Dipl.-Inform. Carsten Eilers

Die USA entwickeln eine erste Cyberstrategie und sehen darin laut Wall Street Journal auch militärische Gegenschläge als Reaktion auf Cyberangriffe vor. Zentraler Punkt ist dabei "Äquivalenz": Wenn ein Cyberangriff Todesopfer oder Schäden anrichtet, die mit einem herkömmlichen militärischen Angriff vergleichbar sind, könnte darauf mit einem konventionellen Gegenschlag reagiert werden. Zumindest dann, wenn der Angriff von einem anderen Staat ausgeht. Auf den ersten Blick vielleicht nahliegend, vor allem, wenn man das genannte Beispiel "Cyberangriff, der den Handel so behindert wie eine Seeblockade" betrachtet, auf die man normalerweise vermutlich mit einem Angriff auf die blockierenden Schiffe reagieren würde. Aber wie will man sicher sein, den tatsächlichen Angreifer ermittelt zu haben und nicht nur in die Irre geführt worden zu sein? Meinem vorherigen Text zum Thema "Cyberwar" habe ich in der Hinsicht nicht hinzuzufügen.

Und ganz davon abgesehen, ist es vom "gleichwertigen Gegenschlag" zum Präventivschlag nur ein kurzer Schritt. Wenn ein Cyberangriff bevorsteht, der einen Gegenschlag, egal ob "mit eigenen Cyber-Waffen oder mit kruder, altmodischer Militärgewalt" (Süddeutsche Zeitung), rechtfertigen würde, wäre man dann nicht geradezu verpflichtet, diesen durch einen Präventivschlag zu verhindern, um Schaden vom eigenen Volk abzuwehren? Dieser Präventivschlag, selbst wenn er als Cyberangriff erfolgt, wäre dann aber wieder Grund für die Gegenseite, ihrerseits zurückzuschlagen. Um dem zuvor zu kommen, müsste also schon der Präventivschlag so massiv sein, dass der Angegriffene danach nicht mehr zu einem Gegenschlag in der Lage ist. Schöne Aussichten, oder? Und wir sind auch mit im Boot, da die USA ihre Verbündeten und damit ja wohl die NATO einbinden wollen.

Angriffe auf Google - und die US-Regierung

Passend zur neuen Cyberstrategie meldet Google einen Phishing-Angriff auf Passwörter von Gmail-Kunden, der nach China zurückverfolgt werden konnte. Unter den Opfern waren auch "senior U.S. government officials, Chinese political activists, officials in several Asian countries (predominantly South Korea), military personnel and journalists". Betroffen waren laut Wall Street Journal auch private Mail-Accounts von Mitarbeitern von Präsident Obama. FBI und Department of Homeland Security untersuchen den Vorfall noch. Zumindest den US-Regierungsangestellten ist es verboten, ihre privaten Mail-Konten für dienstliche Mails zu verwenden, was aber teilweise ignoriert wird. Es wird vermutet, die Hacker hätten es auf dienstliche Mails abgesehen. Was spricht dagegen, dass (auch) nach kompromittierenden privaten Mails gesucht wurde, um die Betroffenen später zu erpressen? Aber kommen wir zum Angriff - und der angemessenen Reaktion. Dürfen die USA jetzt eine entsprechende Anzahl chinesischer Mail-Konten knacken? Und die betroffenen asiatischen Staaten ebenfalls? Oder werden überall die chinesischen Botschafter mit bösen E-Mails bombardiert?

