Digitaler Balanceakt

Doch auch wenn Umfang, Intensität oder Auswirkungen der bisher bekannten digitalen Manöver geringer ausfielen als man zuvor vermutet hatte, gehen Experten doch von einem durchaus nennenswerten Einfluss solcher Mßnahmen aus. Auf dem Büchermarkt wurde schon zuvor engagiert über den aufgeladenen Begriff des „Cyberkriegs“ diskutiert: Der „Cybermarkt“ ist lukrativ und zwielichtig zugleich.

Zudem nutzen Autokratien vermehrt Cyberoperationen für politische Ziele, die westlichen Antworten auf böswillige Aktivitäten sind völkerrechtlich verzwickt, und die Ukraine war schon immer das Laboratorium russischer Cyberattacken.

Auf Enthüllungsreise

Warum Andy Greenbergs Buch „Sandworm“ von den Kritikern durchgehend bejubelt worden ist, erkennt man schon nach wenigen Seiten. Der Wired-Journalist nimmt einen mit auf die Enthüllungsreise zur vielleicht berüchtigtsten Hackergruppe, die der Kreml aufzubieten hat – „Sandworm“. Sandworm ist im Auftrag des Militärnachrichtendiensts GRU mutmaßlich für NotPetya in 2017 verantwortlich, die als die größte und zerstörerischste Cyberattacke weltweit gilt. Anhand von Sandworm und mithilfe zahlreicher Interviews zeigt der Autor, wie die russischen Nachrichtendienste seit Ende der 1990er Jahre Cyber­attacken verfeinert haben und als politisches Mittel nutzen.

Ukraine im Fadenkreuz

Greenbergs Besessenheit auf der Suche nach Sandworm geht so weit, dass er zum GRU-Tower in der 22 Kirova Street im Moskauer Stadtteil Khimki reist, dem Aufen­thaltsort der Gruppe.

Doch auch die andere Seite wird intensiv beleuchtet: Der Autor liefert intensive Einblicke, wie weite Teile der ukrainischen Gesellschaft seit 2014 immer wieder durch die Attacken lahmgelegt wurden und wie zumeist amerikanische Sicherheitsfirmen mit ihren Nachforschungen die notwendigen Hinweise zu diesen Attacken geliefert haben. Das wird immer wieder aus der Perspektive von Beteiligten geschildert, was dem Buch eine persönliche Note verleiht.

Das Buch ist Thriller, Sachbuch und investigativer Erfahrungsbericht zugleich. Während die technischen Erklärungen zu Cyberattacken und IT-Vulnerabilitäten für den ein oder anderen Leser bisweilen schwer zu verdauen sein können, lockert Greenberg das mit Erzählungen über Begegnungen mit Protagonisten in den USA oder der Ukraine und mit Rückblenden und Exkursen wieder auf, etwa zu den Cyberangriffen in Estland (2007), Georgien (2008), zu den Stuxnet-Operationen oder auch zur komplexen russisch-ukrainischen Historie.

Ungezügelter Markt

Ähnlich gut und fesselnd gelingt der Mix aus Lehrstück, akribischer Investigation und persönlicher Note in dem von der New York Times-Journalistin Nicole Perlroth verfassten Werk „This Is How They Tell Me the World Ends: The Cyberweapons Arms Race“.

Die Autorin zeigt in mühevoller kriminalistischer Kleinarbeit nicht nur die unbedarften Anfänge des sogenannten Verkaufs von „Cyberwaffen“ Ende der 1990er Jahre auf, sondern schildert auch, wie dieser sich zu einem nahezu ungezügelten, zwielichtigen und zugleich lukrativen Marktplatz entwickelte. Hierbei geht es vor allem um Zero-Day-Schwachstellen, sprich Software- und Hardware-Fehler, für die noch keine Updates oder Patches entwickelt worden sind. Professionelle und semiprofessionelle Hacker, Cyberkriminelle, private Sicherheitsfirmen, aber auch Regierungen sind auf der Suche nach diesen Zero Days, die für Attacken ausgenutzt werden können.

Perlroth lässt uns in eine zuvor verschlossene Welt eintauchen: Sie zeigt detailliert auf, wie die NSA und andere US-Behörden seit dem Kalten Krieg an ihren Cyberfähigkeiten gefeilt haben, sie ausgebaut haben und dabei selbst Zero Days nutzten. Dass sie die Zero Days horteten, statt private Unternehmen wie Google und Microsoft zu informieren, damit diese ihre Software updaten könnten, führte jedoch nach einer Weile dazu, dass Staaten wie Nordkorea oder Russland selbst an diese Schwachstellen gelangten und sie für ihre Cyberangriffe nutzen konnten.

