Das Überschreiten der Grenze: Wenn Cyberangriffe zu Kriegshandlungen werden

Cyber Security News

Saryu Nayyar, CEO von Gurucul, erörtert den neuen Kalten Krieg und das Potenzial eines Cyberangriffs, militärische Maßnahmen auszulösen.

Das Konzept des Kalten Krieges ist nicht veraltet. In den Jahrzehnten seit dem Zerfall der Sowjetunion hat sich das Schlachtfeld lediglich von Konflikten zwischen ideologischen Stellvertreterregierungen in den Cyberspace verlagert. Und die Gegner haben sich von einigen wenigen Primärnationen zu einer breiten Palette von souveränen Bedrohungsakteuren entwickelt.

Die Frage ist, wann ein Cyberangriff die Grenze zwischen einer kriminellen Handlung oder einem bloßen Streich und einer Kriegshandlung überschreitet. Liegt es an der Art des Opfers? Die Art des Angreifers? Die Art des Schadens? Oder eine Kombination aus all dem?

Um sicher zu sein, ist dies keine Entscheidung, die von Cybersecurity-Experten getroffen werden muss. Unsere Aufgabe ist es, die IT-Ressourcen unserer Unternehmen zu schützen, indem wir Risiken reduzieren, Bedrohungen abmildern, die Situation nach einem Angriff bereinigen und generell versuchen, alles sicher und reibungslos laufen zu lassen. Dabei spielt es keine Rolle, ob wir es mit einem Skript-Kiddie zu tun haben, das versucht, eine Website zu verunstalten, mit einem politischen Hacktivisten, der ein Statement abgeben will, mit einem Cyberkriminellen, der versucht, unsere Daten zu stehlen oder Lösegeld zu erpressen, oder mit einem staatlichen Akteur, der versucht, vertrauliche Informationen zu stehlen. Unser Ziel ist es, sie fernzuhalten und den Schaden zu minimieren, wenn es ihnen doch gelingt, einzudringen. Das Einzige, was sich ändert, ist, wie gut ausgestattet und hartnäckig unsere Gegner sind.

Definieren einer Kriegshandlung

Das Oxford’s Reference Dictionary definiert eine Kriegshandlung als: “Eine Handlung einer Nation, die darauf abzielt, einen Krieg mit einer anderen Nation auszulösen oder zu provozieren; eine Handlung, die als ausreichender Grund für einen Krieg angesehen wird.” Das ist eine gute Definition, aber sie lässt einige Unklarheiten, wenn sie auf den Bereich der Cybersicherheit angewendet wird. Sie konzentriert sich auf die Absicht, wobei der Grund für die Handlung von primärer Bedeutung ist; und sie definiert den Täter und das Ziel als souveräne Staaten.

Die Oxford-Definition wirft eine Reihe von Fragen auf. Wie behandelt man in diesem Zusammenhang Akte der Spionage (politisch, industriell oder anderweitig)? Zählt die Infizierung der Industrieanlagen eines Landes mit einem speziell entwickelten Virus, der einen zerstörerischen Ausfall verursacht? Was ist mit der Infizierung eines Regierungslieferanten und dem anschließenden Ausnutzen dieser Lücke, um in die Behörden der gegnerischen Regierung einzudringen? Beide Fälle haben einen massiven Einfluss auf den rivalisierenden Staat, obwohl die Absicht nicht darin bestand, einen Schießkrieg zu provozieren.

Was ist mit Fällen, in denen der Antagonist keine staatlich geförderte Organisation ist, sondern eher eine kriminelle oder aktivistische Organisation, die staatliche Unterstützung hat? Schützt plausible Bestreitbarkeit eine Regierung vor den Auswirkungen dieser Handlungen? Der umgekehrte Fall ist natürlich auch möglich: Eine unabhängige kriminelle oder aktivistische Organisation, die einen Vorfall verübt, der als staatlich gefördert wahrgenommen wird.

Historische Beispiele wie der SolarWinds-Einbruch, der im Dezember entdeckt wurde, oder der Stuxnet-Wurm vor einem Jahrzehnt waren beide große Vorfälle mit ernsten politischen und diplomatischen Auswirkungen. Aber keiner von beiden führte zu einem Krieg. Und das ist gut so. Bislang haben Vorfälle im Cyberspace noch nicht zu einem Schießkrieg in der realen Welt geführt. Aber das wird vielleicht nicht immer der Fall sein.

Was überschreitet die Grenze?

Da ein so großer Teil des weltweiten Infrastrukturnetzwerks aktiviert und angreifbar ist, liegt es nahe, dass ein Akteur irgendwo die Grenze überschreiten könnte. Ein Angreifer könnte lebenswichtige Infrastruktur zerstören oder einen Vorfall verursachen, der direkt zum Verlust vieler Menschenleben führt. Das Stromnetz. Die Luftverkehrskontrolle. Zahlreiche andere Systeme, die potenziell anfällig für Angriffe sind, könnten der Auslöser sein, der einen souveränen Staat in einen Krieg stürzt.

Vielleicht ist es ein Glück, dass es zivilen Organisationen rechtlich oder ethisch nicht erlaubt ist, im Falle eines Cyberangriffs “das Feuer zu erwidern”. Im Gegenzug haben militärische und nachrichtendienstliche Organisationen den gesunden Menschenverstand bewiesen, ihre Reaktionen heimlich oder verdeckt zu halten, wenn sie direkt involviert waren.

Es besteht kein Zweifel, dass im Cyberspace eine Art Kalter Krieg herrscht. Die Akteure haben sich vielleicht geändert. Es mag eine gewisse Unklarheit darüber bestehen, wer für wen arbeitet. Und die Ziele haben sich erweitert. Aber er findet statt. Glücklicherweise hat er noch nicht die Grenze überschritten und sich in der realen Welt als heißer Krieg manifestiert.

Als Cybersicherheitsexperten bleibt unsere Aufgabe, was sie schon immer war: unsere Organisationen gegen Cyberangriffe zu sichern. Wenn wir unsere Benutzer schulen und unsere Prozesse und Tools auf dem neuesten Stand halten, spielt es keine Rolle, ob wir von einem Skript-Kiddie oder einer ausländischen Macht angegriffen werden. Unsere Verteidigung wird halten, und wenn nicht, sind wir in der Lage, das Chaos zu beseitigen.

Herauszufinden, ob es eine Kriegshandlung war, wird den Politikern und Diplomaten überlassen – wo es hingehört.

Saryu Nayyar ist CEO bei Gurucul.

Weitere Einblicke der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com