OECD: Cyberkrieg unwahrscheinlich

Dass eine Cyberattacke eine Nation ins Chaos stürzt, ist offenbar ein wenig wahrscheinliches Szenario. Das zumindest glaubt die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

Der überwiegende Teil der Attacken fände auf einem sehr niedrigem Level statt, erklärt Co-Autor Peter Sommer von der London School of Economics. Laut seiner Studie führen die meisten Attacken eher zu Unbequemlichkeiten. Ernsthafte oder länger andauernde Systemunterbrechungen seien demnach eher unwahrscheinlich. Eine Komplexe Malware wie Stuxnet, die auf industrielle Kontrollprozesse abzielt, sei eine absolute Ausnahme.

“Es gibt viele Horrorszenarien, aber wenn man testet, laufen sie nicht wirklich so ab”, erklärt Sommer. “Die Analyse von Malware zeigt, dass es häufig nur zu kurzfristigen Effekten oder Fehlschlägen kommt.” Sommers Bericht zufolge können verschiedene Cyberattacken in Kombination mit Katastrophen oder anderen Formen von Angriffen im ungünstigsten Fall zu sogenannten “Perfect Storm”-Verhältnissen führen. Ein reiner Cyberkrieg sei hingegen unwahrscheinlich.

“Einzelne DDoS-Attacken dauern meist nur ein bis zwei Tage”, heißt es in der Analyse. Angreifer benötigten dazu die IP-Adressen der Zielcomputer sowie im besten Fall Informationen über Betriebssysteme und Anwendungen. Das Verwenden bekannter Tools führe meist dazu, dass Angriffe abgefangen werden, noch bevor sie irgendeinen Effekt haben. Diese Form der Attacken sei zudem auf mit dem Internet verbundene Computer beschränkt. “Wer ein proprietäres Computersystem angreifen will, das nicht mit dem Internet verbunden ist, braucht die Hilfe von Insidern. Und die muss man vorher rekrutieren”, schreiben Peter Sommer und Ian Brown.

Übertrieben sei schon das Vokabular zur Beschreibung von Angriffen. “Eine Attacke kann alles sein: angefangen von einem Phishing-Versuch, um an Passwörter zu kommen, oder einem früh genug entdeckten Virus bis hin zu einem durchdachten, von mehreren Seiten ausgeführten heimlichen Angriff”, führen die Autoren in der OECD-Studie aus. Regierung, Geheimdienst und Militär seien gefordert, die Risiken von Cyberattacken gegen kritische Systeme korrekt zu bewerten. Häufig werde das Gefährdungspotential verschiedener Arten von Malware nicht einkalkuliert.