Civil War in Cyberspace

In der Informationsgesellschaft nehmen auch in Deutschland aggressive und kriminelle Handlungen (Computermißbrauch) ausweislich der jährlichen Kriminalstatistik [BMI02] zu. Weniger Bedeutung wird in Deutschland bisher politisch–motivierten Aktionen beigemessen. Weltweit werden klassische Verfahren wie ziviler Ungehorsam, innere Unruhen und Bürgerkrieg zunehmend durch IT–gestützte Verfahren ergänzt und ersetzt (Transformation). Durch die weltweite Verfügbarkeit der IT–gestützten Verfahren und des Internet muß der – auf einen Staat begrenzte – Begriff des zivilen Ungehorsams genauso wie der der inneren Unruhen und der des klassischen Bürgerkriegs transformiert werden in den ubiquitären Cyberspace. Angesichts zunehmender gewalttätiger Aktivitäten unterhalb der Kriegsschwelle im Cyberspace muß die Sensibilität für die Auswirkungen dieser Aktivitäten dringend geschaffen werden und angemessene Reaktionen müssen auf allen Ebenen (Private, Unternehmen und Behörden) erarbeitet werden. 1 Risiken und Aktivitäten im Cyberspace Die Informationsgesellschaft hängt ab von der Verlässlichkeit und Beherrschbarkeit vernetzter Informationstechnik von Privaten, Unternehmen oder Behörden. Infrastrukturen (die Gesamtheit zusammengehörender Einrichtungen) stellen in einem organisatorischen oder geographischen Bereich an unterschiedlichen Standorten gleichartige Dienstleistungen bereit; eine Infrastruktur wird als kritisch bezeichnet, wenn durch Einschränkung oder Ausfall Dienstleistungen nicht mehr verfügbar sind, auf die Private, Unternehmen oder Behörden aber weitgehend angewiesen sind [Ce97b, Ce01, Pr97]. Bedingt durch die Verletzlichkeit der Informationsgesellschaft [Ro89] können durch IT– gestützte Verfahren – insbesondere in kritischen Infrastrukturen – zusätzliche, umfang1 Der Verfasser dankt Herrn Prof. emer. Dr. Dr. Herbert Fiedler sehr herzlich für die Anregung zur Bearbeitung des Themas. 2 Fachhochschule Bonn–Rhein–Sieg. Hartmut.Pohl@fh–brs.de 3 Datenraum. Begriff für die Menge aller vernetzten Server und Clients mit den verarbeiteten (und gespeicherten) Daten und den Netzen (Satelliten–, Mobil–, Funk– und Festnetze – sowie Intra– und Extranets) zusammen mit den steuernden Systemen. Als Repräsentant des Cyberspace kann das Internet bezeichnet werden. Der Begriff geht auf einen Roman [Gi84] zurück. 4 Als kritische Infrastrukturen werden z.B. diese gesehen: Energie– und Wasserversorgung, Informations– und Kommunikationswesen, Finanzbereich, Transportwesen/Logistik, Notfallversorgung/Rettungswesen, Gesundheitswesen, öffentliche Verwaltung und Regierung. 469 reichere und höhere Schäden erwartet werden bis hin zur Auflösung jeglicher gesellschaftlicher Ordnung. Politisch motivierte Aktivisten nutzen das Internet zur Organisation von Aktionen und Vereinigungen (network centric warfare) [AGS02] und streben darüber hinaus das Ziel der Medienüberlegenheit (information superiority) an oder zumindest besserer Informationsversorgung Interessierter [AR01]; daneben steht die Nutzung der Informationstechnik (IT) als Angriffswerkzeug gegen IT–Systeme (Information Warfare) von Privaten, Unternehmen und Behörden [PC98]. Gewalt– Niveau Klassische Aktivitäten Cyberspace 0 Demonstration, Sit–In. Ziviler Ungehorsam. Civil Disobedience: Mail–Verteiler, Informationsverteilung durch Web–Server, mail–flooding. Überlastung und Lahmlegen von Servern. 1 Zusammenrottung, Besetzung, Stürmen von Geländen und Gebäuden. Hacktivism: Automatisierte e–mail Bomben, Web–Hacks (Übernahme von Webservern), unberechtigte Veröffentlichungen, Viren, Würmer. 