USA nur bedingt cyberabwehrbereit
Im Falle eines konzertierten Cyberangriffs sind die USA nur ungenügend vorbereitet. Zu dem Ergebnis kommt das gestern durchgeführte Simulationsspiel Cyber Shockwave(öffnet im neuen Fenster) , das vom Thinktank Bipartisan Policy Center organisiert wurde.
Malware auf Mobiltelefonen und Computern
Das Szenario sah vor, dass Angreifer Schadcode auf Mobiltelefone von Millionen US-Bürgern schmuggelten. Zuerst transferierten sie Millionen US-Dollars auf ausländische Banken. Dann wiesen sie die Geräte an, ein bestimmtes Video herunterzuladen und damit die Netze der Mobilfunkanbieter zu überlasten.
Im nächsten Schritt infizierten die Smartphones bei der Synchronisierung die Computer, woraufhin diese ebenfalls das Video herunterluden und so auch das Festnetz lahmlegten. Als ob das nicht genug wäre, schrieben die Autoren noch eine Hitzewelle mit Wirbelsturm in das Drehbuch des Simulationsspiels. Diese ließen zusammen mit einem Softwarefehler in einer Stromhandelsplattform und einem Sprengsatz die Stromversorgung an weiten Teilen der Ostküste zusammenbrechen.
Rechtlich an der Grenze
Die Teilnehmer des hochkarätig besetzten Spiels hatten die Aufgabe, den Präsidenten zu beraten und eine angemessene Antwort auf die Cyberattacke zu finden. Dabei waren unter anderem Michael Chertoff, der ehemalige US-Heimatschutzminister, in der Rolle des Nationalen Sicherheitsberaters, oder der ehemalige Direktor Nationale Nachrichtendienste John Negroponte als Außenminister. Die Spieler sahen sich angesichts der Bedrohung jedoch ziemlich schnell vor das Problem gestellt, dass der Regierung rechtlich die Hände gebunden waren: So ging das Szenario etwa davon aus, dass es einen Patch für das Smartphone gibt, den ein Teil der Nutzer einspielte und die Geräte sicher machte. Aber was ist mit den anderen? Kann die Regierung in einem solchen Notfall einfach ihre Mobiltelefone aus der Ferne abschalten?
Sie kann nicht: Sie habe nicht das Befugnis, die Mobiltelefone der Bürger unter Quarantäne zu stellen, stellte die Justizministerin in der nachgestellten Sitzung des Nationalen Sicherheitsrates fest. Diese Rolle hatte Jamie Gorelick, stellvertretende Justizministerin unter Präsident Bill Clinton, übernommen, berichtet die Washington Post(öffnet im neuen Fenster) .
Privatunternehmen schlecht vorbereitet
Ein anderes Problem ist der Umgang mit den Privatunternehmen, die kritische Infrastrukturen wie die Telekommunikationsnetze oder Energieversorgung betreiben. Viele sind nur bedingt auf Cyberattacken vorbereitet, wie etwa eine Untersuchung der Systeme des Energieversorgers Tennessee Valley Authority im Jahr 2008 zeigte. Auch hier tauchte schnell die Frage auf, welche Eingriffsmöglichkeiten die Regierung in einem Notfall hat.
Die Teilnehmer forderten im Anschluss mehr Kompetenzen für den Präsidenten in einem solchen Krisenfall – mit weitreichenden Folgen für die Bürger: "Die Amerikaner müssen sich bewusst sein, dass sie nicht erwarten können, dass ihre Mobiltelefone und andere Kommunikationsgeräte ihre Privatsache sind – zumindest dann nicht, wenn die Regierung harte Maßnahmen ergreifen muss, um einer Bedrohung Herr zu werden" , sagte Gorelick.
Doch nicht nur innen-, auch außenpolitisch stellte ein solches Angriffsszenario die Teilnehmer vor schwierige Fragen: Der Ursprung der Attacke auf Smartphones und Computer sollte in Russland sein. Was aber soll eine US-Regierung in einem solchen Fall tun? Ist das ein Angriff, den sie mit Waffengewalt beantworten kann oder darf? Was passiert, wenn sie ihrerseits versucht, die Server in Russland, zu denen die Angriffe sich zurückverfolgen ließen, lahmzulegen? Ist das ein kriegerischer Akt?
Bedrohung vor Augen führen
Ziel des Spiels war, der Öffentlichkeit in den USA vorzuführen, wie wenig vorbereitet die Nation auf eine solche Cyberattacke ist, dass eine solche Aktion aber durchaus im Rahmen des Möglichen ist. "Die Menschen können sich Bedrohungen nur schwer vorstellen" , sagte John McLaughlin. Erst seit dem 11. September sähen sie, was alles möglich sei, so der ehemalige CIA-Direktor, der in der Simulation die Rolle des Direktors Nationale Nachrichtendienste spielte. Eine Simulation wie Cyber Shockwave könne helfen, ihnen die Bedrohung vor Augen zu führen.
Die Einrichtungen der US-Regierung und Infrastrukturen wie Energieversorgung oder Telekommunikation sind ständig Angriffen ausgesetzt: Ein Bericht der US-China Economic Security Review Commission(öffnet im neuen Fenster) legte Ende 2009 dar, dass in der ersten Hälfte des Jahres 2009 knapp 44.000 Cyberattacken auf das US-Verteidigungsministerium durchgeführt wurden. Im ganzen Jahr 2008 waren es knapp 55.000. Der US-Thinktank Center for Strategic and International Studies (CSIS) hatte kürzlich berichtet, dass Angriffe auf kritische Infrastrukturen wie Energieunternehmen, Telekommunikation, Transport, Strom- und Wasserversorgung zum Alltag gehören.