D

„Elegante und empfehlenswerte Waffe“

Welchen Stellenwert hat das Thema „Cyberwar“ für Politik und Lobbyismus hierzulande? p&k sprach darüber mit dem IT-Experten Sandro Gaycken.

Interview: Björn Müller

p&k: Was macht den so genannten Cyberwar als Kriegsmittel interessant?
Gaycken: Das überzeugende Kosten-Nutzen-Verhältnis. Sie brauchen keine Hochtechnologie wie für die Hochleistungswaffensysteme des 21. Jahrhunderts, siehe Atombomben oder Tarnkappenbomber. Über Cyberangriffe können sie die Infrastruktur des Feindes erheblich stören, beispielsweise den Zahlungsverkehr, Chemiewerke oder Schleusentore; also im Endeffekt alles was digital gesteuert wird, ohne dass hässliche Kollateralschäden entstehen. Der Cyberwar ist somit eine, wie ich finde, sehr elegante und empfehlenswerte Waffe. Entscheidend ist der Wille sich das nötige Hackerwissen anzueignen und das ist frei verfügbar. Sie finden es im Netz, in Fachbüchern und auf den Fachkonferenzen der Hacker­szene. Problematisch sind bis dato lediglich die Personalkosten. Wirklich gute Hacker sind bis dato noch ein rares Gut und verdienen sechsstellige Jahresgehälter. Das dürfte gerade für die Bundeswehr noch ein Problem sein, wenn die Mitglieder ihrer neuen Hackertruppe mit Beamtengehältern abgespeist werden.
Wie ernst nimmt die deutsche Politik das Thema „Cyberwar“?
Die Gefahr, dass ein anderes Land Deutschland direkt angreift und dessen Militärs mittels Hacking in unsere Computernetze eindringen und die Infrastruktur sabotieren, wird hierzulande als gering eingeschätzt und das meiner Meinung nach zurecht. Aber der Cyberwar hat noch andere gefährliche Dimensionen. Zahlreiche Länder rüsten hier ihre Fähigkeiten auf, um mittels Hacking Industriespionage oder Sabotage zu betreiben. Solchen perfiden Strategien des Cyberwar gehört die nahe Zukunft. Dafür entwickelt die deutsche Politik zunehmend eine Sensibilität. Allerdings hat sie das Problem, das sie naturgemäß auf real fassbare Bedrohungen ausgerichtet ist, sonst fragt der Steuerzahler, für was hier denn bitte Geld ausgegeben wird. Zudem fühlen sich viele Politiker mit dem Thema noch unwohl, da ihnen hier das nötige Fachwissen fehlt.
Und die Wirtschaft? Wie ernst nimmt sie das Thema?
Es gibt schon zahlreiche informelle Netzwerke in der Wirtschaft, beispielsweise in der Finanzbranche, die sich häufig und regelmäßig zum Thema Cyberwar treffen. Hier tauscht man sich über Angriffe aus und versucht auch Abwehrmaßnahmen zu koordinieren. Davon soll die Öffentlichkeit aber nichts mitbekommen, es herrscht bis dato noch eine Art „Gesetz des Schweigens“. Viele Unternehmen haben panische Angst davor, als Opfer von Cyberattacken bekannt zu werden.
Weshalb?
Es kommt weitaus häufiger zu Hackerangriffen auf sensible Daten als wir denken und überzeugende Abwehrmaßnahmen sind nicht Standard und zudem teuer. Die meisten Firmen fürchten um ihre Reputation und gerade Konzerne um ihre Aktienkurse, würde publik wie oft sie schon gehackt wurden. Deswegen ist der Cyberwar auch noch kein großes Thema bei den Verbänden im Bereich IT, wie dem Bitkom. Der Staat versucht hier inzwischen Druck aufzubauen, wie etwa vor kurzem das Innenministerium mit seiner Forderung nach einer Meldepflicht für Cyberattacken. Fortschritte stehen bis dato aber noch aus. Gerade die wichtigen Branchen Finanzen und Energie scheuen die Zusammenarbeit mit dem BSI, dem Bundesamt für Sicherheit und Informationstechnik, wie der Teufel das Weihwasser. Selbst dessen Beratungsangebote werden ausgeschlagen, um ja nicht den Eindruck zu erwecken, sie hätten Probleme mit Cyberangriffen.
Wird diese Angst nicht zunehmend vom Interesse überformt, mit dem Thema Cyberwar Geld zu verdienen?
Da wäre viel Geld zu machen und einige größere Rüstungsfirmen wie EADS und Thales bieten bereits hochwertige Produkte gegen Cyberangriffe. Aber in der IT-Sicherheitsbranche haben wir bis dato das so genannte „Zitronenmarktproblem“. Das heißt, es ist für den einzelnen Abnehmer relativ schwierig zu beurteilen, welches Produkt wirklich gut ist. Es fehlt das Wissen um die Technik und das bereits erwähnte Gesetz des Schweigens fördert diese Wissenslücke und damit die Unsicherheit in diesem Marktsegment. Die Folge ist, dass die Abnehmer lieber auf billige aber dann auch oft relativ wertlose Produkte setzen. Die Branche folgt diesem Trend und bläst zweifelhafte Allroundlösungen mit viel PR zu Superprodukten auf. Hinzu kommt, dass die Unternehmen die Kosten von Cyberangriffen auf ihre Kunden abwälzen können. Schließlich ist der Bereich gesetzlich nicht erfasst und somit kaum nachvollziehbar, wenn beispielsweise hinter der Erhöhung der „Servicegebühren“ ein großer Teil auf Schadensbehebung nach Hackerangriffen entfällt. Auch hier ist die Bankenbranche ein Beispiel.
Ihr Ausblick für die Zukunft?
Um in Deutschland einen soliden Markt entstehen zu lassen, muss die Politik endlich anfangen, den Bereich zu gestalten; also beispielsweise als einen ersten Schritt eine Meldepflicht für Cyberangriffe einführen, um so die Wirtschaft anzustoßen. Erst wenn der Staat das Feld beackert, haben Unternehmen und Verbänden den Bedarf, politische Forderungen zu stellen und ein Lobbyismus im größeren Stil wird sich bilden. Lange wird das wohl nicht mehr dauern. Es ist seit Jahren bekannt, dass die Kriminalität im Bereich Internet rasant ansteigt. Hinzu kommen bald die Staaten, die, wie eben auch Deutschland, dabei sind, Truppen für Cyberangriffe aufzubauen. Und wenn diese „Waffen“ verfügbar sind, will man sie auch erproben. Der Cyberwar wird ein Krieg neuen Typs sein, mit langfristiger Ausrichtung und mit einer Strategie der Erosion, die auf eine Schwächung der Infrastruktur des Feindes abzielt.

Sandro Gaycken

forscht am Institut für Computer-Wissenschaften der Freien Universität Berlin in den Bereichen Technologie und Sicherheit. Für die Themenkomplexe der Cybersecurity und des Cyberwar ist er einer der bekanntesten Experten Deutschlands. Unter anderem berät er mehre Bundesministerien beim Thema IT-Sicherheit. Gaycken ist Autor des Buchs „Cyberwar – Das Wettrüsten hat längst begonnen: Vom digitalen Angriff zum realen Ausnahmezustand“.