2 Blockade: Straßen, Autobahn, Schiene, Flugplatz. Unternehmen und Behörden. Blockading: Server, Intranet, Extranet. (Distributed) Denial of Service. 3 Innere Unruhen, Tumult. Aufruhr, Rebellion, Aufstand. Terrorismus. Terrorism: Stören wichtiger Informationstechnik durch Lesen (und Verteilen), Ändern (bis hin zum Löschen) von Daten. 4 Guerilla. Befreiungskampf. Bürgerkrieg. Civil War: Manipulation von Daten und Programmen der für Teile des Staates lebenswichtigen IT. 5 Krieg. Information Warfare: Manipulation von Daten und Programmen der für den gesamten Staat überlebenswichtigen IT. Tab. 1: Vergleich klassischer Aktivitäten mit IT–gestützten Aktivitäten im Cyberspace. Während bei klassischen Aktivitäten meist größere Menschenmengen in oder zwischen Staaten aktiv werden, können im Cyberspace dieselben oder stärkere Wirkungen von Einzelnen erreicht werden; im Cyberspace ist es unerheblich, wer und wieviele aktiv sind und welchem Staat sie angehören; staatliche Grenzen haben keine Bedeutung mehr. Der Civil War im Cyberspace stellt einen Teilaspekt des Information Warfare dar [P98a, 5 Als worst case können Angriffe auf die (vergleichsweise dezentralisiert organisierte) Lebensmittel– und Wasserversorgung oder sogar die (europaweit stark vernetzte) Energieversorgung (Strom, Öl, Gas) angenommen werden. 6 Zur Unterscheidung von klassischen Aktivitäten werden zur Kennzeichnung der IT–gestützten Aktivitäten im Cyberspace anglo–amerikanische Begriffe benutzt. 7 Das jeweils höhere Gewaltniveau enthält Maßnahmen, Ziele und gewalttätige Aktivitäten der niederigeren Stufen. 470 P00a, P00b, PC98]. Der Business Information Warfare [P00a] als Aktivität zwischen Unternehmen ist ein weiterer – hier nicht behandelter – Teilaspekt des Information Warfare. Zu einer Gesamtdarstellung des Information Warfare vgl. [P02]. Die generellen informationstechnischen und organisatorischen Risiken im Cyberspace wurden vielfach behandelt [Br98, Ce97a, Fi02]. Auf die konkreten Risiken eines Civil War geht allerdings weder der US–amerikanische Bericht zu kritischen Infrastrukturen [Pr97] noch der unautorisiert veröffentlichte Bericht der Bundesregierung [NN99] ein. In diesen Untersuchungen wird ausschließlich der worst case eines totalen (Informations–)Kriegs [PC98] gegen einen Staat behandelt. Gewalttätige Aktivitäten unterhalb der Schwelle kriegerischer Auseinandersetzungen nach der Genfer Konvention (Bürgerkriege) nehmen zu und werden vermehrt erwartet [Pe95]. Die Ubiquität und Pervasivität der Informationstechnik kann schlagwortartig durch das Internet dargestellt werden, das weltweit mit geringen Kosten nutzbar ist und Zugriff auf wertvolle Daten von Privaten, Unternehmen und Behörden sowie die Steuerung des Internet selbst ermöglicht. Die informationstechnischen Risiken gründen in der Abhängigkeit von wenigen Produkten, die mit bekannten sicherheitsrelevanten Schwachstellen entworfen, implementiert, installiert und genutzt werden; Beispiele sind in den Bereichen Protokolle, Betriebssysteme, Datenbanksysteme und Anwendungssoftware zu finden. 