Standort: science.ORF.at / Meldung: "Das richtige Timing für den Cyberangriff"

Menschen im digitalen Datenstrom.

Das richtige Timing für den Cyberangriff

Keine Woche vergeht, da Medien nicht über Onlinesabotage und Cyberattacken berichten. Der alltägliche Cyberkrieg beschäftigt mittlerweile auch die Wissenschaft. Spieltheoretiker versuchen nun die Frage zu klären: Welches ist der ideale Zeitpunkt für den Angriff?

Spieltheorie 14.01.2014

Im Juli 2010 tauchte der Name "Stuxnet" erstmals in den Medien auf. Das Schadprogramm sei entwickelt worden, um die Industriesoftware von Kunden der Firma Siemens zu infizieren, meldete damals die Agentur Reuters. Zwei Monate später wurde öffentlich, dass der Wurm von Unbekannten in eine iranische Uran-Anreicherungsanlage in Natanz eingeschleust worden war.

Das Programm übernahm die Kontrolle über die Anlage und setzte 1.000 Uranzentrifugen außer Gefecht. Dann wurde ein Löschprogramm aktiv, mit dessen Hilfe sich Stuxnet selbständig aus den infizierten Systemen entfernte.

Stuxnet und die Folgen

Das politische Ziel des Angriffs war unschwer zu erkennen. Der Iran sollte daran gehindert werden, waffenfähiges Uran herzustellen. Frank Rieger vom deutschen Chaos Computer Club kommentierte den Vorfall mit dem Satz: "Der digitale Erstschlag ist erfolgt."

IT-Sicherheitsexperten gehen davon aus, dass hinter Stuxnet westliche Geheimdienste stecken, vermutlich aus den USA oder Israel. Offiziell bestätigt wurde das nie. Dreieinhalb Jahre nach dem "Erstschlag" gibt in dieser Causa längst die Realpolitik den Ton an. Erst gestern gab US-Präsident Obama den Abschluss eines Übergangsabkommens im Atomstreit mit dem Iran bekannt. Geld gegen Uran, lautet der Deal.

Die Studie

"Timing of cyber conflict", PNAS (14.1.2013; doi: 10.1073/pnas.1322638111).

An der University of Michigan haben sich nun Wissenschaftler der Sache angenommen. Der renommierte Spieltheoretiker Robert Axelrod versucht die Frage zu klären: Wann ist im Cyberkrieg der beste Zeitpunkt für den Angriff? Im Fall von Stuxnet, schreibt Axelrod mit seinem Kollegen Rumen Iliev im Fachblatt "PNAS", sei der Angriff mit exaktem Timing erfolgt.

Das lässt sich jedenfalls aus einem Modell ableiten, mit dem Axelrod und Iliev die Ressourcen und Risiken von Cyberkonflikten mit Formeln auszudrücken versuchen. Rasch muss die Attacke beispielsweise dann erfolgen, wenn die Einfallstore in der gegnerischen Sicherheitsarchitektur entdeckt werden könnten.

Im Fall von Stuxnet musste es vor allem deswegen schnell gehen, weil die Attacke den Bau iranischer Atomwaffen verzögern sollte. Das macht aus Sicht des Angreifers nur dann Sinn, wenn es diese Waffen noch nicht gibt. Zu dieser Diagnose hätte man wohl auch ohne Formelapparat kommen können, gleichwohl kann Axelrod mit seinem Modell nun auch andere Cyberattacken analysieren - was er in seiner Studie auch tut.

Seinem Modell zufolge muss die Mehrzahl aller Angriffe mit folgendem Konflikt klarkommen: Einerseits sollte der Angreifer so lange zuwarten, bis sein Programm die größte Wirkung entfalten kann - sei es nun Zerstörung oder lediglich Datenklau. Andererseits steigt mit jedem Tag die Wahrscheinlichkeit, bis eine eingeschleuste Software entdeckt wird. Dieses Problem lässt sich mathematisch lösen.

Der Iran schlägt zurück

Nach dem Stuxnet-Angriff ließ die Antwort des Iran nicht lange auf sich warten. Dieser attackierte Industriebetriebe in den USA und Saudi-Arabien, unter anderem die Ölfirma Aramco. Kritische Infrastruktur wie etwa Öl-Pipelines wurden dabei zwar nicht zerstört, dennoch sprach der damalige US-Verteidigungsminister Leon Panetta vom bis dato größten Cyberangriff im privaten Sektor.

Die Beurteilung von Axelrod und Iliev: Das Programm wurde im Gegensatz zu Stuxnet bereits nach wenigen Tagen entdeckt und vollständig entfernt. Fehler in der Programmierung würden zudem auf eine recht hastige Produktionsweise hinweisen, insofern sei der Angriff nicht sonderlich erfolgreich gewesen. Das Timing habe dennoch gestimmt. Denn dem Iran sei es vor allem darum gegangen, prompte Reaktion zu zeigen.

Durchwachsen fallen die Zensuren der beiden Wissenschaftler für die chinesische Cyberspionage im Westen aus. Diese sei zumeist leicht zu entdecken und werfe vermutlich nicht genug Erkenntnisse ab, als dass sich die feindliche Gesinnung der betroffenen Länder damit aufwiegen ließe. Axelrod und Iliev empfehlen den Chinesen durch die Blume, ein wenig zuzuwarten, bis es wirklich etwas zu holen gebe.

Wer kennt die Variablen?

Vorausgesetzt, die eher plumpen Angriffe sind kein Ablenkungsmanöver: Die Frage, wer in Besitz welcher Technologie und welchen Wissens ist, können freilich auch die beiden Wissenschaftler nicht hinreichend klären. Insofern bleibt ihr Modell nur eine formale Richtschnur für das richtige Timing im Cyberkrieg. Welche Werte die Variablen in Wirklichkeit haben, weiß vielleicht nicht einmal die NSA. Und die weiß, wie die Weltöffentlichkeit wiederum von Edward Snowden weiß, eine ganze Menge.

Apropos Öffentlichkeit: 2012 verhinderten Vertreter des amerikanischen Science Advisory Board for Biosecurity die Publikation zweier Studien über Influenza-Viren, weil sie, so die Begründung, als Blaupause für Biowaffen hätten dienen können. Gab es Probleme bei der Publikation dieser Studie, Professor Axelrod?

"Nein, wir hatten keine Schwierigkeiten", sagt der Spieltheoretiker gegenüber science.ORF.at. "Wir hoffen, dass unsere Arbeit dazu beiträgt, die strategischen Implikationen der Cybertechnologie möglichst rasch zu klären. Im Fall der Nukleartechnologie hat das immerhin 15 Jahre gedauert."

Robert Czepel, science.ORF.at

Mehr zu diesem Thema: