Forschungsdirektor des NATO Defense College schließt "Cyberabschreckung“ nicht aus
Der Forschungsdirektor des NATO Defense College in Rom, Karl-Heinz Kamp, hält eine Abschreckungsstrategie im Internet, vergleichbar der atomaren Abschreckung, für möglich. Das sei aber noch "sehr weit Zukunftsmusik".
Marcus Pindur: Und wir sind jetzt verbunden mit Dr. Karl-Heinz Kamp. Er ist Forschungsdirektor des NATO Defense College in Rom. Guten Morgen, Herr Kamp!
Karl-Heinz Kamp: Einen herzlichen Gruß aus Rom, guten Morgen!
Pindur: Zunächst mal ist es ja eine seltene Einhelligkeit zwischen Frankreich und den USA bei der Bewertung der restlichen Atomwaffen in Europa. Wie kommt die zustande?
Kamp: Na ja, also im Prinzip streitet ja niemand darum, dass der Wert der Währung nuklear, der mal vor 20 Jahren noch viele Hunderttausend Leute auf die Straße gebracht hat, dass dieser Wert heruntergegangen ist. Die Frage ist nur – und es sagt auch niemand etwas dagegen, dass wir langfristig versuchen müssen, in einer Welt ohne Atomwaffen zurechtzukommen –, allerdings die Frage ist: Wie gestalten wir die Frage bis dahin? Und da haben die Franzosen schon einen Punkt, indem sie sagen, Hoffnung allein ist ja keine Strategie, wir müssen eine Strategie haben, mit der alle leben können, wo auch die Länder in Osteuropa, die ja gewisse Sorgen gegenüber ihrem östlichen Nachbarn haben, auch sich genügend reassured, also rückversichert fühlen, wie es so in der NATO-Sprache heißt.
Pindur: Lassen Sie uns von da aus zu einem weiteren Thema des strategischen Konzeptes kommen, nämlich dem sogenannten Cyberwar. Die Öffentlichkeit ist jetzt alarmiert worden durch den Virus Stuxnet. Jetzt soll dieses Thema Krieg im Internet, Cyberwar, erstmals in das strategische Konzept der NATO aufgenommen werden. Heißt das, dass die NATO bislang dafür nicht vorbereitet war?
Kamp: Na, das Gute an dieser etwas hektischen Diskussion im Moment ist ja, dass wir überhaupt erkennen, welche Gefahren eigentlich schlummern, wenn ein groß angelegter Angriff, Computerangriff, auf Bankensysteme oder auf die Flugsicherung in Frankfurt erfolgen würde. Auf der anderen Seite erkennen wir auch, wie wenig wir selber noch definiert haben: Was ist eigentlich ein Cyberattack, ein Angriff im Internet, wer ist dann sozusagen zuständig für die Verteidigung und was machen wir eigentlich? Dieser Begriff Cyberwar, sozusagen der Cyberkrieg, setzt ja immer voraus, dass sie zwei oder mehr Gegner haben, die gegeneinander kämpfen, aber in dem Cybergeschäft wissen sie häufig gar nicht, wer und ob überhaupt – eine Institution, Staat, Gruppe, Hacker oder wer immer – sie angegriffen hat.
Pindur: Das ist schwierig zu erkennen und unterscheiden. Jetzt will NATO-Generalsekretär Rasmussen aber auch den Bündnisfall auch auf Internetattacken ausweiten. Ist das sinnvoll, wenn man gar nicht genau erkennen kann, wer denn der Gegner da ist?
Kamp: Ja, das ist ja ein bisschen kurz gegriffen, das sagt ja auch so keiner, sondern die NATO ist eine Verteidigungsallianz, die in ihrem Artikel 5 festgeschrieben hat, dass jeder bewaffnete Angriff als Angriff auf alle angesehen wird. Das schließt aber auf der anderen Seite nicht aus, weil eben die NATO auch einen Artikel 4 hat, und in dem steht, dass man ein Forum für transatlantische Konsultationen ist. Das heißt, wenn es zu einer Krise irgendwo kommt – und vor einigen Jahren ist Estland mal Opfer eines groß angelegten Computerangriffs geworden –, dann ist es wichtig, dass man sich in der Allianz zusammensetzt und überlegt, was können wir überhaupt tun, ist das Militärische wirklich das richtige Instrument, kann die NATO da etwas machen, ist es eine nationale Verantwortung? Und das muss im transatlantischen Rahmen diskutiert werden, und dafür ist die NATO das richtige Forum. Das heißt nicht, dass man Soldaten nun künftig gegen irgendwelche Cyberkriege einsetzt.
