Stuxnet und Clausewitz: Krieg im Cyberspace?
Bedeutet “Stuxnet” Krieg? Sowohl eine geeignete Definition, was einen Kriegsakt im Cyberspace ausmacht, als auch stichhaltige Beweise scheinen zu fehlen. Nimmt man allerdings Clausewitz’ Charakterisierung von Kriegshandlungen als Fundament und zieht die relevanten Indizien zusammen, ergibt sich ein deutliches Bild: Die Verwendung des bösartigen Computerwurms erfüllt alle Merkmale einer kriegerischen Handlung.
Stuxnet, ein komplexer und ausgefeilter Computerwurm, zieht seit Mitte 2010 die Aufmerksamkeit von IT-Spezialisten, Sicherheitsexperten und Staatsmännern gleichermaßen auf sich. Der Begriff “Krieg” wird dabei häufig in der internationalen Debatte über Sinn und Unsinn des Programms verwendet. Die Bezeichnung des Stuxnet-Angriffs als kriegerischer Akt bleibt aber zumeist vage und oberflächlich. Dabei scheint allzu oft vergessen, was die vor kurzem erschienene amerikanische “International Strategy for Cyberspace” deutlich ausspricht: Ob physischer Angriff oder Cyberattacke, Opfer eines Kriegsaktes haben das Recht auf Selbstverteidigung, wenn nötig mit militärischen Mitteln. Fragen, welche das Potenzial haben, über Krieg und Frieden zu entscheiden, sind daher: War die Verwendung von Stuxnet wirklich eine Kriegshandlung? Haben die USA und Israel wirklich, wie in der Debatte vielfach angedeutet, das iranische Atomprogramm angegriffen?
Um zu einer vernünftigen Antwort zu gelangen, müssen zwei Schritte gegangen werden. Einerseits muss geklärt werden, was überhaupt in dem von Stuxnet verwendetem Bereich des Cyberspace als kriegerischer Akt gelten kann. Der Cyberspace ist dabei als virtueller Bereich zu verstehen, der durch die Verwendung von Computernetzwerken geschaffen wird. Andererseits muss genau überprüft werden, inwieweit der Angriff mit Stuxnet die Kriterien einer Kriegshandlung erfüllt. Zu beachten ist dabei, dass aufgrund der Anonymität in der Welt der Bits und Bytes und der Geheimhaltung militärischer Angelegenheiten eine solche Überprüfung immer auch zu einem gewissen Grad Interpretation bleibt. Eingedenk dessen, scheint die Stuxnet-Attacke jedoch alle Elemente einer an Clausewitz angelehnte Definition von Kriegshandlungen im Cyberspace zu erfüllen.
2. Kriegshandlungen im Cyberspace
Drei Wege stehen grundsätzlich offen, um zu einer Definition von Kriegshandlungen im Cyberspace zu gelangen: Über eine von allen Staaten beziehungsweise von mehr als zwei Staaten getragene, universale oder multilaterale Übereinkunft, oder aber durch eine unilaterale Festlegung. Allerdings liegt weder eine annähernd universale, beispielsweise durch die Vereinten Nationen verabschiedende Definition, noch eine multilaterale Vereinbarung bisher vor. Eine Anwendung der zahlreichen einzelstaatlichen Begriffsstimmungen für eine internationale Debatte nützt darüber hinaus nur wenig, da deren Legitimation schwerlich über die eigenen Territorialgrenzen hinweg reicht.
Eine sinnvolle theoretische Alternative kann in Carl von Clausewitz‘ “Vom Kriege” gefunden werden. Das 1832 veröffentlichte Werk beschreibt das Wesen des Kriegs selbst – und ist daher auch auf Handlungen in dem für Clausewitz unbekannten Bereich des Cyberspace anwendbar. Ferner ist die Definition des Krieges durch den preußischen Militärtheoretiker tief in der aktuellen akademischen und praktischen Auseinandersetzung mit dem Phänomen Krieg verwurzelt, so dass sich eine zukünftige und international anerkannte Begriffsbestimmung nicht unwahrscheinlich an die darin identifizierten Charakteristika anlehnen könnte.
Clausewitz definiert den Krieg als “Akt der Gewalt, um den Gegner zur Erfüllung unseres Willens zu zwingen”. Kriege – und Handlungen in einem solchen – weisen demnach fünf Eigenschaften auf: einen Angreifer und ein Opfer, einen politischen Willen, einen Akt der Gewalt, und – implizit – einen Interessenkonflikt, um den ein Krieg ausbrechen könnte. Angewendet auf den konkreten Fall Stuxnet, müssen fünf Fragen positiv beantwortet werden, um den Angriff mit dem Computerwurm legitimiert als Kriegsakt bezeichnen zu können: Kam Stuxnet ein Platz inmitten eines Interessenskonflikts zu? Kann ein Opfer und ein Angreifer identifiziert werden? Wurde der Code verwendet, um einen politischen Willen zu erfüllen? Kann der Stuxnet-Code als gewaltsamer Akt gewertet werden?