2 Transformation klassischer Handlungsweisen in den Cyberspace Im Cyberspace ändern sich drei Aspekte. § Aus den klassischen Aktivitäten von Bürgerinitiativen und Non Governmental Organisations (NGO) wie dem lokal begrenzten zivilen Ungehorsam, über innerhalb eines Staates stattfindende Zusammenrottungen, Besetzungen, Stürmen von Geländen und Gebäuden, innere Unruhen und Tumulte bis hin zu Rebellion, Aufstand und Aufruhr sowie Bürgerkrieg entwickeln sich zunehmend IT–gestützte Aktivitäten vgl. Tab. 1. § Die Zielobjekte wandeln sich von physischen zu primär virtuellen – nämlich den auf Clients, Servern, Gateways, Routern und in Intranets und Extranets sowie in den Steuerungskomponenten des Internet verarbeiteten (übertragenen und gespeicherten) Daten. § Im Cyberspace fehlt die haptische Erfahrung sowohl des Gemeinschaftsgefühls der Aktivisten als auch der Auswirkungen des eigenen Handelns. 8 Dies gilt gleichermaßen für den Bericht des Auswärtigen Amts [An02] der auch verkennt, daß IT-Systeme als – in der Genfer Konvention von 1932 nicht anerkannte – Waffen benutzt werden können. Die Innentäterproblematik wird genauso verharmlost wie die Bildung krimineller Vereinigungen. Tatsächlich ist deutschen Behörden das Gegenteil bereits seit Mitte der 80er Jahre bekannt [PH89]. Das vom Bundesamt für IT–Sicherheit (BSI) aus dem Geschäftsbereich des Bundesministers des Innern herausgegebene e–Government Handbuch [BSI02] geht auf innerstaatliche Risiken nicht ein. 471 3 Hacktivism: Techniken und Verfahren des Civil War Der Begriff Hacktivism [De99] kennzeichnet politisch motivierte Hacker, die Ziele allein oder in Gruppen unter Einsatz der Informationstechnik (vgl. Tab. 1) verfolgen. So werden auf allgemein zugänglichen Servern Angriffstools angeboten, mit deren Hilfe ein Zielserver so manipuliert wird, dass er nur noch Fehlermeldungen generiert. Oder ein Angriffstool generiert viele Kommunikationsvorgänge mit einem Zielserver, überlastet ihn mit Anfragen und verlangsamt dadurch die Ladezeit, bis der Zielserver wegen dieser Überlastung nicht mehr antworten kann. Eine funktionale Beschreibung eines der Angriffstools (FloodNet) findet sich in [St]; diese Seite ermöglicht auch die Nutzung des Produkts für Unerfahrene [Di01]. Die im Cyberspace meist nur unzureichend mögliche Identifizierung und Zuordnung der Angreifer zu einem Land erschwert eine deutliche Unterscheidung zwischen Civil War (zwischen Volksgruppen eines Staates) und Information Warfare (zwischen Staaten) – vgl. hierzu die unten erwähnten exemplarischen Fälle. Die Angriffswerkzeuge dürften zukünftig weiterentwickelt werden – auch als Gegenangriffe [NN98]. Eine erkennbare Entwicklung stellen die stärkere Programmsteuerung (Automatisierung), das gezieltere Vorgehen und sehr schnelle Angriffe (Schwachstellenerkennung, Angriffsverteilung) dar, die binnen weniger Minuten mehr als 80% aller Server im Internet lahm legen können [SPW02] sowie das Unterlaufen von Sicherheitsmaßnahmen und Angriffe auf der Netzwerkschicht [CERT02]. 4 Exemplarische Fälle Zum ersten Mal wurde 1993 elektronischer ziviler Ungehorsam von der US-amerikanischen KünstlerInnengruppe Critical Art Ensemble untersucht [CAE94, CAE96]. Das erste dokumentierte virtuelle Sit-In veranstaltete 1995 das italienische strano.net, um gegen französische Atomtests auf dem Pazifikatoll Mururoa zu protestieren [M02]; der Erfolg war nur deswegen mäßig, weil das Internet noch kein Massenmedium war. 4.1 Ejercito Zapatista de Liberacion Nacional (EZLN) Am 1. Januar 1994 besetzten Mitglieder der EZLN (auch: Intercontinental Zapatista National Liberation Army) sechs Städte in der mexikanischen Provinz Chiapas und forderten politische, ökonomische und soziale Reformen ('wahre Demokratie', 'Landreform'). Wegen fehlender klassischer militärischer Machtmittel suchte die EZLN die Informationsdominanz im 'information space'. Dazu wurden Informationen zur Situation in Mexiko im Internet verteilt [Ra00]. Zur Unterstützung dieses Bürgerkriegs organisierte u.a. die Bewegung 'Electronic Disturbance Theater' (EDT) bis 1998 mehrere verteilte Angriffe (flooding) gegen die Webseite des mexikanischen Präsidenten Zedillo sowie des Präsidenten Clinton, des Pentagon und der Frankfurter Börse [EDT02]. Das Department of Defense (DoD) der 9 http://www. netstrike.it 10 U.a. unterstützt von dem Berkman Center For Internet & Society an der Harvard Law School. 