Staatliche Cyberkonflikte ft. Dr. Kerstin Zettl-Schabath
Herzlich willkommen zu einer neuen Folge Breach FM. Ich bin heute im schönen Heidelberg.
Ich werde meine Gästin jetzt nicht vorstellen, sie wird sich gleich selbst vorstellen.
Wie ich aber immer wieder von meinen Hörerinnen und Hörern gezwungen werde,
ich soll mehr Werbung für den Podcast machen, mache ich es dieses Mal wieder
am Anfang. Das habe ich mir jetzt angewöhnt.
Ich freue mich jedes Mal über das viele Feedback, was ihr mir persönlich gebt
und auch die tollen Aufrufzahlen, also jetzt besonders der letzte Podcast mit
der Bundesagentur für Arbeit, ganz, ganz viel positives Feedback bekommen.
Da auch nochmal großen Dank an Stefan und Jens, die wahrscheinlich jetzt zuhören.
Es würde mir natürlich noch unglaublich helfen, wenn die IT-Security-Community
ein bisschen aus dem Keller hervorkommen würde und noch ein bisschen häufiger
den Podcast teilen würde und vielleicht auch auf Spotify wie auf Apple Podcasts
oder der Plattform eurer Wahl,
aber besonders die ersten beiden sind immer sehr relevant.
Noch eine gute Bewertung da lassen.
Ich habe es euch schon mal erklärt,
ich verdiene leider nichts mit diesem Podcast. Es kostet nur Geld.
Das ist aber gar nicht so schlimm. Aber um so interessante Gäste wie auch heute
wieder zu bekommen, ist es immer unglaublich hilfreich, einfach eine gute Reichweite zu haben.
Und deswegen helft einfach mit. Ich habe schon gesagt, auf absehbare Zeit wird
es keine Abo-Falle mit dem Podcast geben.
Und diesen Zeitstrahl bis zur Abo-Falle könnt ihr weiter ausdehnen,
indem ihr schön diesen Podcast liked,
indem ihr das Ganze teilt, vielleicht auf LinkedIn, auf sonstigen Plattformen
und wie gesagt auch eine ordentliche Bewertung da lasst. So, genug der Werbung.
Wir springen rein. Ich habe gesagt, ich bin heute in Heidelberg.
Ich hoffe, man hört es nicht raus. Ich bin immer noch ein bisschen müde.
Ich war letzte Woche für zwei Tage in Japan.
Das hängt mir noch so ein bisschen hinterher. Mir war das aber heute sehr wichtig,
dieser Podcast-Termin.
Und ja.
Meine Gästin darf sich jetzt selbst vorstellen. Wer bist du, was machst du?
Ja, vielen Dank zunächst mal für die Einladung. Ich freue mich sehr,
in diesen mehr technischeren Podcast eingeladen worden zu sein.
Mein Name ist Kerstin Zettel-Schabbat. Ich bin Postdoc an der Uni Heidelberg
und arbeite aktuell in einem Forschungsprojekt, das European Repository of Cyber
Incidents, kurz Europoc heißt.
Und ja, bin von Haus aus Politikwissenschaftlerin, deswegen,
wie gesagt, freut es mich auch mal in diesem technischen Kontext sprechen zu dürfen.
Ich beschäftige mich eigentlich seit meinem Masterstudium mit Cyberkonflikten
halt eher aus der sozialwissenschaftlichen Perspektive heraus und ich kann natürlich
gerne im Podcast dann auch noch ein bisschen mehr zu unserem aktuellen Projekt erzählen.
Ja, danke schon mal. Ich hatte dich angeschrieben und du hattest mich dann gleich
gefragt, woher ich dich kenne.
Und ich musste mich für ein paar Vorträge so ein bisschen, oder ich durfte mich
für ein paar Vorträge, drücken wir es so aus, so ein bisschen um staatliche
Konflikte so ein bisschen und Cyberwarfare und so weiter.
Und ich wollte so ein bisschen hinter die News mal schauen und habe mir mal
so ein bisschen angeschaut, was gibt es denn für Publikationen zu dem Thema
und bin dann auf dein Buch gestoßen, Staatliche Cyberkonflikte.
Was ich jedem empfehlen kann, das ist jetzt keine leicht zu lesende Literatur,
was jetzt keine Stilkritik ist, aber es ist natürlich eine wissenschaftliche
Arbeit in vielen Teilen.
