STANDARD: In Ihrem Buch warnen Sie vor einem "Militär-Internet-Komplex". Was meinen Sie damit?

Shane Harris: US-Präsident Dwight Eisenhower sprach in den 1960ern von einem militärisch-industriellen Komplex, also Allianzen zwischen Rüstungsfirmen und dem Militär. Beim "Militär-Internet-Komplex" besteht diese Kooperation zwischen großen IT-Firmen wie Google, dem US-Militär und Geheimdiensten.

STANDARD: Gleichzeitig kritisiert das FBI etwa Google und Apple scharf, weil beide Konzerne auf Verschlüsselung setzen – wie geht das zusammen?

Harris: Hier werden Bruchlinien in der Zusammenarbeit sichtbar. Der "Militär-Internet-Komplex" dient nicht nur sich selbst, was ein großer Unterschied zum militärisch-industriellen Komplex ist. Es gibt noch die Nutzer, deren Daten Unternehmen vor staatlicher Überwachung schützen möchten. Das ist oftmals aber nur ein Randaspekt.

STANDARD: In Ihrem Buch erzählen Sie, wie CEOs großer IT-Firmen von der NSA eingeladen werden, um für einen Tag "Top-Secret"-Dokumente einsehen zu können. Welchen Zweck verfolgt die NSA damit?

Harris: Die NSA bringt die Entscheidungsträger in ihr Hauptquartier ein, umsorgt sie und sagt: "Hey, wir passen auf euch auf; ihr müsst uns aber helfen". Gleichzeitig jagen sie den CEOs natürlich Angst ein, damit diese bereitwillig Daten übermitteln. Diese Präsentationen sind vor allem Theater.

STANDARD: Die Bankinstitute sollen von einem solchen Meeting aber alles andere als beeindruckt gewesen sein. Was ist da passiert?

Harris: Das FBI unterrichtete große Bankinstitute vor einigen Jahren über eine Reihe von Verdächtigen, die für große Betrugsfälle verantwortlich waren. Doch die Banken hatten fast alle Beteiligten bereits auf eigene Faust ausgeforscht – und das schon seit längerer Zeit.

STANDARD: Auch die NSA wollte die Bankbranche verführen.

Harris: Der damalige NSA-Chef Keith Alexander schlug den Bankdirektoren vor, doch NSA-Equipment in deren Netzwerken (die vom regulären Internet abgetrennt sind, Anm.) zu installieren - die Bankbranchen zeigte sich schockiert und empört, dass der Geheimdienst überhaupt so einen aggressiven Vorschlag unterbreitete, der schlussendlich die Sicherheit der Banken gefährden würde.

STANDARD: Innerhalb der Finanzbranche werden auch immer öfter Stimmen laut, die eine Selbstverteidigung der Banken einfordern.

Harris: 2012 legten iranische Hacker große US-Banken mit DDOS-Attacken lahm. Die US-Regierung teilten den Banken aber mit, dass man dagegen nichts unternehmen könne - denn die Konsequenz wäre, offiziell die iranische Regierung zu beschuldigen. Daher mehrten sich in der Bankbranche Stimmen, die Sache selbst in die Hand zu nehmen, was nach US-Recht illegal wäre. Im Buch habe ich darüber noch spekuliert, das Magazin Bloomberg hat aber erst vor einer Woche aufgedeckt, dass Gegenangriffe durch Banken bereits stattgefunden haben. Wir treten also in eine neue Phase ein, in der Privatkonzerne zurückschlagen.

STANDARD: Das bringt uns zum Sony-Hack, der erst nach der Fertigstellen Ihres Buches stattfand. Inwiefern unterscheidet sich dieser Vorfall von früheren Angriffen?

Harris: Was beim Sony-Hack auffällt: Noch nie hat ein US-Präsident einen Nationalstaat für Cyberattacken verantwortlich gemacht - Barack Obama wandte sich aber bereits nach Tagen an die Öffentlichkeit und zeigte mit dem Finger auf Nordkorea.

STANDARD: Im Gegensatz dazu machte die US-Regierung nie offiziell chinesische Hacker für Einbrüche in Rüstungsfirmen oder staatliche Netzwerke verantwortlich. Erst ein Bericht der Sicherheitsfirma "Mandiant" outete die Angreifer öffentlich. War das mit der US-Regierung abgesprochen?

Harris: Seit Jahren stehlen chinesische Hacker systematisch Betriebsgeheimnisse. Vor allem im Rüstungsbereich, aber auch in anderen Branchen. Die US-Regierung bezeichnete dies als "Advanced Persistent Threat", ohne offiziell China zu beschuldigen. Vor einigen Jahren brachte Mandiant - eine private Firma - dann einen extrem detaillierten Bericht heraus, in dem sogar persönliche Informationen zu den einzelnen Hacker aufgeschlüsselt wurden. Dadurch waren diese als Top-Secret eingestuften Informationen plötzlich öffentlich verfügbar - worüber die US-Regierung alles andere als unglücklich war.