Pindur: Es gibt jetzt ja schon seit Jahren die NATO-Agentur für Kommunikations- und Informationssysteme – befasst die sich mit dem Cyberwar oder solchen Internetattacken und wie man ihnen begegnen kann?
Kamp: Seit zwei, drei Jahren beginnen Nationen und auch Institutionen damit, sogenannte Center of Excellences oder Cybercommands, also Kommandostellen, oder Behörden aufzubauen, und bei denen geht es primär immer noch um das, was ich eben sagte: Wir müssen erst mal schauen, wo liegen die Gefahren überhaupt?
Wir müssen uns einig werden, was ist eigentlich ein Cyberattack und wie gehen wir damit um? Es werden jetzt nicht irgendwo in geheimen Bunkern Cyberkrieger ausgebildet, die nun in Computern irgendwas machen gegenüber andere Länder, so weit sind wir überhaupt noch nicht, sondern erst mal schauen, wo liegen die Gefahren und worüber reden wir eigentlich?
Pindur: Wir reden ja mittlerweile über einen sehr weiten Sicherheitsbegriff. Es geht da also auch um Angriffe auf Infrastruktur, Stuxnet soll angeblich – man weiß es ja nicht genau – gegen die iranischen Atomanlagen gerichtet sein. Wird das nicht dann auch so, dass man dann auch, ich sag mal, die Sphäre des Militärischen sehr stark ausweitet, wenn man das als Aufgabe der NATO definiert?
Kamp: Nein, es ist ja eigentlich, der Trend geht ja in die gegensätzliche Richtung. Wir merken zum Beispiel in Afghanistan oder in vielen anderen Bereichen auch, dass sie militärisch Krisen nicht lösen können, Sie können nur ein Instrument sein in einem ganzen Spektrum, wozu Diplomatie, Politik und andere Dinge gehören, die zusammenwirken müssen.
Insofern ist auch sehr wohl der NATO klar, dass ihre Aufgabe nicht es ist, das Klimaloch zu schließen oder das Ozonloch oder sich mit der Frage: Wie ist eine gesicherte Energieversorgung für Land X zu sichern?, sondern sie ist halt nur ein kleines Instrument. Nur, man muss sich vorher drüber im Klaren werden, wer macht eigentlich was, und man muss sich vorher auch mit den anderen Institutionen, mit der EU, mit den Vereinten Nationen zusammensetzen und überlegen, im Fall X, dann sind wir entsprechend vorbereitet, und jeder weiß, was er dann zu tun hat. Und das ist noch ein sehr langer Weg zu gehen.
Pindur: Wie funktioniert denn so eine Cyberattacke, gibt es da schon Szenarien, die man sich ausgedacht hat, die wahrscheinlich sind?
Kamp: Also Sie merken oder Sie werden merken, dass allein der Begriff Cyberattacke, also Angriff aus dem Internet, ein sehr fragwürdiger ist. Wenn ich in das Computersystem des Deutschlandradios eindringe, um mich da umzuschauen, ist das ein Angriff oder ist es erst dann ein Angriff, wenn ich beginne, Dateien zu löschen oder wenn ich sogar einen Virus bei Ihnen einpflanze, sodass ab morgen bei Ihnen nichts mehr funktioniert? Das ist eine sehr unterschiedliche Sache, wo noch nicht definiert ist, was ist eigentlich Angriff und wer macht das alles, das heißt, gegen wen gehen sie eigentlich? Wenn Sie erkennen, da ist irgendwas passiert, gegen wen gehen Sie dann vor, wenn Sie nicht wissen, wer Sie angegriffen hat?
Pindur: Das ist jetzt das Stichwort Firewall, so eine haben wir hier natürlich beim Deutschlandradio auch, aber geht bei Ihnen auch, denken Sie, dass die Forschung auch in eine offensivere Richtung geht, denken Sie, dass auch NATO-Länder wie zum Beispiel die USA sich vorbereiten, auch selber Cyberangriffe zu führen?
Kamp: Also Sie können mal davon ausgehen, dass jeder, der da eine Funktion in diesem, was wir so Cyberspace, also in diesem allgemeinen Raum nennen, in dem halt eben Kommunikation per Computer stattfindet, die Option hat, auch offensiv vorzugehen. Das ist das, was Hacker tun.
Ich schließe nicht aus, dass Länder sagen, wenn wir angegriffen werden, haben wir die gleiche Möglichkeit gegenüber einem anderen Land, das zu tun. Ich schließe auch nicht aus, langfristig, dass wir so etwas bekommen wie Cyberabschreckung. Also, ich drohe dir bestimmte Dinge an, nur um dir die Message zu geben, dass du das, was du tun könntest, besser nicht tust. Das ist aber noch sehr weit Zukunftsmusik, und wie das aussehen wird, das weiß ich beim besten Willen noch nicht.
