Interviews & Porträts, Politik, Sachbuch

Der Effekt ist der derselbe

Richard Clarke, der ehemalige Sicherheitsbeauftragte von George W. Bush, hat ein Buch über Cyberkriege geschrieben. In »World Wide War« warnt er vor einem verstärkten Aufkommen von Cyberkriegen und fordert Beschränkungen für den Waffengang via Internet. Im Interview erklärte er mir, warum die Gefahr von Cyberkriegen nicht zu unterschätzen ist. 

Richard A. Clarke, geboren 1951, war mehr als drei Jahrzehnte lang im Weißen Haus, im State Department und im Pentagon als Berater für vier US-Präsidenten tätig. Bill Clinton ernannte ihn zum Bundeskoordinator für die nationale Sicherheit. Nach den Anschlägen vom 11. September 2001 leitete er den Krisenstab im Weißen Haus. Robert K. Knake ist Mitarbeiter des Council on Foreign Relations, wo er sich auf Internetkriminalität spezialisiert hat.

Herr Clarke, seit dem Angriff auf die iranischen Atomanlagen mit dem Internet-Wurm Stuxnet im vergangenen Herbst wird weltweit über Cyberwars gesprochen. Gemeinsam mit dem Spezialisten für Internet-Kriminalität Robert K. Knake haben Sie ein Buch über Cyberwars geschrieben. Was verstehen Sie unter einem Cyberkrieg?

Richard Clarke: Man unterscheidet drei verschiedene Phänomene. Das erste ist Internetkriminalität, d.h. Leute stehlen Geld von Banken oder Kreditkartennummern. Das zweite ist Onlinespionage, d.h. Nationalstaaten stehlen Informationen von Unternehmen und von Regierungen. Bei der dritten Möglichkeit benutzen Staaten Netzwerke, um einander anzugreifen. Darunter fallen Hackerangriffe auf Waffenanlagen oder zivile Strukturen wie Stromanlagen, Bank- oder Kommunikationssysteme. Man kann Dinge zerstören ohne Bomben und Raketen, wenn man durch Computernetzwerke verbunden ist.

Sie haben also Einfluss auf den Alltag der Zivilbevölkerung?

Cybercrime hat bereits seit einer Weile Einfluss auf das Leben der Zivilbevölkerung. Von vielen Menschen wurden persönliche Daten oder Geld gestohlen. Wenn Nationen künftig Kriege gegeneinander führen, was glücklicherweise nicht allzu oft passiert, wird es Cyberangriffe geben, in denen die Volkswirtschaft das Ziel sein wird. Kriege werden künftig über das militärische Kampffeld hinaus wirken und das Leben der Bürger direkt beeinträchtigen. Es kann dann zu Schwierigkeiten bei der Strom- und Wasserversorgung kommen. Die logistischen Systeme zur Verteilung von Lebensmitteln könnten angegriffen und beschädigt werden. Oder man erhält nach einer Cyberattacke einfach kein Geld mehr aus dem Bankautomaten.

Was ist das Ziel einer Cyberattacke?

Cyberkriege werden nicht unabhängig von einem konventionellen Krieg stattfinden. Was also auch immer das Ziel dieses konventionellen Krieges ist, ist auch das Ziel des Cyberkrieges. Die internetbasierte Kriegsführung bietet lediglich neue Waffen. Zwischen 20 und 30 Länder verfügen mittlerweile über dieses Potential.

Können Cyberkriege unabhängig von konventionellen Kriegen stattfinden?

Im Extremfall kann ein Cyberangriff nur im Cyberspace stattfinden. So war der Stuxnet-Angriff auf die iranischen Nuklearanlagen eine reine Cyberattacke. Ein ähnlicher Angriff hatte sich auch schon 2007 ereignet, als Russland Estland angegriffen hatte. Für wahrscheinlicher halte ich es aber, dass ein im Cyberspace gestarteter Krieg zu einer konventionellen Auseinandersetzung führen wird, bei der Raketen und Bomben zum Einsatz kommen.

Warum sorgte der Computerwurm Stuxnet für so viel Aufsehen?

Der Stuxnet-Wurm war ein zielgerichteter Computerwurm, der nach Information suchte, die er nur in den Zentrifugen des iranischen Nuklearprogramms fand. Bis dahin hatten sich solche Computerwürmer immer über das ganze Internet verteilt und willkürlich jeden Computer befallen. Schon im Vorfeld gab es viele Gerüchte, dass Israel oder die USA den Iran militärisch angreifen würden. Statt einer militärischen Aktion aber erfolgte der Stuxnet-Angriff. Der Effekt war derselbe – über 1.000 Zentrifugen wurden dabei zerstört.