Die Autorin betrachtet gerade den starken Zuwachs autoritärer Staaten auf der Nachfrageseite mit großer Sorge. Sie legt eindrucksvoll dar, dass es wohl Hacker und Sicherheitsunternehmen gibt, die gewisse ethische Standards besitzen und nur mit demokratischen Staaten zusammenarbeiten. Andere dagegen ließen sich vorbehaltlos von Staaten wie den Vereinigten Arabischen Emiraten und China einspannen oder verkauften ihnen zumindest die Hacking-Tools.

Von Hackern und Spionen

Die Fallbeispiele sind lebendig beschrieben, gespickt mit persönlichen Geschichten und Interviews und daher ausgesprochen spannend zu lesen. Der Bogen reicht von der international bekannten argentinischen Hackerszene über das Eigenleben von Hackerkonferenzen und dem Anwerben von „Talenten“ bis hin zu den Stories ehemaliger NSA-Mitarbeiter und ihrer Kooperation mit dem Ex-Arbeitgeber.

Bedauerlicherweise verlässt die Autorin gegen Ende des Buches die sehr dubiose und bisher verschlossene Welt des Cybermarkts abrupt, um sich auf schon ziemlich bekannte Cybervorfälle zu konzentrieren, inklusive Trump-Bashing wegen dessen Zurückhaltung gegenüber russischen Cyberoperationen. Insgesamt ist es nach der Lektüre jedoch ganz und gar nicht überraschend, dass Perlroths Buch 2021 von ­Financial Times und McKinsey mit dem Business Book of the Year Award ausgezeichnet wurde.

Am Schluss appellieren Per­l­roth und Greenberg in ganz ähnlicher Weise an das eigene Land und den Westen: Man habe hier, anders als die Ukraine, schlicht noch nicht in nennenswertem Maße erlebt, wie Cyberangriffe große Teile der Gesellschaftsfunktionen ausschalten können – und das, obwohl die USA und europäische Staaten viel digitalisierter und daher noch vulnerabler seien. So sei die Ukraine aus russischer Sicht nur die „digital test kitchen“ (Perlroth) für andere westliche Staaten.

Aus dieser Sicht bleibt es nicht nur wichtig, internationale Normen und Regeln zu schaffen, sondern auch, auf die eigenen Praktiken zu schauen und den kaum zu zähmenden Cybermarkt nicht noch selbst zu befeuern. Dies ist vor allem ein Fingerzeig in Richtung US-Nachrichtendienste und -Behörden, die den Autoren zufolge noch zu sehr auf die eigene weltbeste Cyberoffensive vertrauten.

Cybermacht Niederlande

Obwohl der martialische Titel von Huib Modderkolks Buch „Der digitale Weltkrieg, den keiner bemerkt“ ein Buch über ein globales Schreckensszenario suggeriert, fokussiert sich der niederländische Investigativ­journalist auf ein Potpourri von Cyberaktivitäten mit einem Fokus auf seinem Heimatland. Die Beispiele umfassen Ereignisse wie die Hacks gegen die nicht mehr existierende Zertifizierungsstelle DigiNotar oder die gegen den Telekommunikationskonzern KPN.

Besonders interessant ist das Buch immer da, wo der Autor von den Erfolgen der niederländischen Dienste berichtet, sei es bei der Zusammenarbeit mit den USA und Israel bei Stuxnet, bei der schrittweisen Infiltrierung des Netzwerks der russischen Hackergruppe „Cozy Bear“ (auch bekannt als APT 29) oder bei der Mithilfe der Aufdeckung der russischen Einmischung in den US-Wahlen 2016.

Dabei wird deutlich, welch ausgeprägte Cyberfähigkeiten die digitalaffinen Niederlande besitzen. Allerdings erfährt man bei Modderkolk ebenfalls, dass die niederländische Zusammenarbeit auch mit Alliierten im Cyberbereich nicht immer ganz reibungslos funktioniert.

Bisweilen fragt man sich bei der Lektüre, ob das Buch sich nicht doch zu sehr mit dem Binnenverhältnis der niederländischen Nachrichtendienste beschäftigt statt mit dem, was der Buchtitel verspricht. Auch die Beschreibungen der jeweiligen Fallbeispiele lesen sich mitunter wie eine reine Aneinanderreihung von Fakten und wie Protokolle – das mag aber auch der deutschen Übersetzung geschuldet sein.

Dennoch ist Modderkolks Buch lesenswert, da es zeigt, wie mühsam es ist, in Geheimdienstkreisen zu recherchieren und entsprechende Kontakte aufzubauen. Der Autor ging bei seiner Recherche so weit, dass er am Ende nach eigener Aussage selbst zur Zielscheibe von Cyberangriffen wurde. Zudem lohnt die Lektüre, weil es die Schwierigkeiten von Staaten wie den Niederlanden thematisiert, die richtige Balance zwischen „digitaler Sicherheit“ auf der einen Seite und Datenschutz und Privatsphäre auf der anderen Seite zu schaffen – auch, um angemessene Antworten auf die Angriffe von der anderen Seite zu finden.

