Es gibt ein empörtes Aufheulen über die wohl wieder einmal russische Rolle bei der Infiltrierung der Netzwerke der US-Regierung und von Unternehmen – diesmal durch ein verseuchtes Software-Update der Firma SolarWinds. Politiker beider Parteien in den USA haben dies als einen virtuellen Kriegsakt bezeichnet. „Amerika muss Vergeltung üben, und zwar nicht nur mit Sanktionen“, sagte Senator Marco Rubio.
Die USA sind natürlich an der gleichen Art von Operationen in einem noch größeren Maßstab beteiligt. Sie sind aktive Teilnehmer an einem Cyberkonflikt, der weitgehend ungesehen und natürlich auch uneingestanden über den digitalen Globus wütet. Diesem Kampf können wir uns nicht entziehen, und es gibt absolut keinen Grund für die USA, das Opfer zu spielen. So wie Amerika Cybertools einsetzt, um seine nationalen Interessen zu verteidigen, werden andere (wie Russland) Cyberwaffen gegen Amerika einsetzen.
Die U.S. National Security Agency und die Central Intelligence Agency existieren, um in fremde Informationssysteme einzubrechen und Geheimnisse zu stehlen, und sie sind ohne Zweifel verdammt gut darin. Zusammen mit dem Verteidigungsministerium nutzen sie regelmäßig Cybertools, um Informationen von Servern auf der ganzen Welt zu entwenden und ausländische Informationssysteme und industrielle Infrastruktur zu gefährden. Einsen und Nullen können in der heutigen Welt weitaus effektivere Waffen sein als Bomben und Raketen. Die Enthüllung von Stuxnet, die Snowden-Leaks und der Diebstahl von Cybertools der C.I.A. offenbarten die Raffinesse und das Ausmaß der Fähigkeiten, die den Vereinigten Staaten zugeschrieben werden.
Die Cyberwar-Truppe des Pentagons, bekannt als Cyber Command, räumt durch ihre „Defense Forward“-Doktrin offen ein, dass die US-Regierung ausländische Einrichtungen und Informationssysteme ins Visier nehmen wird, um Cyberangriffe zu bekämpfen. Im November 2018 unterbrach das Cyber Command Berichten zufolge den Internetzugang der Computer der russischen Internet Research Agency, der Organisation, die für die Desinformationskampagne während der Zwischenwahlen 2016 in den USA verantwortlich war. Im Jahr 2019 hat das Cyber Command als Reaktion auf russische Cyberangriffe auf das US-Energienetz Berichten zufolge Malware-Tools auf russischen Systemen platziert, die es den USA ermöglichen könnten, im Falle eines Konflikts zwischen den beiden Nationen die Lichter in Moskau auszuschalten.
So solide die US-Cyberabwehr auch ist, die Verteidigung lässt zu wünschen übrig, was die Litanei digitaler Katastrophen, darunter die Hacks von SolarWinds, dem Amt für Personalverwaltung Equifax und Sony, eindrucksvoll belegt. Die Realität ist, dass sowohl die US-Regierung als auch private Unternehmen zu wenig in die Cybersicherheit investieren. Effektive Verteidigung ist eine kollektive Anstrengung, aber Behörden und Unternehmen sind oft ahnungs- und wehrlos, wenn es darum geht, den Eindringlingen von Ländern wie Russland, China, Nordkorea oder dem Iran zu begegnen.
In den letzten Jahren gab es Vorschläge, dass die USA internationale Abkommen ausloten könnten, in denen sich die Nationen darauf einigen würden, Cyberkriegsführung und Spionage einzuschränken. Aber diese Idee wird nicht wirklich ernst genommen. Man hat das Gefühl, dass die Regeln von denen geschrieben werden, die die größten Waffen haben – also von Washington – und die globale Cyberordnung einseitig durchsetzen können.
