Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
NATO II<br />
der Nato vor allem auf dem Schutz der bündniseigenen<br />
Infrastruktur, was sicherlich im Rahmen<br />
der ihrer Kapazitäten liegt. Jedoch zeigen die<br />
»Nato Policy on <strong>Cyber</strong> Defense« von 2011 und die<br />
»Lissabon-Erklärung« von 2010, dass diese Konzentration<br />
nicht mehr exklusiv ist, sondern zunehmend<br />
die einzelnen Mitgliedsstaaten und deren<br />
kritischen Infrastruktureinrichtungen Berücksichtigung<br />
finden. Gewissermaßen ist das<br />
logisch, da die Nato schließlich auf das Funktionieren<br />
dieser Strukturen aufbaut. Betrachtet man<br />
jedoch das <strong>Cyber</strong>space-Umfeld und sich abzeichnende<br />
Charakteristika eines <strong>Cyber</strong>wars, so muss<br />
man sich fragen, ob die Nato diesen Anspruch<br />
erfüllen kann.<br />
»<strong>Cyber</strong>war«, dem US-Politologen Adam Liff<br />
folgend, bezieht sich auf computerbasierte netzwerkgestützte<br />
Operationen, die nicht der psychologischen<br />
Kriegsführung zuzuordnen sind, und<br />
die der Erreichung eines militärischen oder politischen<br />
Zieles dienen. Eine solche klare Definition<br />
ist wichtig, da der Begriff in den letzten Jahren<br />
sehr schwammig gebraucht worden ist. Das mag<br />
auch daran liegen, dass die praktische Unterscheidung<br />
schwer fällt: Beispielsweise das Eindringen<br />
in einen Server oder ein Netzwerk kann<br />
einer ganzen Reihe von Zwecken dienen, die sich<br />
jedoch nicht alle als kriegsähnlich klassifizieren<br />
lassen. Website-Vandalismus, <strong>Cyber</strong>-Spionage<br />
oder Hacken aus wirtschaftlichen Interessen sind<br />
nicht mit »Krieg« gleichzusetzen, ebenso wie es<br />
die »Offline«-Äquivalente auch nicht sind. Ebenso<br />
lassen sich elektronische Kampfführung oder<br />
ein kinetischer Angriff auf <strong>Cyber</strong>strukturen – etwa<br />
der Abwurf von Bomben auf ein Rechenzentrum<br />
– klar abgrenzen. Schlösse man diese ein,<br />
würde der Begriff beliebig und könnte kaum noch<br />
als analytische Kategorie dienen.<br />
Den Aspekt der Zielsetzung zu betonen, unterstreicht<br />
die Verwandtschaft zum konventionellen<br />
Krieg, der nach Clausewitz ja ebenfalls der<br />
Durchsetzung letztendlich politischer Interessen<br />
dient. Durch <strong>Cyber</strong>war soll der Gegner also ebenfalls<br />
zu einem bestimmten gezwungen werden.<br />
<strong>Cyber</strong>war dürfte sich vor allem auf einer strategischen<br />
Ebene abspielen und taktisch nur von<br />
begrenztem Nutzen sein: Das prominente Beispiel<br />
Stuxnet zeigt, wie zumindest für hochwertige Ziele<br />
eine gründliche Vorbereitung notwendig ist, die<br />
ad-hoc nicht zu bewältigen wäre. Als Ziele von<br />
<strong>Cyber</strong>attacken dürften deswegen vor allem Objekte<br />
von strategischer Bedeutung, die schon angesprochenen<br />
kritischen Infrastrukturen, in Frage<br />
kommen: beispielsweise Einrichtungen der Energie-<br />
und Gesundheitsversorgung oder Verkehrsund<br />
Kommunikationsinfrastrukturen.<br />
Zumindest in Europa befindet sich ein Großteil<br />
dieser Anlagen in Privatbesitz oder ist zumindest<br />
teilprivatisiert – was im Gegensatz zu konventionellen<br />
Bedrohungen im <strong>Cyber</strong>war bedeutsam ist.<br />
Vereinfacht ausgedrückt konnte man ein Kraftwerk<br />
vor wenigen Jahrzehnten noch dadurch<br />
schützen, indem man ein Flugabwehrgeschütz<br />
daneben und einen Panzer vor das Tor stellte.<br />
Dieser Schutz war kaum von der Zustimmung o-<br />
der Kooperation mit dem Betreiber des Kraftwerks<br />
Der Begriff »<strong>Cyber</strong>war« ist in den<br />
letzten Jahren zu schwammig geworden.<br />
abhängig und griff auch nur geringfügig in den<br />
Betriebsablauf ein.<br />
Im Gegensatz dazu lässt sich ein <strong>Cyber</strong>angriff<br />
durch solche »simplen« Maßnahmen nicht abwehren,<br />
sondern erfordert, dass man sich tiefgreifend<br />
mit der vorhandenen IT-Infrastruktur auseinandersetzt.<br />
Dies ist ohne Zustimmung und Kooperation<br />
des Betreibers genauso wenig möglich, wie es<br />
ohne Auswirkungen auf den Betrieb bleiben dürfte.<br />
Während eine Luftabwehr außerdem auch auf<br />
regionaler, nationaler oder gar multinationaler<br />
Ebene einheitlich organisiert werden kann – wie<br />
die Nato es im Kalten Krieg getan hat –, erfordert<br />
der Schutz der kritischen IT-Infrastruktur auf-<br />
>><br />
ADLAS 1/2013 ISSN 1869-1684 35