Gestern war Dr. Sandro Gaycken zu Gast in der monatlichen Diskussionsrunde zu Internet und Politik im St. Oberholz, und er sprach über Hacker. Die Leute, die als „Anonymous“ durch die Presse geistern, nimmt er als solche allerdings nicht ernst, wie er überhaupt DDOS-Attacken, also die „Kunst“ eine Website durch massenhafte Anfragen zeitweise in die Knie zu zwingen, nicht als ernsthaftes Problem gelten lässt. Auch schlecht gesicherte Webserver zu hacken und Internetpräsenzen zu manipulieren sei weder neu noch nicht alltäglich. Richtig ernst wird es erst, wenn Hacker die Kenntnisse haben, in interne Kommunikationssysteme einzudringen und dort über längere Zeit unbemerkt Schaden anrichten können.
Gayckens These ist, dass es bisher nur wenige Personen gab, die diese Kenntnisse hatten, die also in der Lage waren, die in den Millionen Zeilen Code unserer modernen Software hunderttausendfach vorhandenen Sicherheitslücken selbst aufzuspüren und dafür maßgeschneiderte Einbruchswerkzeuge zu programmieren. (Anstatt mit fertigen Toolkits auf bereits publizierte Lücken loszugehen.) Diese wenigen Personen haben gut bezahlte Jobs in der Industrie und meistens anderes zu tun.
Aber dies ändert sich. Es würden derzeit massenweise Leute mit entsprechenden Spezialkenntnissen ausgebildet, mehr als der Markt der Unternehmen nachfragt. Für diese Leute böte sich später dann bei Nachrichtendiensten und Militär oder bei der organisierten Kriminalität die Chance, die eigenen Fähigkeiten zu viel Geld zu machen. Deshalb rechnet er in zwei bis drei Jahren mit ernsthaften Gefahren für unsere kritischen Infrastrukturen.
Der Fall der veranschaulicht, um was es dabei geht ist „Stuxnet“, ein Virus das tief in eine für das iranische Regime äußerst wichtige Infrastruktur eindringen und dort über Monate hinweg unbemerkt sein zerstörerisches Potenzial entfalten konnte. Deshalb konnte es einen wirklich nennenswerten Schaden anrichten, was ihn von anderen Angriffen wie zum Beispiel den ebenfalls viel beachteten Attacken gegen ein paar estnische Webseiten unterscheidet. Wenn die Webseite unserer Bundesregierung ein paar Tage nicht erreichbar wäre, würde bei uns weder die öffentliche Ordnung gefährdet noch Panik ausbrechen. Anders wäre das schon, wenn zum Beispiel über drei Wochen in einem größeren regionalen Gebiet die Stromversorgung zusammenbreche. Das ist der Unterschied zwischen Cyberwarfare und Kinderspiel.
Will unsere Gesellschaft weniger verletzlich werden, so ist dies sehr teuer. Gayckens Rezept lautet im Prinzip: Alles wegwerfen und neue Infrastrukturen bauen, die auf Programme mit sehr viel weniger Zeilen Code und absolut transparente Prozesse setzen. Zu jedem Prozess eine Überwachung des Prozesses. Eine solche IT wäre weniger leistungsfähing und flexibel, sie würde einen höheren Personaleinsatz erfordern. Um beim Beispiel aus der Energiewirtschaft zu bleiben: Statt viele Kraftwerke aus einer Leitwarte zu fahren, würde man den Verbund wieder auftrennen, um ein attraktives Ziel für Angriffe aus der Welt zu schaffen.
Das Rezept – zurück zum Einfachen, zurück zur Dezentralität, zurück zu den Medienbrüchen – erinnert mich ein wenig an biologische Landwirtschaft. Es ist bewusster Verzicht auf technische Errungenschaften, weil deren Risiken vermieden werden sollen. Auch beim Thema Informationsgesellschaft steht also eine Debatte über technischen Fortschritt an, wie wir sie aus den Bereichen Energie und Landwirtschaft kennen. Wie viel Verletzlichkeit unserer kritischen Infrastrukturen wollen wir noch mit dem Begriff Effizienz adeln? Welche offenen Scheunentore in der Sicherheitsarchitektur sind wir bereit, aus Gründen der Kostenersparnis oder zur Bequemlichkeit hinzunehmen? Wer ist von den Risiken betroffen, wer profitiert von unzureichender Sicherung? Alle diese Fragen werden wir stellen und diskutieren müssen, wenn wir uns eine Meinung darüber bilden wollen, was eigentlich Fortschritt in der Informationsgesellschaft bedeutet.
Ich halte es mit meinem Lieblingszitat von Antoine de Saint-Exupéry: „Alle Entwicklung vollzieht sich in Zyklen: Vom Primitiven über das Komplizierte zum Einfachen.“