Der Kampf um Daten und Informationen braucht Regeln

Von Erwan Keraudy ist CEO und Mitbegründer von CybelAngel

Irgendwo auf dieser Welt ist immer Krieg. Aber auch direkt vor unseren Augen findet tagtäglich einer statt – hier und bei unseren Nachbarn weltweit. Ein Krieg, der nicht mit Bomben oder Granaten ausgetragen wird, den niemand körperlich erlebt, dessen Auswirkungen aber überall zu spüren sind. Der Cyberkrieg um Daten und Informationen, wird rund um den Globus auf dem für viele unsichtbaren Schlachtfeld der Server und Netzwerke ausgetragen. Inzwischen gilt das Cyberspace in der NATO, neben Land, Luft, See und Weltraum bereits als die 5. Domäne der Kriegsführung. Die Bedrohungen, die aus dem Cyberkrieg resultieren, betreffen alle Lebensbereiche unserer Gesellschaft. Die Frage ist deshalb: Wie lässt sich dieser weltweite Kriegsschauplatz entschärfen?

Krieg ist immer schrecklich, seine Folgen verheerend. Aber, so makaber es klingt, bei den „traditionellen Formen“ des Krieges gibt es die ein oder andere Regel, an die sich die meisten Parteien auch im Kampfeinsatz halten. Verhaltensregeln für kriegerische Einsätze begleiten uns seit Jahrhunderten und werden in der Regel allgemein anerkannt. In der Cyberwelt gelten diese Regeln nicht. Hier gibt es keine eindeutige Definition für den regelkonformen Einsatz. Auf dem digitalen Kriegsschauplatz gibt es keine Grenzen, es herrscht Chaos. Doch dafür ist der Mensch nicht gemacht. Deshalb wird überall versucht, Ordnung in das Chaos zu bringen. Dazu ist es notwendig zu überprüfen, wo wir stehen und welche Regeln im Cyberspace akzeptiert und umgesetzt werden können.

Datenautobahn und Pilzgeflecht

Das Internet ist weit mehr als das Konglomerat aus Webseiten und bunten Bildchen, von süßen Babys, Katzen oder Hundewelpen. Die visuelle Bilderflut, die Google, YouTube, Facebook oder andere Portale bereitstellen, macht lediglich 4 % des World Wide Web aus. Unter der Oberfläche liegt allerdings ein riesiger digitaler Untergrund, der einem Pilzgeflecht ähnelt. Das Internet ist sowohl ein Ort, an dem Menschen ihre Meinung frei äußern können, als auch ein dunkler Ort, an dem Drogenbarone, Hacker, Terroristen und andere üble Akteure ihre illegalen Transaktionen durchführen. Das sogenannte Darknet oder Deepnet steht für die dunkle Seite des Internet. Hier kann man beispielsweise alle Arten von Drogen kaufen, selbst Substanzen, die vielen Menschen gar nicht bekannt sind. Es ist auch Handelsplatz für Waffen jeder Art. Angefangen vom klassischen Revolver, bis hin zu Waffen, die man nur aus Jason-Bourne-Filmen kennt.

Und dann sind da auch noch die digitalen Waffen, wie Malware und Botnets. Sie sind physikalisch nicht zu fassen, aber nicht weniger gefährlich als Kugeln, Bomben und Granaten. Digitale Waffen kapern Geräte und Applikationen aus dem „Internet of Things“ und transformieren sie zu zerstörerischen Instrumenten. Damit greifen Sie Organisationen, Unternehmen sowie Infrastrukturen an und bedrohen Menschenleben, aber auch die Wirtschaft und andere materielle Werte.

Digitale Piraten kapern das Internet

Digitale Attacken von Cyberkriminellen, die es weltweit auf Infrastrukturen von Regierungen, Unternehmen oder Organisationen abgesehen haben, bezeichnet man auch „schanghaien“. Der Begriff stammt aus der Seemannssprache und steht für das gewaltsame Rekrutieren von Seeleuten für Kriegs- und Handelsschiffe. Diese Art der Freiheitsberaubung, auch Pressen genannt, wurde in der Vergangenheit zeitweise auch für die Heeresergänzung angewandt. Statt auf Seeleute haben es die Piraten des digitalen Zeitalters auf das Internet und die damit verbundenen Komponenten abgesehen. Das IoT macht den digitalen Tummelplatz für kriminelle Elemente noch interessanter, denn hier werden durch das Web zahlreiche Objekte zusammengeführt und verbunden – ein nicht enden wollender Strom von mehr und mehr verbundenen Geräten. Und der Hype rund um IoT geht ungebremst weiter. IDC rechnet bis 2022 mit IoT-Ausgaben von rund 1,2 Billionen US-Dollar weltweit. Allein in Deutschland erwarten Analysten für 2020 ein IoT-Umsatzpotenzial von 50 Milliarden Euro. Für den Branchenverband Bitkom gehört IoT zu den Top 3 Trends der ITK-Branche.