Pindur: Herr Kamp, viele Informationen haben wir aber von Ihnen bekommen, dafür vielen Dank!
Kamp: Sehr gerne!
Pindur: Dr. Karl-Heinz Kamp, Forschungsdirektor des NATO Defense College in Rom.
Karl-Heinz Kamp: Einen herzlichen Gruß aus Rom, guten Morgen!
Pindur: Zunächst mal ist es ja eine seltene Einhelligkeit zwischen Frankreich und den USA bei der Bewertung der restlichen Atomwaffen in Europa. Wie kommt die zustande?
Kamp: Na ja, also im Prinzip streitet ja niemand darum, dass der Wert der Währung nuklear, der mal vor 20 Jahren noch viele Hunderttausend Leute auf die Straße gebracht hat, dass dieser Wert heruntergegangen ist. Die Frage ist nur – und es sagt auch niemand etwas dagegen, dass wir langfristig versuchen müssen, in einer Welt ohne Atomwaffen zurechtzukommen –, allerdings die Frage ist: Wie gestalten wir die Frage bis dahin? Und da haben die Franzosen schon einen Punkt, indem sie sagen, Hoffnung allein ist ja keine Strategie, wir müssen eine Strategie haben, mit der alle leben können, wo auch die Länder in Osteuropa, die ja gewisse Sorgen gegenüber ihrem östlichen Nachbarn haben, auch sich genügend reassured, also rückversichert fühlen, wie es so in der NATO-Sprache heißt.
Pindur: Lassen Sie uns von da aus zu einem weiteren Thema des strategischen Konzeptes kommen, nämlich dem sogenannten Cyberwar. Die Öffentlichkeit ist jetzt alarmiert worden durch den Virus Stuxnet. Jetzt soll dieses Thema Krieg im Internet, Cyberwar, erstmals in das strategische Konzept der NATO aufgenommen werden. Heißt das, dass die NATO bislang dafür nicht vorbereitet war?
Kamp: Na, das Gute an dieser etwas hektischen Diskussion im Moment ist ja, dass wir überhaupt erkennen, welche Gefahren eigentlich schlummern, wenn ein groß angelegter Angriff, Computerangriff, auf Bankensysteme oder auf die Flugsicherung in Frankfurt erfolgen würde. Auf der anderen Seite erkennen wir auch, wie wenig wir selber noch definiert haben: Was ist eigentlich ein Cyberattack, ein Angriff im Internet, wer ist dann sozusagen zuständig für die Verteidigung und was machen wir eigentlich? Dieser Begriff Cyberwar, sozusagen der Cyberkrieg, setzt ja immer voraus, dass sie zwei oder mehr Gegner haben, die gegeneinander kämpfen, aber in dem Cybergeschäft wissen sie häufig gar nicht, wer und ob überhaupt – eine Institution, Staat, Gruppe, Hacker oder wer immer – sie angegriffen hat.
Pindur: Das ist schwierig zu erkennen und unterscheiden. Jetzt will NATO-Generalsekretär Rasmussen aber auch den Bündnisfall auch auf Internetattacken ausweiten. Ist das sinnvoll, wenn man gar nicht genau erkennen kann, wer denn der Gegner da ist?
Kamp: Ja, das ist ja ein bisschen kurz gegriffen, das sagt ja auch so keiner, sondern die NATO ist eine Verteidigungsallianz, die in ihrem Artikel 5 festgeschrieben hat, dass jeder bewaffnete Angriff als Angriff auf alle angesehen wird. Das schließt aber auf der anderen Seite nicht aus, weil eben die NATO auch einen Artikel 4 hat, und in dem steht, dass man ein Forum für transatlantische Konsultationen ist. Das heißt, wenn es zu einer Krise irgendwo kommt – und vor einigen Jahren ist Estland mal Opfer eines groß angelegten Computerangriffs geworden –, dann ist es wichtig, dass man sich in der Allianz zusammensetzt und überlegt, was können wir überhaupt tun, ist das Militärische wirklich das richtige Instrument, kann die NATO da etwas machen, ist es eine nationale Verantwortung? Und das muss im transatlantischen Rahmen diskutiert werden, und dafür ist die NATO das richtige Forum. Das heißt nicht, dass man Soldaten nun künftig gegen irgendwelche Cyberkriege einsetzt.
Pindur: Es gibt jetzt ja schon seit Jahren die NATO-Agentur für Kommunikations- und Informationssysteme – befasst die sich mit dem Cyberwar oder solchen Internetattacken und wie man ihnen begegnen kann?
