Militärische Konflikte verlagern sich zunehmend in den Cyberraum. Zugleich schreitet die Entwicklung und Anwendung autonomer Waffensysteme voran. Ein Gespräch mit dem Rüstungsexperten Frank Sauer über den sicherheitspolitischen Umgang mit Algorithmen.
Cyberangriffe stellen die internationale Sicherheitspolitik vor ganz neue Herausforderungen. Mit den „üblichen Schablonen” lassen sich diese nicht bewältigen, findet Frank Sauer. Er ist Senior Research Fellow an der Universität der Bundeswehr München und Head of Research am Metis Institut für Strategie und Vorausschau. Im Interview erklärt er, wieso das strategische Konzept der Abschreckung im Cyberraum nicht gleichermaßen anwendbar ist und wie anfällig autonome Waffensysteme nicht nur für Cyberangriffe sind.
Welches Risiko halten Sie derzeit sicherheitspolitisch für größer: dass ein Atomkraftwerk per Raketenbeschuss oder per Cyberangriff attackiert wird?
Frank Sauer: Meine Hoffnung wäre, dass der Raketenangriff das wahrscheinlichere Szenario ist. Aber wenn man in der Auseinandersetzung mit Cybersicherheit eines lernt, dann, dass die vorhandenen Sicherheitslücken erschreckend und die menschlichen Versäumnisse und Fehler haarsträubend sind.
Haben Sie ein Beispiel für so einen haarsträubenden Fehler?
Ein Beispiel wäre die Berichterstattung von Bellingcat (investigatives Recherchenetzwerk, Anm. d. Red.) über die Soldatinnen und Soldaten, die die in Europa gelagerten US-Atomsprengköpfe bewachen: Bellingcat hat durch eine clevere Google-Suche herausgefunden, dass das Personal all ihre Lerninhalte in eine App eingegeben haben. Wie viele Kameras hängen dort in welchem Winkel? Wie viele Personen sind wann an welchem Ort? Welche Codeworte werden benutzt, um bestimmte Zustände der militärischen Installationen zu kommunizieren? All diese Inhalte waren offen im Internet einsehbar. Und da reden wir jetzt nicht über Atomkraftwerke, sondern über Atomwaffen – haarsträubend. Insofern fürchte ich, dass es durchaus Verrückte gibt, die auf die Idee gekommen sind, für Fernwartungszwecke selbst Atomkraftwerke über das Internet zugänglich zu machen. Ich hoffe, es ist nicht so, aber ich bin inzwischen auf jede böse Überraschung gefasst.
Wie würden Sie den aktuellen sicherheitspolitischen Umgang mit Cyberattacken bewerten?
Das Thema Cyber hat sicher massiv Konjunktur. Eine Sache, die mir besonders Bauchschmerzen bereitet, ist, dass es vielen sicherheitspolitischen Entscheidungsträgern und Militärs enorm schwerfällt anzuerkennen, dass dieses Feld einige Besonderheiten mit sich bringt. Besonderheiten, die sie nicht mit den üblichen Schablonen ohne weiteres bewältigen können.
Was meinen Sie?
Ein Beispiel ist der Gedanke, man könne hier so eine Art Abschreckungsstrategie praktizieren. Dabei gibt es im Cyberraum ein klares Attributionsproblem. Das heißt, wir wissen in aller Regel nicht, wer sich uns gegenüber überhaupt in irgendeiner Weise schädlich verhält. Und selbst wenn wir wissen wer dahintersteckt, wissen wir nicht: Sind die Gruppen privat unterwegs? Sind sie staatlich geduldet? Vielleicht sogar staatlich finanziert? Oder sind sie nur vermeintlich privater Akteur, aber letztlich der verlängerte Arm eines Staates – Nordkoreas, Russlands, Chinas, Irans und so weiter. Das heißt, wir haben ein massives Problem mit der Zuordnung dieser Abschreckungswirkung. Wen wollen wir denn eigentlich abschrecken? Und wie?
Was schlagen Sie stattdessen vor?
Ich würde mir wünschen, dass ein anderes Konzept stärker zum Tragen kommen würde: das der Resilienz. Man bräuchte eine Infrastruktur, die resilient ist gegen bestimmte Angriffe, sodass diese aus einer sicherheitspolitischen Logik heraus für das Gegenüber unattraktiv werden. Zahlreiche Beispiele, wie Stuxnet (Schadsoftware zur Manipulation der Steuerung von Industrieanlagen wie Wasserwerken oder Pipelines, Anm. d. Red.) oder die Attacken Russlands auf das ukrainische Stromnetz, zeigen: Im Cyberraum ist es relativ einfach, vergleichsweise großen Schaden anzurichten. Und je schwerer, aufwändiger, kosten- und zeitintensiver man es für den Angreifer macht, je resilienter man ist, desto unattraktiver wird es für diese. Darüber wird noch zu wenig systematisch nachgedacht.