Übrigens waren die Angriffe seit Februar bekannt - und Google warnt erst jetzt? Was hat man so lange gemacht? Um festzustellen, dass es sich um (Spear)phishing handelt, reichen ein paar Minuten. Danach sollte man doch eigentlich seine Benutzer warnen, oder? Zumindest dann, wenn man davon ausgeht bzw. weiss, dass der Angriff u.a. gegen Regierungsmitarbeiter und chinesische Polit-Aktivisten gerichtet ist. Immerhin gab es das ja schon mal. Stattdessen wurden nur die direkt Betroffenen informiert und deren Konten geschützt. Und was ist mit potentiellen weiteren Opfern? Warum wurde nicht sofort eine allgemeine Warnung veröffentlicht? Hat man lieber gewartet, bis man die Spur zu den Angreifern zurückverfolgen konnte und solange die eigenen Benutzer ungeschützt gelassen? Einen merkwürdigen Beigeschmack hat das jedenfalls.

Angriffe auf Al-Qaida - durch britischen Geheimdienst

Wie sieht das eigentlich in der Gegenrichtung aus - wenn die USA sich Gegenschläge vorbehalten, darf man dass der Gegenseite ja kaum verweigern, oder? Der britische Geheimdienst MI6 hat Berichten z.B. des Guardian und Telegraph zu Folge bereits vor einem Jahr in einem Online-Magazin von Al-Qaida eine Bombenbauanleitung durch Törtchenrezepte ausgetauscht. Mal abgesehen davon, dass das doch ziemlich kindisch ist, obwohl manche Tortenrezepte ja durchaus als Anleitungen für biologische Waffen durchgehen können - wie ist das denn jetzt, darf Al-Qaida zurückschlagen und den Briten ihre Bombenbauanleitungen durch z.B. Falafel-Rezepte austauschen? Oder ist auch eine "militärische" Reaktion erlaubt und britische Botschaften werden mit Törtchen beworfen?

Aber Spaß beiseite, eine viel größere Gefahr droht dem MI6 aus den USA, denn was muss ich da im Artikel des Telegraph lesen:

"The code, which had been inserted into the original magazine by the British intelligence hackers, was actually a web page of recipes for “The Best Cupcakes in America” published by the Ellen DeGeneres chat show."

Das klingt doch sehr nach Urheberrechtsverletzung, und das auch noch bei einer Quelle aus den USA. Das dürfte teuer werden...

Außer dem Austausch der Bombenbauanleitung durch die Törtchenrezepte wurden laut Telegraph auch Artikel von Osama bin Laden, seinem Stellvertreter Ayman al-Zawahiri und mit dem Titel "What to expect in Jihad" entfernt. Ob es auch dafür mehr oder weniger "witzigen" Ersatz gab, steht nicht im Telegraph-Artikel. Dem Guardian-Artikel zufolge wurden größere Teile des Magazins inklusive der Bombenbauanleitung durch die Törtchenrezepte ersetzt. Defacements mit Törtchenrezepten - ich hatte ja erwartet, dass man bei den Geheimdiensten aus dem Skriptkiddie- und Defacement-Alter raus ist, aber zumindest beim MI6 stimmt das nicht. Die CIA war übrigens gegen die Manipulation, um der Gegenseite keine eigenen Kenntnisse zu verraten. Nun, jetzt wissen die Al-Qaida-Webmaster zumindest, dass die Geheimdienste Schreibzugriff auf ihre Server haben.

Stuxnet-Urheber USA bestätigt?

Kommen wir nun wieder zu ernsteren Themen: Zum ersten Fall von Cyberwar, Stuxnet. Es war ja bereits ziemlich sicher, dass die USA Urheber des Angriffs waren. Der "Deputy Defense Secretary", also der stellvertretende Verteidigungsminister, der USA hat in einem Interview auf die Frage, ob die USA an der Entwicklung von Stuxnet beteiligt waren, sehr ausweichend geantwortet:

Frage: “Was the U.S. involved in any way in the development of Stuxnet?”
Antwort: “The challenges of Stuxnet, as I said, what it shows you is the difficulty of any, any attribution and it’s something that we’re still looking at, it’s hard to get into any kind of comment on that until we’ve finished our examination.”
Frage:“But sir, I’m not asking you if you think another country was involved, I’m asking you if the U.S. was involved. If the Department of Defense was involved.”
Antwort: “And this is not something that we’re going to be able to answer at this point.”