Ich kann es trotzdem nur empfehlen, sich das mal wirklich anzuschauen,
weil es, glaube ich, weggeht von diesen Überschriften und News ohne Kontext
und man sich mal wirklich mit den Hintergründen beschäftigen kann.
Und ich glaube, es ist eine tolle Weiterführung des heutigen Podcasts.
Und als ich das dann mir durchgelesen habe und dann einem Kollegen erzählt habe,
dass wir uns zusammensetzen werden für einen Podcast, hat er gesagt,
das ist doch die aus der Doku. Ich habe gesagt, welche Doku?
Und für die unter euch, die sich Putins Bären in der ARD oder im SWR angeschaut
haben, sehr empfehlenswert.
Finde ich eigentlich schön gemacht. Da geht es um den Angriff auf den Bundestag
vor ein paar Jahren und da warst du ja auch Teil davon.
Genau, da habe ich die Chance bekommen, auch mal in so einer Doku mitzuwirken,
war auch mein erstes Mal, war auf jeden Fall sehr interessant und ich glaube,
das zeigt einfach auch so ein bisschen, dass ja auch die persönliche Bekanntheit
von Wissenschaftlern natürlich auch so ein bisschen mit der Popularität oder
Wichtigkeit eines Themas an sich, mit dem sie sich befassen, einhergeht.
Und ja, seitdem ich mich damit beschäftige, 2017, 2018, hat das Thema Cyberkonflikte,
Proxys, also um die geht es in meinem Buch vor allen Dingen auch,
hat eben immer eine größere Relevanz, aber auch Präsenz im öffentlichen Diskurs eingenommen.
Also nicht mehr nur irgendwie in wissenschaftlichen Hinterzimmern,
sondern da wird in der Tagesschau drüber berichtet und deswegen finde ich sehr
gut, dass da immer mehr drüber berichtet wird, auch ein bisschen mehr Aufklärung
betrieben wird, weil ich denke, da werden wir wahrscheinlich auch noch drüber sprechen.
Es sind natürlich teilweise auch Schlagzeilen dabei, wo man dann sagt,
okay, das sollte wahrscheinlich eigentlich ein bisschen anders formuliert werden.
Ja, ja, gebe ich dir völlig recht. Ich muss sagen, als ich die Doku,
ich habe die mir angeschaut, im Flieger jetzt neulich und ich war ganz überrascht,
dass das Thema jetzt irgendwie nochmal aufgegriffen wird.
Natürlich wahrscheinlich auch unter der ganzen Lage in der Ukraine und allgemein,
was die Angreifergruppen wieder machen. Bei mir hat es damals schon gewundert,
wie wenig darüber berichtet wurde.
Also es wurde natürlich über diesen Angriff berichtet, aber jetzt nicht in diesem
Rahmen, in dem es glaube ich hätte passieren sollen.
Und mir geht es da jetzt gar nicht um dieses IT-Security ist das Wichtigste
überhaupt und es war ein Angriff, sondern da war halt tatsächlich jemand in
unseren teilweise hochheiligen Systemen.
Und deswegen hat es mich gewundert, dass da jetzt eben nochmal so eine große
Welle kommt, aber ich fand es sehr gut, dass da jetzt nochmal was kommt und
eben auch in den sehr breiten Medien und nicht immer nur in irgendwelchen Expertenmedien.
Ja, auf jeden Fall. Ich weiß jetzt auch nicht, wann es konkret geplant wurde,
aber wie du sagst, ich denke auf jeden Fall durch die ganze Cyberkomponente
im Konflikt gegen die Ukraine, dass da deswegen wahrscheinlich nochmal der Fokus drauf gelegt wurde.
Vielleicht auch gerade im Hinblick auf Cyberoperationen im Kontext von demokratischen
Wahlen könnte ich mir vorstellen, dass vielleicht auch so ein bisschen der Fokus
jetzt drauf gelenkt wurde, weil wir eben jetzt 2024 sehr, sehr viele Wahlen
haben in allen möglichen Ländern, EU-Wahlen etc.
Und ich glaube, dass da wahrscheinlich deswegen auch nochmal das Thema aufgegriffen wurde.
