"Es ist unwahrscheinlich, dass es je einen echten Cyberkrieg geben wird", heißt es in einer aktuell von der OECD veröffentlichte Studie zum Thema Internet Security. Die Gründe dafür umfassen den guten Schutz vieler kritischer Computersysteme vor bekannten Bedrohungen ebenso wie die Annahme, dass wohl kaum jemand einen rein virtuellen Krieg führen würde. Cyberwaffen allerdings sind weit verbreitet und werden bald allgegenwärtig, warnen die Studienautoren Peter Sommer und Ian Brown.
Grundsätzlich rechnen die beiden Sicherheitsexperten damit, dass die meisten Cybersicherheits-Probleme räumlich und zeitlich eher begrenzt ausfallen werden. Als ein globales Katastrophenszenario zeichnet die OECD-Studie allerdings den erfolgreichen Angriff auf grundlegende Elemente der Internet-Infrastruktur. Davon abgesehen ist ein globaler Internet-Schock aber unwahrscheinlich - wenngleich die Sonne einen solchen auslösen könnte.
CIA übertreibt maßlos
Wenn der ehemalige CIA-Chef Michael Hayden DoS-Attacken (Denial of Service) praktisch Massenvernichtungswaffen gleichsetzt, klingt das bedrohlich. Doch Sommer und Brown warnen, dass sprachliche Übertreibungen einer sinnvollen Analyse von Cybersicherheits-Fragen eher im Wege stehen. Sie verweisen darauf, dass DoS, Trojaner und andere Cyberwaffen meist nur sehr eingegrenzte Wirkung haben. Beispielsweise sei zu hinterfragen, ob der bekannte Angriff auf Estland 2008 wirklich das Ausmaß eines Cyberkriegs hatte.
Gegen einen echten Cyberkrieg spricht den Experten zufolge der gute Schutz wichtiger Systeme vor bekannten Lücken und Malware ebenso wie die Tatsache, dass die Auswirkungen von Attacken schwer vorhersagbar sind. Außerdem ist der Studie zufolge davon auszugehen, dass Cyberangriffe wohl immer in Verbindung mit realweltlichen Angriffen stehen werden. Ein rein virtueller Krieg ist also eher auszuschließen, vielmehr wird der Cyberspace zum zusätzlichen Schauplatz.
Solare Bedrohung
Von den beiden echten Katastrophenszenarien für den Cyberspace, welche die OECD-Studie anführt, hat eines wenig mit Cybersicherheit zu tun. Es ist die Sonnenaktivität, die ein kaum kalkulierbares Risiko bedeutet. Durch eine extrem starke Sonneneruption könnten nicht nur Satelliten ausfallen. Auf der Erde sind Schäden beispielsweise an Mobilfunksendern und Vermittlungsstellen denkbar. Falls auf diese Art eine größere Zahl an wichtiger Netzwerkknoten physisch ausfällt, wäre Ersatz nicht ohne weiteres verfügbar. Es ist also wichtig, am Schutz anfälliger Systeme vor hochenergetischen Sonneneruptionen zu forschen.
Die einzige Form des Cyberangriffs, die sich nach Einschätzung der OECD-Studie ebenso dramatisch global auswirken kann, würde eine schwer zu schließende Sicherheitslücke auf fundamentaler Infrastrukturebene wie beispielsweise de Domain Name Servern erfordern. Theoretisch könnte es sein, dass dann Web oder E-Mail unbrauchbar gemacht werden. Davon wäre freilich auch der Angreifer betroffen. Das spricht laut Studie gegen den Versuch einer so grundlegenden Attacke. (pte/rw)
Mehr über neue Bedrohungen im Netz erfahren Sie auf auf dem Channel-Sales-Kongress "Security und Storage" am 17. Februar in München.