Für viele Attacken sind, wie Sie bereits gesagt haben, ja auch private Hackergruppen verantwortlich. Sind diese vergleichbar mit privaten Söldnertruppen, wie sie für manche Staaten im Einsatz sind?
Das Geschäftsmodell ist tatsächlich vergleichbar. Aber der Cyberraum bringt bestimmte Besonderheiten mit sich. Wenn zum Beispiel die Gruppe Wagner (verdeckt operierendes, privates russisches Sicherheitsunternehmen, Anm. d. Red.) durch Syrien rollt, lässt sich vermutlich relativ klar abgrenzen, wer das ist, von wo aus die Gruppe operiert und was sie tut. Einfacher jedenfalls als bei Gruppen, die vom russischen Territorium aus in der Cyberdomäne aktiv sind. Da weiß man schlichtweg nicht, in welchem Verhältnis sie zum russischen Staat stehen.
In einem kürzlich erschienenen UN-Bericht heißt es, dass eine autonome Drohne im vergangenen Jahr in Libyen erstmals Menschen angegriffen haben könnte. Sind solche autonomen Waffensysteme eigentlich manipulierbarer und angreifbarer durch Cyberattacken als herkömmliche Militärtechnik?
Das kann man aus zwei Blickwinkeln betrachten. Grundsätzlich lässt sich die Logik hochmoderner Militärs als „Plattformagnostik“ bezeichnen. Es ist eigentlich nicht mehr wichtig, welches konkrete System der Sensor ist und welches konkrete System das Wirkmittel ins Ziel bringt. Vielmehr geht man von einer bestimmten Lage aus. Dabei muss man lediglich wissen, wo und wann Wirkung gewünscht ist, den Rest übernimmt die Maschine. Die Frage danach, was dann genau welche Rakete in dieses Ziel bringt, muss den Menschen gar nicht mehr berühren. Besonders fortgeschrittene Übungen, zum Beispiel das „Project Convergence“ der US Army, gehen in diese Richtung; dass man ein Netz aus Fähigkeiten hat und nur noch auswählen muss, wo Wirkung erwünscht ist. Dazu muss natürlich alles mit allem permanent verbunden sein und alle müssen in der Lage sein, permanent Daten auszutauschen. Insofern einerseits ja, hier kommen erhebliche Vulnerabilitäten ins Spiel.
Und andererseits?
Wenn wir im engeren Sinne über Autonomie in Waffensystemen sprechen, dann meinen wir damit, dass die Maschine und nicht der Mensch Ziele auswählt und bekämpft. Und hier ist genau der gegenteilige Effekt zu beobachten: Eine solche, autonome Plattform kann ihre Mission auch in einem Operationsraum vollführen, wo sie nicht mehr kommunizieren kann - wenn es durch elektronische Kriegsführung schlicht gar keine Möglichkeit mehr gibt, noch mit einem Menschen Rücksprache zu halten. Da bedeuten solche Systeme natürlich einen enormen Effektivitätsgewinn. Allerdings wird viel zu wenig darüber nachgedacht, wie anfällig diese Systeme für Manipulation durch die Umwelt sind und welche schrecklichen Fehler passieren können, wenn sie sich in unvorhergesehener oder zumindest nicht intendierter Art und Weise verhalten.
Wir haben beispielsweise bis heute das Problem nicht gelöst, dass selbstfahrende Autos minimal veränderte Stoppschilder nicht überfahren. Sie können auf ein Stoppschild reflektierendes Band kleben und der Bilderkennungsalgorithmus wird aus dem Tritt geraten, das Stoppschild nicht mehr als solches erkennen und es überfahren. Das Problem wird man eines Tages lösen können und die Autos werden sicherer. Aber wenn Sie jetzt an eine Schlachtfeldsituation denken, dann wird das Gegenüber natürlich nicht so kooperativ sein wie im Straßenverkehr, wo alle gemeinsam nach Sicherheit streben. Im Krieg wird der Gegner versuchen, das exakte Gegenteil zu tun. Er wird, wo es nur geht, versuchen, die Systeme zu täuschen, zu hacken und zu manipulieren. Das heißt, er klebt, um in unserer Metapher zu bleiben, auf alle Stoppschilder reflektierendes Band und manipuliert auch alles andere in der Umwelt so, dass die Maschine aus dem Tritt gerät.
Warum wäre genau das so gefährlich?