Kamp: Seit zwei, drei Jahren beginnen Nationen und auch Institutionen damit, sogenannte Center of Excellences oder Cybercommands, also Kommandostellen, oder Behörden aufzubauen, und bei denen geht es primär immer noch um das, was ich eben sagte: Wir müssen erst mal schauen, wo liegen die Gefahren überhaupt?
Wir müssen uns einig werden, was ist eigentlich ein Cyberattack und wie gehen wir damit um? Es werden jetzt nicht irgendwo in geheimen Bunkern Cyberkrieger ausgebildet, die nun in Computern irgendwas machen gegenüber andere Länder, so weit sind wir überhaupt noch nicht, sondern erst mal schauen, wo liegen die Gefahren und worüber reden wir eigentlich?
Pindur: Wir reden ja mittlerweile über einen sehr weiten Sicherheitsbegriff. Es geht da also auch um Angriffe auf Infrastruktur, Stuxnet soll angeblich – man weiß es ja nicht genau – gegen die iranischen Atomanlagen gerichtet sein. Wird das nicht dann auch so, dass man dann auch, ich sag mal, die Sphäre des Militärischen sehr stark ausweitet, wenn man das als Aufgabe der NATO definiert?
Kamp: Nein, es ist ja eigentlich, der Trend geht ja in die gegensätzliche Richtung. Wir merken zum Beispiel in Afghanistan oder in vielen anderen Bereichen auch, dass sie militärisch Krisen nicht lösen können, Sie können nur ein Instrument sein in einem ganzen Spektrum, wozu Diplomatie, Politik und andere Dinge gehören, die zusammenwirken müssen.
Insofern ist auch sehr wohl der NATO klar, dass ihre Aufgabe nicht es ist, das Klimaloch zu schließen oder das Ozonloch oder sich mit der Frage: Wie ist eine gesicherte Energieversorgung für Land X zu sichern?, sondern sie ist halt nur ein kleines Instrument. Nur, man muss sich vorher drüber im Klaren werden, wer macht eigentlich was, und man muss sich vorher auch mit den anderen Institutionen, mit der EU, mit den Vereinten Nationen zusammensetzen und überlegen, im Fall X, dann sind wir entsprechend vorbereitet, und jeder weiß, was er dann zu tun hat. Und das ist noch ein sehr langer Weg zu gehen.
Pindur: Wie funktioniert denn so eine Cyberattacke, gibt es da schon Szenarien, die man sich ausgedacht hat, die wahrscheinlich sind?
Kamp: Also Sie merken oder Sie werden merken, dass allein der Begriff Cyberattacke, also Angriff aus dem Internet, ein sehr fragwürdiger ist. Wenn ich in das Computersystem des Deutschlandradios eindringe, um mich da umzuschauen, ist das ein Angriff oder ist es erst dann ein Angriff, wenn ich beginne, Dateien zu löschen oder wenn ich sogar einen Virus bei Ihnen einpflanze, sodass ab morgen bei Ihnen nichts mehr funktioniert? Das ist eine sehr unterschiedliche Sache, wo noch nicht definiert ist, was ist eigentlich Angriff und wer macht das alles, das heißt, gegen wen gehen sie eigentlich? Wenn Sie erkennen, da ist irgendwas passiert, gegen wen gehen Sie dann vor, wenn Sie nicht wissen, wer Sie angegriffen hat?
Pindur: Das ist jetzt das Stichwort Firewall, so eine haben wir hier natürlich beim Deutschlandradio auch, aber geht bei Ihnen auch, denken Sie, dass die Forschung auch in eine offensivere Richtung geht, denken Sie, dass auch NATO-Länder wie zum Beispiel die USA sich vorbereiten, auch selber Cyberangriffe zu führen?
Kamp: Also Sie können mal davon ausgehen, dass jeder, der da eine Funktion in diesem, was wir so Cyberspace, also in diesem allgemeinen Raum nennen, in dem halt eben Kommunikation per Computer stattfindet, die Option hat, auch offensiv vorzugehen. Das ist das, was Hacker tun.
Ich schließe nicht aus, dass Länder sagen, wenn wir angegriffen werden, haben wir die gleiche Möglichkeit gegenüber einem anderen Land, das zu tun. Ich schließe auch nicht aus, langfristig, dass wir so etwas bekommen wie Cyberabschreckung. Also, ich drohe dir bestimmte Dinge an, nur um dir die Message zu geben, dass du das, was du tun könntest, besser nicht tust. Das ist aber noch sehr weit Zukunftsmusik, und wie das aussehen wird, das weiß ich beim besten Willen noch nicht.
Pindur: Herr Kamp, viele Informationen haben wir aber von Ihnen bekommen, dafür vielen Dank!
Kamp: Sehr gerne!
Pindur: Dr. Karl-Heinz Kamp, Forschungsdirektor des NATO Defense College in Rom.