Wie billig oder teuer ist ein Cyberwar, der die "logisch-physikalische Kluft" überbrückt?

Stuxnet soll bis zu 100 Millionen US-Dollar gekostet haben, aber es bleibt hoch spekulativ, wie teuer und aufwendig heute die Entwicklung von wirksamen Cyberwaffen ist

Was Kriege kosten, ist kaum zu errechnen und hängt davon ab, was man an Schäden und Folgen einbezieht und berechnet. Der Irak-Krieg von 2003 bis zum Abzug der Truppen 2011 hat offiziell mehr als eine Billion US-Dollar für das Pentagon gekostet und die Staatsschulden ebenfalls um eine Billion erhöht. Ursprünglich gab ihn die Bush-Administration als schnellen Krieg aus, Kosten wurden als Peanuts bezeichnet, vielleicht 100-200 Milliarden US-Dollar (Kriegskosten sind Peanuts).

Manche sagen, die wirtschaftlichen Kosten lägen in der Höhe von 3-4 Billionen, auch wenn durch den Krieg die Rüstungsindustrie profitierte und letztlich auch Jobs geschaffen wurden. Und rechnet man die Folgen mit ein, also beispielsweise den Anti-IS-Krieg, dann würden die Kosten noch weiter in die Höhe steigen.

Ausrechnen lassen sich hingegen die konkreten Kosten eines Kriegseinsatzes und jeder abfeuerten Munition, jedem gestarteten oder auch abgeschossenen bzw. abgestürzten Flugzeug. Ein Kriegs-Controller kann damit kalkulieren. Sehr viel schwieriger ist das schon im bislang noch nur simulierten Cyberwar, der über einzelne Angriffe hinausgeht. Die Cyberwar-Rüstung ist intransparent. So wird in den westlichen Demokratien von den Verteidigungsministerien die Entwicklungs- und Kaufpreise von Waffensystemen dem Parlament vorgelegt, nicht aber die von Cyberwaffen. Gleichzeitig sind die möglichen Schäden nicht absehbar und werden gerne als immens beschrieben. Ein möglicher Angriff auf die Stromnetze, der großflächig zu einem längere Zeit anhaltenden Blackout führen würde, könnte ein Land lahmlegen und gewaltige Kosten verursachen. Die Gefahr könnte wachsen, je billiger Cyberwaffen hergestellt werden können, um einen solchen Angriff auszuführen (Beim Cyberwar-Wettrüsten herrscht gefährliche Geheimhaltung).

Die Kosten von Cyberwaffen sind gesunken

Ein prominenter Fall ist immer noch Stuxnet, ein seinerzeit ausgeklügelter Wurm, daher auch als ein advanced persistent threat (APT) bezeichnet, der hergestellt worden sein soll, um über die Infiltration von SCADA-Systemen zur Anlagensteuerung gezielt iranische Zentrifugen in der Uran-Anreicherungsanlage Natanz zu zerstören. Das ist auch 2010 gelungen, allerdings ist Stuxnet keine wirklich gezielte Waffe, denn es wurden als Kollateralschaden auch andere Systeme und Computer von dem Wurm gefallen. Mit großer Wahrscheinlichkeit ist Stuxnet von IT-Experten aus Israel oder aus den USA (NSA) oder von beiden Ländern entwickelt worden. Wegen des hohen Programmieraufwands wird jedenfalls von einem staatlichen Auftrag ausgegangen. Die Herstellungskosten wurden auf bis zu 100 Millionen US-Dollar geschätzt.

Aber im Rüstungswettlauf im asymmetrischen Cyberwar, der sich mit Sabotage, Spionage, Kriminalität und Hackerversuchen überschneidet, würden die Kosten für die Entwicklung neuer Angriffswaffen oder APTs gesunken sein, sagte schon 2014 Costin Raiu, der Leiter des Global Research and Analysis Team von Kaspersky: "Wir werden mehr chirurgische Schläge und Angriffe auf die kritische Infrastruktur erleben", warnte er.

