von Martin Schmetz
Die Bombe platzte in der New York Times (Link): Eine wohl platzierte, anonyme Quelle im Weißen Haus bestätigte, dass die USA und Israel hinter Stuxnet steckten. Aber war dieser Leak nur ein weiterer Scoop der NYT oder eine bewusst lancierte Meldung, wie etwa John McCain dem weißen Haus vorwarf? Über die Verkaufszahlen des Buchs zum gleichen Thema muss sich NYT-Redakteur David E. Sanger jedenfalls keine Sorgen mehr machen.
Cybersecurity steht als Thema zunehmend auf der Tagesordnung, sowohl in Deutschland als auch (schon länger) in den USA. Zwei Themenbereiche waren dabei von besonderem Interesse in den letzten Jahren: Leaks auf der einen, Viren und Cyberangriffe auf der anderen Seite. Für letzteres war Stuxnet ein entscheidendes Moment: Ein derart komplexer, scheinbar von staatlicher Hand geschaffener Virus war vorher noch nicht aufgetaucht. Er war mit umfangreichen Wissen angefertigt worden und nur durch eine Fehlfunktion überhaupt ans Licht der Öffentlichkeit gelangt, als er sich unbeabsichtigt stark weiterverbreitete. Selbst die Hackercommunity war voller Anerkennung (etwa hier).
Das von Wikileaks initiierte Cablegate befeuerte die Diskussion um das Phänomen Leaking und Transparenz. Das weiße Haus reagierte entschiedenen und empört, was retrospektiv interessant erscheint: Seit Cablegate wurden viele verschiedene weitere geheime Informationen aus US-Quellen an die Öffentlichkeit gereicht, die Reaktionen aus dem weißen Haus darauf fielen sehr unterschiedlich aus (FP).
Scheinbar gibt es also gute und schlechte Leaks. Der Leak der Stuxnet-Informationen wäre demnach in die Kategorie „gute Leaks“ einzuordnen, denn die Reaktionen auf diesen Leak fielen einigermaßen verhalten aus, bis der politische Gegner sich öffentlich genug echauffiert hatte und schlussendlich doch ermittelt werden musste (link). Fand dieser gewollte Leak (so er denn einer war) nur aus wahlkampfpolitischen Gründen statt, um Obama zusätzliche sicherheitspolitische Kontur zu geben? Oder gab es noch andere Gründe?
Ich glaube, dass es durchaus andere Gründe gab. Wenn Stuxnet tatsächlich eine Cyberwaffe war, was viele Kommentatoren durchaus so sehen, dann hatte diese mit der Zerstörung der Zentrifugen ihre Aufgabe erfüllt. Technisch war Stuxnet mit der Entdeckung erledigt (Sophos Security): Die ausgenutzten Schwachstellen in Windows und der Steuerungssoftware wurden behoben, und das Programm ist nun hinreichend bekannt um Gegenmaßnahmen zu entwickeln. Aber wie bei allem im Bereich Cybersecurity gab es das Zuordnungsproblem: Auch wenn die USA und Israel als Urheber vermutet wurden, konnte es nicht schlussendlich bewiesen werden. Die USA, die sich in Konkurrenz zu China, Russland und anderen Staaten im Bereich Cybersecurity sieht, hatte nun die Chance, der an sich erledigten Waffe Stuxnet eine zweite Verwendung zu geben: Zur Abschreckung durch Bekennen. Damit war klar, dass die USA die Möglichkeit zu derartigen Angriffen hat und diese auch tatsächlich durchführt. Und ein inoffizieller Leak hat die angenehme Eigenschaft, offiziell genug zu sein um abschreckend zu wirken, ohne dass jemand dies als staatliche Verlautbarung interpretieren kann um die USA und Israel dann politisch anzugreifen. Ein leak ist eben keine virtuelle Kriegserklärung.
Wichtig ist dabei zu betonen, dass der Vorwurf von Politikern, mit dem Leaking von Stuxnet würden wichtige Geheimdienstkapazitäten öffentlich, damit nicht greift: Die primäre Aufgabe von Stuxnet war nicht das Ermitteln von Informationen, sondern das Zerstören der Zentrifugen. Anders verhält sich dies mit Vorgängern von Stuxnet, die Natanz überhaupt erst auskundschaften sollten, oder dem neuesten "Supervirus" Flame. Das geleakte Bekenntnis zu Stuxnet war in diesem Sinne weniger die Enttarnung eines Spions oder eines Spionageflugzeugs als ein Atomtest: Wir haben die Fähigkeit zur Verwendung solcher Waffen und ihr könnt nichts machen. Seid gewarnt.
Wenn die USA aber zugäben hinter Stuxnet zu stecken ist der Einsatz von Stuxnet nicht mehr so sehr einem Atomtest gleichzusetzen. Das wäre der Fall wenn sie die mit Stuxnet ihre eigenen Zentrifugen kaputt gemacht hätten. “Atomtests” in fremden Ländern werden gerne mal als Krigshandlung gewertet. Was natürlich der Grund sein wird aus dem die Verantwortung für Stuxnet und damit die zerstörten Zentrifugen nur inoffiziell durch den vermeintlichen Leak übernommen wird.