Gehen wir nochmal einen Schritt zurück in der technischen Entwicklung: Als es losging mit ferngesteuerten Systemen bei den Amerikanern in den Nullerjahren, waren die sogenannten SWORDS-Systeme eine militärische Neuerung, die auch im Irak-Krieg zum Einsatz kam. Das waren Raupenroboter, die ursprünglich für die Bombenentschärfung genutzt wurden und mit einem schwereren Maschinengewehr ausgerüstet wurden, um ferngesteuert Ziele in extrem schwierigen Umgebungen zu bekämpfen. Die Idee war, erst mal den Roboter vorzuschicken und Ziele über den Bildschirm anzuvisieren und anzugreifen. Was haben die Rebellen also getan? Sie haben sich versteckt und gewartet bis der Roboter vorbeigefahren war, ihn dann von hinten umgetreten, das Maschinengewehr abgebaut, die Munition mitgenommen und sich bedankt – so hat man dem Gegner quasi kostenlose Waffen und Munition direkt in die Konfliktzone geliefert. Man hat sich damals also einen völlig stupiden Gegner vorgestellt. Und jetzt machen wir im Hightechbereich 20 Jahre später wieder einen ähnlichen Fehler.
Inwiefern?
Wir stellen uns Gegner vor, die sich bereitwillig den Algorithmen ergeben, sich ins Ziel nehmen und beschießen lassen. Jeder halbwegs clevere Gegner wird zum Beispiel dafür sorgen, dass solche Systeme derart getäuscht werden, dass sie Zivilisten beschießen. Ein Staat, der solche Systeme einsetzt und diese Funktion an Maschinen delegiert hat, muss sich damit auseinandersetzen, dass er so ein Kriegsverbrechen begangen hat. Schuldig ist in dem Fall ein Algorithmus – völkerrechtlich gesehen eine sehr problematische Konstellation.
Wie müsste man sicherheitspolitisch reagieren, um einen adäquaten Umgang mit dieser fortschreitenden Technologie zu finden?
Wir sollten aus guten Gründen – militärisch-praktische, rechtliche, ethische Gründe – mit Vorsicht voranschreiten und erst einmal gewisse Linien einziehen. Wir sollten diese Technologie eben nicht flächendeckend einsetzen und sie einfach überall implementieren. An den Fehlern, die Bilderkennungsalgorithmen immer noch machen, wird es ja deutlich. Die aktuellen Verfahren verstehen nicht was sie sehen, so wie es Menschen tun. Wir verstehen den sozialen Kontext. Wir verstehen, wie jemand handelt. Wir können Ursachen und Wirkungen identifizieren. Wir können Absichten antizipieren. Was macht die Person, die mich anvisiert? Was hält sie in der Hand? Diese Fragen können Maschinen nicht genau beantworten. Deswegen ist es in vielerlei Hinsicht unsinnig und gefährlich, zu viele Funktionen auf sie zu übertragen.
Könnte man solche Waffensysteme ebenso stigmatisieren wie beispielsweise biologische Waffen?
Biologische Waffen sind ein sehr gutes Beispiel, denn diese gibt es ja auch nicht als feste Kategorie, sondern es geht vielmehr um die Frage: Wie wenden wir bestimmte Bio-Technologien an? Neue gentechnologische Verfahren sind ja per se noch keine Waffe, ermöglichen es aber beispielsweise, sehr gefährliche Viren zu erschaffen. Die rüstungspolitische Kernfrage ist also nicht, wie wir eine bestimmte Klasse von Waffensystemen definieren und regulieren, sondern vielmehr: Wie regulieren wir das Mensch-Maschine-Verhältnis auf dem Schlachtfeld in der Zukunft? Es geht um die Frage der Anwendung von Technologie, also eine Frage nach dem Wie. Man muss differenziert und kontextabhängig über die Sache nachdenken.
Also würden Sie sich nicht für ein Verbot aussprechen?
Autonomie in Waffensystemen ist nicht per se zu verteufeln. Wir kennen schon seit Jahrzehnten Anwendungsgebiete, wo die Auswahl und Bekämpfung von Zielen ohne menschliches Zutun geeignet und notwendig ist, um sich zum Beispiel gegen bestimmte anfliegende Munition zu verteidigen. Wenn eine Antischiffsrakete angeflogen kommt, muss eine deutsche Fregatte die Möglichkeit haben, zur Not den Schalter umzulegen, sodass die Fregatte diese Munition abwehrt, um das Schiff zu schützen. Dagegen ist nichts einzuwenden. Aber für die Szenarien, wo durch die eigene Operationsführung Menschenleben gefährdet werden, muss der Mensch in die Entscheidungsschleifen einbezogen sein. Dann müssen sich wieder Menschen damit befassen, wann, wo und wie auf dem Schlachtfeld militärische Gewalt ausgeübt wird. Ansonsten entkoppeln wir uns von diesem Geschehen in einer Art und Weise, die ich mit unseren europäischen Werten unvereinbar halte.
Es braucht also mehr Debatten auf europäischer Ebene.
Wir als Europäer müssen stärker auf diese Themen zugehen. Wir müssen europäischen Maßstäbe setzen und hoffen, dass diese sich dann international durchsetzen oder zumindest Anklang finden. Diese Entwicklungen auszusitzen wird nicht funktionieren.
Titelbild: Getty Images