Der SolarWinds-Hack macht diese Vorstellung zunichte. Die Zuversicht, dass die USA ein Monopol auf Cyberwaffen besitzen, grenzt an Hybris. Auch wenn die Bundesbehörden über einige der besten Cyberspionage- und -kriegsführungsinstrumente und -talente der Welt verfügen, ist das Spielfeld beunruhigend ausgeglichen. Im Gegensatz zu Atomwaffen oder sogar hochentwickelten konventionellen Waffen sind mächtige Cyberwaffen billig zu produzieren, verbreiten sich mit alarmierender Geschwindigkeit und nehmen keine Rücksicht auf Grenzen. Da Russland, China, der Iran und sogar Nordkorea nicht in der Lage sind, mit den USA bei den Militärausgaben gleichzuziehen, betrachten sie Cyberwaffen als einen großen Ausgleich. Und warum? Weil die USA besonders anfällig für Cyberangriffe sind: Amerika ist mehr auf Finanz-, Handels- und Regierungsnetzwerke angewiesen als seine Gegner, und gleichzeitig sind ihre Systeme erschreckend offen und anfällig für Angriffe. Amerikanische Netzwerke stellen für ihre Gegner Ziele dar, die einfach zu weich, süffisant und einträglich sind, um Widerstand zu leisten.
Am Wahltag im vergangenen November berichtete General Paul M. Nakasone, der oberste Cyberkrieger der Vereinigten Staaten, dass der Kampf gegen die Einmischung Russlands in den Präsidentschaftswahlkampf große Erfolge verbucht und die Online-Waffen, Werkzeuge und Handwerkskünste der anderen Seite aufgedeckt habe. „Wir haben unsere Operationen ausgeweitet und fühlen uns sehr gut, wo wir im Moment stehen“, sagte er vor Journalisten. Nur 8 Wochen später, General Nakasone und andere amerikanische Beamte, die für die Cybersicherheit verantwortlich sind, werden nun von dem getrübt, was sie mindestens 9 Monate lang übersehen haben: ein Hacking, von dem jetzt angenommen wird, dass es mehr als 250 Bundesbehörden und Unternehmen betroffen hat, das Russland nicht auf das Wahlsystem, sondern auf den Rest der US-Regierung und viele große amerikanische Unternehmen abzielte.
Nachdem das Eindringen ans Licht kam, versuchen amerikanische Beamte immer noch zu verstehen, ob es sich bei dem, was die Russen abzogen, einfach um eine Spionageoperation innerhalb der Systeme der amerikanischen Bürokratie handelte oder um etwas Unheimlicheres, bei dem ein „Backdoor“-Zugang in Regierungsbehörden, große Unternehmen, das Stromnetz und Labore, die neue Generationen von Atomwaffen entwickeln und transportieren, eingefügt wurde.
Zumindest hat der Vorfall die Alarmglocken läuten lassen, was die Anfälligkeit von staatlichen und privaten Netzwerken in den USA für Angriffe angeht, und Fragen aufgeworfen, wie und warum die Cyberabwehr der Nation so spektakulär versagt hat. Diese Fragen haben besondere Dringlichkeit erlangt, da der Angriff nicht von einer der Regierungsbehörden entdeckt wurde, die gemeinsam für die Cyberverteidigung verantwortlich sind – dem Cyber Command des Militärs und der National Security Agency, die beide von dem damaligen General Nakasone und dem Department of Homeland Security geleitet werden – sondern von einer privaten Cybersicherheitsfirma, Fire Eye. Interviews mit Schlüsselfiguren bei der Untersuchung dessen, was Geheimdienste für eine Operation des russischen Geheimdienstes S.V.R. halten, brachten diese Punkte ans Licht:
- Der Angriff ist weitaus umfassender als zunächst angenommen. Anfängliche Schätzungen gingen davon aus, dass Russland seine Sonden nur in ein paar Dutzend der 18.000 privaten Regierungsnetzwerke schickte, zu denen sie Zugang erhielten, als sie Codes in die Netzwerkmanagement-Software einer texanischen Firma namens SolarWinds einfügten. Aber da Unternehmen wie Amazon und Microsoft, die Cloud-Dienste anbieten, tiefer nach Beweisen graben, scheint es nun, dass Russland mehrere Schichten der Lieferkette ausgenutzt hat, um Zugriff auf bis zu 250 Netzwerke zu erhalten.