Führen Cyberkriege zu einem Ende der Abschreckungspolitik?

Ja, das tun sie. Abschreckung und Cyberwaffen schließen sich fast aus. Zum einen erfordern Abschreckungsstrategien, dass der Angreifer bekannt ist. Das ist bei Cyberangriffen zwar theoretisch denkbar, praktisch kann die Identität des Angreifers aber gut versteckt werden. Abschreckung erfordert außerdem, dass die gegnerische Seite weiß, wie sehr man ihr wehtun kann. Solange der Angriff jedoch nicht erfolgt ist, bleibt es unklar, wie sehr man die andere Seite mit einer Cyberattacke treffen kann.

Sie behaupten in Ihrem Buch, dass die Wahrscheinlichkeit von Cyberangriffen mit der Anzahl an Programmierfehlern steigt, die wiederum mit der Anzahl der am Produktionsprozess beteiligten Unternehmen steigen. Braucht es für Cyberkriege künftig keinen Kriegsgrund mehr, sondern reicht allein die einfache Möglichkeit, diesen zu führen, aus?

Das hängt vom Ziel eines Cyberangriffs ab. Eine militärische Besetzung eines Staates kann man nicht mit Software erreichen. Wenn man aber Dinge oder Infrastrukturen in einem anderen Staat zerstören will, dann ist eine Cyberattacke durchaus denkbar.

Werden Staaten künftig öfter in den Cyberkrieg ziehen, um ihre Fähigkeiten zu testen?

Ich denke nicht, dass Staaten in Kriege ziehen, einfach nur um Waffen zu testen, auch nicht Cyberwaffen. Das Problem mit Cyberkriegen ist jedoch, dass man der Meinung sein könnte, diese Kriege wären gar keine »richtigen« Kriege. Ich finde diese Haltung gefährlich, denn es gibt keine Garantie, dass ein Krieg, der im virtuellen Raum beginnt, auch dort bleibt.

Sind Umstände oder Bedingungen denkbar, die Cyberkriege befördern?

Nein, Cyberkriege werden dann auftreten, wenn eine Regierung entscheidet, in einen Krieg zu ziehen. Das Problem mit Cyberkriegen ist doch, dass man der Meinung sein könnte, diese Kriege wären sauberer und einfacher zu führen als konventionelle Kriege und wären daher gar keine »richtigen« Kriege. Wenn sich diese Haltung durchsetzt, dann kann man sich vorstellen, dass sich eines Tages ein Staatsführer allzu leichthändig für einen Cyberkrieg entscheidet – vielleicht weil er einen konventionellen Krieg für zu riskant hält und fürchtet, dass zu viele Menschen sterben. Ich finde diese Haltung gefährlich, denn es gibt keine Garantie, dass ein Krieg, der im virtuellen Raum beginnt, auch dort bleibt. Schon der erste Vergeltungsschlag des im Cyberspace angegriffenen Staates kann in traditioneller militärischer Weise erfolgen.

Sie schreiben, dass nur die wenigsten Angriffe über das Internet bemerkt werden. Die Mehrheit der Attacken erfolge unbemerkt. Das erinnert an die Anti-Terror-Rhetorik der letzten Jahre, die von immer mehr unbemerkten als entdeckten Terroristen sprach.

Studien der US-Regierung haben ergeben, dass zahlreiche amerikanische Unternehmen angegriffen wurden. Nachdem die Regierung die Internetbewegungen überwacht hatte, ist sie zu den Unternehmen gegangen und hat gefragt, ob sie einen Angriff bemerkt hätten. Und die meisten Unternehmen haben die Angriffe nicht bemerkt. In der letzten Studie wurden 90 Unternehmen berücksichtigt, die erfolgreich von außen angegriffen und denen dabei Unternehmensinformationen entwendet wurden. Über zwei Drittel der befragten Unternehmen wussten gar nichts von einem Angriff, bis ihnen die Regierung einen solchen nachgewiesen hatte. Es ist also ziemlich offensichtlich, dass es deutlich mehr Netzwerke gibt, die erfolgreich angegriffen werden, als es die allgemeine Öffentlichkeit je erfährt.

