1984 eroberte ein Science-Fiction-Film mit einem aufstrebenden österreichisch-amerikanischen Schauspieler die Kinokasse im Sturm. Ein kybernetischer Organismus wird in die Vergangenheit geschickt, um die Mutter eines großen Kriegshelden zu suchen und zu töten, um seine spätere Geburt zu verhindern. Der Cyborg scannt eine Telefonbuchseite und beginnt methodisch alle Frauen namens Sarah Connor im Raum Los Angeles zu töten, beginnend ganz oben auf der Liste.
Wenn The Terminator in der heutigen Welt spielen würde, wäre der Film nach viereinhalb Minuten zu Ende gegangen. Die richtige Sarah Connor wäre mit nichts als einem Nachnamen und einer Postleitzahl identifiziert worden – Informationen, die letztes Jahr in der massiven Equifax-Datenverletzung durchgesickert sind. Der Krieg gegen die Maschinen wäre vorbei gewesen, bevor er begann, und niemand hätte es je bemerkt. Das Schrecklichste an der Cyberwarfare ist, wie gezielt sie sein kann: Ein Feind kann nationale Grenzen sprengen, um eine einzelne Person, eine Klasse von Menschen oder ein geografisches Gebiet anzugreifen.
Auch ein Cyborg wäre heute nicht notwendig.
Nach Angaben der US-Volkszählung gibt es derzeit 87 Personen in den Vereinigten Staaten namens Sarah Connor. Viele von ihnen fahren wahrscheinlich zellularfähige Autos, die mit veralteter Firmware betrieben werden, verwenden öffentliches unverschlüsseltes Wi-Fi und besuchen Ärzte, die ungesicherte Gesundheitsakten über Patientenallergien und aktuelle Medikamente auf Computern führen, auf denen das berüchtigte, veraltete und anfällige Windows XP-Betriebssystem läuft.
Bisher hat die US-Regierung an der Cybersicherheit herumgefummelt und einen Großteil dieses Konfliktgebietes in Übereinstimmung mit der jüngsten nationalen Sicherheitsstrategie der Trump-Regierung an den Privatsektor ausgelagert – so dass das Land einem ausländischen Angriff ausgesetzt war.
Heutzutage wird Krieg an Land, zu Wasser, in der Luft, im Weltraum und jetzt auf dem fünften Schlachtfeld, dem Cyberspace, geführt. Dennoch hat die US-Regierung bisher an der Cybersicherheit herumgefummelt und einen Großteil dieses Konfliktgebietes an den privaten Sektor ausgelagert, in Übereinstimmung mit der jüngsten nationalen Sicherheitsstrategie der Trump-Administration – so dass das Land einem ausländischen Angriff ausgesetzt war.
Diese Drittanbieter arbeiten mit den gleichen Anreizen wie jedes Pharmaunternehmen.
Wenn die Dienstleistung eines Unternehmens die Behandlung von Symptomen ist, stellt die Präventionsmedizin eine Bedrohung für sein Geschäftsmodell dar. In der Zwischenzeit nehmen Experten, Politiker und Verleger das, was ihnen von so genannten Cybersicherheitsexperten gesagt wird, als Evangelium, die mehr Social Media-Follower als relevante Referenzen auf diesem Gebiet haben, und so finden hysterische „The Hackers Are Coming for Us“-Redaktionen ihren Weg in ansonsten respektable Publikationen.
Erhöhte Angst, Unsicherheit und Zweifel an der Cybersicherheit haben zu einer Welt geführt, in der wir nicht sagen können, was passiert ist und was nicht. Die Natur der Cyberkriegsführung ist, dass sie asymmetrisch ist. Einzelkämpfer können kleine Löcher in der massiven Verteidigung von Ländern und Unternehmen in Landesgröße finden und ausbeuten. Es werden nicht hochmoderne Cyberangriffe sein, die den gefürchteten Cyber-Pearl Harbor in den USA oder anderswo verursachen. Stattdessen werden es wahrscheinlich alltägliche Streiks gegen industrielle Kontrollsysteme, Verkehrsnetze und Gesundheitsdienstleister sein, da ihre Infrastruktur veraltet, schlecht gewartet, schlecht verstanden und oft nicht auffindbar ist. Schlimmer noch wird die unsichtbare Manipulation der öffentlichen Meinung und der Wahlergebnisse mit digitalen Instrumenten wie zielgerichteter Werbung und tiefen Fake-Aufnahmen und Videos sein, die realistisch über künstliche Intelligenz gemacht werden können, um wie jeder Weltführer zu klingen.
Die große Herausforderung für Militär- und Cybersicherheitsexperten besteht darin, dass eingehende Angriffe nicht vorhersehbar sind, und die aktuellen Strategien zur Prävention teilen tendenziell die falsche Annahme, dass sich die Regeln des konventionellen Krieges auch auf den Cyberspace erstrecken. Cyberwarfare hat zwar Regeln, aber sie sind nicht diejenigen, an die wir gewöhnt sind – und ein Gefühl des Fairplay ist keine davon. Außerdem sind diese Regeln für Generäle, die im Kampf gegen konventionelle Kriege versiert sind, nicht intuitiv zu verstehen.
Das ist ein Problem, denn Cyberwar wird nicht mit der informierten Beteiligung eines Großteils des US-Technologiesektors geführt, wie die jüngsten Revolten bei Google über AI-Verträge mit dem U.S. Defense Department und bei Microsoft über Office-Softwareverträge mit U.S. Immigration and Customs Enforcement zeigen. Das lässt nur Regierungen und richtig motivierte multinationale Unternehmen übrig, die Regeln festzulegen. Beide haben noch keine praktikable und operative Definition dessen geliefert, was ein weltweit anerkannter Kriegsakt ist – ein wichtiger erster Schritt, um solche Übertretungen zu verhindern.
Das nächste, was das US-Militär einer solchen Definition am nächsten gekommen ist, ist zu sagen, dass „Handlungen von erheblicher Tragweite“ von Fall zu Fall geprüft würden und eine Bewertung durch den Kongress erfordern könnten.
