Man on the loop?

Yvonne Hofstetter im Interview mit Florian Rötzer beim Telepolis Salon. Bild: Lion Bischof

Yvonne Hofstetter im Telepolis Salon über Cyberwar, Cybersicherheit und die Entkopplung zwischen Software-Ingenieuren, Programmierern und der Physik

Yvonne Hofstetters neues Buch "Der unsichtbare Krieg. Wie die Digitalisierung Sicherheit und Stabilität in der Welt bedroht", diskutiert den Cyberwar im Kontext der aktuellen weltpolitischen Lage, in der die Großmächte in ein neues Wettrüsten eingetreten sind und die Risiken eines Konflikts wachsen. Auszüge aus dem Gespräch, das Florian Rötzer mit Yvonne Hostetter beim Telepolis Salon "Kriegsführung 4.0 - Wenn der Code zur Waffe wird" führte.

Die USA haben dieses Jahr im Juni als Reaktion auf den Abschuss einer Drohne durch den Iran statt eines zunächst geplanten militärischen Angriffs einen Cyberangriff ausgeführt. Das zeigt, dass Cyberwar zur neuen Kriegsführung wird, die einen konventionellen kinetischen Angriff vermeiden will. Was unterscheidet einen Cyber-Angriff von einem Angriff durch herkömmliche Waffen?
Yvonne Hofstetter: Da geht es in erster Linie um die Qualität des Angriffs. Völkerrechtlich muss ein bewaffneter Angriff immer mit kinetischer Energie erfolgen. Das heißt, ein Objekt wird angegriffen durch eine Rakete, es explodiert etwas, es geht irgendetwas in Flammen auf, es gibt Tote, also da wird kinetische Energie freigesetzt. Das ist ja offensichtlich nicht der Fall, wenn ich einen Virus oder einen Wurm implantiere. Wenn ein Staat einen anderen angreift, über diesen Weg, ist das ein bewaffneter Angriff? Ist das Krieg?
Microsoft hat zum Beispiel vor einigen Jahren beim WannaCry-Angriff gesagt, dass Viren, Würmer, Schadsoftware und auch Hintertürchen in Programmen eine Massenvernichtungswaffe darstellen. Völkerrechtlich trifft das nicht zu, weil hier keine kinetische Energie freigesetzt wird.
Tote könnte es infolge eines Cyber-Angriffs doch geben, wenn etwa die Stromversorgung eines Landes angegriffen wird und der Strom in Krankenhäusern ausfällt? Ist das dann nicht vergleichbar mit einem kinetischen Angriff?
Yvonne Hofstetter: Wenn es tatsächlich ein ganz schwerer Cyber-Angriff wäre, der die Wasserversorgung oder die Stromversorgung verunmöglicht oder Krankenhäuser abschaltet, dann ist das die einzige Ausnahme, bei der man sagen würde, das käme einem bewaffneten Angriff gleich. Dieser Fall ist aber hypothetisch, weil wir das noch nicht erlebt haben.
Der Iran hat abgestritten, dass es einen erfolgreichen Cyberangriff gab, wie dies die Amerikaner behauptet haben. Gehören Behauptungen und Leugnungen zum Cyberwar?
Yvonne Hofstetter: Stuxnet war ein Wurm, der ist eingeschleust worden in speicherprogrammierbare Steuerungen der iranischen Anreicherungsanlagen zum Bau der Atombombe. Man geht davon aus, dass die USA und Israel diesen sehr ausgefeilten Worm entwickelt haben. Er hat dazu geführt, dass die Anlagen kaputtgefahren worden sind, und das Atomprogramm um Jahre zurückgeworfen wurde.
Die Iraner haben allerdings immer abgestritten, dass ein solcher Angriff stattgefunden hat. Daher konnte nicht anhand dieses Falles festgelegt werden, welche Folgen ein solcher Angriff völkerrechtlich hat. Es gibt hier keine Standards, man hat sich international nicht geeinigt bislang. Aber sicher ist, dass eine Verteidigung nur dann erlaubt sein darf, wenn man auch öffentlich macht, dass man angegriffen worden ist. Und das hat der Iran nicht gemacht.