Also erst mal klingt das ja, als wenn die das selbst noch nicht wissen. Gibt es da so viele Geheimdienste etc., dass sie erst selbst Ermittlungen anstellen müssen, um festzustellen, ob sie es waren oder nicht?

Im Grunde gibt es drei Möglichkeiten:

• Er weiß nichts.
  Dann kann er natürlich nicht eindeutig antworten. Zugeben, dass er es nicht weiß, kann er natürlich auch nicht. Falls später raus kommt, dass die USA beteiligt waren und er es hätte wissen müssen, stände er sonst ganz dumm da. Außerdem ist der Deputy Secretary of Defense laut Gesetz Zivilist und daher wahrscheinlich Politiker, und die legen sich bekanntlich nur fest, wenn es gar nicht mehr anders geht.
• Die USA waren beteiligt.
  Das darf er natürlich nicht zugeben, vor allem in der aktuellen Situation nicht. Wie sähe dass denn aus - mit virtuellen und echten Bomben als Gegenschlag drohen und gleichzeitig selbst die Nuklearanlagen des Iran (zer)stören. Da könnte ja jemand im Iran auf die Idee kommen, nun ihrerseits Nuklearanlagen der USA zu zerstören, so wie es sich die USA in ihrer Cyberstrategie ja vorbehalten. Die diplomatischen Folgen dürften für die USA ziemlich unerfreulich sein, die iranische Regierung würde sich über so eine Steilvorlage sicher freuen. Ein "Seht her - die USA und Israel greifen uns an, um unser harmloses Atomprogramm zu sabotieren! Wir könnten jetzt zurückschlagen, aber als friedliebendes Volk tun wir das natürlich nicht!" wäre da wohl das mindeste, was käme.
• Die USA waren nicht beteiligt.
  Das könnte er dann ja auch sagen. Ob man ihm glaubt, ist eine andere Frage. Es gibt aber auch gute Gründe, auch eine Nichtbeteiligung abzustreiten. Es kann ja nicht schaden, wenn alle Welt glaubt, die USA wäre zu so einem Cyberangriff in der Lage, auch wenn sie es tatsächlich nicht sind. Haben wir vielleicht schon einen kalten Cyberkrieg? Ob man dann mit vorhandenen virtuellen Bomben oder imaginären virtuellen Bomben droht, ist ja eigentlich egal.

Graham Cluley von Sophos weist darauf hin, dass auch ein britischer Politiker sich ebenso um die Antwort auf die Frage nach Cyberangriffen herumgewunden hat. Und das kann man denen wohl kaum verdenken.

Aber um zum ursprünglichen Thema zurückzukommen: Die USA sollten bei der Formulierung ihrer Cyberstrategie sehr vorsichtig sein. Zum einen, weil das, was da drin steht, sehr schnell auf sie selbst zurückfallen kann, zum anderen, weil sich die Urheber von Cyberangriffen sowieso (fast) nie mit vollständiger Sicherheit ermitteln lassen. Und auch die Idee, Regeln für Cyber-Angriffe aufzustellen, ist eine typische Politikeridee. Sowas funktioniert schon bei normalen Angriffen kaum, wie soll es dann bei Cyberangriffen funktionieren, die quasi jedermann aus seinem Wohnzimmer starten kann? Denken die wirklich, irgend ein Cyberkrimineller lässt sich von einer staatlichen Vereinbarung, die Cyberangriffe verbietet, stören? Oder würden die nicht vielmehr dafür sorgen, dass ein fremder Staat als Urheber verdächtigt wird? Zum Beispiel, indem sie ihren Angriff über einen Proxy oder aus einem Internetcafe in diesem Staat starten? Beim Cyberwar sollte man sich auf die Abwehr konzentrieren, Gegenangriffe treffen zu schnell den falschen. Und dann geht es womöglich rund...

Carsten Eilers