nd-aktuell.de / 20.05.2017 / Kommentare / Seite 3

Kollateralschaden in Zeiten des »Cyberkriegs«

Katharina Nocun über den Trojaner »WannaCry«: Wer Krankenhäuser attackiert, macht sich des Kriegsverbrechens schuldig.

Katharina Nocun

Ein Trojaner namens »WannaCry« schaffte es innerhalb weniger Stunden, eine globale Schneise der Verwüstung zu ziehen. Die Schadsoftware nutzte eine Sicherheitslücke in Windows-Betriebssystemen aus und verschlüsselte infizierte Systeme. Opfer standen vor der Wahl: Entweder einen festen Betrag an die angegebene Adresse überweisen oder aber die Daten sind unwiederbringlich verloren. Von Telefónica, Renault und Nissan reicht die Liste der Betroffenen bis hin zum rumänischen Außenministerium. Nun war jedoch nicht nur die Zahl der Betroffenen außergewöhnlich – »WannaCry« traf ausgerechnet die kritische Infrastruktur einiger Länder mit voller Härte. Fahrkartenautomaten der Deutschen Bahn gingen in die Knie. In britischen Krankenhäusern wurden Operationen abgesagt. Der »Cyberkrieg« war plötzlich vor unserer Haustür.

Die Sicherheitslücke, die »WannaCry« ausnutzte, stammte ursprünglich aus dem Waffenarsenal der National Security Agency (NSA). Diese hortet Informationen über kritische Sicherheitslücken in IT-Systemen, die auf einem florierenden Schwarz- und Graumarkt aufgekauft werden. Gekauft wird nicht mit dem Ziel, Sicherheitsrisiken zu beheben oder zu melden. Im Gegenteil: Die Sicherheitslücken werden geheim gehalten, um in fremde Systeme einzubrechen. Das ist aus vielerlei Gründen problematisch. Und lebensgefährlich.

»Cyberkrieg« ist Politiksprech. Es meint Krieg mit anderen Mitteln. Im klassischen Krieg steht sich das Militär mit Waffen gegenüber. Wer gezielt zivile Infrastruktur wie Krankenhäuser angreift, macht sich des Kriegsverbrechens schuldig. Fakt ist, durch »WannaCry« betroffene Krankenhäuser hätten früher gewarnt werden können. Die NSA hätte Microsoft bereits 2016 dazu bewegen können, die Lücke zu schließen. Doch erst als die Lücke entwendet und ins Netz gestellt worden war, sah der US-Geheimdienst Handlungsbedarf. Egal ob im Krieg oder Frieden – macht sich ein Staat durch unterlassene Hilfeleistung nicht ebenfalls schuldig?

Von Krankenhäusern bis hin zu Transportunternehmen sind wir heute auf Gedeih und Verderb der Funktionsfähigkeit und Integrität von IT-Systemen ausgeliefert. Moderne Autos müssen heute genauso vom IT-Fachmann wie vom Mechaniker gewartet werden. Die Fronten dieses Krieges mit neuen Mitteln verlaufen mitten durch unser Wohnzimmer. Wenn Staaten aufrüsten, indem sie Sicherheitslücken über die kritische Infrastruktur anderer Länder aufkaufen, wird unsere Sicherheit damit aktiv untergraben. Es wird noch attraktiver, Sicherheitslücken zu verkaufen statt sie beim Hersteller zu melden. Doch wer meint: »Lieber sehe ich diese Daten in den Händen des Staates als in jenen von Kriminellen«, der irrt. Geheimdienste können nicht wissen, ob eine Sicherheitslücke auch von anderen Diensten oder Kriminellen aktiv ausgenutzt wird. Durch Stillschweigen wird dies in Kauf genommen. Geheimdienste setzen sogar in einigen Fällen Unternehmen unter Druck, um Schwachstellen in Systeme einzubauen. Auch hier gilt: Wer am Ende diese Schwachstelle ausnutzt, ist nicht kontrollierbar.

2014 genehmigte der Bundestag ein Budget für den Ankauf von Sicherheitslücken durch den Bundesnachrichtendienst (BND). Der BND ist damit auf gutem Wege, sich zu einer deutschen NSA zu mausern. Neben »Cyberkrieg« ist »Cybersicherheit« die neueste Wortschöpfung aus dem Bundesinnenministerium. Doch um echte Sicherheit für unsere kritische Infrastruktur gewährleisten zu können, müssen Geheimdienste aufhören, die Sicherheit von Krankenhäusern zu Kollateralschaden zu erklären.

Der »Cyberkrieg« ist längst vor unserer Haustür angelangt. Es ist nur eine Frage der Zeit, bis diese Politik Menschenleben kostet.