Die große Grauzone - Buchbesprechung von "Cyberwar" (Constanze Kurz/Frank Rieger)

Mit „Cyberwar: Die Gefahr aus dem Netz“ (München: C. Bertelsmann, 2018) haben die Autoren Constanze Kurz (netzpolitik.org) und Frank Rieger (Sprecher des Chaos Computer Clubs) ihr drittes Buch vorgelegt. Der Titel des Sachbuchs sowie die Einleitung („Das Schlachtfeld ist überall“) beschwören ein Bedrohungsszenario herauf und lassen eine unreflektierte Übernahme militärischer Sprache befürchten – doch schnell zerstreuen die Autoren Zweifel an ihrer Ernsthaftigkeit, wenn sie ihre Bedenken schildern, die zivilen Netze zum Kriegsschauplatz zu erklären.

Gleich zum Auftakt befindet sich der Leser quasi mitten im Geschehen: Plakativ, aber nicht reißerisch entwerfen Kurz und Rieger mit einiger Ausführlichkeit das Szenario einer umfassenden, nicht zuordenbaren Denial-of-Service-Attacke auf Deutschland und weitere Staaten der westlichen Welt, die aufgrund vermuteter Verantwortlichkeit fast zu einem kriegerischen Konflikt mit Russland führt. Die „wahren“ Urheber sind in dieser fiktiven Konstruktion jedoch eine Handvoll Kriminelle, deren Versuch, kurzfristige Kursschwankungen einer neuen Kryptowährung hervorzurufen, gründlich aus dem Ruder gelaufen ist. 

Das zweite Kapitel nun führt direkt zu einem Kern des Problems, nämlich der Frage, warum unsere digitale, vernetzte Welt eigentlich so angreifbar ist. Anhand eines fiktiven Modells – die Produktion und Programmierung eines Armbands für Pflegebedürftige inklusive App und Plattform – machen Kurz und Rieger deutlich, welchen wirtschaftlichen Zwängen IT-Unternehmen und Start-ups häufig ausgesetzt sind. Kosten- und Zeitdruck führen nur allzu oft zu einer unsicheren Struktur aus vorgefertigten Softwarebausteinen mit zahlreichen Schnittstellen und an ein insgesamt wenig nachhaltiges Endprodukt – und das, so die zentrale Erkenntnis, wird vom Markt, mithin von jedem Einzelnen von uns auch so akzeptiert.

Die folgenden Kapitel geben darauf aufbauend einen Überblick über zentrale Begriffe und Phänomene des „Cyberkriegs“: über die Bandbreite und Funktionsweisen von Waffen und Angriffsmöglichkeiten im bzw. über den Cyberraum, die Attributionsproblematik und die daraus folgende Verunklarung, die Veränderung militärischer Paradigma durch die unterschwellige Konfliktführung sowie die Möglichkeiten und Mechanismen von Desinformation. Die Folgen werden klar benannt: ein hohes Eskalationsrisiko durch nicht feststellbare Verantwortlichkeiten, das Verschwimmen von Grenzen, etwa zwischen militärischen und nachrichtendienstlichen Aufgaben und Aktivitäten, das Entstehen eines lukrativen (Grau- und Schwarz-)Markts für Sicherheitslücken, Schad- und Überwachungssoftware und dadurch generell eine fortschreitende Unterminierung von Vertrauen.  

Normen entstehen nur durch Verständigung

Ist es denn also ein „Krieg“, der in der virtuellen Welt tobt? Anhand der ausführlichen Zustandsbeschreibung kann sich jeder selbst sein Urteil bilden. Die Stoßrichtung des Buchs ist eine andere: Es zeigt in aller Deutlichkeit auf, welcher weitgehend regellose, uneindeutige Raum sich im Cyberspace auftut – Kurz und Rieger greifen hier mehrfach die Metapher des „Spiegelkabinetts“ auf. Jenseits definitorischer Fragen lautet ihre Kernthese: Solange Staaten und staatliche Akteure das aggressive und infiltratorische Spiel mitspielen wollen und die Notwendigkeit des Eindringens in bzw. des Überwachens fremde(r) Systeme und Netze postulieren, haben sie kein Interesse an sicherer Soft- und Hardware – und tragen somit letztlich zum Fortbestand mehr oder weniger rechtsfreier Räume, ja sogar zur Potenzierung der Unsicherheit bei. 

Um wirklich Sicherheit im Netz zu gewährleisten, halten die Autoren einen anderen Weg für angezeigt – im Bewusstsein, dass dies der mühevollere sein dürfte. Auf internationaler Ebene plädieren sie für ein schrittweises Vorgehen durch zwischenstaatliche Verständigung, bilaterale Konventionen und Abkommen, um einen Normbildungsprozess in Gang zu bringen. Die Symbolkraft selbst unilateraler Verpflichtungen, beispielsweise eines Entwicklungsmoratoriums, sei nicht zu unterschätzen. Deutschland, das sich bisher auf dem Feld der offensiven Cyberaktivitäten zurückgehalten hat, könne hier eine glaubhafte Vorreiterrolle spielen.

Auch im Inneren sehen Kurz und Rieger den Staat durch umfangreiches Setzen von Regeln und Anreizen in der Pflicht: von konsequenter Gewährleistung von Privatsphäre und Datensicherheit über Transparenz- und Informationspflichten bei Cybervorfällen bis hin zur Einführung von Haftungsregelungen und der Integration von Sicherheitsaspekten in die Ausbildung von IT-Fachleuten. Dass die „aktive Defensivstrategie“, die das Autorenteam für die einzig richtige Lösung hält, einer Herkulesaufgabe nahekommt, wird dabei nicht verschwiegen. Es müssten dafür in Teilen „die Fundamente der digitalen Architektur neu errichtet werden“.

Ob sich dies alles so wird umsetzen lassen, soll hier gar nicht abschließend beurteilt werden. In jedem Fall öffnen Constanze Kurz und Frank Rieger ihren Leserinnen und Lesern die Augen, wie auch sie selbst in ihrer möglichen digitalen Naivität und ihrer Suche nach schnellen und billigen Lösungen Teil des Problems sind. Sie liefern eine sehr lesenswerte, allgemeinverständliche und klar argumentierende Einführung in die Grauzone Cyberspace und unsere Handlungsmöglichkeiten in diesem Spannungsfeld – unabhängig davon, welchen Namen wir ihm geben.

Rüdiger Frank 

Am 15.6. erscheint die nächste Ausgabe unseres E-Journals „Ethik und Militär“ zum Thema Cyberwar – unter anderem mit Beiträgen von George R. Lucas und Götz Neuneck