Der Cyber-GAU, der so nicht kommt

Das Narrativ potentieller Cyberkatastrophen hilft vor allem Staaten beim Aufbau entsprechender Kompetenzen. Das macht die Welt aber nicht sicherer.

Der Cyber-GAU, der so nicht kommt
Myriam Dunn Cavelty, fotografiert von Suzanne Schwiertz.

Eines Morgens fällt die Stromversorgung grossflächig aus. Bankautomaten geben kein Bargeld mehr heraus, Fahrstühle bleiben stecken, der Flugverkehr bricht zusammen. Die Ampeln spielen verrückt und auf den Strassen herrscht Chaos. Sicherheitskräfte verlieren die Kontrolle über Atomkraftwerke und Staudämme. Ganz Europa versinkt im apokalyptischen Chaos – Terroristen sind in unsere Computernetzwerke eingedrungen und bringen unsere Zivilisation zum Stillstand.

Übertrieben? Auf jeden Fall, denn eine solch grossangelegte Operation ist technisch nicht möglich. Und doch sind solche Schreckensszenarien seit vielen Jahren Teil des Cybersicherheitsdiskurses. Durch das hypothetisch drohende TEOTWAWKI (The End of the World as We Know It) steht nichts Geringeres auf dem Spiel als unsere gesamte Zivilisation. Nur: obwohl sie bereits seit über zwanzig Jahren erwartet wird, kommt und kommt die digitale Katastrophe einfach nicht. Und doch entfaltet sie eine unheimliche Wirkung, gerade weil sie ausbleibt: Gemäss den Prinzipien der Aufmerksamkeitsökonomie läuft sie weniger spektakulären Phänomenen den Rang ab und bindet knappe monetäre, intellektuelle und politische Ressourcen auf sich, obwohl sie nur in unserer Antizipation existiert.

Cyberunsicherheit – wie spektakulär ist sie?

Die Digitalisierung hat viele Aspekte unseres Lebens grundlegend verändert – viele davon zum Guten. Doch aufgrund der zunehmenden Abhängigkeit der Gesellschaft von Computern für den Datenaustausch und die Datenspeicherung entstehen neue Verwundbarkeiten für Staat, Wirtschaft und Gesellschaft. Daran wird sich in Zukunft nichts ändern, im Gegenteil: die Cyberunsicherheit dürfte aufgrund der fortschreitenden Vernetzung und Automatisierung substanziell zunehmen.

Aus Erfahrungen der letzten Jahre wissen wir: Der virtuelle Raum ist heute ein Konfliktplatz unterhalb der Kriegsschwelle, auf dem sich vermehrt auch staatliche Akteure tummeln, früher meist im Geheimen, heute zunehmend offen. In der Tat ist es für Staaten attraktiv, die technischen und politischen Effekte von Cyberoperationen in verschiedenen Kontexten auszutesten – denn die Kosten für die Angreifer sind relativ gering, während es für das Opfer schwierig und teuer ist, den Angreifer abzuwehren oder ihn eindeutig zu identifizieren und danach zu bestrafen.

Das prominenteste Beispiel für eine solche staatliche Aktion ist sicherlich Stuxnet, der Computerwurm, mit dem im Iran 2010 das Atomprogramm sabotiert und verlangsamt wurde; es gilt heute als bewiesen, dass dahinter die USA und Israel steckten, auch ohne offizielle Verlautbarung dieser Regierungen. Auch Erpressung kann unter Rückgriff auf Cybermittel erfolgen: so zum Beispiel 2014, als (nordkoreanische) Hacker die Firma Sony dazu brachten, einen Film, in dem der Diktator Kim Jong Un umgebracht wird, nicht wie geplant in die Kinos zu bringen. Insbesondere im Zuge der hybriden Kriegsführung Russlands werden sie aber auch für Störungsaktionen und Destabilisierung des politischen Umfelds eingesetzt: so 2016, als russische Proxy-Akteure mit gestohlener Information aus dem Umfeld der Demokratischen Partei in den amerikanischen Wahlkampf eingriffen.

Doch auch wenn in den letzten Jahren viel über staatlich orchestrierte Cyberoperationen in den Medien berichtet wurde, sind sie sehr selten. Gezielte Cyberoperationen mit grosser Wirkung (z.B. Sabotage) können erwiesenermassen nur von staatlichen Akteuren mit genügend Ressourcen und nachrichtendienstlichen Fähigkeiten durchgeführt werden – allen voran von den USA. Darüber hinaus werden Cyberwaffen seit Stuxnet gerade aufgrund der Schwierigkeiten, strategisch kontrollierbare Effekte zu erzielen, und wegen des Bestrebens, das Risiko einer Eskalation klein zu halten, zurückhaltend eingesetzt.…

Von weissen Haien und schwarzen Schwänen
Die Wahrscheinlichkeit, von einem Hai getötet zu werden, ist verschwindend klein. Und doch ist der weisse Hai zum Inbegriff von «Gefahr» geworden. Bild: Grosser Weisser Hai, mauritius images / nature picture library / Chris & Monique Fallows.
Von weissen Haien und schwarzen Schwänen

Für die Beurteilung von Gefahren ist ein evolutionär altes Hirnteil zuständig, und Wahrscheinlichkeitsrechnung liegt den Menschen ohnehin nicht im Blut. Das führt oft zu falschen Einschätzungen.