Pentagon-Strategie für den Cyberwar
Man setzt auf Abschreckung, setzt auf abgestufte Optionen beim Zurückschlagen nach Angriffen, hält sich aber über Angriffsszenarien und Offensivwaffen bedeckt
US-Verteidigungsminister Ashton Carter hat vor kurzem wieder einmal betont, dass die Cyberbedrohung immer größer und ernsthafter wird. Das war allerdings bereits in den 1990er Jahren Standard, wo man auch schon mal vom Risiko eines "digitalen Pearl Harbour" oder "digitalen Hiroshima" sprach (Infowar gegen die USA). Spätestens seit 1993, als die Militärstrategen John Arquilla und David Ronfeldt nach dem Ende des Kalten Krieg geschrieben hatten "Cyberwar is coming", war für die neue Zeit die neue Bedrohung gegeben, für die auf neue Weise aufgerüstet werden musste. Von Infowar war schon die Rede, wenn Hacker Websites veränderten (defacing), massenweise Emails verschickten oder DDoS-Angriffe etwa als Protestaktionen starteten. Unterbrochen durch 9/11 und den Kampf gegen Terrorismus hat man in den letzten Jahren wieder verstärkt die Bedrohung aus und durch den Cyberspace aufgegriffen. Im Oktober 2012 hat der damalige US-Verteidigungsminister erneut zum Bild des "Cyber Pearl Harbour" gegriffen um vor einem Angriff zu warnen, der die Nation paralysieren könne. Hacker eines Staates oder einer Extremistengruppe könnten das Stromnetz lahmlegen, Passagier- oder Güterzüge mit tödlichen Chemikalien entgleisen lassen oder in großen Städten das Wasser vergiften. Solche Bilder gehören seit den 1990er Jahren zum rhetorischen Standard, um auf die Gefährlichkeit des Internet und die Notwendigkeit der digitalen Aufrüstung hinzuweisen.
Das Pentagon hat nun eine neue Cybersicherheitsstrategie vorgelegt - mit erstaunlich zurückhaltenden Formulierungen. Nachdem Ende 2014 Hacker in das Netzwerk von Sony Pictures eingedrungen waren, zahlreiche Filme und Dokumente entwendet und Computer lahmgelegt hatten, wies man in Washington auf Nordkorea und sprach schon einmal von Cyberwar. In Nordkorea brach kurzzeitig das Internet zusammen. In der Cyberstrategie wird der Vorfall als "einer der destruktivsten Cyberangriffe auf ein amerikanisches Ziel" bezeichnet. Im April wurde bekannt, dass sich angeblich russische Hacker 2014 Zugang zu allerdings nicht geheimen Emails des Weißen Hauses verschafft hatten. Hacker des Islamischen Staats oder solche, die im Auftrag für ihn gearbeitet haben, hatten Anfang April 2015 nicht nur die Website und die Facebook-Seite gehackt, sondern auch den Sendebetrieb des französischen Fernsehsenders TV5 Monde lahmgelegt.
James Clapper, der Leiter der obersten Geheimdienstbehörde DNI, hatte in dem Jahresbericht über die Bedrohungslage im Februar 2015 die Cyberbedrohung als die größte strategische Bedrohung für die USA bezeichnet, seit 2001 war dafür stets der Terrorismus genannt worden, worauf in der Cyberstrategie hingewiesen wird. Man müsse sich auf einen großen, katastrophalen Angriff, auf ein "Cyber-Amageddon", vorbereiten, während man einem "konstanten und expandierenden Trommelfeuer" an Angriffen widerstehen müsse, die immer häufiger, komplexer und folgenschwerer würden. Um den Informationsaustausch zwischen den Geheimdiensten und den anderen Sicherheitsbehörden wie eben dem Cyberkommando vor allem im Hinblick auf Angriffe aus dem Ausland zu koordinieren, war im Februar 2015 die Einrichtung des nationalen Cyber Threat Intelligence Integration Center (CTIIC) gegründet worden.
