Als Kenner der digitalen Welt zeigen Constanze Kurz und Frank Rieger in Cyberwar – Die Gefahr aus dem Netz, dass die Onlinespionage der Geheimdienste die Tür für die digitale Kriegsführung geöffnet hat.
Wie ein unsicheres Passwort zum Dritten Weltkrieg führt
Höchst reale Science-Fiction
Der Überwachungsstaat ist Realität – seit Edward Snowdens Enthüllungen darf das wohl mit Fug und Recht behauptet werden. Der ehemalige CIA-Mitarbeiter hat 2013 anhand von gesammelten Dokumenten aufgezeigt, in welch nahezu universalem Ausmaß amerikanische und britische Geheimdienste – insbesondere die NSA – weltweit das Internet sowie die Telekommunikation überwachen. Auch über das militärische Potenzial von Cyberwaffen muss spätestens seit dem Einsatz des Computerwurms „Stuxnet“ zur Sabotage iranischer Nuklearanlagen nicht mehr spekuliert werden. Und so ist auch das einleitende Kapitel von Cyberwar – Die Gefahr aus dem Netz, in dem die Autoren Constanze Kurz und Frank Rieger ein Cyberwar-Szenario filmreif ausmalen, zwar fiktiv, aber eines sicherlich nicht: unrealistisch.
Kurz und Rieger konstruieren einen regelrechten Actionthriller: Eine Gruppe Krimineller will durch massenhaften Ankauf von Cryptocoins reich werden. Durch konzertierte Cyberangriffe lösen sie Panik auf den Märkten aus, um die Coins zum Ramschpreis erwerben zu können. Die Attacken erfolgen durch Software, die zuvor unbemerkt in Computer, Telefone, Fahrzeuge und Maschinensteuerungen eingeschleust worden ist. Auf Kommando brechen die befallenen Geräte in hektische Aktivität aus, sodass Daten- und Kommunikationsnetze zusammenbrechen. Kraftwerke werden runtergefahren, Züge bleiben stehen, Türen blockieren. NATO-Truppen werden in Alarmbereitschaft versetzt. So fantastisch das alles klingt: Technisch ist es ohne Weiteres möglich – daran lassen die Autoren keinen Zweifel.
Die beiden wissen, wovon sie schreiben. Constanze Kurz, promovierte Informatikerin, ist Sprecherin der größten europäischen Hackervereinigung, des Chaos Computer Clubs (CCC), sowie ausgewiesene Expertin für Informationssicherheit. Co-Autor Frank Rieger ist ebenfalls Sprecher des CCC. Bekannt wurde er vor allem dadurch, dass er 2011 eine von deutschen Ermittlungsbehörden verwendete Spionagesoftware – den „Staatstrojaner“ – analysierte und ihren Einsatz für unvereinbar befand mit dem vom Bundesverfassungsgericht neu erschaffenen Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.
Umso besorgniserregender ist also, was Kurz und Rieger in ihrem Buch schreiben: Mit jedem vernetzten Gerät wächst die Gefahr, dass die Funktionstüchtigkeit von Infrastruktur, Unternehmen und Behörden manipuliert werden kann – mit potenziell katastrophalen Folgen. Die Angreifbarkeit resultiert, so die Autoren, aus Sicherheitslücken in Hard- und Software von Handys, Computern, Routern oder Clouds. Manche Lücken seien bewusst eingebaut, etwa um den Programmierprozess abzukürzen, für die Fernwartung oder um Geheimdiensten den Zugriff zu ermöglichen. Das ist übrigens keine neue Methode, zeigen die Autoren mit Blick in die Geschichte der Spionage: So nutzte der Westen im Kalten Krieg Hintertüren auf Großrechnern, die trotz Embargo auf Umwegen in den Ostblock geliefert worden waren.
Die meisten Menschen verwenden immer noch Passwörter wie ,passwort‘ oder ,1234‘. Damit ist natürlich gegen einen Angreifer, der automatisiert und mit Computerhilfe Passwörter ausprobiert, kein Blumentopf zu gewinnen.Constanze Kurz und Frank Rieger
Als weitere Fehlerquelle nennen die Autoren das Phänomen der Flickschusterei: Damit es schneller geht, greifen Entwickler oft zu fertigen Programmmodulen, sogenannten Frameworks. Einige große, veraltete digitale Infrastrukturen sind trotz Sicherheitsmängeln weiter im Einsatz, etwa SWIFT (Überweisungen), Amadeus (Flugbuchungen) und SS7 (Mobilfunk und SMS). Allein Software von Google, Microsoft, Apple und Adobe bot im Jahr 2017 jeweils Hunderte Angriffspunkte. Hinzu kommt: Firmen, die nach Schwachstellen suchen, verkaufen sie lieber an Geheimdienste oder Industriespione, anstatt sie zu veröffentlichen.
