Während hierzulande die Experten noch über die Definition des Cyberwar streiten und darüber womöglich die tatsächlichen Bedrohungen gegen den Cyberspace kleinreden und übersehen (1), geht die Air Force der USA nicht gelassen, aber sehr offen mit dem Thema um. Ihr strategisches LeMay Center entwickelt und veröffentlicht militärische Grundlagen und Strategien (2) und bereits im Herbst 2010 erschienen die Lehren über Cyberspace-Operationen (3). Auf diese Veröffentlichung weist Dan Elliott hin (4) und auf ihn stieß ich Dank einer umfangreichen Cyberwar-Übersichtsseite bei Spiegel online (5).

Die Studie verzichtet auf den sonst üblichen militärischen Schmonsens von der Informationsbeschaffung, Sicherung eigener Informationen und der Verwirrung der Gegner durch falsche Informationen [Informationskrieg, (6)]. Statt dessen widmet sie sich ganz offen den destruktiven Akteuren im Cyberspace und den von ihnen ausgehenden Bedrohungen (S. 11 bis 13) (7).

Die Beteiligten an nationalstaatlichen Bedrohungen sind die, die strenge Cyberwar-Theoretiker tatsächlich als kriegerisch anerkennen. Ihre Akteure sind Soldaten, allenfalls Söldner, Bürgerkrieger und Guerilla-Kämpfer.

Grenzüberschreitende Akteure sind solche, die nach Paget Hacktivismus betreiben und damit meistens politische Ziele verfolgen (8). Daneben stellt die Studie die kriminellen Organisationen und das sind genau die, die ich als Schurkenprovider, Malware-Firmen, Botnetz-Betreiber und Board-Betreiber beschrieben habe (9) und die McAfee Organisierte Internetkriminelle nennt.

Differenzierter geht die Studie mit den Einzelpersonen und kleinen Gruppen um, die Exploits erkunden, hacken und Malware schreiben. Damit sind wir wieder bei der untersten Stufe meines Entwicklungsmodells und der allgemeinen Cybercrime. Und genau so geht auch die Studie davon aus, dass Hacktivisten, kriminelle Organisationen und Nationalstaaten auf einzelne Hacker und Programmierer sowie auf Operating Groups und Botnetzbetreiber zurückgreifen können, um ihre eigene Beteiligung zu verschleiern.
  

Strenge Cyberwar-Verfechter kennen nur die traditionellen und die asymmetrischen Bedrohungen. Erstere betreffen Kriegsziele, die mit verschiedenen Mitteln direkt angegangen werden. Irreguläre Taktiken entstammen der Guerilla und dienen dazu, falsche Aufmerksamkeiten zu schaffen und wichtige Verteidigungskräfte des Gegners ineffektiv zu binden.

Ein weiterer Verdienst der Studie ist es, dass sie die militärische Abhängigkeit von Netzinfrastrukturen und der Informationstechnik als gegeben ansieht und dafür einen - typisch amerikanischen - weiten Begriff von den Kritischen Infrastrukturen voraussetzt (10).
 

Als Kritische Infrastrukturen betrachtet die Studie alle öffentlichen und gewerblichen Einrichtungen, die der Grundversorgung dienen (14). Davon hebt sie noch einmal die physikalische Infrastruktur ab (oberste Scheibe), auf der neben der landwirtschaftlichen Produktion und Energieversorgung auch der Verkehr (Eisenbahnen, Fernstraßen, Brücken, Pipelines und Häfen), die Kommunikationsnetze, das Transportwesen sowie die Krankenhäuser und staatlichen Verwaltungen angesiedelt sind.

Diese Betrachtung geht recht weit und weicht stark von der deutschen Sichtweise ab. Die hiesige tendiert dazu, nur die oberste Scheibe mit der physikalischen Infrastruktur als kritisch anzusehen.
 

Wenn man das Gefährdungspotenzial jedoch staffelt und differenziert betrachtet, dann ist amerikanische Sicht durchaus berechtigt. Was nutzen funktionstüchtige Krankenhäuser und Brücken, wenn es keine Rettungsfahrzeuge gibt, die die Kranken oder Verwundeten anliefern?

Hingegen ist es auch äußerst weise, in einem Krisen-, Katastrophen- oder Konfliktfall zu versuchen, das öffentliche Leben weitgehende aufrecht zu erhalten und zu sichern, weil sonst eine neue Front aus unzufriedenen, frierenden oder gar hungernden Bürgern entstehen kann.
 

 
Die Studie spricht nicht ausdrücklich vom Cyberwar, sondern nur vom militärischen Umgang mit der Cyberspace-Domain als einem weiteren Einsatzgebiet und Gefechtsfeld, das neben dem Land, Luftraum, Meer und Weltraum zu betrachten ist.

Sie verweist auch auf Naturgefahren und Zufälle (Kästen links) sowie auf unvorhergesehene technische Innovationen (Kasten oben links). Beachtlich finde ich auch, dass sie katastrophalen Bedrohungen durch Massenvernichtungswaffen eine besondere Aufmerksamkeit schenkt.

Ihr offener Umgang mit den Akteuren und den ihnen zuzutrauenden Aktionen ist richtig und verwirrend zugleich. Wenn eine Klimaanlage gehackt worden ist, dann ist es gleichgültig, ob der Angreifer gleich Lebensmittel in einem Kühlhaus vernichtet oder sein Wissen dazu nutzt, einen produzierenden Betrieb zu erpressen. Wenn das Militär auf Straßen, Krankenhäuser und Stromversorgung angewiesen ist, dann sind genau die Gefahren zu beleuchten, die mit ihrem Ausfall verbunden sind. Ob das alles schon Cyberwar ist oder nicht, ist gleichgültig. Niederschwellige Angriffe können nicht nur das öffentliche Leben beeinträchtigen, sondern damit auch die Verteidigungsbereitschaft insgesamt.

