Von Alexander Benesch
Die US-Regierung beansprucht inzwischen das Recht auf einen Erstschlag im Cyberkrieg. Neue Einsatz-Richtlinien des Pentagon schrieben vor, dass die USA „vorbereitet sein müssen, die Nation und unser nationales Interesse auch gegen Angriffe im oder durch den Cyberspace zu verteidigen“, sagte US-Verteidigungsminister Leon Panetta am Donnerstag (Ortszeit) in New York. Eine Offensive, so die Logik, sei die beste Verteidigung.
„Wenn wir die unmittelbare Gefahr eines Angriffs ausmachen, der großen physischen Schaden anrichten oder amerikanische Bürger töten würde, benötigen wir die Option, unter Leitung des Präsidenten einschreiten zu können, um die Nation zu verteidigen“, sagte Panetta. „Für diese Szenarien hat das Verteidigungsministerium Fähigkeiten für effektive Einsätze entwickelt, um Gefahren für unser nationales Interesse zu begegnen.“
Panetta nutzte in seiner Rede nicht das Wort „Angriff“. Er machte aber deutlich, dass das US-Militär die Kompetenz erhalten wird, in einem Cyberkrieg die Initiative zu übernehmen. Der Minister war als früherer CIA-Chef Berichten zufolge für eine Cybersabotage-Kampagne gegen das Urananreicherungsprogramm des Iran verantwortlich. Das Programm der USA wurde allerdings nie bestätigt. Ein ranghoher Mitarbeiter des Pentagon sagte am Freitag: „Alle, die uns schaden wollen, sollten wissen, dass das Verteidigungsministerium alles Notwendige unternehmen wird, um unsere Nation zu verteidigen.
Zivil gibt es nicht mehr
Artikel 54 des zweiten Zusatzprotokolls der Genfer Konvention verbietet es, “ für die Zivilbevölkerung lebensnotwendige Objekte anzugreifen“ oder zu zerstören. Der Luftwaffengeneral John A. Warden schrieb 1995 (damals noch als Oberst) in einem Dokument über das Schlachtfeld der Zukunft:
„Wesen des Krieges ist, den Feind zu überzeugen, unsere Position zu akzeptieren, und seine militärischen Truppen zu bekämpfen ist bestenfalls ein Mittel zum Zweck und schlimmstenfalls eine totale Verschwendung.“
„Unser primäres Interesse ist, ein Verständnis dessen zu erhalten, was nötig ist um einem Feind unerträgliche Kosten aufzuerlegen oder ihn strategisch oder operationell zu lähmen.“
Nach Wardens Planungen haben die USA beide Golfkriege geführt. Billiger, effektiver und weniger von weltweiten Protesten begleitet, wären leise Angriffe auf die Infrastruktur durch Cyberwaffen, an Stelle von Cruise Missiles.
SCADA
Seit den 1970er Jahren basiert die moderne Zivilisation auf Prozesssystemen vom Typ SCADA. Die meisten alten SCADA-Systeme aus den 1960er und 1970er Jahren für Maschinen aller Art liefen noch auf Computern mit verschiedensten Betriebssystemen, die vom jeweiligen Hersteller entwickelt worden waren. In den 80er Jahren waren dann weiterverbreitete Betriebssysteme wie UNIX und VAX/VMS verfügbar, die die Entwicklung und den Support dramatisch erleichterten. Gleichzeitig wuchs aber auch die Zahl derjenigen, die die Systeme und ihre Schwachstellen kannten. Schließlich folgten Microsoft-Produkte.
Da die an sich eigenständigen SCADA-Systeme viele Daten sammeln und Berichte generieren, lag es nahe, die SCADA-Systeme mit Business-Netzwerken zu verbinden und Daten auszutauschen. Früher geschah das noch mit vielfältiger Software, später dann hauptsächlich mit TCP/IP networking und standardisierten IP Applikationen wie ftp oder XML. Das Bundesamt für Sicherheit in der Informationstechnik warnte 2007:
Die ständige Verfügbarkeit von Infrastrukturen etwa zur Strom- oder Wasserversorgung spielt für Unternehmen, Verwaltungen und private Haushalte eine große Rolle. Dort kommen spezielle Prozesssteuerungssysteme und SCADA (Supervisory Control and Data Acquisition)-Systeme zur Steuerung der verschiedenen Funktionen zum Einsatz. Auch aus der Verarbeitungs- und Produktions- industrie sind solche Systeme nicht mehr wegzudenken. Zur Vernetzung ihrer Komponenten nutzen diese Systeme oftmals die gleiche Technologie wie Computernetzwerke. Hat ein Angreifer von außen Zugriff auf das Netzwerk eines Prozesssteuerungssystems, kann er die gleichen Angriffsmethoden nutzen, die gegen Standard-Informationstechnik eingesetzt werden.
Bei vielen SCADA-Systemen können herkömmliche Schutzmaßnahmen aufgrund der besonderen Anforderungen nicht ohne Weiteres angewandt werden. Deshalb ist das Gefahrenpotenzial groß.
Bei der Entwicklung vieler existierender und bereits im Einsatz befindlicher SCADA-Komponenten ist der Aspekt der IT-Sicherheit allerdings noch nicht ausreichend berücksichtigt worden. Sicherheitsmechanismen wie Authentifizierung und Verschlüsselung wurden in der Prozesssteuerungstechnik selbst nur unvollständig oder gar nicht implementiert. Insbesondere bei der Erstellung und Fortschreibung von Sicherheitskonzepten für ältere Prozesssteuerungssysteme wird die Gefahr weiterhin unterschätzt.
Ohne Kongress
Leon Panetta stellte im März in Frage, ob Obama die Authorisierung des Kongresses einholen werde bevor er den Iran oder Syrien angreift:
„Unser Ziel würde es sein, internationale Erlaubnis einzuholen. Dann würden wir zum Kongress gehen und euch informieren und sehen, was die beste Herangehensweise ist, ob wir eine Erlaubnis vom Kongress einholen wollen oder nicht.“
Das US-Militär rekrutiert seit geraumer Weile IT-Experten und soagr Hacker mit krimineller Vergangenheit. Die Bedeutung der Hacker wurde verglichen mit Nazi-Wissenschaftlern wie Wernher von Braun
Dieser Artikel enthält lizensierte Zitate der AFP