Besteht nicht die Gefahr, dass sich solche Cyberangriffe, die einen militärischen Angriff vermeiden und doch den Gegner treffen sollen, immer doch zu einem Krieg aufschaukeln können? Und wissen wir, welche Cyberwaffen eingesetzt werden könnten?
Yvonne Hofstetter: Die Amerikaner gehen davon aus, dass wir bis 2025 einen Cyberangriff mit schweren Folgen sehen werden. Sie sagen auch klar, wir wissen, dass russische Schadsoftware tief in unseren kritischen Infrastrukturen eingesenkt ist. Die Geheimdienste sind überzeugt, dass es nur eine Frage des politischen Willens von etwa Putin, diesen Knopf zu drücken und die Schadsoftware loszulassen. Gleichzeitig wird daran geforscht und gearbeitet, die Verteidigungslinien hochzuziehen. Darin hat man aber sehr wenig Einblick. Man will auch die eigenen Fähigkeiten nicht offenlegen, sonst liefe man Gefahr mögliche Schwachpunkte zu verraten.
Das ist auch insofern ein Problem, als man dadurch nicht mehr abschrecken kann. Das Konzept der Abschreckung beruht auf der Idee der Zweitschlagfähigkeit, d.h. man schlägt bei einem Angriff doppelt so stark zurück. Das hat wiederum zum strategischen Gleichgewicht geführt, sodass sich niemand getraut hat, gewagt hat anzugreifen. Dazu muss man demonstrieren, was man hat und die Pershings aufstellen. Das ist hier nicht der Fall. Gerade die Amerikaner sind diejenigen, die sich sehr zurückhalten und nicht sagen, was sie haben.
Andererseits weiß man zum Teil auch nicht, wer der Gegner ist. Gerade wurde von der NSA festgestellt, dass Cyberangriffe, die auf eine mit dem Staat angeblich verbundene iranische Hackergruppe zurückgeführt wurden, wohl von einer russichen Hackergruppe gemacht wurden, die iranische Angriffe vortäuschten. Wie sicher kann man denn eigentlich sagen, mit wem man es zu tun hat?
Yvonne Hofstetter: In der Tat finden Angriffe statt, die gar nicht mehr so leicht zu attribuieren sind, wie zum Beispiel bei dem Drohnenangriff auf die Öl-Anlagen in Saudi-Arabien. Als die jemenitischen Huthi sich verantwortlich zeigten, sagten die Amerikaner, das können die technologisch gar nicht, das müssen die Iraner gewesen sein.
Die Amerikaner sollen in der Lage sein etwa 80% der Angriffe korrekt zu attribuieren. Die andere Seite der Medaille heißt: NSA-Überwachung. Wenn ich überall spioniere und Spionagesoftware installiere, kann ich unter Umständen eben leichter nachvollziehen, woher die Angriffe kommen. Da kommt die IT-Forensik ins Spiel. Da wird analysiert, wie ein Code aufgemacht ist, ob sich etwa kyrillische Zeichen darin befinden usw.
Die kann man ja auch wieder einbauen, um zu täuschen.
Yvonne Hofstetter: Ja, man wird sich da nicht sicher sein. Das strukturelle Problem ist aber, dass sich dadurch das strategische Gleichgewicht verschiebt. Wenn ich nicht so schnell erwischt werde, dann animiert mich das, weitere Angriffe auszuüben. Es kriegt mich ja eh keiner.
Kommen wir zu KI-Waffen. Die großen Staaten rüsten auf und demnächst werden mehr autonome Systeme eingesetzt, auf die dann wiederum zeitnah nur autonome Systeme reagieren können, zum Beispiel auf Hyperschallraketen. Wie weit sind wir denn von so einem Szenario einer Kriegsführung ohne Beteiligung von Menschen entfernt?
Yvonne Hofstetter: Hier gibt es unterschiedliche Ansätze. Die Rüstungsindustrie Israels wirbt damit, dass nur noch autonome Waffensystem gegen autonome Waffensystem kämpfen, und der Mensch ist außen vor. Das ist einfach Werbung. Die Nato sagt realistischer, sie spricht vom Hyperwar, bei dem Menschen wie Maschinen auf dem Schlachtfeld gegenüberstehen, und es wird, wie bei jedem anderen Krieg auch, viele Tote geben. Wie geht man also an die Sache heran?