3. Stuxnet als Kriegshandlung im Cyberspace
Den Konflikt, in dessen Kontext Stuxnet aller Wahrscheinlichkeit eingesetzt wurde, stellt das Urananreichungsprogramm des Iran dar. Diverse Staaten wie auch der Sicherheitsrat der Vereinten Nationen haben das Land bereits zur Einstellung des Programms aufgefordert, da sie vermuten, dass die islamische Republik im Rahmen dessen unrechtmäßig Nuklearwaffen entwickelt. Eine Stellungnahme Gary Samores, Experte für Massenvernichtungswaffen der US-Regierung, verdeutlicht die Haltung: “I’m glad to hear they’re having troubles with their centrifuge machines, and the US and its allies are doing everything we can to make it more complicated.”[2] Der Iran hingegen hält an seinen Plänen fest und stellte jüngst den Bau eines Kernkraftwerks in Bushehr fertig, welches potenziell auch der Urananreicherung dienen könnte.
Doch wurde versucht, den Interessenkonflikt um die iranischen Atomaktivitäten über Sanktionen und Appelle hinaus mit Stuxnet zu lösen? Erste Anzeichen für eine positive Antwort liefern technische Analysen des Wurms und politische Statements des Iran selbst.
Einen der überzeugendsten Hinweise fand Ralph Langner, Experte für Cybersecurity aus Hamburg, in einer kurzen, aber zentralen Sektion des Programmcodes von Stuxnet. Langner zufolge ziele der sogenannte “Code 417” darauf ab, Gerätegruppen mit 162 Einheiten in potential zerstörerischer Weise zu beeinflussen. Die vom Iran für den Zweck der Urananreicherung verwendeten Zentrifugen in Natanz, wo sich die zentrale Anreicherungsanlage des Landes befindet, sind interessanterweise in Gruppen, sogenannten Kaskaden, von 162 Maschinen aufgestellt. Aufgrund der exakten Übereinstimmung kommt Langner zu dem Schluss, dass Natanz das wahrscheinliche Ziel der bösartigen Software darstelle.
Die These, dass das iranische Atomprogramm Stuxnet zum Opfer fiel, wird weiterhin gestützt von den statistischen Analysen der Firma Symantec. Eine von dem kalifornischen IT-Sicherheitsunternehmen angelegte Datenbank, welche den Datenverkehr zwischen infizierten Computern und dem über das Internet erreichbaren Steuerungsserver des Wurmes aufzeichnet, listet seit Start der Aufzeichnungen im September 2010 bis heute mehr als 100.000 verseuchte Computer. Über 60.000 davon im Iran.
Ferner räumten zahlreiche iranische Politiker, einschließlich Mahmud Ahmadinedschad, einen Softwareangriff auf das Anreicherungsprogramm ein. Obwohl sie bisher Stuxnet nicht konkret nannten, macht der zeitliche Zusammenhang der Äußerungen mit den Hauptinfektionszeitpunkten von Stuxnet diesen als Ursache des Ausfalls von knapp 1.000 Zentrifugen wahrscheinlich.
Doch wer hat den Wurm programmiert, wer ist – in Clausewitz‘ Terminologie – der Angreifer? Die Komplexität und Effektivität des Codes beschränken den Kreis möglicher Urheber drastisch. Insbesondere drei Indizien weisen auf eine Kooperation zwischen Israel und den USA hin. Für realistische Erfolgschancen eines Angriffs mussten die Entwickler von Stuxnet über umfangreiche Kenntnisse der Anlagen in Natanz verfügen. Diese sind nötig, da jedes industrielle Kontrollsystem, wie es auch in der iranischen Anreicherungsanlage zur Überwachung und Einstellung der Zentrifugen verwendet wird, individuell konfiguriert werden muss. Ein solches Wissen können aber lediglich zwei Personengruppen besitzen: Die Planer der Anlage selbst und jene, welche über einen ausgeprägten Apparat zur Beschaffung von Geheiminformationen verfügen.
Die Effektivität des Codes ist zudem nur plausibel, wenn der Angreifer eine eigene, mit der Zieleinrichtung möglichst identische und betriebsbereite Testapparatur besitzt. Der, nach heutigem Wissenstand, einzige weitere Staat, welcher solche Anlagen sein eigen nennt, ist Israel. Auch bestätigten amerikanische Sicherheitsexperten, welche unter der Bedingung der Anonymität mit der New York Times sprachen, dass Israel seine Zentrifugen zum Test von Stuxnet verwendet habe.
Das in Natanz verwandte Programm zur Kontrolle der Zentrifugen gibt einen letzten Hinweis, um den oder die Stuxnet-Entwickler demaskieren zu können: Eine Analyse des Codes zeigt deutlich, dass mehrere zuvor nicht bekannte Schwachstellen in der von Siemens entwickelten Kontrollsoftware durch Stuxnet ausgenutzt wurden. Nur ein Jahr vor der Entdeckung des Codes kooperierte der deutsche Hersteller mit den US-Nuklearlaboren in Idaho, um derartige Verwundbarkeiten aufzudecken. Obwohl die beide Seiten die Zusammenarbeit als Routineprozess beschreiben, bot sie den USA die Chance, an Wissen über die schwerauffindbare Softwarelücken zu gelangen, welche Stuxnet später den Zugang zu der sensiblen Software ermöglichten.
