Monday, September 15, 2014
2

Wird staatliche Torheit jetzt eine Cyber-Krise zulassen?

CAMBRIDGE, MASS.: Nach dem Ausbruch der Finanzkrise 2008 fragten viele Kritiker schockiert, warum Märkte, Regulierungsorgane und Finanzexperten die Krise nicht kommen sahen. Heute könnte man sich dieselbe Frage in Bezug auf die Anfälligkeit der Weltwirtschaft gegen Cyber-Angriffe stellen. Tatsächlich bestehen auffallende Parallelen zwischen Finanzkrisen und der Bedrohung durch Cyber-Katastrophen.

Obwohl die größte Bedrohung von Schurkenstaaten mit der Kapazität zur Entwicklung extrem komplexer Computerviren ausgeht, drohen auch von anarchistischen Hackern und Terroristen oder sogar von Computerpannen, die dann durch Naturkatastrophen verstärkt werden, Gefahren.

Einige Sicherheitsexperten haben bereits ihre große Besorgnis zum Ausdruck gebracht, darunter jüngst der Leiter des britischen Inlandsgeheimdienstes MI5. Im Großen und Ganzen jedoch sind nur wenige führende Köpfe bereit, im Namen einer derart amorphen Bedrohung wesentliche Kompromisse beim Wachstum auf dem Technologiesektor oder im Internet einzugehen. Stattdessen ziehen sie es vor, relativ unverfängliche Arbeitsgruppen und -ausschüsse einzurichten.

Es ist schwierig, die Abhängigkeit der modernen Volkwirtschaften von Großrechnern zu überschätzen. Doch man stelle sich vor, was passieren würde, falls eines Tages eine größere Zahl wichtiger Kommunikationssatelliten arbeitsunfähig gemacht oder die Datenbanken wichtiger Finanzsysteme gelöscht würden.

Experten haben schon vor langer Zeit das Stromnetz als die akuteste Schwachstelle identifiziert, da jede moderne Volkswirtschaft ohne Strom zusammenbrechen würde. Viele Skeptiker argumentieren, dass größere Cyber-Katastrophen bei Umsetzung angemessener, preiswerter Vorsorgemaßnahmen hochgradig unwahrscheinlich seien und dass die Kassandras dieser Welt die Worst-Case-Szenarien übertreiben. Die Fähigkeit von Cyber-Terroristen und Erpressern, die Weltwirtschaft so wie im Bruce-Willis-Spielfilm Die Hard 4 an den Rand der Katastrophe zu führen, sei reine Fiktion.

Es ist schwer einzuschätzen, wer Recht hat, und es stehen wichtige Experten auf beiden Seiten der Debatte. Doch es scheint eine unangenehm hohe Zahl von Ähnlichkeiten zwischen der politischen Ökonomie der Cyberspace-Regulierung und jener der Finanzregulierung zu geben.

Zunächst einmal sind sowohl Cyber-Sicherheit als auch Finanzstabilität äußerst komplexe Themen, mit denen die staatlichen Regulierungsbehörden kaum Schritt halten können. Die Vergütung der Experten innerhalb der Branche liegt so weit über der im öffentlichen Sektor, dass dort ständig die besten Köpfe abgeworben werden. Daher wird mancherorts die Ansicht vertreten, die einzige Lösung bestünde in der Selbstregulierung durch die Softwarebranche. Dieses Argument ist in Bezug auf viele moderne Branchen zu vernehmen, von den großen Nahrungsmittelkonzernen über die großen Pharmaunternehmen bis hin zu den großen Finanzunternehmen.

Zweitens übt die Technologiebranche – wie der Finanzsektor – durch ihre Parteispenden und Lobbyisten enormen politischen Einfluss aus. In den USA müssen alle Präsidentschaftskandidaten nach Silicon Valley und in andere Technologiezentren pilgern, um Geld zu sammeln. Der übermäßige Einfluss des Finanzsektors aber war eine Grundursache für den GAU des Jahres 2008, und der Sektor ist nach wie vor zutiefst in das anhaltende Chaos in der Eurozone verwickelt.

Drittens scheint die Informationstechnologie derzeit angesichts des sich verlangsamenden Wachstums in den hoch entwickelten Volkswirtschaften die moralische Deutungshoheit innezuhaben, ganz so wie bis vor fünf Jahren die Finanzwirtschaft. Und unbeholfene Versuche der Regierungen, eine Regulierung durchzusetzen, dürften sich als Schutz gegen eine Katastrophe als unzureichend erweisen, zugleich jedoch das Wachstum mit bemerkenswerter Effektivität abwürgen.