Der Hype hat aber auch seine Schattenseite. Um die Benutzerfreundlichkeit und Interoperabilität zu erhöhen, sind viele IoT-Geräte meist von Haus aus unsicher, benötigen lediglich Standard-Anmeldedaten ohne besondere Authentifizierung. Das macht die Infrastruktur, in die sie eingebunden sind, anfälliger für Angriffe. Diese Geräte sind nicht einfach ein wunder Punkt, sondern können, wie das trojanische Pferd in geschlossene Umgebungen eingeschleust werden. Als Waffe werden Malware und Botnets eingesetzt.

Ein Beispiel für eine Malware ist Mirai, mit der Geräte wie Webcams oder persönliche Router, auch im privaten Bereich, infiziert und in digitale Zombies verwandelt werden. Diese Zombies respektive Botnet warten in ihrer Installation auf den Befehl, ein bestimmtes, festgelegtes Ziel anzugreifen. Und das funktioniert sehr effizient. Es war das Mirai Botnet, das im Oktober 2019 das Internet in Nordamerika für 10 Stunden lahmlegte und Websites wie Amazon, Twitter, Facebook und CNN unerreichbar machte. In der Cybercrime-Welt ist Mirai aber nur das Pendant zu einer Handfeuerwaffe. Im Hintergrund lauern bereits neue digitale Waffentypen, die erheblich größere Schäden anrichten können.

Entwicklung digitaler Waffen schreitet rasant voran

Im Januar 2010 veröffentlichten die Vereinigten Staaten und Israel die erste digitale Waffe der Welt. Sie wurde Stuxnet genannt und verursachte physische Zerstörung in einem iranischen Atomkraftwerk. Stuxnet ist autark und automatisiert, es sucht sich ein Gerät nach dem anderen und legt sich auf die Lauer, um sich weiter zu verbreiten. Inzwischen ist es möglich, dass jede Regierungsbehörde buchstäblich jede kritische Infrastruktur in jedem Land zu jeder Zeit ausschalten kann. Die USA sind nämlich nicht das einzige Land mit digitalen Waffen, lediglich das, von dessen Arsenal wir mit Sicherheit wissen.

Im Jahr 2012 wurde Saudi Aramco durch einen Angriff der Shamoon-Malware stillgelegt. Diese aggressive Malware zum Löschen von Festplatten fordert kein Lösegeld, sie verbreitet sich einfach und ersetzt Master-Boot-Dateien durch das Bild einer brennenden US-Flagge. Abgesehen von den Bildern mit ihrer politischen Botschaft hat dieser Virus einen wichtigen Wirtschaftszweig verwüstet.

Im Jahr 2015 setzte die iranische Cyber-Armee eine unbekannte digitale Waffe ein, um die Türkei in die Steinzeit zurückzuschicken, indem sie deren elektrische Verteilungsnetze angriff. Die Angreifer haben die gekaperten Stromquellen beliebig ab- und wieder eingeschaltet. Dadurch saß mehr als die Hälfte der türkischen Bevölkerung innerhalb weniger Sekunden im Dunkeln. Computer, Flughäfen, Flugverkehr, Ampeln, Krankenhäuser, Lichter, Aufzüge, Kühlanlagen, Wasser und Abwasser, alles stand einfach still.

Bemerkenswert ist, dass dieser Vorfall nicht nur militärische oder wirtschaftliche Ziele betraf, sondern auch Zivilisten. Es sind diese zivilen Opfer, die deutlich machen, dass wir Regeln für den digitalen Krieg brauchen.

Regeln für den digitalen Krieg

Krieg ist immer eine hässliche Sache, weshalb Menschen schon seit langer Zeit versuchen, für diesen Fall gewisse Regeln aufzustellen. Die Genfer Konventionen sind ein bekanntes Beispiel dafür. Darin gibt es eine Reihe von Bestimmungen, die auch für die Cyberkriegsführung übernommen werden könnten. Angesichts der Auswirkungen, die ein Cyberkrieg auf alle Lebensbereiche hat, werden sich aber einige Regeln nur schwer oder gar nicht durchsetzen lassen, weil sie nicht angemessen sind. Es bleibt die Hoffnung auf Gespräche, in denen neue Regeln festgeschrieben werden, um diejenigen zu schützen, die nicht unmittelbar am Cyber-Kampf beteiligt sind.