Die USA und Israel scheinen darüber hinaus nicht nur die geeigneten Mittel, sondern auch den politischen Willen zur Entwicklung von Stuxnet zu besitzen. Bereits 2008 ließen sich, einem 2009 erschienenen Bericht der New York Times zufolge, Anzeichen dafür finden, dass Israel im Bezug auf das iranische Programm nicht ausschließlich auf Sanktionen und Gespräche setzen will. Man erfragte während mehreren Treffen mit den USA so genannte “bunker-busters”, schwere Lenkbomben mit der Fähigkeit unterirdische Ziele – wie die Zentrifugen in Natanz – zu zerstören. Des Weiteren bat Israel die amerikanische Regierung um Ausrüstung zu Wiederbetankung von Flugzeugen, sowie das Recht, den irakischen Luftraum zu durchqueren. Die USA lehnten allerdings zwei der drei Forderungen ab und stellten lediglich die Betankungsausrüstung zur Verfügung. Im Juni 2008 wurden diese schließlich von Israel für einen Testflug über dem Mittelmeer verwendet. Die zurückgelegte Entfernung des Manövers entsprach dabei annähernd exakt der von Israel zum iranischen Anreicherungsstandort Natanz. Auf Seiten der USA legt eine Initiative, die von Präsident George W. Bush zur gleichen Zeit autorisiert wurde, den Willen zur Programmierung von Stuxnet nah: Das als geheim eingestufte Projekt zielte darauf ab, die Elektro- und Computersysteme rund um das iranische Natanz zu schwächen. Die Ähnlichkeit der von Präsident Barack Obama noch beschleunigten Initiative zu den Zielen von Stuxnet lässt den Schluss zu, dass der bösartige Code im Rahmen dieses Unterfangens zumindest mit entwickelt worden ist.
Um der vorgeschlagenen Definition von Clausewitz für Kriegshandlungen im Cyberspace gerecht zu werden, muss Stuxnet letztlich “gewaltsame” Eigenschaften aufweisen. Der Wurm wurde programmiert, um industrielle Kontrollsysteme in Kraftwerken zu beeinflussen. Dieses Ziel erreicht Stuxnet durch Modifikation der von den Systemen verwendeten Steuerungsmodule, welche ihrerseits die angegliederten Maschinen kontrollieren. Auf diese Weise kann der Code den operativen Arbeitsprozess der Geräte nach Belieben beeinflussen – sehr wahrscheinlich zu einem Verhalten jenseits ihrer regulären Bestimmungen. Konkret modifiziert Stuxnet die Taktfrequenz der betroffenen Maschinen, was beispielsweise zu ihrer Überhitzung und mithin Zerstörung führen kann. Besonders die für diese Veränderung verantwortlichen Code-Abschnitte klassifizieren Stuxnet als gewaltsam und machen seinen Einsatz zu einem gewaltsamen Akt.
4. Konklusion
Werden die hier gesammelten Indizien zusammengezogen, kann schließlich eine stichhaltige Antwort auf die Frage gegeben werden, ob Stuxnet legitim als Kriegshandlung gelten kann. Mit Blick auf Clausewitz‘ Definition erfüllt der Stuxnet-Angriff alle Anforderungen eines Kriegsaktes. Der Code scheint im Kontext des iranischen Urananreichungsprogramms (Interessenskonflikt) in Kooperation zwischen den USA und Israel (Angreifer) entwickelt worden zu sein, um das Vorhaben des Iran und dessen Zentrifugen zur Anreicherung in Natanz (Opfer) zu beeinträchtigen. Mittels potenziell zerstörerischer Modifizierung der dort verwendeten Steuerungssoftware (gewaltsamer Akt) sollte der Code scheinbar das Anreicherungsprogramm stören (politischer Wille). Der Programmcode von Stuxnet in Kombination mit dem realen Kontext, in dem er eingebettet ist, rechtfertigt somit die Bezeichnung des Angriffs als Kriegshandlung.
Die Analyse von Cyberattacken entlang Clausewitz‘ Kriegsverständnis bietet derzeit eines der geeignetsten Mittel, um Angriffe wie Stuxnet einzuordnen. Eine Bezeichnung als “Kriegshandlung” ist dennoch mit Vorsicht zu genießen. Diese vorgeschlagene Charakterisierung von Stuxnet ist lediglich im theoretischen Bereich legitim. Um realpolitische Erwartungssicherheit zu schaffen, muss ein länderübergreifender Konsens darüber gefunden werden, was eine kriegerische Handlung in der Dimension des Cyberspace ausmacht. Wie eine solche Definition aussehen und konkret angewendet werden könnte, zeigt dieser Artikel.
Von Sascha Knoepfel
[1] Auch erschienen in ADLAS Magazin für Außen- und Sicherheitspolitik, Ausgabe 2/2011, unter dem Titel „Vom virtuellen Kriege“, online unter http://adlasmagazin.files.wordpress.com/2011/06/adlas-02-2011.pdf.