Das gilt auch unter strategischen Überlegungen. Ob ein Koordinator ein kriminelles, terroristisches oder militärisches Projekt plant und durchführt, ist zunächst gleichgültig, weil er sich im Zweifel derselben Botnetzbetreiber, Malwareschreiber, Zulieferer und sonstigen Hilfskräften bedient. Für bestimmte Projektziele werden sich Fachleute herausbilden, aber auch die rekrutieren ihre Gehilfen und Handlanger aus ihren sozialen Umfeldern, Internetkontakten und Boards wie alle anderen.

Die Studie gibt der McAfee-Fraktion neue Nahrung und Unterstützung gegenüber den kriegs- und völkerrechtlich ausgerichteten "Militärs". Dennoch mahnt sie auch stillschweigend, mit dem Wort "Cyberwar" etwas zurückhaltender und differenzierter umzugehen. In der Tat muss ich zugeben, dass ein Defacement für sich betrachtet keine kriegerische Aktion ist. Nur ihre Häufungen und ihr Zusammenwirken mit anderen Erscheinungsformen kann als Signal für eine Entwicklung verstanden werden, an deren Ende wirklich zerstörerische und gar tödliche Aktionen stehen.
 

 
Das zeigt einmal mehr, dass die analytischen und Gedankenmodelle aus der Militärwissenschaft, der Internet-Sicherheitsforschung und - das darf ich mir anmaßen - der strategischen Kriminalitätsbekämpfung abgeglichen und vereinheitlicht werden sollten. Alle drei Fachgebiete können voneinander lernen, die Erkenntnisse der jeweils anderen nutzen und im Dialog zu neuen Erkenntnissen gelangen. Das wäre dringend nötig. Die Justiz hält sich aber traditionell zurück und wird als Kompetenzpartner natürlich nicht wahrgenommen (15). Da hat es die Polizei leichter, die mit dem Wimpel mit der Aufschrift "Gefahrenabwehr" wedelt.

Erfrischend sind auch die klaren Worte der Studie, die sich vom traditionell gepflegten AbKüFi (16) der Bundeswehr abheben, zum Beispiel im Zusammenhang mit ihren technischen Informationsverarbeitungs- und Kommunikationsprojekten (17). Die Realisierung solcher Projekte mag tatsächlich anspruchsvoll sein, ihre theoretischen und handwerklichen Grundlagen sind das hingegen nicht. Das wird durch abgehobenen Sprachungetümer, geheimbündlerischen Parolen, Abkürzungen oder angeblichen Fachbegriffen häufig genug verschleiert und mystifiziert. Das kennen wir auch zur Genüge aus dem IT-Bereich (18).

So entstehen Fachsprachen, die sich der sozialen Abgrenzung wegen bilden und nicht zur präzisen und zweifelsfreien Verständigung. Auch davon müssen wir weg, wie der Streit um den Begriff "Cyberwar" lehrt. Die einen verwenden ihn plakativ, um die aktuelle Bedrohungslage hervorzuheben, und die anderen reden mit ihrer Kritik an der Verwendung des Begriffes die Tatsachen klein, die zu der Bewertung geführt haben. In der öffentlichen Diskussion sollten wir vielleicht von der Netztechnik lernen: Am Anfang verständigen sich die Komponenten händeschüttelnd (Handshake) über das Protokoll, mit dem sie sich miteinander verständigen wollen (19).

Das gilt zum Beispiel auch für die angeheizte Diskussion über die Vorratsdatenspeicherung ... aber das lassen wir jetzt!
 

 
(1) Streit um den Cyberwar, 05.02.2011

(2) Curtis E. Lemay Center for Doctrine Development and Education

(3) Air Force Doctrine Document 3-12, Cyberspace Operations, Lemay Center 10.09.2010

(4) Dan Elliott, US-Luftwaffe gewährt Einblick in Cyberwar-Strategie, Spiegel online 26.10.2010

(5) Krieg der Staatshacker, Spiegel online

(6) Informationskrieg

(7) In den Kästen befinden sich sinngemäße Übersetzungen von mir, die keinen Anspruch auf eine wortgetreue Authentizität erheben.

(8) Mafia, Cybercrime und verwachsene Strukturen, 20.10.2010

(9) Arbeitspapier Cybercrime, 22.08.2010

(10) Siehe zuletzt: Kritische Infrastrukturen, 05.02.2011;
gewerbliche Unternehmen als Kritische Infrastrukturen, 06.12.2010.
 

 
(11) WMD: weapons of mass destruction (Massenvernichtungswaffen)

(12) SCADA: Supervisory Control and Data Acquisition

(13) DOD: Department of Defense (Verteidigungsministerium)

(14) Grafik: (3), S. 4.

(15) An dem diskutierten Cyber-Abwehrzentrum sollen unter der Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) der Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe beteiligt werden, nicht aber das BKA und die Justiz:
De Maizière warnt vor "Cyberwar", Heise online 05.02.2011.
Bundesregierung plant Cyber-Abwehrzentrum, Spiegel online 27.12.2010.

(16) AbKüFi: Abkürzungsfimmel

(17) Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr, Vorhaben und Projekte

(18) Zero-Day-Exploits und die heile Hackerwelt, 06.11.2010;
Anglizismen ohne Sinn, 22.12.2010.

(19) Datenflusssteuerung