Ja, also wie gesagt, für alle Hörerinnen und Hörer, schaut gerne mal rein.
Ich finde es echt gut gemacht.
Löst euch bitte so ein bisschen, wenn ihr auch sehr technisch unterwegs seid,
von diesem ewigen Rummeckern, dass das nicht richtig oder gut genug ist.
Schau es einfach mal aus der Brille von jemandem an, der sich nicht jeden Tag
mit diesem Thema beschäftigt und dann genießt ihr das glaube ich zehnmal mehr.
Das kann ich nur mal als Tipp geben, weil da habe ich mich auch oft wiedergefunden,
aber geht da einfach mal offen ran.
Deswegen sehr gut gemacht und ja,
schön, dass ich danach drauf hingewiesen wurde, dass du da dabei warst.
Es ist auf jeden Fall etwas unterhaltsamer als mein Buch, so viel kann ich sagen.
Ich finde das Buch auch unterhaltsam. Ja,
Also es ist halt einfach ein super Ausgangspunkt, um sich mit diesem Thema zu
beschäftigen und wie gesagt,
natürlich ist es immer spannender, irgendwelche Dokus mit hart unterliegter
Musik und so weiter zu sehen, aber am Ende musst du dich halt trotzdem auskennen. Ja, auf jeden Fall.
Das Buch basiert ja auf meiner Dissertation, deswegen müssen natürlich auch
viele theoretische Konzepte mit drin sein, braucht einen theoretischen Aufbau.
Aber es ist auch sehr, sehr viel Empirie mit drin, weil in dem Buch vor allen
Dingen eben ein in Heidelberg erstellter Cyberkonflikt-Datensatz erstmals analysiert wird,
also den ich im Rahmen einer Promotion eben mit aufgebaut habe und auf dem auch
aktuell unser Europoc-Datensatz basiert.
Weil das eben auch so ein bisschen ein Punkt war, den wir 2017 in Heidelberg gesehen haben.
Im Kontrast oder im Gegensatz zur konventionellen Konfliktforschung,
wo wir schon seit Jahrzehnten eigentlich viele quantitative Daten haben.
Wie ist denn der Konfliktverlauf? Welche Konfliktejahrten gibt es? Etc.
So was haben oder hatten wir lange Zeit nicht für Cyberkonflikte.
Natürlich auch, weil es Cyberkonflikte noch nicht so lange gibt, auch völlig klar.
Aber da haben wir gesagt, okay, da wollen wir reingehen und wollen eben versuchen,
auch eine Datengrundlage zu schaffen.
Also ich finde erstmal den Begriff Cyberkonflikte immer deutlich angenehmer als andere Begriffe.
Ich würde jetzt trotzdem mal einen nicht so für mich immer angenehmen Begriff
hier in den Raum werfen, weil der glaube ich oft medial verwendet wird.
Ich höre mal ganz oft Cyberwarfare. Ich höre aber ganz selten so wirklich eine
Beschreibung dazu, was das überhaupt ist.
Und das wird für mich mittlerweile sehr universell genutzt, sobald gefühlt ein
Angriff aus einem Land A auf ein Land B kommt, egal was jetzt der Kontext ist.
Das kannst du mal vielleicht auch aus deiner eher wissenschaftlichen Richtung
mal eine Erklärung dafür geben, was Cyberwarfare denn überhaupt ist und was
es vielleicht auch nicht ist, auch wenn da vielleicht sogar manchmal ein bisschen
Meinung mit da reinkommt.
Ja, sehr gerne. Also ich glaube, wie bei so vielen Konzepten,
gerade auch im Bereich Cybersicherheit, Cyberkonfliktforschung,
es gibt keine einheitliche Definition.
Also man hat sich nicht irgendwie bislang auf eine einheitliche Definition von
Cyberwarfare, von Cyberwar etc.
Geeinigt. Deswegen versuche ich jetzt vielleicht so ein bisschen nachzuzeichnen,
wie der Begriff in der Realität verwendet wird und vielleicht auch,
was da so die Probleme sind, Vor- und Nachteile.
Genau, also zunächst mal glaube ich, dass Cyberwarfare grundlegend immer für
alle möglichen Cyberoperationen verwendet wird, bei denen irgendeine staatliche
Involvierung angenommen wird.