Es wird davon ausgegangen, dass auch Geheimdienste die Entwicklung outsourcen und auf dem Cyberwaffenmarkt zahlreiche "Söldner" wie die Gruppe, die nach ihrem Schadprogramm Icefog genannt wird, unterwegs sind, die Waffen im Auftrag entwickeln und Angriffe ausführen, die dann nicht zu ihren Auftraggebern zurückführbar sind. Icefog, womit zahlreiche Behörden, Unternehmen und Medien in Südkorea und Japan angegriffen wurden, soll nach Raiu vielleicht noch 10.000 US-Dollar zur Programmierung gekostet haben.

Ist die "logisch-physikalische Kluft" nur für reiche Staaten zu überwinden?

Die Sorge ist aus staatlicher Sicht, dass gefährliche Cyberwaffen aufgrund niedriger Preise in die Hände von Terroristen und Kriminellen geraten könnten, wodurch auch hier ein asymmetrischer Konflikt vorläge. Noch gehen manche davon aus, dass staatliche Instanzen wie bei schweren Waffensystemen, also Flugzeugen, Panzern, Artillerie oder Raketen bis hin zu Atombomben, im Cyberbereich noch im Vorteil seien. Allerdings können Terrorgruppen und Aufständische, wie gerade im Irak oder in Syrien, aber auch im Jemen zu sehen, schwere Waffen erbeuten, was ihnen eine andere Kriegsführung ermöglicht, als wenn sie lediglich auf leichte Waffen und Sprengstoff zurückgreifen können.

So schreibt Captain Christophos Bartos im Proceeding Magazine des US Naval Institute, dass es im Cyberspace eine "logisch-physikalische Kluft" gebe, die nur schwer zu überwinden sei und noch verhindere, dass mit billigen Programmen schwerwiegende Angriffe geführt werden können. Dese Kluft zu überwinden, würde mehr Kosten verursachen, als zur Verteidigung erforderlich ist: "Nur die ausgeklügelsten Cyberangriffe, die bedeutende Investitionen an Arbeit, Erfahrung, Zeit, Geld und Koordination erfordern, können die logisch-physikalische Kluft zwischen der Cyberdomäne und anderen Domänen überbrücken, um strategische Folgen in der realen Welt zu verursachen."

Max Smeets von der University of Oxford geht in einem Beitrag für den Council of Foreign Affairs dennoch davon aus, dass die Entwicklung von Cyberwaffen immer schneller, einfacher und billiger werden wird. Cyberwaffen würden standardisiert, also zu leichter einzusetzenden und weiter zu entwickelnden Werkzeugen werden. Mit der Schaffung von Cyberkommandos bei den Streitkräften fließt viel Geld in die Entwicklung von Cyberwaffen, dank Arbeitsteilung würde eine Spezialisierung auf bestimmte Angriffe vertieft. Wenn immer mehr Cyberwaffen, also irgendwelche Schadprogramme, weltweit zirkulieren, lässt sich einfacher lernen, neue Angriffsarten kostengünstiger zu entwickeln. Aus Schadprogrammen können für Neuentwicklungen Kenntnisse gewonnen werden, so sei vermutlich Stuxnet aus dem USB-Wurm Fanny entstanden und habe Anstoß zu Spionageprogrammen wie Duqu, Flame oder Gauss gegeben.

Das Problem für das staatliche Militär mit den Cyberkommandos ist, was für die USA ebenso zutrifft wie für die Bundeswehr, die nun eine Cybereinheit aufbauen will, dass es schwierig wird, die programmierenden Experten, Hacker und Nerds anzuziehen, die zur Aufrechterhaltung der Sicherheit und zur Entwicklung von überlegenen Cyberwaffen in der Lage sind (Outsourcing des Cyberwar). Neben der Privatwirtschaft, wo meist mehr Geld bezahlt wird und keine militärische Disziplin und Hierarchie herrschen, könnten eben mehr internationale Hackergruppen entstehen, die ihre Dienste allen Auftragnehmern anbieten. Bekannt ist, dass Geheimdienste auf dem Cyber-Schwarzmarkt auch Zero Exploits kaufen, während vermutlich Geheimdienste und Militärs Hackergruppen beschäftigen oder bezahlen, um Aufträge auszuführen oder Schwachstellen zu finden (Staatliche Hackergruppen oder Cyber-Söldner?).