Bislang sah das Pentagon zur Abschreckung vor, auch auf Cyberangriffe mit allen Mitteln reagieren zu können, ohne allerdings näher zu erklären, wann die Schwelle überschritten wird, ab der die USA nicht nur mit Cyberwaffen, sondern auch mit "kinetischen" Waffen, wie man im Jargon sagt, zurückschlagen könnte. Als Feinde werden vornehmlich China, Russland, Nordkorea und der Iran betrachtet. In der im Februar 2015 veröffentlichten Nationalen Sicherheitsstrategie von US-Präsident Obama wurde der Anspruch wiederholt, nicht nur die mächtigsten Streitkräfte zu besitzen, die weltweit stationiert sind und globale Antiterroreinsätze ausführen, sondern auch die technische und wissenschaftliche Dominanz zu wahren, also allen anderen Staaten immer voraus zu sein. Deswegen sollen trotz aller Sparmaßnahmen weiter Investitionen in den entscheidenden Bereichen Cyber, Weltraum und Nachrichtendienst, Überwachung und Aufklärung erfolgen. Cybersecurity wurde für das Militär und die kritische Infrastruktur als eines der wichtigsten Sicherheitsthemen eingestuft.
2009 wurde die Einrichtung eines eigenständigen Cyberkommandos (USCYBERCOM) unter der Leitung des NSA-Direktors beschlossen, das im Jahr 2018 6.200 Mann stark sein soll, zunächst hatte man dieses Ziel 2016 erreichen wollen. Allerdings kommt der Aufbau nur schleppend voran, weil das Pentagon nicht attraktiv für die gesuchten Computerexperten zu sein scheint (US-Cyberkommando nimmt Gestalt an). Bei der Vorstellung der Cybersicherheitsstrategie machte Carter deutlich, dass das Pentagon eng mit der Industrie bei der Forschung und Entwicklung sowie dem Austausch von Experten zusammenarbeiten will, eine Partnerschaft zwischen dem Pentagon und dem Silicon Valley soll entstehen. Das Cyberkommando werde auch mit dem FBI, der CIA und dem Heimatschutzministerium kooperieren, was bedeutet, dass die traditionellen Grenzen zwischen Strukturen der äußeren und inneren Sicherheit weiter aufgelöst werden und damit die Militarisierung der Cybersicherheit und auch des Internet verstärkt werden. Bedroht sei eben nicht nur das Militär, sondern für alle Institutionen und Unternehmen, aber auch für alle Einzelnen bestehe letztlich überall und jederzeit eine reale Gefahr. Schon ein einzelner Täter könne "in einer Region der Welt mit dem Einsatz von Cybermitteln direkt ein Tausende von Kilometer entferntes Netzwerk angreifen, Daten zerstören, Unternehmen schädigen oder kritische Systeme abschalten".
Die Aufgabe des Cyberkommandos ist nach der Strategie die Cyber-Unterstützung bei Kampf- und Notfalleinsätzen, was auch Angriffe gegen Netzwerke des Gegners oder die Koordinierung von Cyber- und kinetischen Operationen einschließt, die Verteidigung der eigenen Netzwerke und Systeme sowie die des gesamten Landes und der nationalen Interessen, während gleichzeitig verhindert werden soll, dass Gegner überhaupt Cyberangriffe ausführen. Daher sei eines der wichtigsten Aufgaben die Abschreckung, die auch darin besteht, entsprechende offensive Cyberwaffen zu entwickeln, um Netzwerke des Gegners auszuspähen, lahmzulegen oder zu manipulieren, und mit weiteren militärischen Aktionen zu drohen. Ganz entscheidend dabei ist, die Angreifer identifizieren zu können, die sich oft mit geschickten Mitteln in der Anonymität verstecken und sich nicht zurückverfolgen lassen. Das Militär und die Geheimdienste hätten hier erhebliche Investitionen getätigt. Die Identifizierungsmöglichkeit spiele nicht nur für die Zurückverfolgung und die Bekämpfung eine wichtige Rolle, sondern auch für die Abschreckung.
