte zwischen «normal» und «kritisch» dürfen nicht zu tief angesetzt werden. Eine sinnvolle Priorisierung ist zentral. Dies wiederum ist nur mit umfassenden Risikoanalysen möglich. Die hypothetische Verwundbarkeit eines Ziels reicht nicht als Indikator dafür aus, ob dieses Ziel geschütztwerden muss. Vielmehr braucht es für die sinnvolle Abwägung von Kritikalität auch Wissen über konkrete Bedrohungen und die Tragweite und Schwere eines möglichen Schadenfalls.

Viertens erfordert CIP umfassende Kooperation. Eine funktionierende Partnerschaft zwischen Staat und Wirtschaft ist unabdingbar. Die Liberalisierung vieler Bereiche des öffentlichen Sektors seit den 1980er Jahren und der Globalisierungsprozess haben dazu geführt, dass sich heute ein grosser Teil der kritischen Infrastrukturen in privater Hand befindet. Der Wirtschaft kommt deshalb sowohl bei der Definition als auch bei der Umsetzung einer Schutzpolitik eine bedeutende Rolle zu. Eine wirksame CIP-Politik bedarf aber auch der Kohärenz zwischen den verschiedenen staatlichen Stellen sowie der internationalen Kooperation. Terroristische Handlungen und sonstige Straftaten wie auch Natur- und sonstige Katastrophen machen nicht an Ländergrenzen halt, weshalb auch Gegenmassnahmen international zu koordinieren sind. (Daniel Möckli, “Kritische Infrastrukturen: Verwundbarkeiten und Schutz“, “CSS Analysen zur Sicherheitspolitik”, 2:16 (Juni 2007))

Update vom 08.07.2007: Im 10vor10 wurde am 06.07.2007 ein Bericht “Cybertruppe im VBS” ausgestrahlt“.

This entry was posted in Cyberwarfare, Editorial Announcements, Politics in General, Switzerland.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Comment Spam Protection by WP-SpamFree