"The Force Awakens. Künstliche Intelligenz und moderne Konflikte" – mit einer Anlehnung an Star Wars begannen am Donnerstag die Veranstaltungen im Vorprogramm der Sicherheitskonferenz in München (Freitag bis Sonntag). Die Formulierung deutet ins futuristische Filmgenre. Dabei wird der Krieg der Daten im Unterschied zum Krieg der Sterne bereits heftig ausgefochten. Der Cyberspace ist neben Land, Wasser, Luft und Weltall die fünfte Dimension der Kriegsführung – und die hat ihre eigenen Gesetzmäßigkeiten.

Im Cyberwar wird alles verwischt, was klar schien: der Unterschied zwischen Krieg und Frieden, Freund und Feind, Kombattanten und Zivilisten. Es kämpfen alle gegen alle – verdeckt, ohne Kriegserklärung und jenseits der Wahrnehmung der Öffentlichkeit.

Niemand weiß so genau, welche Staaten und Akteure sich dort gerade mit welchen Mitteln bekämpfe

Wurde der Krieg bisher als bewaffneter, gewalttätiger Konflikt zwischen mindestens zwei Kollektiven definiert, wird diese Beschreibung dem Vorgang in der virtuellen Realität nicht mehr gerecht. Anders gesagt: Niemand weiß so genau, welche Staaten und Akteure sich dort gerade mit welchen Mitteln bekämpfen. Es gibt keinen Gefechtslärm, keine Gefallenenlisten, keine offensichtlichen Verwüstungen. Nur gelegentlich, wenn ein Trojaner auskommt oder ein spektakulärer Angriff bekannt wird, so wie jener auf das iranische Nuklearprogramm mit der Schadsoftware Stuxnet im Jahr 2010, wird die Öffentlichkeit aufmerksam.

Die Welt liegt gewissermaßen in einem dauerhaften Cyberkrieg. Richard Clarke, jahrzehntelang einer der höchsten Sicherheitsbeamten der USA und Autor von World Wide War, bestätigte dies vor einiger Zeit im STANDARD -Interview: "Wenn man Cyberspionage miteinbezieht, klar, ja. Jeden Tag hacken sich Länder in die Netze anderer Staaten und vor allem in die Netzwerke von Unternehmen dieser Staaten."

Cyberkommandos

Darauf müssen Staaten reagieren. In den vergangenen Jahren sind in allen relevanten Streitkräften weltweit Cyberkommandos eingerichtet worden. Frankreich, Deutschland, Großbritannien und die USA haben Cybersecuritystrategien vorgelegt. In der US-Doktrin heißt es, Angriffe aus dem Netz auf Infrastruktur und vitale Interessen der USA würden mit "allen zur Verfügung stehenden und notwendigen Mitteln, auch militärischen", beantwortet.

Das klingt nicht von ungefähr nach dem Konzept der Abschreckung aus dem Kalten Krieg. Zugleich deutet es auf die Schwäche vieler Staaten hin: Offensive ist im Cyberspace alles, wirklich effektive Defensivkapazitäten aufzubauen fast unmöglich. Je vernetzter Länder sind, je mehr an kritischer Infrastruktur (Stromnetze, Wasserversorgung, Finanztransaktionen oder die Logistik von Lebensmittelketten) in privaten Besitz ist, desto angreifbarer sind sie. Deshalb hält etwa Clarke Nordkorea für eine der stärksten Nationen im Cyberspace. Denn Pjöngjang hat eine starke, offensive Hackertruppe und kaum digital vernetzte Systeme im eigenen Land.

Allein Abschreckung funktioniert im virtuellen Raum nur bedingt. Denn Cyberwars sind asymmetrisch – auch rückständige Länder können ebenbürtige Gegner sein. Und die sogenannte Attribution von Attacken ist schwierig. Es ist nahezu unmöglich, datenforensisch festzustellen, wer Urheber einer Cyberattacke ist, wenn es ein geschickter Angreifer darauf anlegt, dies zu verschleiern. Die Angriffswellen können über Drittländer geleitet werden (Problem für Neutrale, eine nordkoreanische Cyberattacke lief bereits teilweise über österreichische Server), falsche Fährten können gelegt sein. Damit ist eine zweifelsfreie Identifikation eines Angreifers zeitnah kaum machbar. Gab es in Zeiten des Kalten Krieges noch Vorwarnzeiten von etwa 40 Minuten, die einen "Zweitschlag" der Angegriffenen möglich machten, erfolgen digitale Erstschläge in wenigen Millisekunden.

"Wir erwarten eher hybride Cyberkriege"

Ein Experte des Nato Cooperative Cyber Defence Centre in Tallin sagte dem STANDARD: "Reine Cyberkriege werden selten sein, wir erwarten eher Hybride mit virtueller und konventioneller Beteiligung. Wenn aber ein Cyberangriff auf die vitalen Strukturen eines Staates erfolgreich ist und nicht kurzfristig behoben werden kann, dann beginnt das Sterben in etwa 14 Tagen." In der realen Welt. (Christoph Prantner aus München, 16.2.2018)