Während man bislang nur dunkel drohte und etwa in der "Internationalen Strategie für den Cyberspace" (2011) erklärte, dass auch bei Cyberangriffen keine Option eines Gegenangriffs ausgeschlossen werde, scheint das Pentagon nun darauf zu setzen, dass deutlicher formulierte Spielregeln für den Einsatz von Cyberwaffen den Abschreckungseffekt erhöhen könnten. Allerdings behält man sich, nach eigener Wahl auf Angriffe zu antworten, was auch den Ort betreffe. Man hält sich also alles offen. Da Abschreckung auch eine Frage der Wahrnehmung sei, müsse der Gegner wissen, "dass er inakzeptable Konsequenzen zu erleiden hat, wenn er die USA angreift". Und dazu müsse das Pentagon "effektive Fähigkeiten des Zurückschlagens" bekannt machen und auch ausführen. Dass die US-Geheimdienste, allen voran die NSA, selbst bereits Netzwerke im Ausland angreifen, in sie eindringen und möglichst umfassend alles abhören, ist seit Snowden bekannt. Daher sind die Klagen über chinesische, russische, iranische oder nordkoreanische Angriffe und Spionageversuche auch nur ein Teil des Spiels im Wettrüsten im Cyberspace.
Unternehmen sollen ihre Netzwerke und Systeme normalerweise selbst vor Angriffen schützen. Das Heimatschutzministerium soll Angriffe entdecken und der Privatwirtschaft bei der Verteidigung helfen. Nur bei schweren Angriffen, wenn Menschenleben bedroht sind, schwere Schäden für Eigentum, negative Folgen für die US-Außenpolitik oder für die Wirtschaft des Landes entstehen, will das Militär eingreifen. Es gebe aber keine allgemeine Regeln, die Entscheidungen, militärisch zu reagieren, würden einzeln, von Fall zu Fall, vom US-Präsidenten und seinem Sicherheitsstab getroffen werden. Prinzipiell werde man erst alle anderen Mittel der Verteidigung der Netzwerke und Strafverfolgungsoptionen ausschöpfen, bevor man zuschlägt. Man könne auch auf diplomatischen Weg oder mit Wirtschaftssanktionen reagieren.
Allerdings macht das Pentagon klar, dass nicht nur die USA selbst durch die wachsende Vernetzung aller gesellschaftlichen Bereiche zunehmend gefährdeter sind, sondern es macht sich weltweit dafür stark, dass es ein "offenes, sicheres und verlässliches Internet, das Wohlstand, öffentliche Sicherheit und den freien Fluss des Handels und der Ideen ermöglicht". Diese Eigenschaften des Internet würden zentrale amerikanische Werte reflektieren. So soll der globale Datenfluss eben auch wie etwa die internationalen Seehandelswege militärisch geschützt werden. Dabei arbeite man, so die Cyberstrategie, mit Alliierten und Partnern zusammen, um den möglichen Cyberaktivitäten von Feinden zu begegnen und eine kollektive Verteidigung aufzubauen. Ein Cyberangriff auf ein Nato-Mitglied fällt unter Artikel 5, kann also die Beistandspflicht auslösen.Ziel ist mit der Hilfe von Partnern "die kritische Infrastruktur und Schlüsselressourcen zu sichern, von denen Missionen des Verteidigungsministeriums und nationale Interessen abhängen". Dabei werden auch, wie man beim BND sehen kann, die befreundeten Geheimdienste benutzt, um die Bevölkerung und die Politiker der Alliierten selbst abzuhören oder Wirtschaftsspionage zu betreiben.
Über die Entwicklung von Angriffsszenarien und Cyberwaffen, also den interessantesten Teil, schweigt das Pentagon sich aus. Es werden nicht einmal Andeutungen gemacht. Im Pentagon hält man sich alle Türen offen, auch wenn erste Versuche gemacht wurden, mit unterschiedlichen Optionen auf Angriffe zu antworten, ohne unterschiedslos mit massiven militärischen Schlägen zu drohen, was offenbar Angreifer bislang nicht abschreckte. Aber was ein schwerer Cyberangriff auf die USA oder auf nationalen Interessen ist, will man auch nicht näher angeben. Auch international gibt es keine Vereinbarung darüber, ab wann welcher Art von Angriff einen militärischen Charakter hat oder einen Cyberwar einläutet und wie sich Regierungen gegen Angriffe verteidigen dürfen. Und völlig ungeklärt bleibt auch die entscheidende Frage, wie man gegen Angreifer aus einem Land vorgehen will, die keine Mitarbeiter des dortigen Militärs oder anderer Behörden sind oder man dies nicht nachweisen kann.
.