Der Cyber-Terrorismus. Eine Bedrohung für westliche Informationsgesellschaften?

Inhaltsverzeichnis

1.0 Einleitung

2.0 Cyber terrorism: Die Verwundbarkeit der westlichen Informationsgesellschaften
2.1 Was ist Cyber terrorism?
2.2 Warum bedroht Cyber terrorism westliche Informationsgesellschaften?

3.0 Cyber terrorism: Empirie und Szenarien
3.1 Empirie: Der virtuelle Gazakrieg 2008-
3.2 Szenarien: Die Zerstörung von kritischer Infrastruktur

4.0 Cyber terrorism: Konzeptionelle, organisatorische und rechtliche Gegenmaßnahmen
4.1 Cyber-terrorism-Angst
4.2 Konzeptionelle und organisatorische Maßnahmen gegen Cyber terrorism: Der Fall NATO
4.3 Rechtliche Maßnahmen gegen Informationskriegsführung:
Der Fall Europarat

5.0 Schlussfolgerungen

Literaturverzeichnis

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

1.0 Einleitung

,,Terroristen können an einem Computer sitzen, der mit einem Netzwerk verbunden ist und können weltweites Chaos schaffen. [Sie, Einfügung des Verfassers] brauchen nicht unbedingt eine Bombe oder Explosivstoffe, um einen Wirtschaftssektor zu zerstören oder ein Kraftwerk außer Gefecht zu setzen“^[1], sagte der Direktor des us-amerikanischen Department of Homeland Security (so etwas wie ein Sicherheitsministerium), T. Ridge,

anno 2003.

Mit solch einem Horrorszenario ist er nicht allein. Cyber Terrorism^[2] ist in aller Munde. Politiker, Wissenschaftler und nicht zuletzt die Massenmedien weisen – in mehr oder weniger drastischer Wortwahl – auf die Gefahren hin, die aus dem Gebrauch des Internets durch terroristische Organisationen resultieren.

Oftmals werden dabei die Bedrohungsszenarien unkritisch übernommen. Diese Arbeit setzt sich dagegen zum Ziel, die Bedrohungslage der westlichen hochentwickelten Informationsgesellschaften durch den Cyber Terrorismus kritisch zu untersuchen und der Frage nachzugehen:

Warum stellt Cyber Terrorismus eine Bedrohung für die Informationsgesellschaften des Westens dar^[3] und was können Internationale Organisationen^[4] tun, um diese Bedrohung zu minimieren?

Bei der Beantwortung dieser Fragestellung wird folgendermaßen vorgegangen:

Zunächst wird unter (2.0) das Konzept des Cyber Terrorismus geklärt, um anschließend die potentielle Verwundbarkeit der westlichen Informationsgesellschaften durch den Cyber Terrorismus darzustellen.

Unter (3.0) wird diese potentielle Verwundbarkeit der Realität gegenübergestellt. Zunächst geschieht dies am Beispiel eines empirischen Falls von Cyber terrorism, des virtuellen Gazakriegs 2008-2009. An die Empirie schließt sich die Analyse der oben bereits erwähnten Szenarien an. Diese stellen sich bei näherem Betrachten als unrealistisch heraus.

Anschließend werden unter (4.0) Gegenmaßnahmen vorgestellt, die von Internationalen Organisationen gegen Cyber Terrorismus auf konzeptioneller, organisatorischer und rechtlicher Ebene unternommen werden. Dies geschieht am Beispiel der NATO und des Europarats. Dabei stellt sich am Beispiel der NATO heraus, wie eine Bedrohungsanalyse, die die Gefahren des Cyber Terrorismus überschätzt zur Fehlallokation von intellektuellen und finanziellen Ressourcen durch neue Konzeptentwürfe und die Neugründung von Behörden führt, die den Cyber Terrorismus bekämpfen sollen. Der Europarat scheint dagegen die wirklichen Gefahren, die im Gebrauch des Internets durch Terroristen liegen – nämlich die Informationskriegsführung durch terroristische Gruppierungen - erkannt zu haben und begegnete ihnen mit zwei Konventionen, die vorgestellt werden.

