World Wide War: Angriff aus dem Internet (German Edition)

übergreifen. In einem solchen Fall gäbe es wahrscheinlich Dutzende Krankenhäuser, deren Notstromaggregate nicht anspringen würden. Das Völkerrecht verbietet den Angriff auf Krankenhäuser und zivile Ziele im Allgemeinen, es ist jedoch unmöglich, ein Stromnetz lahmzulegen, ohne zivile Einrichtungen in Mitleidenschaft zu ziehen. Im letzten Irakkrieg wurde im Rahmen der »Shock and Awe«-Taktik sogenannte intelligente Munition verwendet, die bestimmte Gebäude in Schutt und Asche legte, aber die Häuser auf der anderen Straßenseite stehenließ. Gleichzeitig haben die USA und andere Länder jedoch Cyberwaffen entwickelt, die bei einem Angriff wahllos jeden treffen.
    In unserem Szenario wurde dem amerikanischen Cyber Command die Erlaubnis verweigert, den Bankensektor anzugreifen. In der realen Welt wurden meine eigenen Versuche, mit der NSA auf das Netzwerk von Banken zuzugreifen und die Gelder von Al Qaida zu stehlen, wiederholt vom Finanzministerium der Regierung Clinton unterbunden. Selbst unter der Regierung Bush blockierte das Finanzministerium einen Hackerangriff auf Saddam Husseins Banken genau zu dem Zeitpunkt, als die Regierung die Invasion und Besetzung des Irak vorbereitete, wobei über 100000 Iraker getötet wurden. Die Banken konnten sich mit der Argumentation durchsetzen, dass das internationale Finanz- und Handelssystem auf ein bestimmtes Maß an Vertrauen angewiesen ist.
    Die Entscheidung der amerikanischen Regierung, Angriffe zu unterbinden, die direkt auf den Finanzsektor zielen, zeigt möglicherweise, dass die USA in einem Cyberkrieg, in dem es gegen die Banken geht, am meisten zu verlieren hätten. Obwohl die Finanzdienstleistungen wahrscheinlich der am besten geschützte Wirtschaftssektor in den USA sind, sind sie verwundbar.
    »Wir haben die Sicherheit von über einem Dutzend führenderamerikanischer Finanzinstitute in deren Auftrag überprüft und konnten uns überall in deren Systeme hacken«, berichtete mir ein Sicherheitsberater aus der Privatwirtschaft. »Und wir hätten jedes Mal Zahlen manipulieren und Geldtransfers vornehmen können, was wir aber natürlich nicht taten.«
    Die bestehende Gesetzeslage in den USA verbietet es nicht, sich zur Informationsgewinnung Zugang zu den Computern ausländischer Banken zu verschaffen, es besteht jedoch eine sehr hohe Hürde, wenn es darum geht, Daten zu manipulieren. Der Finanz- und der Außenminister müssen eine solche Maßnahme persönlich genehmigen. Soweit ich das aus meinen Quellen erschließen kann, wurde diese Genehmigung noch nie erteilt. Wir haben es hier mit einem, wie man bei der Nuklearkriegsstrategie sagen würde, »Ziel unter Vorbehalt« zu tun, das man zwar ins Visier genommen hat, aber nicht treffen möchte. Dabei geht man davon aus oder hofft zumindest, dass sich der Gegner ebenfalls an diese unausgesprochenen Regeln hält. Im Planspiel zum Konflikt im Südchinesischen Meer ignorierte das Team, das die Rolle der chinesischen Volksbefreiungsarmee übernommen hatte, diese Regel. Beim letzten Spielzug wurden die Datenbanken der Börse und eines wichtigen Clearinghauses angegriffen. Das war eine dramatische und, wie wir hoffen, unrealistische Eskalation. Die chinesische Wirtschaft ist heutzutage so eng mit der amerikanischen verwoben, dass es vielleicht auch in China eine Doktrin der Zurückhaltung für den Finanzsektor gibt. Wahrscheinlich kann man davon ausgehen, dass unter kalkulierbaren Bedingungen alle Länder darauf verzichten würden, den Finanzsektor anzugreifen und Daten zu manipulieren, obwohl das die »Falken« in China natürlich nie zugeben würden.
    Weil ein cleverer nichtstaatlicher Täter vielleicht nicht so zurückhaltend wäre, sollten sich jedoch der amerikanische Finanzsektor und die Bundesbehörden im Vorfeld darauf verständigen, wie man auf massive Datenmanipulationen reagieren würde. Vermutlich sollten auch europäische und japanische Institute diskretbefragt werden, welche Maßnahmen sie ergreifen würden, um nach einem Systemabsturz zu rekonstruieren, wem wie viel gehört. Die Federal Reserve Bank, die Securities Industry Automation Corporation sowie weitere Finanzinstitute mit umfassenden Datenbanken besitzen dezentrale Datensicherungssysteme. Um sich darauf vorzubereiten, dass auf die Datenbank zugegriffen und Daten manipuliert werden, sollte man eine Datenbank einrichten, die vor einem Angriff ausreichend geschützt ist. Mit dem Einverständnis der amerikanischen Regulierungsbehörden könnten Banken und