- Die Hacker haben ihr Eindringen von Servern in den Vereinigten Staaten aus gesteuert, wobei sie das gesetzliche Verbot für die Nationale Sicherheitsbehörde (NSA) ausnutzten, inländische Überwachungen vorzunehmen, und die Cyberabwehr des Heimatschutzministeriums umgingen.
- „Frühwarn“-Sensoren, die vom Cyber Command und der National Security Agency tief in ausländischen Netzwerken platziert wurden, um sich anbahnende Angriffe zu erkennen, haben eindeutig versagt. Es gibt auch noch keinen Hinweis darauf, dass menschliche Geheimdienste die USA vor dem Hacking gewarnt haben.
- Die Betonung der Regierung auf die Wahlverteidigung, obwohl sie im Jahr 2020 von entscheidender Bedeutung ist, hat viele Ressourcen und Aufmerksamkeit von seit langem brütenden Problemen wie dem Schutz der „Lieferkette“ von Software abgelenkt. Auch im privaten Sektor enthüllen Unternehmen, die sich auf die Wahlsicherheit konzentrierten, wie Fire Eye und Microsoft, nun, dass sie als Teil des größeren Angriffs auf die Lieferkette angegriffen wurden.
- SolarWinds, das Unternehmen, das von den Hackern als Kanal für ihre Angriffe genutzt wurde, hatte in der Vergangenheit einen Mangel an Sicherheit für seine Produkte, was es zu einem leichten Ziel machte, wie aktuelle und ehemalige Mitarbeiter und Ermittler der Regierung berichten. Der Chef des Unternehmens, Kevin B. Thompson, der nach 11 Jahren seinen Posten verlässt, wich der Frage aus, ob sein Unternehmen das Eindringen hätte erkennen müssen.
- Ein Teil der kompromittierten SolarWinds-Software wurde in Osteuropa entwickelt, und amerikanische Ermittler untersuchen nun, ob der Angriff von dort ausging, wo russische Geheimdienstmitarbeiter tief verwurzelt sind.
Die US-Regierung war eindeutig der Hauptfokus des Angriffs. Das Finanzministerium, das Außenministerium, das Handelsministerium, das Energieministerium und Teile des Pentagons gehören zu den Behörden, die nachweislich infiltriert worden sind. Das Verteidigungsministerium besteht darauf, dass die Angriffe auf seine Systeme erfolglos waren, obwohl es keine Beweise vorgelegt hat. Einige Geheimdienstler stellen in Frage, ob die US-Regierung so sehr auf die Einmischung in die Wahlen fokussiert war, dass sie an anderer Stelle Lücken geschaffen hat. Geheimdienste kamen schon vor Monaten zu dem Schluss, dass Russland festgestellt hatte, dass es nicht genug Wahlsysteme infiltrieren konnte, um den Ausgang der Wahlen zu beeinflussen, und stattdessen seine Aufmerksamkeit auf Ransomware-Angriffe verlagerte, die Wähler entrechten und Operationen beeinflussen könnten, die darauf abzielen, Zwietracht zu säen, Zweifel an der Integrität des Systems zu schüren und die Meinung der Wähler zu ändern. Der SolarWinds-Hack, der bereits im Oktober 2019 begann, und das Eindringen in die Microsoft-Händler gaben Russland die Möglichkeit, die verwundbarsten, am wenigsten verteidigten Netzwerke in mehreren Bundesbehörden anzugreifen. Geben die Vereinigten Staaten jetzt auf und tun nichts? Nein, natürlich nicht!