STANDARD: Mittlerweile gehört Mandiant, das jetzt etwa Sony berät, zu den prominentesten Firmen im IT-Sicherheitsbereich, der mittlerweile ein Milliardenmarkt ist. Wie schätzen Sie die zunehmende Privatisierung der Cyber-Spionage und Cyberkriegsführung ein?

Harris: Es tauchen so viele private Konzerne auf, die IT-Sicherheit anbieten - oftmals gegründet von ehemaligen FBI- oder NSA-Agenten. Natürlich ist der "Cyberspace" zu groß, um nur durch die Regierung geschützt zu werden - allerdings sollte man die Entstehung großer privater Quasi-Geheimdienste mit Skepsis betrachten.

STANDARD: Momentan steht die NSA aufgrund der Snowden-Enthüllungen im Fokus. In Ihrem Buch schreiben Sie, dass die Arbeit der NSA aber ohne das FBI unmöglich wäre?

Harris: FBI und NSA kooperieren sehr eng. Das FBI betreibt eine ominöse Abteilung namens "Data Intercept Technology Unit" (DITU), die "Prism" mitentwickelt hat. Also jenes NSA-Programm, das direkt auf Nutzerdaten großer Tech-Konzerne wie Facebook oder Microsoft zugreift. Das FBIsorgt für den Einbau solcher Hintertüren und untersucht etwa Cyberattacken gegen US-Konzerne.

STANDARD: Was in der Debatte ebenfalls untergeht, sind die militärischen Wurzeln der NSA. Welche Rolle spielte der Dienst etwa im Irak-Krieg?

Harris: Als 2007 mehr Truppen in den Irak geschickt wurden, begann die NSA eine neue Operation, bei der sie jede elektronische Kommunikation der Iraker abfing. So sollten die Netzwerke der Terroristen analysiert werden. Außerdem wurden Aufständische mit gefälschten SMS an bestimmte Orte gelockt. Diese Strategie soll zu entscheidenden Erfolgen geführt haben.

STANDARD: In ihrem Buch erwähnen Sie, dass die US-Regierung eine "Atombombe" für den Cyberspace schaffen wollte. Ist das gelungen?

Harris: Dieser Wunsch stammt von George W. Bush, der 2007 über ein Szenario informiert wurde, bei dem Hacker sämtliche Kontodaten großer Bankinstitute löschen woraufhin Panik ausbrechen würde. Bush wollte dann eine Art digitale Atombombe, konkret forderte er ein "Manhattan Project" für den Cyberspace.

STANDARD: Die NSA begann nun, "Zero Day Exploits", also das Wissen über Sicherheitslücken in Soft- und Hardware, zu horten?

Harris: Genau. Momentan nutzt die NSA nur wenige Lücken, um Spionageprogramme zu entwickeln. Entschließt sich die Regierung aber, einen Cyberkrieg zu starten, könnte die Nutzung hunderter Lücken andere Staaten massiv in Bedrängung bringen.

STANDARD: Laut ihren Recherchen weiß die NSA von über 7.000 Zero Day Exploits, die noch offen sind. Eine digitale Atombombe?

Harris: Ja, absolut. Das führt auch zu politischen und ethischen Fragen, die noch nicht eingehend debattiert wurden. Denn eigentlich sollte die NSA die Sicherheit im Netz auch stärken, was aber nicht passiert. Im Gegenteil.

STANDARD: Was heißt das für Internetnutzer?

Harris: Als Nutzer kann man sich bis zu einem gewissen Grad schützen - es schadet jedenfalls nicht, Verschlüsselung einzusetzen. Was natürlich nicht heißt, dass Geheimdienste mit großer Anstrengung diese Maßnahmen aushebeln können. Allerdings fehlt auf einer größeren Ebene die Balance zwischen Stärkung und Schwächung des Internets durch staatliche Akteure. Ich glaube nicht, dass der US-Kongress dem bislang viel Beachtung geschenkt hat.

STANDARD: Und in der Zwischenzeit unterstützt etwa das US-Außenministerium den Anonymisierungsdienst Tor finanziell, während die NSA Ressourcen aufwendet, um Tor-Nutzer zu enttarnen.

Harris: Absolut. Es wäre eigentlich amüsant, wenn es nicht um eine so ernste Sache ginge. Zum Kopfschütteln ist es jedenfalls, auch wenn die US-Regierung eine riesige Organisation ist. Normalerweise schreitet das Weiße Haus ein, wenn zwei Ministerien so unterschiedliche Ziele verfolgen. Öffentlich ist das nicht geschehen, aber eigentlich hat sich Obama entschieden: Die Überwachung von Internetnutzern wird fortgesetzt, die Schwächung des Internets weiter betrieben. (Fabian Schmid, derStandard.at, 11.1.2015)