Als häufigste Angriffsmethoden nennen Kurz und Rieger die Übernahme fremder Computer durch eigens platzierte Programme, das Lahmlegen durch Übernutzung (Denial-of-Service-Angriff) und das Umgehen von Zugangssperren, um auf Daten zuzugreifen. Vom Argument, dass Sicherheitsbehörden zur Strafverfolgung mitlesen müssten, halten sie nichts. Spionage und Sabotage im digitalen Raum gehen Hand in Hand: Erst wird überwacht, dann angegriffen.
Der Angriff mit einer Cyberwaffe beginnt gemäß den Autoren damit, dass auf dem Zielgerät ein Einfallstor (Exploit) gefunden wird. Als Türöffner dienen manipulierte E-Mails, Webseitenabrufe, Videos, Updates oder Antivirensoftware. Letztere zu kontrollieren ist attraktiv, da sie weitreichende Administratorenrechte mit sich bringt. Damit lassen sich Daten nicht nur lesen, sondern auch ändern. Wem es gelingt, die Firmware zu überschreiben, der kann Geräte irreparabel unbrauchbar machen – für die Autoren mit Blick auf den vernetzten Maschinenpark der Industrie 4.0 ist das eine Horrorvision.
Den Enthüllungen von Edward Snowden verdanken die Autoren viele ihrer Erkenntnisse – zumindest über die USA. Sie haben keinen Zweifel, dass die USA die größte Cybermacht ist. Das Land spendiert seinen Geheimdiensten inklusive National Security Agency (NSA) 50 Milliarden Dollar im Jahr. Neben den USA gehören Großbritannien, Kanada, Australien und Neuseeland zum Geheimdienstverbund „Five Eyes“. Auch andere Länder zählen die Autoren zu den Aufrüstern für den Cyberkrieg.
In der neuen Art der Kriegführung erkennen Kurz und Rieger ein Konfliktmuster weit jenseits von Clausewitz. Die Kriege werden meist nicht erklärt und enden auch nie. Sie passen zu Guerilla-, Stellvertreter- und Drohnenkriegen. Anders als bei Nuklearwaffen wird sich bei Cyberwaffen auch kein Gleichgewicht des Schreckens einstellen, prophezeien die Autoren. Abschreckung funktioniert nicht: Wer sein Cyberpotenzial offenlegt, macht es wertlos.
Potenzielle Gegner werden sich von noch so gut gefüllten Angriffs-Waffenschränken nicht abschrecken lassen. Daher muss eine zukunftsfähige Cyberstrategie defensiv ausgelegt sein.Constanze Kurz und Frank Rieger
Dass Deutschland bislang kaum Konsequenzen aus der digitalen Rüstung in der Welt gezogen hat, gibt den Autoren Anlass zur Kritik. Wenig Verständnis haben sie auch für das unveränderte Nutzerverhalten. Die Bevölkerung nutzt weiterhin amerikanische IT-Produkte, deren Unsicherheit bekannt ist, statt Alternativen wie den russischen Browser Yandex auch nur zu erwägen. Nachdem selbst die Kanzlerin straflos abgehört wurde, obwohl die Ausspähung durch Geheimdienste nach deutschem Recht strafbar ist, reagieren viele mit Gleichgültigkeit.
Die entscheidende Stellschraube für mehr Sicherheit im Netz sehen die Autoren in der IT-Technologie: Sie braucht neue, sichere Grundlagen. Die Forschung daran ist nach Aussage von Kurz und Rieger fortgeschritten. Betriebssysteme und Programmiersprachen, die weniger fehleranfällig sind, stünden zur Verfügung. Kleine Systembausteine haben gemäß den Autoren den Vorteil, sich automatisch verifizieren und im Angriffsfall leicht isolieren zu lassen. Der geförderte Aufbau eines solchen Open-Source-Systems käme der gesamten Wirtschaft zugute und kostete – so die Schätzung der Autoren – jährlich so viel wie ein paar Eurofighter.
Nur wenn man weiß, wie Cyberangriffe funktionieren, kann man lernen, mit der Gefahr aus dem Netz sinnvoll umzugehen, und herausfinden, welche politischen Entscheidungen jetzt gefällt werden müssen.Constanze Kurz und Frank Rieger
Die große Stärke des Buches, die enorme Detailfülle, mag in gewissem Sinne auch als seine Schwäche angesehen werden: Die meisten Leser werden die Lektüre wohl schon als Bekehrte beginnen. Wer würde heutzutage schon ernsthaft die Notwendigkeit starker Passwörter oder auch der massiven staatlichen Investition in sichere IT-Infrastruktur bezweifeln? Da braucht es eigentlich kaum ausufernde Einzelheiten, um sich vor den Gefahren der digitalen Welt ausreichend zu fürchten. Anderseits ist das Buch eine beispielhafte Gesamtdarstellung, die ihr so komplexes wie kontroverses Thema nirgends ohne die gebotene Differenzierung abhandelt.