Da haben wir auch schon so ein bisschen das erste Problem an der Sache,
nämlich die Attribution muss gegeben sein oder man muss irgendwie hinreichend
sicher sein, dass da ein Staat involviert war auf der Angreiferseite.
Und wenn man zum Beispiel einer
CISA-Definition, also der Cybersicherheitsbehörde in den USA folgen will,
ist das Ziel von Cyberwarfare to weaken, disrupt or destroy irgendwelche Systeme von anderen Nationen.
Also da hört man ja schon Schwächen, Disrupten, Zerstören, das geht aus meiner
Sicht eigentlich über Cyberspionage hinaus und deswegen wäre für mich eigentlich
eine korrekte Definition, wenn bei Cyberwarfare sowas wie Espionage,
was ja eigentlich immer irgendwie stattfindet in Friedens- und Konfliktzeiten,
wenn das eigentlich ausgeklammert werden würde,
wird de facto aber glaube ich einfach oft auch mit reingenommen.
Natürlich auch oft zum Beispiel, wenn wir eher so Hack-and-Leak-Operationen
haben, also wenn Staaten wie Russland eher auf der Informationsebene Cyber-Operationen
durchführen, auch das wird natürlich oftmals als Cyber-Warfare bezeichnet.
Deswegen vielleicht ein Plädoyer von meiner Seite aus, gerade auch nochmal Cyberwarfare
vielleicht abzugrenzen von Cyberwar und von Cybercrime.
Cyberwar, das sticht mir immer so ein bisschen ins Auge oder ist mir ein Dorn im Auge.
Es wird so viel von Cyberwar geredet. Was ist ein Cyberwar? Was müsste das sein?
Und wenn man es mal ganz hart definieren würde, müssten es eigentlich Cyberoperationen
sein, mit denen man kriegsähnliche Effekte hervorruft.
Was sind kriegsähnliche Effekte? Im Endeffekt Tote oder Verletzte.
Direkt mit Cyber-Operationen. Das ist was, was wir zum Glück bislang noch nicht gesehen haben.
Deswegen finde ich persönlich, auch wenn da jetzt meine persönliche Meinung
dann mit reinspielt, aber ich denke, da gibt es auch genug wissenschaftliche
Beobachter, die das ähnlich sehen, sollte man eigentlich nicht wirklich von Cyber-War sprechen.
Dass natürlich Cyber-Operationen im Rahmen von Kriegen eine immer wichtiger
Rolle spielen, sehen wir nicht zuletzt jetzt seit 2022, seit dem russischen
Angriffskrieg gegen die Ukraine.
Aber das militärische Framing, dass man dass man eben Cyberoperationen als etwas darstellt,
was wirklich auch wie konventionelle militärische Konfliktaustragungstools solche
physischen Effekte hervorrufen kann oder dass es überhaupt Sinn ergibt für einen
Angreifer, auf Cyberoperationen zu setzen,
um irgendwie physische Effekte hervorzurufen.
Das geht auch so ein bisschen an der Realität vorbei.
Da triffst du, glaube ich, einen guten Punkt, weil ich habe neulich mal mit
einem befreundeten CISO darüber diskutiert und hat auch gesagt,
wieso ist dir das denn so wichtig?
Da habe ich gesagt, naja, mir ist die Definition eigentlich gar nicht wichtig.
Also vielleicht stört es mich manchmal, dass es immer sehr effekthascherisch
wirkt, wenn irgendeine Headline mit Cyberwarfare kommt und dann liest man sich
das durch und resümiert das so ein bisschen und denkt sich, ja,
das ist schon ein bisschen dick aufgetragen.
Da wollte man halt mal wieder Klicks generieren.
Das ist das eine, aber das ist, glaube ich, gar nicht so schwerwiegend.
Ich glaube, das Schwerwiegendere für mich ist, dass,
ich nenne es jetzt mal echter Krieg, physischer Krieg, Bomben auf Häuser,
um es mal ganz einfach auszudrücken, nicht damit abgewertet wird,
aber wir uns besonders bei uns in der Branche oft mit diesen schönen fancy Dingen
beschäftigen und dann so ein bisschen vergessen,
dass in diesen Konflikten und in diesen Angriffskriegen eben Leute umkommen
mit physischen Bomben, mit sonstigen Dingen.