Liest man Ihr Buch, könnte man den Eindruck bekommen, dass sich nahezu alles ändert, nur die Konstellation von Gut und Böse nicht. Die größte Bedrohung im Internetzeitalter sehen Sie in Russland und China. Das klingt sehr nach Kaltem Krieg.

Meist wissen wir nicht, wer die Cyberangriffe verübt. Wir wissen aber, dass China und Russland, wie übrigens auch die USA, über hoch entwickelte technische Möglichkeiten und ausreichend Wissen verfügen. Das gleiche gilt für Staaten wie Frankreich, Israel oder Großbritannien. Wir sollten im Fall eines Angriffs nicht annehmen, dass dieser notwendigerweise aus China oder Russland kommt, zumal Angreifer oft versuchen, sich zu tarnen und die Schuld anderen zuzuschieben.
Als ich noch im Weißen Haus gearbeitet habe, wurde mir mitgeteilt, dass China das Netzwerk des Weißen Hauses angegriffen hätte. Die von mir veranlasste Untersuchung ergab schließlich, dass dieser Angriff von einem Amerikaner aus Seattle ausgegangen war, der sich als chinesischer Hacker ausgab.

Nichts desto trotz sprechen Sie immer wieder von einem chinesischen Cyber-Angriff auf Amerika. Warum sollte es aufgrund der engen wirtschaftlichen Verflechtungen beider Länder zu einer solchen Attacke kommen?

Auch ich halte einen Angriff von China auf die USA aufgrund der wirtschaftlichen Verflechtungen für sehr unwahrscheinlich. Aber beide Staaten entwickeln Cyberwaffen. Manchmal kommt es nach fünf Jahren zu Kriegen, die fünf Jahre zuvor noch unvorstellbar waren. Wenn das amerikanische Militär nun darüber nachdenkt, welche Staaten die USA künftig mit Cyberwaffen angreifen könnten, dann gehört China ganz sicher mit dazu. Das heißt nicht, dass es wahrscheinlich ist, sondern dass man sich darüber Gedanken machen kann.

In Ihrem Buch schreiben Sie, dass die USA im Falle eines Cyberkriegs im Vergleich zu China oder Nordkorea nicht besonders gut dastehen.

Man muss neben den offensiven Möglichkeiten auch die Verletzlichkeit bei Cyberangriffen bedenken. Der Sinn unseres Vergleichs liegt darin, deutlich zu machen, dass man nicht nur an den Angriff denken darf. Wir haben hier drei verschiedene Faktoren berücksichtigt. Erstens: Welche Fähigkeiten existieren in der Offensive? Zweitens: Wie abhängig ist die Wirtschaft von internetkontrollierten Netzwerken? Nordkorea zum Beispiel ist im Gegensatz zu den USA kaum von Onlinenetzwerken abhängig, die man mit einem Cyberangriff beschädigen könnte. Und drittens: Wie gut können Staaten ihre eigenen Onlinenetzwerke verteidigen? China kann seine Onlinenetzwerke wahrscheinlich besser verteidigen, als die USA, denn dort gibt es nur einen Internetanbieter, während in den USA zahlreiche Provider existieren. Niemand in den USA kann, um einen Cyberangriff ins Leere laufen zu lassen, das Internet einfach abstellen, so wie das kürzlich in Ägypten gemacht wurde und wie es China tun könnte. Wenn man also die Faktoren der offensiven Fähigkeiten, der Abhängigkeit von Cybernetzen und der Möglichkeiten, den eigenen Cyberraum zu kontrollieren, miteinander kombiniert, schneiden die USA nicht so gut ab. Sie sind sehr gut in der Offensive, aber wirklich schlecht in den beiden anderen Bereichen. 

World wide war
Richard A. Clarke, Robert Knake: World Wide War. Angriff aus dem Internet. Aus dem Englischen von Stephan Gebauer-Lippert und Heike Schlatterer. Hoffmann & Campe Verlag 2011. 352 Seiten. 22,- Euro. Hier bestellen

Wird es nur zwischen Staaten zu Cyberkriegen kommen?

Im Moment haben nur Nationalstaaten die Möglichkeiten, einen reinen Cyberkrieg zu führen, denn dazu braucht man einige tausend Menschen, ein großes Budget, einen Geheimdienst und gegebenenfalls auch eine Armee, die den Cyberangriff unterstützen. Aber ich bin nicht sicher, ob das immer der Fall sein wird. Im Laufe der Zeit werden einige der Cyberwaffen auch in die Hände von kriminellen Banden und anderen nichtstaatlichen Akteuren gelangen.