Erstens sollten die USA erkennen, dass sie in ein Zeitalter des permanenten Cyberkonflikts eingetreten sind. Im Gegensatz zu konventionellen Kriegen können die USA diesen Kampf nicht beenden, indem sie ihre Truppen vom Kampfgebiet abziehen. Auf unbestimmte Zeit werden ihre Gegner, ob groß oder klein, ihre Verteidigung testen, ihre Netzwerke angreifen und ihre Informationen stehlen. In dieser Hinsicht gleicht der Cyberkonflikt eher dem Kampf gegen eine Krankheit als dem gegen einen Krieg, eine Krankheit mit Absicht, gegen die es wahrscheinlich keinen Impfstoff geben wird. Und wie man bei der Corona-Pandemie gesehen hat, sind die USA nicht gut darin, eine Krankheit zu bekämpfen.
Zweitens ist es für die USA an der Zeit, eine echte nationale Cyberverteidigung aufzubauen. Diese würde sich weniger auf Barrieren und Firewalls stützen, sondern mehr auf die Überwachung dessen, was in und zwischen Unternehmens- und Regierungsnetzwerken fließt. Stellen Sie sich statt einer Maginot-Linie eine territoriale Armee vor, die die vielen Schichten des Cyberspace verteidigt. Eine wirksame nationale Cyberverteidigung erfordert ein hohes Maß an Engagement der Unternehmen, den Austausch von Informationen und Vertrauen. Weder die Regierung noch der private Sektor können allein erfolgreich sein. Unternehmen und Behörden, insbesondere diejenigen, die Software-Dienste anbieten, müssen stärker für ungeheuerliche Sicherheitslücken zur Verantwortung gezogen werden, die sie zu leichten Zielen machen und uns alle in Gefahr bringen.
Drittens müssen die USA den Cyberoperationen ihrer Gegner unerbittlich entgegentreten, indem sie in deren sensibelste Systeme eindringen. Es gibt ein Sprichwort in der Spionageabwehr, dass nur Spione Spione fangen. Die meisten Agenten werden nicht durch Überwachung oder Hintergrundchecks enttarnt, sondern durch andere Spione. Zweifellos arbeiten die C.I.A., die N.S.A. und das Cyber Command unermüdlich daran, die personellen und technischen Netzwerke aufzubauen, die zur Aufdeckung ausländischer Geheimdienstoperationen benötigt werden. Aber sie müssen ihre Aktivitäten verstärken.
Und schließlich sollten die USA auch angesichts eines andauernden Konflikts bereit sein, sich mit ihren Cybergegnern zusammenzusetzen und zu reden. Es ist schwer vorstellbar, dass es ein umfassendes Abkommen über Cyber-Verhalten gibt, an das sich jedes Land hält oder von dem andere überzeugt sind, dass es eingehalten wird. In kleinen Schritten könnte jedoch ein gewisses Maß an Kooperation aufgebaut werden und mit der Zeit eine Grundlage geschaffen werden, um schließlich Normen und Verhaltensweisen zu regeln. Ein guter Anfang könnte bei den potenziell destabilisierendsten und zerstörerischsten Angriffen gemacht werden – etwa bei Angriffen auf nukleare Kommando- und Kontrollsysteme oder auf die globale Finanzinfrastruktur, die Märkte und Volkswirtschaften zum Erliegen bringen könnten. Wenn die USA nicht bereit sind, Einschränkungen für ihr eigenes Handeln zu akzeptieren, können sie sich meiner Meinung nach kaum beklagen, wenn andere nach denselben Regeln spielen.
In der Zwischenzeit, bis eine gewisse Ordnung oder ein Gesetz im Cyber-Wild-West Einzug gehalten hat, ist es für die USA an der Zeit, nicht mehr überrascht zu tun und sich nicht mehr aufzuspielen. Stattdessen müssen sie ihre digitale Heimat besser verteidigen, lernen, einen Angriff abzublocken und abzuschütteln und, wenn nötig, im Stillen ein paar Nasen zum Bluten bringen. Es wird ein langer Kampf sein; das amerikanische Volk verdient es, zu wissen, wie er aussieht.