OECD: „Cyberkrieg-Risiko ist überbewertet“

Peter Sommer ist Co-Autor der OECD-Studie zu Cybersicherheit (Bild: Peter Sommer).

Das Risiko von Cyberangriffen auf kritische nationale Systeme wird offenbar gänzlich übertrieben. Zu diesem Schluss kommt wenigstens ein Report (PDF) der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

Laut Co-Autor Peter Sommer von der London School of Economics erfolgt der Großteil der Cyberattacken auf niedrigem Level und verursacht eher Unbequemlichkeiten als ernste oder länger andauernde Systemunterbrechungen. Ausgeklügelte Malware wie Stuxnet, die auf industrielle Kontrollprozesse abzielt, sei die Ausnahme und nicht die Regel.

„Es gibt viele Horrorszenarien, aber wenn man testet, laufen sie nicht wirklich so ab“, erklärt Sommer. „Bei der Analyse von Malware stellt sich Vieles als kurzfristig heraus oder schlägt fehl.“ Sommers Bericht zufolge können verschiedene Cyberattacken in Kombination mit Katastrophen oder anderen Formen von Angriffen im ungünstigsten Fall zu sogenannten „Perfect Storm“-Verhältnissen führen. Ein reiner Cyberkrieg sei aber unwahrscheinlich.

„Einzelne DDoS-Attacken dauern meist nur ein bis zwei Tage“, heißt es in der Analyse. Angreifer benötigten dazu die IP-Adressen der Zielcomputer sowie im besten Fall Informationen über Betriebssysteme und Anwendungen. Das Verwenden schon bekannter Tools führe meist dazu, dass sie abgefangen werden, noch bevor sie irgendeinen Effekt haben. Solche Angriffe seien zudem auf mit dem Internet verbundene Computer beschränkt; „um proprietäre Computersysteme zu erreichen, die nicht mit dem Internet verbunden sind, bräuchte man fast sicher die Hilfe von Insidern – die man zuvor hätte rekrutieren müssen“, schreiben Peter Sommer und Ian Brown.

Übertrieben sei schon das Vokabular zur Beschreibung von Angriffen. „Eine Attacke kann alles sein: angefangen von einem Phishing-Versuch, um an Passwörter zu kommen, oder einem früh genug entdeckten Virus bis hin zu einem durchdachten, von mehreren Seiten ausgeführten heimlichen Angriff“, führen die Autoren aus. Regierung, Geheimdienst und Militär seien gefordert, die Risiken von Cyberattacken gegen kritische Systeme korrekt zu bewerten. Häufig werde der Schweregrad verschiedener Arten von Malware nicht miteingerechnet.