Haben die Staaten mit den größten Cyber-Fähigkeiten auch die besten Siegesaussichten?

Das Besondere an den bisher vorhandenen Cyberwaffen ist, dass die Angriffswaffen deutlich ausgereifter sind als die Abwehrtechniken. Es ist für Staaten daher momentan extrem schwer, sich erfolgreich gegen Cyberangriffe zu verteidigen. Es bricht einiges dafür, dass ein Land, welches zuerst angreift, deutlich erfolgreicher aus einem Cyberkrieg hervorgeht, als ein Land, welches abwartet und reagiert.

Sind Staaten wie die USA nicht in der Lage oder nicht willens, ihre Abwehrfähigkeiten zu stärken?

Die USA haben ebenso wie andere Staaten Schwierigkeiten, ihre kritischen Infrastrukturen zu verteidigen, weil es ihnen an entscheidenden Abwehrtechnologien mangelt. Ausgeklügelte Angriffe sind daher fast immer erfolgreich, das haben Studien und unsere Erfahrungen deutlich gemacht, nicht nur bei Cyberangriffen, sondern auch bei Internetspionage.

Inwiefern kann die Cybertechnik auch zur Überwachung von oppositionellen Politikern, Dissidenten oder Menschenrechtsgruppen missbraucht werden?  

Nun, das ist in Staaten wie China ja bereits der Fall. Dort werden die Onlineaktivitäten von Menschen schon überwacht. Das ist natürlich ein Problem, das aber weniger mit Cyberkriegen, als vielmehr mit Menschen- und Bürgerrechten zu tun hat.

Ist es denn überhaupt sinnvoll, im grenzüberschreitenden Internetzeitalter auf nationale Strategien zu setzen?

Ich denke schon, denn bisher können nur nationale Stellen das Internet innerhalb eines Landes regulieren und die verletzlichen Infrastrukturen verteidigen. Nationalstaaten denken daher immer stärker über nationale Sicherheitspläne nach. Bisher haben zehn Staaten solche nationalen Cyber-Sicherheitsstrategien veröffentlicht.

Wie identifiziert man dann nachweislich den Angreifer, erst recht im mobilen Internetzeitalter, in dem ein chinesischer Router nicht auf einen Angriff aus China hinweisen muss?

Dies ist in der Tat schwierig, wir sprechen hier vom »Zuschreibungsproblem«. Wenn der Angriff ich Echtzeit zu beobachten und zurückzuverfolgen ist, dann weiß man zumindest, von welchem Computer er ausgelöst wurde. Aber das heißt tatsächlich nicht, dass man damit wüsste, welcher Staat hier angreift oder einen Angriff veranlasst hat. So schienen z.B. die Cyberangriffe auf Georgien im Jahr 2008 mitten aus New York zu kommen, aber es waren natürlich nicht die USA, die Georgien angriffen. Wir schlagen in unserem Buch daher die Einrichtung eines Netzwerks aus nationalen Zentralen vor, die miteinander kommunizieren und sich im Falle eines Cyberangriffs bei der Ermittlungsarbeit gegenseitig unterstützen. Wenn ich also in Deutschland aus Frankreich angegriffen werde, dann muss mir Frankreich helfen, mich zu verteidigen.

Sie fordern eine nationale Verantwortung für den eigenen Cyberspace? Das hieße aber, dass Staaten in der Lage sind, ihren Cyberspace umfassend zu überwachen. Wie soll das gehen, wenn doch die meisten Attacken, wie Sie sagen, unbemerkt bleiben?

Überwachungssysteme zeichnen diese Angriffe auf, so dass Staaten in der Lage sind, den Standort des letzten für den Angriff verwendeten Computers zu ermitteln. Sie sind vielleicht nicht in der Lage, das Ursprungsland des Angriffs auszumachen, aber sie finden durchaus den Rechner, von dem die Attacke zuletzt herkam. Wenn ich also in Deutschland bin und mein Computer von einem Rechner aus Frankreich angegriffen wird, dann kann ich zumindest die Franzosen auffordern, diesen Rechner zu überprüfen. Die Franzosen haben vielleicht nicht gewusst, dass ein Rechner aus ihrem Land mich angegriffen hat, aber wenn ich es ihnen sage, dann können sie der Sache nachgehen.

