Russland und die USA im „Cyberwar“ (Updates)

Zugegebenermaßen ist diese Überschrift ein wenig reißerisch und sollte nicht zu ernst genommen werden. Trotzdem weisen die Ereignisse der letzten Tage darauf hin, wie der Cyberspace Bestandteil zukünftiger Konflikte sein könnte. Die Frage danach wird in internationalen Gremien spätestens seit dem Stuxnet-Vorfall gestellt und trotz eines zunehmenden militärischen Engagement vieler Länder in dieser Domäne ist eigentlich noch völlig unklar wie Konflikte im Cyberspace ausgetragen werden, was Cyberwaffen eigentlich sind und vor allem, was man aus Sicherheits- und Friedenspolitischer Sicht dagegen unternehmen kann.

Soweit bislang öffentlich bekannt, ist Stuxnet bisher der einzige Vorfall bei dem gezielt und über viele Jahre hinweg Software maßgeschneidert entwickelt und verdeckt eingesetzt wurde um ein klar definiertes Ziel zu treffen. Bei dem Großteil der nachfolgenden Vorfälle wurden entweder allgemein verbreitete (wenn zum Teil auch unbekannte) Sicherheitslücken in populärer Software gezielt ausgenutzt um Zugang zu fremden Systemen zu erlangen, Rechner mit Hilfe von „social engineering“ und „spear phising“ ausgespäht und infiziert oder IT-Systeme mit Hilfe von DDoS-Attacken zeitweilig außer Kraft gesetzt. Vermutlich gab es auch weitere gezielte Angriffe, entscheidend ist jedoch, dass es bislang keinen (öffentlich bekannten) Vorfall gab, der sicherheitspolitisch oder militärisch so brisant gewesen ist, dass der betroffene Staat Verteidigungsmaßnahmen im Sinne von UN Charta Artikel 51 eingeleitet hat. Das ist insofern bedeutend, als dass es die These einiger Sicherheitsforscher unterstützt, wonach es vermutlich keinen „Cyberwar“ im Sinne klassischer kriegerischer Auseinandersetzungen geben wird. Auch wenn es selbst bei solchen militärischen Ereignissen auch immer um die Bewertung des Vorfalls und die sicherheitspolitischen Interessen der Akteure geht, so spielt diese Dimension bei Cybervorfällen eine deutlich größere Rolle. Dies ist vermutlich unter anderem auf die eingangs erwähnten Unklarheiten bei der genauen Definition von Cyberattacken sowie der Klassifikation von deren Auswirkungen zurückzuführen, die in aller Regel weder unmittelbar und eindeutig einem Angreifer zugeordnet werden können, noch direkte und klar eingrenzbare Wirkungen haben – verglichen bspw. mit einem Raketenangriff. Stattdessen sehen wir in zunehmenden Maße politische Anfeindungen und Beschuldigungen von Staaten über mutmaßliche Cybervorfälle oder Hacking-Attacken anderer Staaten, wie aktuell zwischen den USA und Russland.

Diese beschuldigen sich gegenwärtig gegenseitig der innenpolitischen Beeinflussung durch gezielte Hacking-Attacken. Zum einen reißen die Vorwürfe nicht ab, dass Russland durch Hacker Zugriff auf sensible Daten im Rahmen des US-Präsidentenwahlkampfes hatte und diese für eine Unterstützung des zukünftigen Präsidenten Trump eingesetzt haben soll (Q: theatlantic.com / lokale Kopie) . Präsident Obama hat dazu umfassende Untersuchung angeordnet, während Donald Trump, ebenso wie russische Politiker die Vorwürfe als absurd verwerfen (Q: Wall Street Journal / lokale Kopie). Dem gegenüber stehen Anschuldigungen der russischen Seite, dass der eigene Finanzsektor und die nationalen Banken Gegenstand von geplanten Hacking-Attacken gewesen sein sollen (Q: Reuters.com / lokale Kopie). Im Kontext dieser Ankündigungen wurde von russischer Seite eine neue Informationssicherheits-Doktrin veröffentlicht (Q: heise.de / lokale Kopie).

Exemplarisch für Vorfälle im Cyberspace ist, dass sich keine der Anschuldigungen und Argumentationen unabhängig nachprüfen lassen. Selbst wenn sich Regierungen zur Veröffentlichung von Informationen entschließen sollten (wie bspw. in Form von Log-Files attackierter Systeme) könnte eine Manipulation oder Fälschung dieser digitalen Informationen nicht ausgeschlossen und damit die Authentizität der Beweise in Frage gestellt werden. Anders als bei klassischen Konflikten wird daher im Bereich des Cyberspace die unabhängige Kontrolle, die journalistische Berichterstattung oder die, in Krisenzeiten bspw. durch die OSZE durchgeführte unabhängige Krisenbeobachtung nur schwer auf den Cyberspace und die dort ausgetragenen Konflikte übertragen werden können. Damit sind jedoch – wie hier exemplarisch angeführt – tatsächliche und mutmaßliche Vorfälle staatlicher Beeinflussung im Cyberspace als außen- und sicherheitspolitischer Spielball vorgezeichnet.

Update (14.12.2016): Im britischen Guardian wird der ehemalige Botschafter Grobritanniens in Usbekistan Craig Murray zitiert, der zur Faktenlage bei der Diskussion über russiche Hacks im US-Wahlkampf folgendes sagt:

I know who leaked them (..) I’ve met the person who leaked them, and they are certainly not Russian and it’s an insider. It’s a leak, not a hack; the two are different things.
(Q: The Guardian / lokale Kopie)

Update 2 (18.12.2016): Der Vorfall um die mögliche russische Beeinflussung des US-Wahlkampfes wird nun doch immer „größer“ gespielt. Laut Medienberichten gehen die US-Regierung, ebenso wie die US-Geheimdienste von einer solchen Beeinflussung durch Hacking-Attacken in Verbindung mit der gezielten Veröffentlichung entwendeter Informationen aus. In einer Presseerklärung verwies Präsident Obama auf Grundlage dieser Einschätzung, dass man solche Manipulationsversuche nicht toleriere und sprach von Vergeltungsmaßnahmen. Dabei ging er auch konkret auf die russische Herkunft der Hacking-Attacken ein:

Obama said he has „great confidence“ in intelligence reports he has seen showing that Russians hacked into emails belonging to the Democratic National Committee and to John Podesta, who was campaign chairman for Democratic presidential candidate Hillary Clinton.  (Q: Reuters.com / lokale Kopie)

Hinsichtlich der konkreten Natur der Vergeltungsmaßnahmen verwies Obama in einem anderen Interview darauf, dass die USA auf Hacking-Attacken reagieren würden, allerdings zu ihren eigenen Konditionen:

“I think there is no doubt that when any foreign government tries to impact the integrity of our elections … we need to take action,” Obama said. “And we will – at a time and place of our own choosing (..) Some of it may be explicit and publicised; some of it may not be.” (Q: The Guardian / lokale Kopie)