Schließlich werden die Ergebnisse der Arbeit unter (5.0) zusammengefasst, die Fragestellung beantwortet und ein Fazit gezogen, zu dem auch Politikempfehlungen gehören.

2.0 Cyber terrorism: Die Verwundbarkeit der westlichen Informationsgesellschaften

2.1 Was ist Cyber terrorism?

Bevor der Frage nachgegangen werden kann, warum Cyber terrorism eine Bedrohung für die westlichen Informationsgesellschaften ist, sollte das Konzept des Cyber terrorism selbst erläutert werden. Wie bei vielen anderen Begriffen der Informations – und Telekommunikationstechnologien (IT) bleibt der Begriff oftmals – gerade in Massenmedien – diffus; in der wissenschaftlichen Diskussion machen unterschiedliche Definitionen die Runde.^[5]

In dieser Arbeit wird unter Cyber terrorism die Zerstörung (destruction), Unterbrechung (disruption), oder Desinformation (desinformation) der digitalen Informationsressourcen (Netzwerke, Daten) unter Verwendung elektronischer Mittel^[6] verstanden, die darauf abzielt, Regierungen oder Gesellschaften einzuschüchtern oder ihnen den eigenen politischen Willen aufzuzwingen.^[7]

Cyber terrorism umfasst ein Spektrum von Aktionen, das von der Zerstörung des Funktionierens von kritischer Infrastruktur (Verkehrsleitsysteme, Sanitäts- und Rettungsdienste etc., siehe unten) mittels Invasion in ihre mit dem Internet verbundene Verwaltung über die Unterbrechung des Informationsflusses zwischen verschiedenen Regierungsbehörden oder die Umgestaltung von Regierungs- oder Unternehmensseiten reicht.

Der Angreifer stellt dabei eine sub staatliche Gruppe, ein Netzwerk aus Individuen oder ein einzelnes Individuum dar und verfolgt seine eigenen politischen, religiösen oder ideologischen Ziele.^[8]

Damit kombiniert die vorliegende Definition den Begriff des Cyber space, des virtuellen Raums – einer elektronischen Umwelt, die durch die Interaktion zwischen elektronischen Netzwerken, Computersystemen, Kommunikationsverbindungen und Informationsspeichern entsteht^[9] – mit der herkömmlichen Definition des Terrorismus, die auf die Verbreitung von Furcht und Schrecken durch massive Zerstörung des Eigentums und/oder einer hohen Opferzahl unter der Zivilbevölkerung abhebt^[10]. Durch die Verbreitung von Furcht und Schrecken in Gesellschaften lässt sich dann Regierungen der – politisch, religiös,

ideologisch begründete – Wille der Terroristen aufzwingen.

Wichtig ist auch zu sagen, was Cyber terrorism nicht ist. Er sollte nicht mit Cyber crime verwechselt werden. Darunter fällt z.B. Hacking, das zwar ebenfalls die Zerstörung, Unterbrechung oder Desinformation der digitalen Informationsressourcen meint – aber unpolitisch ist: Der Hacker verfolgt keine politischen Ziele, die er aus einer bestimmten

Ideologie ableitet.^[11] Folglich geht es ihm auch nicht darum, den eigenen politischen Willen Regierungen oder Gesellschaften aufzuzwingen.

Der Unterschied zwischen Cyber terrorism und Hacking besteht also in der Motivation des Angreifers, nicht in der Wahl seiner technischen Mittel oder der Intensität seines Angriffs.

Es ist klar, dass die Grenzen zwischen Cyber terrorism und Cyber crime wie Hacking in der Realität oftmals verschwimmen.^[12] Dennoch ist es eine nötige analytische Unterscheidung, die es ermöglicht das Phänomen des Cyber terrorism einzugrenzen und damit fassbar(er) zu machen.