Zankapfel der Cyberdiplomatie

Das letzte der hier zu besprechenden Bücher wendet sich in erster Linie an Juristen und Liebhaber des Völkerrechts. François Delerue geht in seiner 500-seitigen Ausarbeitung „Cyber Operations and International Law“ der Frage nach, wie sich das Völkerrecht anwenden lässt, wenn es um Fragen wie die Zuordnung, Rechtmäßigkeit oder mögliche Antworten von Nationalstaaten auf Cyberangriffe geht.

Die Thematik ist eine Art Zank­apfel der Cyberdiplomatie: Es herrscht zwar Konsens über die prinzipielle Gültigkeit des Völkerrechts im Cyberraum, doch vor allem westliche Staaten sind sich mit Ländern wie Russland und China uneins über die konkrete Anwendbarkeit. Das gilt besonders für Fragen der Selbstverteidigung, für Gegenmaßnahmen und für das humanitäre Völkerrecht.

Tücken des Völkerrechts

Der Autor zeigt anhand von völkerrechtlichen Urteilen, bisherigen Cyberangriffen und möglichen Szenarien überzeugend auf, wie sich Attacken technisch und rechtlich zuordnen lassen, wie schwierig das ist und wie „gerichtsfest“ die Indizienkette sein muss.

Jedoch wird dabei auch deutlich, dass das derzeitige Völkerrecht zuweilen nicht den Staaten nutzt, die Opfer von Cyberangriffen werden, sondern eher den Tätern hilft. Das kann beispielsweise der Fall sein, wenn Regierungen formal nur lose Beziehungen zu nichtstaatlichen Hackern pflegen, die dann im Auftrag dieser Regierung Angriffe gegen andere Staaten durchführen.

Auch zeigt der Autor gut und nachvollziehbar, welche Straftatbestände bestimmte Cyber­operationen nach geltender internationaler Rechtslage darstellen und welche Gegenmaßnahmen Staaten und die internationale Gemeinschaft demnach durchführen können.

Delerues Buch ist gewiss keine leichte Urlaubslektüre; die juristische Sprache könnte die Leserinnen und Leser anstrengen, auch weil es immer wieder zu Redundanzen kommt. Es beschleicht einen zudem das Gefühl, dass Delerue seine Argumente und Beweise bisweilen geradezu zwanghaft hieb- und stichfest machen möchte, ganz so, als vertrete er die Anklage in einem Fall vor dem Internatio­nalen Gerichtshof.

Die Herleitung für Delerues wichtigste These ist allerdings in der Tat überzeugend: Die meisten Cyberoperationen erfüllen völkerrechtlich gesehen nicht den Tatbestand des Cyberkriegs. Daher sind die geeigneten Methoden bei der Reaktion auf bösartige Cyberaktivitäten nicht unbedingt Akte der Selbstverteidigung, ­sondern eher abgeschwächte Gegenmaßnahmen wie etwa resolute Wirtschaftssanktionen. Das ist gerade vor dem Hintergrund interessant, dass die Autoren der drei anderen Bücher in Bezug auf genau die von Delerue diskutierten Beispiele von einem Cyberkrieg sprechen.

Schwieriger Balanceakt

Undurchsichtiger Markt, unklare völkerrechtliche Grundlage, Autokratien im Cyberraum: Von Nationalstaaten gesponserte Cyberattacken bleiben auch in Zukunft eine enorme Herausforderung für den Westen. Das wurde und wird vor allem im lange schwelenden Konflikt zwischen Russland und der Ukraine deutlich, der im Februar in der russischen Invasion gipfelte.

Deutschland und seine westlichen Partner stehen vor der verzwickten Aufgabe, Cyberangriffe zu stoppen und ihre defensiven und offensiven Fähigkeiten zu stärken, während sie gleichzeitig die eigenen ethischen Prinzipien hochhalten und die internationale Rechtmäßigkeit stärken müssen. Dies ist vor dem Hintergrund von immer stärker werdenden autoritären Staaten und einem kaum zu bändigenden Cybermarkt ein schwieriger Balanceakt.

Andy Greenberg: Sandworm. A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers. New York City: Doubleday 2019. 368 Seiten, 23,66 Euro

Nicole Perlroth: This Is How They Tell Me the World Ends: The Cyberweapons Arms Race. London: Bloomsbury Publishing 2021. 491 Seiten, 28,99 Euro

Huib Modderkolk: Der digitale Weltkrieg, den keiner bemerkt. Salzburg/München: Ecowin 2020. 320 Seiten, 22,00 Euro

François Delerue: Cyber Operations and International Law. Cambridge University Press 2020. 549 Seiten, 129,80 Euro

Kaan Sahin war bis Ende 2021 Technology Fellow und Strategischer Berater für Cyberdiplomatie für die deutsche EU-Rats­präsidentschaft im Auswärtigen Amt.