Der Wunsch ist der, den Menschen zu entlasten bzw. schneller zu machen. Die Bundesregierung hat zusammen mit Frankreich, Spanien und Italien im Februar diesen Jahres ein großes Projekt lanciert, das Future Combat Air System (FCAS). Das heißt ein bemannter Kampfjet der fünften und sechsten Generation wird von autonomen Drohnen begleitet. Diese Drohnen, Wingmen oder Remote Carriers genannt, sollen im Luftkampf eingesetzt werden. Die Maßgabe der Europäer oder der Bundesregierung lautet: Wir wollen eine sogenannte meaningful human control, also eine entsprechende Kontrollausübung des Menschen über die Maschine. Das heißt, der Mensch wird in diesem FCAS auch räumlich sehr nah an der Maschine sein. Das ist also kein fernes Schlachtfeld auf dem die Maschinen sich bekämpfen, sondern der Mensch ist tatsächlich mit im Feuer.
Wir wissen übrigens auch nicht, wie meaningful human control aussehen soll. Ist das man-in-the-loop, d.h. die Maschine schlägt eine Entscheidung vor, die der Mensch schließlich trifft, oder ist das man-on-the-loop, d.h. der Mensch ist nur noch der Überwacher der Maschine, die selbständig Entscheidungen trifft, oder ist das man-out-of-the-loop, also der Fall, dass nur noch Maschine gegen Maschine kämpft, ohne dass der Mensch eine Rolle darin spielt. Es kommt auf das Konzept an. Aktuell forschen und bauen 27 Nationen an diesen Systemen. Also das wird kommen.
Die friedliche Nutzung von autonomen Systemen, in der zivilen Luftfahrt oder im Straßenverkehr, ist keine Zukunftsmusik mehr, und verspricht vor allem auch Sicherheit. Welche Herausforderungen sehen Sie auf diesem Feld?
Yvonne Hofstetter: Ich wäre hochgradig beunruhigt, wenn in der Flugzeugsteuerung KI involviert wäre. Mittlerweile, und das hat nicht nur mit KI zu tun, sondern auch mit der Ideologie, die von Silicon Valley kommt, heißt es: Überall ist Software drin und Software kann das alles. Ich versuche also Probleme, die ich in der Physik habe, durch Software zu lösen. Zum Beispiel die Abstandsmessung von Auto zu Auto, das macht man am besten mit einem Sensor, der den Abstand einfach und unmittelbar messen kann, und der mir das millimetergenau wiedergibt. Ich mache das aber nicht mit einer Kamera, die irgendwelche Schätzungen abgibt, wie weit ein Gegenstand oder ein Fußgänger von mir weg ist. Was ich direkt messen kann, mache ich direkt.
Wir sehen aber gerade bei den jüngeren Generationen, dass sie alles mit einer Software machen, mit einem Algorithmus, mit einer Berechnung. Wir merken auch, dass wir eine Entkopplung haben zwischen Software-Ingenieuren, Programmierern und der Physik. Die verstehen teilweise die Physik nicht mehr, und hier die Physik der Fliegens. Zum Beispiel die Boeing Max 8, bei der man eine Spezifikation baut, schreibt, und an Programmierer gibt. Die Programmierer haben aber wenig Ahnung von der Physik des Fliegens, und schreiben dann eine Software, die helfen soll, ein Flugzeug in einer bestimmten Lage zu halten. Das funktioniert aber nicht richtig und das Flugzeug stürzt ab.
Die Befürchtung ist, dass so etwas zunehmen wird. Das Gleiche gilt beim autonomen Fahren. Weil im Grunde alles auf Software und Daten gestützt wird, und wir glauben, dass wir damit die physische Welt irgendwie überwinden, lassen wir eine Menge junger Leute, die bestimmt gute Programmierer sind, auf die Physik los. Aber in dem Moment, wo die Dinge physisch werden, da kann es dann auch große Kollateralschäden geben. Das ist eine große Angst, die ich habe. (Florian Rötzer)