472 USA leitete daraufhin Gegenangriffe ein [NN98]. Die bisher jüngste Aktion der EDT gegen die mexikanische Regierung fand am 31. Mai 2002 von 9.00 bis 12.00 EST statt; weitere Proteste wurden vorläufig eingestellt. 4.2 eToy gegen eToys Das 1996 gegründete virtuelle Kaufhaus für Kinderspielzeug eToys beanspruchte 1997 neben der Internet Domain eToys.com auch die von einer schweizerischen Künstlergruppe seit 1994 benutzte Adresse eToy.com, weil täglich 20.000 Kunden diese Webseite (versehentlich) anklickten. Als die Künstlergruppe dieses Ansinnen trotz eines Aangebots von 530.000 US $ ablehnte, verklagte das Kaufhaus die Künstlergruppe erfolgreich. Nach einer weltweiten Pressekampagne und im Internet verbreiteten Berichten wurde das Kaufhaus im Dezember 1999 und Januar 2000 von sog. Netzaktivisten und daraufhin gebildeten Sympathisantengruppen mit sehr vielen mails überschüttet und die Server überlastet und schließlich blockiert mit dem Ziel, Bestellungen zu verhindern. Der Börsenkurs fiel am 25. Januar 2000 von in der Spitze 67 US $ auf 13 US $ [ET00, Gr00]. Abschließend zog eToys seine Klagen zurück, zahlte die Anwaltskosten der Künstlergruppe – und ging im Jahr 2002 in Konkurs. Der Börsenwertverlust betrug über 20 Mrd. US $ [NN00a]. 4.3 Einige andere Fälle Portugiesische Aktivisten blockierten 1991 nach einem Massaker indonesischer Truppen auf Timor an 250 Timoresen mehrfach Server der indonesischen Behörden [NN01b]. Im Kosovo-Konflikt erpresste 1998/99 eine serbische Gruppe einen in der Schweiz angesiedelten Provider des politischen Gegners, seine Server abzuschalten [Bla00, Rö98]. Gegen die Freihandelspolitik der World Trade Organisation (WTO) protestierten 1999 auf Initiative der fünfköpfigen englischen Aktivistengruppe 'electrohippies' nach eigenen Aussagen etwa 500.000 Benutzer mit Denial of Service Attacken die Webseite der WTO [M02]. Mit dem Ziel der Anerkennung von Links auf Webseiten als Literaturverzeichnisse wurde 2000 eine 'virtuelle Sitzblockade' des Justizministeriums unter dem Motto 'Geben Sie Linkfreiheit, Frau Herta' durchgeführt [Pi00, NN01a]. Chinesische Hacker gingen in 2001 mit Server–Blockaden anlässlich der Notlandung eines amerikanischen Flugzeugs gegen die US–Regierung vor wegen fortwährender Spionageflüge über chinesischem Hoheitsgebiet [Pl01]. Die EDT ist mit vergleichbaren Angriffen und Aufrufen u.a. 2002 gegen die NATO im Kosovo–Konflikt, gegen Israel im Palästina–Konflikt und am 15. Juni 2001 gegen die Lufthansa wegen des Transports (Abschiebung) abgelehnter Asylsuchender [Gr00, G01] vorgegangen. An diesen Aktionen waren nach Aussage der EDT nachweislich zwischen 15.000 und 37.000 Aktivisten beteiligt zuzüglich nicht gezählter Sympathisanten. 11 Inwieweit sich hier andere Ursachen auswirkten, ist nicht bekannt. 12 Vom Bundesjustizministerium wurde das Recht auf Online–Domonstrationen verneint [K01, NN01a]. 473 An israelisch–palästinensischen Aktivitäten in 2001 und 2002 wird erkennbar, dass der Unterschied zwischen Hacktivism, Terrorismus, Bürgerkrieg, Befreiungskampf und Krieg in der Praxis nicht einfach zu erkennen ist [Ge00, NN00b, Pa01].