Ich denke, es ist hier auch der Atomtest auf eigenem Gebiet gemeint, also die Demonstration gewisser Waffen oder Fähigkeiten zur Abschreckung anderer. Aber ja, Stuxnet ist ein gezielter Angriff und daher geschah vllt wirklich der Weg über leaking statt öffentlicher Bekennung und damit einhergehender Verantwortung.
Guter Punkt. Die Idee war eigentlich, dass durch einen Angriff allein kein Abschreckungspotenzial entstehen kann, weil der Angriff ja nicht eindeutig zuzuordnen ist. Man kann dieses Potenzial nur erreichen, wenn man sich anschließend dazu bekennt. Aus den von Dir genannten Gründen natürlich eher durch die Blume.
Ich denke aber, dass Du auf zwei wichtige Dinge hinweist, die man (in einem weiteren Post) noch einmal näher ausführen sollte: Nämlich erstens, dass die technologische Fähigkeit allein im Kontext von Cybersecurity offensichtlich kein Abschreckungspotenzial hat. Man kann, wie du sagtest, auf eigenem Gebiet Atombomben testen und schickt damit eine klare Botschaft. Beim Gegner würde man einen solchen Test eher nicht durchführen; jedenfalls wäre es dann kein Test. Würde man sich damit brüsten, dass man seine eigenen Netze geknackt oder sogar Anlagen durch Hacks oder Viren zerstört hat, hätte dies vermutlich kein Abschreckungs- sondern höchstens Verwunderungspotenzial. Abschreckung kann also im Kontext der Cybersecurity glaubwürdig nur durch einen geglückten Angriff oder zumindest die Veröffentlichung beeindruckender Exploits o.Ä. geschehen.
Das führt mich dann auch zum zweiten Punkt, nämlich dass ein Angriff im Netz (im Gegensatz zu konventionellen Waffen) offensichtlich einen bedeutend niedrigeren Stellenwert hat. Hoch genug, als dass man sich nicht wirklich offiziell damit brüsten will, aber klar zu niedrig als dass das außerhalb diplomatischer und elektronischer Dimensionen ernsthafte Konsequenzen haben würde.
Eine sehr schöne Analogie, leaking durch Abschreckung. Das ist dann mit Israels Atomwaffen vergleichbar: Alle wissen davon, die Abschreckung entfaltet Wirkung, aber richtig eingestehen und die Konsequenzen tragen (NPT etc.), müssen die Regierungen nicht.
Gute Idee! Angenommen die Verlautbarung der Verantwortung der USA und Israels für Stuxnet war ein lancierter Leak, wirft dieser Vorgang tatsächlich einige interessante Fragen auf.
Tatsächlich kann man argumentieren, dass das Leaken eine abschreckende Wirkung haben könnte, da es die implizte Drohung enthält, dass die Fortführung des iranischen Atomprogramms zu derartigen Angriffen führen kann, da beispielweise die USA und Israel in der Lage und Willens sind, potente Cyberwaffen zu produzieren und einzusetzen. Der Angriff mit Stuxnet verleiht dieser impliziten Drohung eine gewisse Glaubwürdigkeit.
Aber erstens: Sind derart implizite Drohungen tatsächlich glaubwürdig? Oder bedarf es expliziter Drohungen um glaubwürdig abzuschrecken (Beispiel: US Sicherheitsstrategie)?
Zweitens: Stuxnet war ein gezielter Angriff auf eine bestimmte Einrichtung. Es ist fraglich, ob die Androhung gezielter Attacken (“discriminate force”) eine solche Abschreckungswirkung haben kann, wie die Anwendung unterschiedsloser Angriffe (indiscriminate force”). Die Kosten eines gezielten Angriffs sind nicht besonders hoch. Cyberangriffe mit hohen Kosten könnten zum Beispiel Angriffe auf die Infrastruktur eines ganzen Landes sein (Strom, Wasser).
Wohlmöglich wäre es interessant etwas eingestaubte Beiträge zur Debatte über “nuclear deterrence” hervorzukramen und die Ideen von damals auf Cybersecurity heute zu übertragen. Thomas Schellings “The strategy of conflict” bietet sich hier beispielsweise an.
@Cem: Man kann es ja gerade nicht mit konventionellen Waffen vergleichen, da das tatsächliche Risiko, im Gegensatz zu Atombomben, unbekannt ist.
Daher wäre es, da stimme ich Janusz zu, interessant zu untersuchen, welche Wirkung implizite Drohungen haben.
Dass sie aber keinerlei Abschreckungspotenzial haben, denke ich nicht, auch wenn die Herkunft von schädlichen Viren nicht völlig geklärt ist. Schließlich ist bekannt, dass die USA auf den Feldern “Cybersecurity” und “Cyberwaffen” va seit einigen Jahren verstärkt forscht – wenn dann gefährliche Viren auftauchen und, wenn auch durch nicht bestätigte Leaks, Verbindungen zu den USA hergestellt werden, reicht dies für eine Abschreckung meiner Meinung nach aus. Welche Wirkung eine solche ‘gefühlte’ oder ‘implizite Bedrohung’ im Gegensatz zu anderen, expliziten, hat, und welche Konsequenzen sie nach sich zieht (oder eben auch nicht), wäre eine spannende Frage.