In beiden Fällen – sowohl der Finanzstabilität als auch der Cyber-Sicherheit – schafft das Ansteckungsrisiko eine Lage, in der sich ein Keil zwischen privaten Anreizen und gesellschaftlichen Risiken ausbilden kann. Fortschritte auf dem Technologiesektor erzeugen zugegebenermaßen häufig eine enorme Zunahme des Gesamtwohls, die möglicherweise die aller anderen Sektoren während der letzten Jahrzehnte deutlich übersteigt. Doch genau wie bei Kernkraftwerken kann der Fortschritt ohne angemessene Regulierung aus dem Ruder laufen.

Und schließlich gehen die größten Risiken von Arroganz und Ignoranz aus, zwei menschlichen Eigenschaften, die im Kern der meisten Finanzkrisen liegen. Jüngste Enthüllungen über die Superviren „Stuxnet“ und „Flame“ sind besonders entmutigend. Diese anscheinend von den USA und Israel zur Störung des iranischen Nuklearprogramms entwickelten Viren verkörpern einen Grad an Komplexität, der weit über alles bisher Gesehene hinausgeht. Beide sind stark verschlüsselt und schwer zu entdecken, wenn sie erst einmal in einen Rechner gelangt sind. Das Flame-Virus hat die Fähigkeit, die Kontrolle über die Peripheriegeräte eines Rechners zu übernehmen, Skype-Gespräche aufzuzeichnen, mit der Kamera des befallenen Rechners Fotos zu machen und Informationen per Bluetooth an ein beliebiges in der Nähe befindliches Gerät zu senden.

Wenn die fortschrittlichsten Regierungen der Welt Computer-Viren entwickeln, wer will da garantieren, dass dabei nichts schiefgehen wird? Wie können wir sicher sein, dass sie nicht entwischen und eine viel umfassendere Klasse von Systemen infizieren, dass sie nicht für andere Anwendungen angepasst werden oder dass künftige Schurkenstaaten oder Terroristen nicht einen Weg finden werden, sie gegen ihre eigenen Schöpfer einzusetzen? Keine Volkswirtschaft ist anfälliger als die USA, und es ist arrogant, anzunehmen, dass die Überlegenheit der USA im Cyber-Bereich (gegenüber allen außer möglicherweise China) ihnen einen undurchdringlichen Schutz vor Angriffen bietet.

Leider ist es mit der bloßen Erschaffung besserer Anti-Virus-Programme nicht getan. Virenschutz und Virusentwicklung liefern sich ein ungleiches Wettrüsten. Ein Virus kann aus nur ein paar hundert Zeilen Computercode bestehen; Anti-Viren-Programme erfordern dagegen hunderttausende von Zeilen, die zum Schutz vor ganze Klassen von Feinden entwickelt werden müssen.

Man sagt uns, wir sollten uns keine Sorgen über große Cyber-Katastrophen machen, weil es bisher noch keine gegeben habe und die Regierungen wachsam seien. Unglücklicherweise ist eine weitere Lehre aus der Finanzkrise, dass die meisten Politiker von Natur aus unfähig sind, schwierige Entscheidungen zu treffen, bis die drohenden Gefahren tatsächlich eintreten. Wir wollen hoffen, dass wir noch eine Weile Glück haben.

Aus dem Englischen von Jan Doolan

Hide Comments Hide Comments Read Comments (2)

Please login or register to post a comment

  1. Commentedsrinivasan gopalan

    The implicit message delivered by Prof.Rogoff needs to be understood by serious-minded people. If developed countries cruising on the information super highway develop computer viruses to wreak havoc on the so-called rogue States, what a real rogue State or an aberrant techie can do to inflict systemic damage to the web world in his/her own way that would leave a seismic impact on the highly inter-connected internet world in general or in any specific target in particular. It is time that instead of spending humongous money on unleashing virus to combat the potential threats of rogue States, the advanced countries desisted from opening the obnoxious genie of viruses. The fallout of any such perilous course would, like the financial tsunami that hit the western world with its contagion effects on the rest of the world, be too horrendous to contemplate. The wake-up call to the patent folly by the US government to play with cyber world in the name of ensuring cyber security needs to be heeded if the rest of the world were not being turned as ideal ground for costly experiments. G.Srinivasan. New Delhi

  2. CommentedA. T.

    There is a very, very important difference. With finance (as with most other previous shocks), the threat was big and centralised (it were the "too big to fail" and "systemically important" institutions that brought the financial system to its knees, not Mr Beams the independent day-trader from Topeka). Effective ways of preventing the crisis could then be big and centralised as well.

    The cyber threat, on the other hand, is fluid and distributed. When it comes, it will likely be the result of a small and independent group exploiting problems in decades-old control software of municipal systems, not anything from the "enormously influential" tech industry. The solution, to be effective, must therefore be bottom-up and distributed as well.

    NOTHING will make the country more prone to cyber-attack than believing that it is a problem that can be solved from Washington. The government can perhaps pressure utilities and municipalities to start taking cyber-security more seriously (or even offer free 'white-hat' mock attack audits from the NSA), but there is no one-size-fits all solution for it to design and impose.

Featured