2.2 Warum bedroht Cyber terrorism westliche Informationsgesellschaften?

Das Internet ist wohl das wichtigste Netz im Cyber space. Es wächst global um durchschnittlich 100 Prozent pro Jahr – Mitte der 90er Jahre des 20. Jahrhunderts sogar um 1000 Prozent. Der Gebrauch und der Umfang des Internets verdoppelt sich jedes Jahr.^[13] Die Internetpenetrationsrate – der Anteil der Bevölkerung, die das Internet nutzt – beträgt in westlichen Gesellschaften zwischen 25 % Prozent (die meisten EU-Staaten und Israel) und 50 % bis 70 % Prozent (USA, Kanada, Australien, Japan, Großbritannien, Estland, Finnland u.a.) und geht in Schweden und Island sogar über 70 % Prozent hinaus.^[14]

Zunehmend findet der wirtschaftliche Austausch im Internet statt (e-commerce). Um die steigende Abhängigkeit der hochentwickelten westlichen Wirtschaft von der Informationstechnologie zu beschreiben, wird von einer ,,digitalen Ökonomie“ gesprochen, die die industrielle Ökonomie ablösen werde.^[15] In Estland als einem der digitalen Vorreiterstaaten werden 95 % Prozent der Bankentransaktionen wie Überweisungen auf elektronischem Wege erledigt.^[16] Gleichzeitig steigt die Zahl der mit dem Gebrauch von Computern zusammenhängenden Sicherheitsvorfälle. Das unabhängige Computer Emergency Response Team / Coordination Center (CERT/CC) der Carnegie-Mellon University (USA) berichtete für die Vereinigten Staaten von 137,529 Vorfällen für das Jahr 2003 (1990 waren es 252).^[17] Die Dunkelziffer dürfte höher liegen. Von diesen digitalen Sicherheitsfällen sind in ihrer Mehrheit private Unternehmen betroffen.^[18]

Die finanziellen Verluste für die Unternehmen sind enorm:

So wurde der weltweite Verlust durch Virusattacken für das Jahr 2005 auf 14,2 Milliarden US-Dollar geschätzt (der Spitzenwert von 17,5 Milliarden US-Dollar wurde 2004 erreicht).^[19]

Die hohe Verletzlichkeit privater Unternehmen resultiert daraus, dass die Sicherheitsvorkehrungen gegenüber der Dienstleistungsorientierung zurücktreten: Im Gegensatz zu militärisch genutzten Netzwerken oder Software, wo Sicherheitsvorkehrungen schon von vornherein bei der Planung berücksichtigt werden^[20], werden kommerzielle Netzwerke

[...]

^[1] T. Ridge im April 2003. Zit. nach: G. Weimann: Cyberterrorism: The Sum of All Fears? In: Studies in Conflict & Terrorism, Jg. 28, 2005. S. 129–149, hier: S. 134.

^[2] Cyber terrorism und das partiell ,,eingedeutschte“Cyber Terrorismus werden in dieser Arbeit abwechselnd verwendet, meinen aber natürlich das gleiche Konzept.

^[3] Diese Frage schließt die kritische Nachfrage: Ist Cyber Terrorismus überhaupt eine Bedrohung für die westlichen Informationsgesellschaften? ein.

^[4] Das Internet kennt keine Ländergrenzen. Folglich konzentriert sich diese Arbeit auf Lösungsansätze für Cyber Terrorismus und den terroristischen Gebrauch des Internets, die auf globaler (oder zumindest europäischer) Ebene ansetzen.

^[5] Vgl. G. Weimann, a.a.O., S. 131-132.