Sie fordern auch eine Aufteilung des Internets.

Ich bin der Meinung, dass für die Kontrolle der kritischen zivilen Infrastrukturen ein separates Netz eine gute Idee wäre. Das würde sicherstellen, dass es vom öffentlichen Internet keinen Zugriff und somit auch keine technischen Möglichkeiten gibt, um in das Kontrollsystem von Stromnetzen oder Bahnleitsystemen zu gelangen. Es wäre sinnvoll, ein solches, physisch getrenntes Netz für verletzliche Infrastrukturen zu bilden. Und dieses separate Netz sollte vielleicht auch auf einer anderen Art Software basieren. Das würde es dann noch schwieriger machen, in dieses Netz einzudringen.

Wird eine solche Aufspaltung des Internets nicht Empörung bei Unternehmen, Usern und Internetaktivisten provozieren?

Einige Privatunternehmen arbeiten bereits mit solchen separaten Netzwerken. Jedoch haben einige der so genannten Internetaktivisten die Idee verinnerlicht, dass es nur ein Internet geben sollte. Ich weiß weder, wo sie diesen Gedanken her haben, noch warum wir uns daran halten sollten, wenn es uns verletzlicher für Cyberattacken macht. Noch einmal: Ich denke, es ist sinnvoll, verschiedene Netze für unterschiedlich sensible Bereiche zu haben.

Vielleicht wollen die Menschen einfach die Transparenz der Datenflüsse gewahrt wissen?

Ja, und ich denke, es wird immer ein öffentliches Internet geben. Aber warum sollten die Weichensysteme von Bahnunternehmen oder die Schaltanlagen von Stromnetzen für alle einsehbar sein? Ich denke nicht, dass es an solchen Datenflüssen ein öffentliches Bedürfnis gibt.

Sie schlagen auch ein Erstschlagverbot mit Cyberwaffen vor, d.h. das eine Cyberattacke nicht am Anfang eines Krieges stehen soll. Wer definiert denn die Trennlinie zwischen Internetkriminalität, Internetspionage und Cyberkrieg?

Es muss internationale Untersuchungen und möglicherweise auch internationale Inspektionen geben, um im Zweifel diese Grenzen festzulegen. Wenn ein Staat sich von einem anderen Staat angegriffen fühlt und sich dieser andere Staat nicht kooperativ in der Aufklärung dieses Angriffs zeigt, dann sollte es die Möglichkeit geben, vor einer internationalen Organisation eine Beschwerde vorzutragen. Diese muss dann die Möglichkeit haben, der Sache nachzugehen. Wir haben eine solche Organisation z.B. mit der IAEA in Atomfragen. Eine solche Organisation sollte es auch für Cyberkriege geben.

Sie fordern außerdem ein Cyberangriffsverbot auf zivile Infrastrukturen. Stromnetze versorgen aber nicht nur Krankenhäuser, sondern auch Militärbasen oder Atomanlagen.

Das ist richtig. Aber meines Erachtens sollten Strukturen, die sowohl zivilen als auch militärischen Zwecken dienen, auf eine Liste von Objekten, die von Cyberangriffen ausgeschlossen werden. Die Strukturen, die ausschließlich militärischen Zwecken dienen, können nicht auf diese Liste. Dieses Konzept wurde in ähnlicher Weise auch schon in der Vergangenheit angewandt, z.B. in der Genfer Konvention bezüglich der Angriffe auf Zivilisten – auch wenn Nationalstaaten dieses Prinzip immer wieder ignorieren.

Man sollte zumindest versuchen, die Diskussion über eine mögliche Begrenzung von Cyberkriegen weiterzuführen. Wir haben Rüstungskontrollen für biologische, chemische und Nuklearwaffen, nun müssen wir an einer solchen Vereinbarung auch für die neue Klasse der Cyberwaffen arbeiten.

Wird es möglich sein, Cyberkriege einzudämmen oder gar zu verhindern?

Staaten sollten einen Cyberfrieden anstreben. Bisher gab es dazu nur einzelne Gespräche zwischen wenigen Staaten. Wenn Staaten ernsthaft an einem solchen Cyberfrieden arbeiten, besteht zumindest die Chance, die Wahrscheinlichkeit von Cyberkriegen einigermaßen einzudämmen. Aber bisher wird die meiste Energie in die Aufrüstung für den Cyberkrieg gesteckt.

Mr. Clarke, vielen Dank.