Standard: Viele Staaten haben Cyber-Sicherheitsdoktrinen ausgearbeitet. Wie bewerten Sie diese?

Rain Ottis: Es gibt einige Ansätze und Strategien, aber wenig publizierte Doktrinen. Viele Staaten schätzen Cybersicherheit als essenziellen Aspekt ihrer nationalen Sicherheit ein. Spionage oder Attacken auf kritische Infrastruktur werden da genannt. Manche Länder kümmern sich auch um das militärische Potenzial im Cyberspace - offensiv wie defensiv. Manche beurteilen das als aggressiven Zugang, ich würde meinen, dass das eine natürliche Erweiterung der Rolle für Cyber in modernen Konflikten ist. Wir haben ja auch Panzer, ballistische Raketen und Sturmgewehre. Warum sollten wir den Gebrauch von Cyberwaffen außer Diskussion stellen? In der Tat kann es Fälle geben, wo der Gebrauch von Cyberwaffen als humaner eingestuft wird als etwa ein Drohnenangriff. Man muss die Entwicklung mit jener der Luftstreitkräfte Anfang des 20. Jahrhunderts in Perspektive setzen.

Standard: Funktioniert Abschreckung als strategisches Konzept im Cyberspace noch?

Ottis: Das wird noch debattiert. Manche transplantieren die Theorie gesicherter gegenseitiger Vernichtung aus dem Kalten Krieg in den Cyberspace. Das funktioniert aus meiner Sicht nicht, weil es zu viele Akteure im Cyberspace gibt und es dort besonders schwierig ist, Angreifer zu identifizieren. Angriffe unter falscher Flagge machen Vergeltungsentscheidungen schwierig. Und wenn der Angreifer technisch identifiziert ist, dann ist der Angriff erfolgt und die Abschreckung ohnehin gescheitert - ob die Vergeltungsdrohung nun kinetisch ist oder virtuell.

Standard: Wer hat die größten cybermilitärischen Fähigkeiten?

Ottis: Darüber gibt es keine gesicherten Daten. Ich würde sagen, die USA haben das Militär mit den stärksten Cyberfähigkeiten weltweit. In Europa ist die fähigste Nation schwieriger zu finden, aber sie kommt aus dem Kreis der großen Staaten. Die Chinesen beziehen ihre Stärke aus ihrer großen Zahl. Es gibt einfach sehr viele Experten dort. Die Frage ist, ob sie der Volksbefreiungsarmee, der Reserve oder einigermaßen unabhängigen Hackergruppen angehören. Daneben gibt es noch einige kleinere Staaten (Israel) und nichtstaatliche Akteure (Anonymus), die starken Einfluss haben.

Standard: Welche Art Cyberwaffen werden wir in Zukunft sehen?

Ottis: Wahrscheinlich ähnliche wie Stuxnet (der Computerwurm, der 2010 die iranischen Atomanlagen angegriffen hat, Anm.). Zielkonfigurationen und Systemverwundbarkeiten werden sich ändern. Aber das Prinzip, Schwächen zu nutzen und "payloads" in fremden Systemen zu platzieren, wird bleiben. Ziele werden SCADA-Systeme (zur Steuerung von Industrieanlagen, Anm.) sein, aber auch reguläre IT-Systeme, Smartphones, Autos oder anderes. (Christoph Prantner, DER STANDARD, 13.10.2012)