^[6] D.h. unter Verwendung der Errungenschaften der IT-Technologie wie des Internets. Natürlich können Terroristen z.B. auch mit elektromagnetischen Waffen (Electro Magnetic Pulse, EMP) digitale Informationsressourcen angreifen. Vgl. K. J. Knapp: Ten Information Warfare Trends. In: L. J. Janczewski; A. M. Colarik (Hg.): Cyber Warfare and Cyber Terrorism. Hershey, PA; London, 2008. S. 17–25, hier: S. 19. Online verfügbar unter http://storage.worldispnetwork.com/books/Cyber.Warfare.and.Terrorism.pdf ,zuletzt geprüft am 13.07.2010.

Dies wäre aber gemäß dieser Definition ein konventioneller terroristischer Akt und würde nicht unter Cyber terrorism – den Terrorismus im und durch den virtuellen Raum - fallen.

^[7] Diese Definition kombiniert die Definitionen von O’ Hara und B. L. Boyd.

Vgl. T. O'Hara: Cyber Warfare/Cyber Terrorism. U.S. Army War College (Carlisle Barracks, Carlisle, PA). (USAWC Strategy Research Project). 2004. S. 13. Online verfügbar unter http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA424310&Location=U2&doc=GetTRDoc.pdf , zuletzt geprüft am 13.07.2010.

Vgl. B. L. Boyd: Cyber Warfare: Armageddon in a Teacup? Master Thesis. Betreut von Jack D. Kem, John R. Schatzel und Christopher R. Vega. Fort Leavenworth, Kansas. U.S. Army Command and General Staff College. 2009. S. 3-4. Online verfügbar unter http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA512381&Location=U2&doc=GetTRDoc.pdf , zuletzt geprüft am 13.07.2010.

^[8] Vgl. J. M. Post; K. G. Ruby; E. D. Shaw: From Car Bombs to Logic Bombs: The Growing Threat from Information Terrorism. In: Terrorism and Political Violence, Jg. 12, H. 2, 2000. S. 97–122, hier: S. 100.

^[9] Vgl. B. L. Boyd, a.a.O., S. 3-4.

^[10] Vgl. J. M. Post; K. G. Ruby; E. D. Shaw, a.a.O., S. 100.

^[11] Vgl. G. Weimann, a.a.O., S. 131.

^[12] Vgl. G. Giacomello: Bangs for the Buck: A Cost-Benefit Analysis of Cyberterrorism. In: Studies in Conflict & Terrorism, Jg. 27, 2004. S. 387–408, hier: S. 391.

^[13] Vgl. B. L. Boyd, a.a.O., S. 4-5.

^[14] Vgl. G. Geiger: Risiken und Chancen der Kommunikationstechnologie. In: Informationen zur politischen Bildung, H. 291, 2006. S. 36–39, hier: S. 36.

Der weltweite Durchschnittswert liegt bei 15,6 % Prozent (2005) und dürfte bis 2015 auf 27,8 % Prozent steigen. Vgl. J. H. Nugent; M. Raisinghani: Bits and Bytes vs. Bullets and Bombs: A New Form of Warfare. In: L. J. Janczewski; A. M. Colarik (Hg.), a.a.O., S. 26–34, hier: S. 28 (Tabelle 1).

^[15] Vgl. K. J. Knapp, a.a.O., S. 20.

^[16] Vgl. B. L. Boyd, a.a.O., S. 32.

^[17] Vgl. K. J. Knapp, a.a.O., S. 18. Dies sind die letzten verfügbaren Daten, da das CERT/CC seit 2004 keine Zahlen mehr veröffentlicht. Dies wird damit begründet, dass die Zahlen inzwischen astronomische Höhen erreicht hätten.

^[18] Vgl. Ebd., S. 20.

^[19] Vgl. J. H. Nugent; M. Raisinghani, a.a.O., S. 30 (Tabelle 2).

^[20] Hierbei wird auch die höchste Sicherheitsstufe erreicht, die erreicht werden kann: Die Netzwerke der Militärbasen oder der Leitung der Nuklearstreitkräfte der USA sind z.B. gar nicht mit dem Internet verbunden. Vgl. G. Weimann, a.a.O., S. 143.