Im Folgenden finden Sie eine Auswahl von Paragrafen aus den aktuellen Genfer Konventionen, die sich möglicherweise auch auf Cyberkriege anwenden lassen:

• Die Bezeichnung "Roter Kristall": Dies ist das Symbol für eine Schutzklasse, die medizinische und religiöse Einrichtungen kennzeichnet. Institutionen, die dieses Schutzembleme tragen, leisten humanitäre Dienste und müssen von allen Konfliktparteien geschützt werden.
• Schutz der Gesundheit: Die Zerstörung oder Behinderung von medizinischen Einrichtungen, Krankenhäusern sowie Institutionen der öffentlichen Gesundheit ist verboten. Zu dieser Kategorie zähen auch Hygieneeinrichtungen, die eine Ausbreitung von ansteckenden Krankheiten und Epidemien bekämpfen. Medizinischem Personal aller Kategorien ist die Ausübung ihrer Aufgaben zu gestatten.
• Schutz von Überlebensmaterial: Verbot wahlloser Angriffe auf Nahrung, Wasser und andere überlebensnotwendige Materialsysteme.
• Verbot der Zerstörung von Einrichtungen zur Gefahrenabwehr: Angriffe auf Dämme, Deiche und Atomkraftwerke sind untersagt, weil es "Werke und Anlagen“ sind, die gefährliche Kräfte enthalten oder freisetzen können. Solche Einrichtungen dürfen nur auf eine Art und Weise angegriffen werden, die nicht dazu führt, dass diese gefährlichen Kräfte freigesetzt werden.
• Verbotene Zerstörung: Die Zerstörung von Immobilien oder persönlichem Eigentum, das individuell oder kollektiv einer privaten, öffentlichen oder sozialen Organisation gehört, ist verboten.

Wo wir heute stehen

Wir sind nicht die ersten, die Regeln für den Cyberkrieg vorschlagen. Bereits in den 2010er Jahren wuchs die Besorgnis über Cyber-Kriegsführung und darüber, wie man den Schaden und die Auswirkungen eindämmen kann. Seinerzeit haben drei verschiedene Organisationen Rahmenwerke vorgeschlagen – allerdings mit unterschiedlichem Erfolg.

Die älteste und erfolgreichste Initiative ist der Shanghaier Pakt. Dabei handelt es sich um ein kooperatives politisches, wirtschaftliches und sicherheitspolitisches Abkommen zwischen Russland, China, Indien und anderen benachbarten Ländern. Während dieses Abkommen ein Schritt in die richtige Richtung ist, beziehen sich die Cyber-Aspekte des Pakts hauptsächlich auf "Desinformation", die über elektronische Mittel verbreitet wird.

Von der NATO gibt es das Tallinn-Handbuch – ein akademisches Dokument aus dem Jahr 2013. Es untersucht, wie Jus ad Bellum (Gerechter Krieg) und humanitäres Völkerrecht auf Cyber-Operationen anwendbar sind. Eine aktualisierte Version wurde 2017 veröffentlicht und Tallinn 2.0 genannt. Obwohl dieses Dokument von den NATO-Staaten unterstützt wird, handelt es sich um eine akademische Studie, die geltendes Recht klären soll. Es ist nicht dazu gedacht, zukünftige Aktionen einzuschränken.

Neben den Regierungen haben auch Vertreter einiger Unternehmen, darunter Brad Smith von Microsoft, eine digitale Genfer Konvention vorgeschlagen. Diese würde "das nationalstaatliche Hacken aller zivilen Aspekte unserer wirtschaftlichen und politischen Infrastrukturen verbieten". Er erklärte auch, dass eine unabhängige Organisation Beweise, die nationalstaatliche Angriffe bestimmten Ländern zuordnen, untersuchen und öffentlich machen könnte. Außerdem plädiert er für eine Bestimmung, dass Technologieunternehmen in jedem zukünftigen Konflikt neutral bleiben sollen.

Jedes Abkommen hat Vor- und Nachteile, die gegen die Bedürfnisse und Wünsche eines Landes abgewogen werden müssen. Eine mögliche zukünftige Vorgehensweise könnte eine Kombination aus Unternehmens- und Regierungsmacht sein, um diese Konventionen durchzusetzen. Was auch immer die Zukunft bringt, es bleibt die Hoffnung, dass eine Einigung erzielt werden kann, bevor uns ein verheerender Cyber-Krieg aufgezwungen wird.

Über den Autor

Erwan Keraudy ist CEO und Mitbegründer von CybelAngel , einer Plattform zum Schutz vor externen Bedrohungen, die Unternehmen der Fortune Global 500 vor Schäden in Milliardenhöhe durch Cyberbedrohungen bewahrt. Erwan ist die treibende Kraft hinter der Entwicklung der KI-gestützten Bedrohungserkennungstechnologie von CybelAngel und hat das Wachstum des Unternehmens von der Gründung bis zur Serie-B-Investition geleitet und dabei 50 Millionen US-Dollar an Risikokapital gesammelt.