Bomben auf Hacker?

Das US-Verteidigungsministerium will im kommenden Monat eine neue Cyberstrategie vorlegen, nach der Computerangriffe mit militärischen Mitteln beantwortet werden können. Die USA wollen also notfalls Angriffe über das Internet mit konventionellen Militärschlägen vergelten. Im Klartext: "Wenn ihr unser Stromnetz lahmlegt, dann feuern wir vielleicht eine Rakete auf eure Industrieanlagen ab", erklärte ein US-Offizier im Wall Street Journal. Einen Computerangriff mit Raketen zu beantworten, scheint allerdings kaum eine angemessene Reaktion zu sein. Und wen wollen die Militärs überhaupt beschießen?

Erkennbarer Angreifer

Um einen Angriff vergelten zu können, muss dessen Urheber ja bekannt sein. Im konventionellen Krieg ist das einfach: Soldaten des eine Landes - erkennbar an ihrer Uniform - schießen auf Ziele in einem Land. Das ist ein kriegerischer Akt, den das angegriffene Land nach der UN-Charta angemessen beantworten darf.

Wie aber soll das im Cyberspace aussehen? Schon den Urheber eines ausgefeilten Angriffes auszumachen, ist schwer bis unmöglich. Der Angreifer hat unzählige Möglichkeiten, seine Aktionen zu verschleiern. Er kann es sogar so aussehen lassen, als sei der Urheber in einem anderen Land ansässig. Dann werden unter Umständen Ziele in einem unbeteiligten Land bombardiert.

Und selbst, wenn der Angriff sich tatsächlich in ein anderes Land zurückverfolgen lässt, ist es schwer zu klären, ob es die offizielle Hackertruppe des Militärs war, die ihn durchgeführt hat. Es könnten genauso gut auch gewöhnliche Cyberkriminelle gewesen sein. Eine weitere Möglichkeit ist, dass sogenannte patriotische Hacker dahintersteckten. Diese agieren zwar auf eigene Faust, aber mit Billigung und Wissen der Regierung. Oder eine Mischung aus allen - wie es offensichtlich 2008 im Konflikt zwischen Russland und Georgien der Fall war. Wie will das US-Militär in dieser Gemengelage den Verantwortlichen finden, um ihn militärisch zur Rechenschaft zu ziehen?

Gab es Tote?

Schließlich: Wie kann eine angemessene Reaktion überhaupt aussehen? Früher war die Sache einfach: "Gab es Tote?", fragten die Militärs bei der Einschätzung der angemessenen Reaktion. Eine Hackerattacke auf die Energiewirtschaft oder die New Yorker Börse wird kaum Menschenleben fordern. Die Auswirkungen auf die Wirtschaft könnten hingegen gravierend sein. Wird jedoch das Lahmlegen der Energieversorgung im Sinne des US-Offiziers vergolten - Schaltest du mein Stromsystem übers Internet aus, mache ich deines mit einer Cruise Missile platt -, ist mit Toten zu rechnen. Wiegen Chaos im Computer und in der Wirtschaft die physische Zerstörung von Anlangen und die Tötung von Menschen auf? Zweifel sind angebracht.

Ein Angriff auf eine kritische Infrastruktur wie das Stromnetz ist kein Hackerstreich mehr, sondern eine ernstzunehmende Attacke auf ein Land, seine Bürger und seine Wirtschaft. Es ist auch kein Horrorszenario paranoider Sicherheitsspezialisten: Im Jahr 2008 fanden Computerspezialisten der US-Regierung Sabotagesoftware in den Systemen von US-Energieversorgern, mit denen diese Systeme hätten lahmgelegt werden können.

Ein Land muss sich das nicht gefallen lassen. Die UN-Charta gesteht einem Land, das militärisch angegriffen wird, zu, sich zu verteidigen. Dass das auch für virtuelle Angriffe gilt, ist richtig. Die Reaktion muss aber angemessen sein - eine Lösung dafür ist schwer zu finden. Bomben für Hackerattacken sind sicherlich keine.