„Wir brauchen eine resiliente Infrastruktur”

Cyberangriffe stellen die internationale Sicherheitspolitik vor ganz neue Herausforderungen. Mit den „üblichen Schablonen” lassen sich diese nicht bewältigen, findet Frank Sauer. Er ist Senior Research Fellow an der Universität der Bundeswehr München und Head of Research am Metis Institut für Strategie und Vorausschau. Im Interview erklärt er, wieso das strategische Konzept der Abschreckung im Cyberraum nicht gleichermaßen anwendbar ist und wie anfällig autonome Waffensysteme nicht nur für Cyberangriffe sind.

Welches Risiko halten Sie derzeit sicherheitspolitisch für größer: dass ein Atomkraftwerk per Raketenbeschuss oder per Cyberangriff attackiert wird?

Frank Sauer: Meine Hoffnung wäre, dass der Raketenangriff das wahrscheinlichere Szenario ist. Aber wenn man in der Auseinandersetzung mit Cybersicherheit eines lernt, dann, dass die vorhandenen Sicherheitslücken erschreckend und die menschlichen Versäumnisse und Fehler haarsträubend sind.

Haben Sie ein Beispiel für so einen haarsträubenden Fehler?

Ein Beispiel wäre die Berichterstattung von Bellingcat (investigatives Recherchenetzwerk, Anm. d. Red.) über die Soldatinnen und Soldaten, die die in Europa gelagerten US-Atomsprengköpfe bewachen: Bellingcat hat durch eine clevere Google-Suche herausgefunden, dass das Personal all ihre Lerninhalte in eine App eingegeben haben. Wie viele Kameras hängen dort in welchem Winkel? Wie viele Personen sind wann an welchem Ort? Welche Codeworte werden benutzt, um bestimmte Zustände der militärischen Installationen zu kommunizieren? All diese Inhalte waren offen im Internet einsehbar. Und da reden wir jetzt nicht über Atomkraftwerke, sondern über Atomwaffen – haarsträubend. Insofern fürchte ich, dass es durchaus Verrückte gibt, die auf die Idee gekommen sind, für Fernwartungszwecke selbst Atomkraftwerke über das Internet zugänglich zu machen. Ich hoffe, es ist nicht so, aber ich bin inzwischen auf jede böse Überraschung gefasst.

Wie würden Sie den aktuellen sicherheitspolitischen Umgang mit Cyberattacken bewerten?

Das Thema Cyber hat sicher massiv Konjunktur. Eine Sache, die mir besonders Bauchschmerzen bereitet, ist, dass es vielen sicherheitspolitischen Entscheidungsträgern und Militärs enorm schwerfällt anzuerkennen, dass dieses Feld einige Besonderheiten mit sich bringt. Besonderheiten, die sie nicht mit den üblichen Schablonen ohne weiteres bewältigen können.

Was meinen Sie?

Ein Beispiel ist der Gedanke, man könne hier so eine Art Abschreckungsstrategie praktizieren. Dabei gibt es im Cyberraum ein klares Attributionsproblem. Das heißt, wir wissen in aller Regel nicht, wer sich uns gegenüber überhaupt in irgendeiner Weise schädlich verhält. Und selbst wenn wir wissen wer dahintersteckt, wissen wir nicht: Sind die Gruppen privat unterwegs? Sind sie staatlich geduldet? Vielleicht sogar staatlich finanziert? Oder sind sie nur vermeintlich privater Akteur, aber letztlich der verlängerte Arm eines Staates – Nordkoreas, Russlands, Chinas, Irans und so weiter. Das heißt, wir haben ein massives Problem mit der Zuordnung dieser Abschreckungswirkung. Wen wollen wir denn eigentlich abschrecken? Und wie?

Was schlagen Sie stattdessen vor?

Ich würde mir wünschen, dass ein anderes Konzept stärker zum Tragen kommen würde: das der Resilienz. Man bräuchte eine Infrastruktur, die resilient ist gegen bestimmte Angriffe, sodass diese aus einer sicherheitspolitischen Logik heraus für das Gegenüber unattraktiv werden. Zahlreiche Beispiele, wie Stuxnet (Schadsoftware zur Manipulation der Steuerung von Industrieanlagen wie Wasserwerken oder Pipelines, Anm. d. Red.) oder die Attacken Russlands auf das ukrainische Stromnetz, zeigen: Im Cyberraum ist es relativ einfach, vergleichsweise großen Schaden anzurichten. Und je schwerer, aufwändiger, kosten- und zeitintensiver man es für den Angreifer macht, je resilienter man ist, desto unattraktiver wird es für diese. Darüber wird noch zu wenig systematisch nachgedacht.

... Weiterlesen? Hier gibt's das Interview in voller Länge.