Anfang April 2015 wurde IT-Systeme und Konten bei Social-Media-Diensten des französische Sender TV5 durch mutmaßliche Islamisten gehackt und unter anderem die Ausstrahlung von 11 Fernsehkanälen zeitweilig unterbrochen (mehr bei heise.de / Kopie). Aktuell sind noch keine Details zu dem konkreten Ablauf des Hacks oder wie die Angreifer so tief in das System eindringen konnten bekannt . Erste Spekulationen über veröffentlichte Passworte haben sich nicht bestätigt (Q: heise.de / Kopie). Neben der Ausstrahlung islamistischer Propaganda-Inhalte oder dem Entwenden von Mitarbeiter-Daten wurde vermutlich keine dauerhaften Schäden angerichtet, auch wenn TV5 sicher einige Zeit und viel Geld benötigen wird, um ihre Systeme zu prüfen und abzusichern.
Trotz der dünnen Faktenlage über den eigentlichen Hergang und insbesondere Zustand der IT-Systeme des Senders warnt der Sprecher des CCC (Chaos Computer Club) wie folgt:
Wer heute einen Fernsehsender hackt, kann morgen die Strom- oder Wasserversorgung einer ganzen Stadt lahmlegen. Und damit meine ich nicht nur Terrororganisationen, sondern auch andere Staaten und Geheimdienste (Q: taz.de / Kopie)
Aus Sicht der Sicherheits- und Friedensforschung ist diese Behauptungen gefährlich eher schwierig (Edit: kleiner Disclaimer zu dieser Aussage) und wurde seit Stuxnet vor allem immer dann vorgebracht, wenn es darum ging militärische Interessen einzelner nationaler Akteure voranzutreiben. Folgende Aspekte sprechen gegen diese Sicht oder sollten dazu anregen, entsprechende Vorfälle wie der Hack gegen TV5 oder gegen Sony Pictures Entertainment von Ende 2014 vorsichtig zu bewerten.
Zum einen gibt es für die völkerrechtliche Bewertung von aggressiven Akten als Krieg oder kriegerische Handlung etablierte Definitionen, die von einer Bedrohungen der inneren Sicherheit eines Staates, der Anwendung oder Androhung bewaffneter Gewalt und/oder dem Verlust von Menschenleben ausgehen (siehe u.a. UN Charta Art. 2.4 und Art. 51). Der inflationäre Gebrauch des Begriffes „Krieg“ trägt nicht dazu bei, das öffentlich empfundene Bedrohungspotential zu versachlichen. Auch wenn die aktuellen Diskussion, ab wann eine Cyberattacke völkerrechtliche Signifikanz erhält noch in vollem Gange ist, weisen wissenschaftliche Studien darauf hin, mutmaßlich (para)militärische Vorfälle im Cyberspace zwischen Datendiebstahl, Störung und Zerstörung zu unterscheiden (beispielhaft eine Studie von 2012 „On the Spectrum of Cyberspace Operations„, Kopie). Erst Vorfälle aus der letzten Kategorie könnten sicherheitspolitisch als Akte von Cyberwarfare eingeschätzt werden.
Darüber hinaus ist die Argumentation des CCC-Sprechers auch aus technischer Sicht kaum stichhaltig. Auch wenn Informationseinrichtungungen wie Fernsehsender als Teil der kritischen Infrastrukturen eines Staates gelten (siehe dazu u.a. „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ des deutschen Bundesinnenministeriums), wird insbesondere die Energieversorgung, als Grundbaustein vieler weiterer wichtiger Infrastrukturen als besonders schutzbedürftig angesehen und entsprechend mit besonderen Sicherheitsauflagen gesetzlich belegt. Man sollte daher davon ausgehen können, das Kraftwerken und die Kontrolle und Verteilung von Energie besser technisch geschützt sind, als die Redaktion und Sendezentrale eines Fernsehsenders. Während erstere Anlagen in aller Regel abgeschottet von öffentlichen Netzwerken betrieben werden, liegt es für Medienbetriebe nahe, ihre Systeme stark zu vernetzen um auf öffentliche Bild- und Ton-Datenbanken zugreifen zu können, redaktionelle Beiträge zwischen lokalen Redaktionen oder anderen Sendeanstalten auszutauschen oder Beiträge, die vor Ort wichtiger Ereignisse erstellt werden, zu übertragen. Auch die Sicherheitsprüfungen von Angestellten oder der Umgang mit persönlichen mobiler Datenträgern (USB-Sticks) ist sicherlich nicht vergleichbar. Darüber hinaus werden in Kraftwerken und Industrie-Anlagen in aller Regel spezialisierte IT-Systeme eingesetzt (bspw. sog. SCADA-Anlagen) und es bedarf einiger Fachkenntnisse über den Aufbau einer konkreten Anlage um sensible Systeme zu erreichen. Exemplarisch verdeutlicht der Abschlussbericht zu den Stuxnet-Vorfällen die notwendige Insider-Kenntnisse und die Komplexität der Angriffsschritte die für die damalige Manipulation notwendig waren. Im Gegensatz dazu verwenden Fernsehanstalten sicherlich größtenteils normale Windows- oder Mac-Systeme für ihre IT-Landschaft. Tatsächlich existieren für die zuverlässige und empirisch gesicherte Bedrohungseinschätzung von Cyberattacken auf kritische Infrastrukturen noch keine öffentlich verfügbaren Studien um bspw. einzuschätzen wie hoch der Aufwand eines Angreifers sein muss um relevante und anhaltende Schäden zu erzeugen. Darüber hinaus sollte man davon ausgehen, das Betreiber entsprechender Anlagen aus Eigeninteresse und auf Grundlage schärferer Richtlinien aus den Erkenntnisse der Stuxnet-Vorfälle gelernt haben und noch stärker auf die Abschottung kritischer Systeme setzen.
Vor diesem Überlegungen erscheint eine Behauptung wie die eingangs zitierte grob fahrlässig. Zum einen schürt sie weiter die Angst vor den Bedrohungen aus dem Cyberspace in der medialen Wahrnehmung und treibt die Sorgen vor einem Cyber-Terrorismus voran, ohne tatsächlich über Aufwände, Ressourcen und Möglichkeiten und Grenzen derartiger Spekulationen zu sprechen. Auf diese Weise wird auch die Logik von militärischen Rüstungswettläufen, getrieben von unbekannten und überschätzten Bedrohungen durch feindliche Akteure, wie sie im Cyberspace bereits erkennbar wird (vergleiche dazu bspw. den UNIDIR Cyber Index), weiter voran getrieben. Und dass kann sicher auch nicht im Interesse des Chaos Computer Clubs sein.
Da es an dieser Stelle so wirkt als würde ich den Autor des TAZ-Artikels direkt angreifen, möchte ich hiermit unbedingt darauf hinweisen, dass es mir nur um die wissenschaftliche Auseinandersetzung mit Thesen geht. Ich verfolge seit einigen Jahren die Diskussionen in internationalen politischen Gremien und das hier von mir kritisierte Argument ist meinem Gefühl nach einfach zu oft als Totschlag-Argument verwendet werden. Aus diesem Grund ist es mir wichtig in diesem Artikel meine Sicht und die Kritikpunkte an einer solchen Aussage darzustellen. Wenn ich den Autor damit persönlich verletzt habe, so möchte ich mich hiermit ausdrücklich entschuldigen.