Und dass das viel größere Leid ist, dass das befeuert wird teilweise durch digitale
Operationen, dass das vorbereitet wird durch digitale Operationen,
dass die einen großen Teil spielen, ja ohne Frage.
Aber ich glaube in den meisten Kriegenstand heute wird halt weiterhin sehr viel
physisch einfach gemacht, da wird weiterhin unglaublich viel Leid angerichtet
und das kommt mir manchmal einfach so ein bisschen zu kurz.
Also, übertrieben gesagt, finde ich das manchmal eine sehr elitäre Diskussion,
über was wir da diskutieren, auch wenn es natürlich wichtig ist.
Und die Frage ist immer, glaube ich, in welchem Tonfall wir das diskutieren.
Wenn wir jetzt mal auf Cyberwarfare kommen, also ich habe dann wiederum dem
Freund auch gesagt, dass selbst der kalte Krieg, also da kann man natürlich
dann auch wieder streiten über das Wort Krieg, aber das ist eine ganz andere Debatte.
Krieg gegen Drogen oder Krieg gegen Terrorismus oder Krieg gegen Corona.
Genau, also gibt es zehntausende Beispiele und deswegen, ich glaube uns allen
geht es gar nicht so sehr um die Definition, sondern eher um die Auswirkungen, wenn wir darüber reden.
Wenn wir jetzt aber mal wirklich bei Cyberwarfare bleiben und es wirklich als
solches benennen, gibt es denn überhaupt irgendwelche Beispiele dafür,
wo es nach dieser Definition schon mal passiert ist?
Also wirklich nach deiner Definition von Cyberwarfare? Oder ist es was,
wo wir sagen, da sprechen wir derzeit noch sehr viel über Theorie eher?
Ich weiß jetzt gar nicht, ob ich eben so eine richtige Definition jetzt geliefert
habe. Ich glaube, ich habe eher auch gesagt, was ich nicht darunter fassen würde.
Wenn man sich jetzt aber mal darauf einigen würde, dass Cyberwarfare,
alle Cyberoperationen umfasst, irgendwie zwischen Staaten und wo es eher auch darum gehen soll,
vielleicht neben Cyberspionage, vielleicht auch in einem anderen Staat irgendwie
den eigenen Willen aufzuzwingen, da wird dann immer von Coercion gesprochen
oder in anderen Staaten irgendwie von was abzuhalten, also eher eine abschreckende Komponente.
Dann gibt es da durchaus Beispiele, aber ich würde auch vielleicht so ein bisschen
darauf abzielen wollen,
aus historischer Perspektive auf Cyberoperationen, die vor allen Dingen im politischen,
aber auch im militärischen Diskurs oder in Institutionen für eine gewisse Veränderung
gesorgt haben oder einen gewissen Impact hatten,
den man vielleicht auch als formative Cyberereignisse benennen könnte.
Auch um so ein bisschen aufzuzeigen, was aus meiner Sicht ein bisschen absurd
ist, Das ist, warum wir im Jahr 2022, kurz vor der Invasion,
immer noch genug Beobachter hatten, die gesagt haben, wenn Putin wollte,
könnte er die Ukraine gefühlt einfach nur mit Cyberoperationen einnehmen.
Was aus meiner Sicht völlig den letzten 15 Jahren der Forschung entgegensteht.
Aber naja, genau, also zum Beispiel gerade dieser Begriff Cyberwar,
der wurde das erste Mal 2007 angewandt, beziehungsweise 2007 wurde bei den zahlreichen
DDoS-Kampagnen, Angriffen, eher DDoS-Operationen gegen estnische Ziele,
wohl von russischer Seite, wurde von estnischer Seite vom ersten Cyberwar der
Geschichte gesprochen.
Kurz zum Hintergrund, da wurde in Tallinn ein altes Sowjetdenkmal entfernt und
das hat dann eben zu Unruhen in der russischstämmigen Bevölkerung Estlands geführt
und dann kam es eben zu sehr,
sehr vielen auch durchaus schwerwiegenderen DDoS-Operationen gegen estnische
Ziele im Privatsektor, im öffentlichen Sektor etc.
Und das hat man so vorher eben noch nicht gesehen.
Und da gab es dann eben auch wirklich großflächige Reaktionen seitens Politikern etc.
Die NATO hat dann sogar eben auch unter anderem deshalb das CCD-COE,