von Martin Schmetz
Der Spruch "The internet is serious business" [Quelle] ist ein alter Witz unter Nerds und wird immer wieder gerne zitiert, wenn einige Nutzer online Dinge etwas zu ernst nehmen. Da Cybersecurity wohl endgültig im sicherheitspolitischen Mainstream [Quelle] angekommen ist, war es nur eine Frage der Zeit, bis das Internet auch dort "serious business" sein würde. Spätestens mit der Ankündigung der USA [Quelle], auf Cyberangriffe potentiell auch mit Waffengewalt zu reagieren, ist dies nun eingetreten. Ist ein Cyberangriff demnach in seiner Schwere äquivalent zu einem Angriff in der realen Welt, so muss der Angreifer mit Gegenschlägen mit konventionellen Waffen rechnen.
Die Idee der Äquivalenz hat es den Generälen dabei besonders angetan, ermöglicht sie doch elegant eine Brücke von Cyberangriffen zu Schäden in der physischen Welt zu schlagen: Wenn ein Cyberangriff in seinen Auswirkungen mit einem wie auch immer gearteten Angriff mit konventionellen Waffen vergleichbar ist - sei es durch den Tod von Bürgern, der Störung oder gar physischen Zerstörung von Infrastruktur - dann ist ein Gegenschlag ein legitimes Mittel der Selbstverteidigung.
Jedoch gibt es eine ganze Reihe von Problemen, die diese Ankündigung (hoffentlich) im Bereich der Rhetorik verbleiben lassen. Erstens sind Angriffe im Netz meist nicht einem einzelnen Akteur zuzuweisen, wenn dieser nicht konkret selbst die Verantwortung dafür übernimmt. Manchmal kann nach intensiver Recherche und mit einiger zeitlicher Distanz ein Angriff zugeordnet werden, zum Beispiel durch die Übernahme eines Botnets [Quelle]. Aber auch dies kann nur selten mit absoluter Sicherheit geschehen. Zweitens sind die von den USA gewählten Auswirkungen extrem vage und breit gewählt: Tote durch einen Cyberangriff hervorzurufen ist zwar denkbar, erscheint aber weit weniger wahrscheinlich als die Störung von Infrastruktur. Drittens wird nicht klar gemacht, welche Ziele als Begründung für einen Angriff herhalten müssten: Sind es lediglich staatliche Ziele oder gilt auch der Angriff auf nichtstaatliche Ziele (etwa der Hack bei Lockheed Martin [Quelle]) als legitimer Grund? Speziell letzteres Beispiel zeigt ein weiteres Problem der Gefahrenlage und ihrer Wahrnehmung auf: Man spricht zwar von gerne von Cyberwar, aber der Hack bei Lockheed Martin war, wie in den meisten Fällen, Industriespionage und kein Angriff. Ziel waren Informationen, nicht die Zerstörung von Eigentum oder Infrastruktur. Spionage alleine wird aber kaum als Kriegsgrund taugen können.
Andere Angriffe, etwa der von LulzSecurity auf ein dem FBI nahe stehendem Unternehmen [Quelle], stammen explizit nicht von staatlichen Akteuren und haben zudem den erheblichen Nachteil, dass die Angreifer vermutlich entweder in den USA selbst oder zumindest einem alliierten Land sitzen. Damit könnten sie mit strafrechtlichen Mitteln verfolgt werden, fallen aber aus der Zuständigkeit des Militärs heraus, womit die Androhung von Bomben sinnlos wird.
Im schlimmsten Fall spornt die Androhung von Bomben nichtstaatliche Hackergruppen sogar noch an. Im heute bekannt gewordenen Fall des Hacks der Webseite des US-Senats [Quelle] fragt LulzSecurity provokativ nach ob sie mit der Veröffentlichung der dort erhaltenen Daten einen Kriegsakt begehen.
Mit militärischen Mitteln auf Online-Attacken zu reagieren: Diese Drohung soll Länder vom Eindringen in amerikanische Systeme abhalten. Stattdessen wirkt sie irgendwie unangemessen, unrealistisch und ein wenig verzweifelt – man weiß sich scheinbar nicht anders zu helfen und holt den Vorschlaghammer raus. Früher sprach man oft davon mit Kanonen auf Spatzen zu schießen. Heute wirft man Bomben auf Botnets.