Seit Monaten geistert die Forderung durch die Medien, Regierungen bräuchten eine Art Not-Ausschalter für das Internet. Sie wird mal von amerikanischen Politikern erhoben, mal von deutschen Netzpolitikern für beendet erklärt – nur um sich gleich wieder in eine längst ermüdende Internetsicherheitsdebatte zu verstricken. Man fühlt sich an Geschichten aus der Zeit des kalten Krieges erinnert. Diese waren voll von roten Koffern mit Atombombencodes, roten Telefonen und Knöpfen, die im ständig drohenden Ernstfall betätigt werden müssen, um das schlimmste zu verhindern. Diese Romantik des roten Knopfes feiert mit dem Not-Aus für das Internet eine zweifelhafte Wiedergeburt.

Der Ernstfall ist heute zu Glück kein atomarer Erst- oder Vergeltungsschlag einer Supermacht mehr, den es auszulösen oder zu verhindern gilt, indem rechtzeitig gedrückt oder angerufen wird. Heute spielt der Ernstfall nicht mit fliegenden Massenvernichtungswaffen, sondern mit einem kaum weniger romantisierten Phänomen: dem Internet. Das Internet als eine kritische Infrastruktur, die es zu ihrem eigenen Schutz auszuschalten gilt. Das nationale Internet, das es zu seinem Schutz vom Rest der Welt abzukoppeln gilt. Das Internet als Medium anderer kritischer Infrastrukturen, die es vor diesem zu schützen gilt. Gemein ist diesen Szenarien nur, dass das Internet zugleich faszinierend und bedrohlich unbeherrschbar ist, dass durch einen Knopf – gleichsam ein deus ex machina – befriedet werden soll.

Jenseits aller Lästereien bietet es sich aber an, die technischen Voraussetzungen und Implikationen des roten Knopfs unter die Lupe zu nehmen: Anders als der Begriff „Not-Aus für das Internet“ suggeriert, ist das Internet kein monolithisches System, das zentral gesteuert werden könnte. Es ist eine Ansammlung autonomer Systeme, die durch Router und Protokollvereinbarungen miteinander verbunden sind. Seine irreguläre Topologie ist dabei, glaubt man den Apologeten der Netze, gerade seine Stärke: Gestörte Leitungen und Teilausfälle können leicht durch wenige Änderungen am Routing umgangen werden. Demgegenüber wäre ein zentraler Not-Aus ein Fremdkörper: Wo das Internet dezentral ist, müsste der rote Knopf technisch oder symbolisch – je nachdem, ob man eine rein technische Lösung bevorzugt oder menschliche Akteure in der Befehlskette vorsieht – zentral im weißen Haus oder im Bundeskanzleramt angesiedelt sein. Beide Lösungen eröffnen damit zahlreiche neue Angriffsvektoren. Man stelle sich nur einmal vor, eine fremde Macht, vor der man sich schützen muss, käme in den Besitz geeigneter Informationen, um das Internet eines Landes auszuknipsen. Genug Stoff für weitere James-Bond-Filme wäre garantiert.

Der Einwand, man könnte so ein System sicher gestalten, ist übrigens bestenfalls paradox: Sollte es tatsächlich möglich sein, ein zentrales System in der Kommunikation mit volatilen, technisch höchst heterogenen Routingsystemen so zu gestalten, dass die versehentliche oder absichtliche Auslösung durch unautorisierte Akteure ausgeschlossen ist, stellt sich die Frage, wieso die betroffenen Komponenten nicht auch ohne zentralen Knopf sicher zu machen sind. Eine jede Diskussion um den Not-Ausschalter muss zwangsläufig zwischen der Drohung niemals sicherer Systeme und dem Versprechen sicherer Systeme changieren. Dabei spielt es keine Rolle, ob es um eine Totalabschaltung oder nur um eine Entkoppelung des vermeintlich nationalen Netzes von der restlichen Welt geht.

Mit den Ereignissen in Ägypten und seinen Nachbarn ist der Internet-Ausschalter als Mittel zum Schutz technischer Systeme und zur Abwehr im Cyberwar unter Verdacht geraten, eher ein Mittel zur Bevölkerungskontrolle zu sein. Gewissermaßen dialektisch bestätigt wird diese Überlegung durch die Meldung, das US-Militär verfüge über Mittel, um einem Staat das Internet gleichsam aufzuzwingen.[1 ] Kriegsvölkerrechtliche Implikationen und Propaganda einmal außer Acht gelassen, zeigt hier gerade das ägyptische Beispiel die politischen Folgen einer Abschaltung des Netzes: Verfolgte man die Berichterstattung auf Al-Jazeera konnte man sich nicht des Eindrucks erwehren, die Abschaltung des ägyptischen Netzes hätte den Protest nur noch angeheizt. Gleichzeitig konnte man auf Twitter beobachten, dass Hacking-Aktivisten im Ausland begannen, Einwahlnummern für ägyptische Modembenutzer zur Verfügung zu stellen. Zwar hatte das Mubarak-Regime das Internet und den Mobilfunk massiv behindert, doch war offenbar davor zurückgeschreckt, das Telefonnetz gänzlich lahmzulegen. Es kommt dabei gar nicht so sehr auf den Erfolg der Unterstützungsmaßnahmen an. Es zeigt sich allerdings, dass der Zugang zum Internet in der Praxis im Interesse der Bevölkerungskontrolle eingesetzt werden kann und wird. Die cyberkriminellen, cyberterroristischen und cyberkriegerischen Bedrohungen, die eine Abschaltung oder Abkopplung des Netzs rechtfertigen könnten, lassen hingegen auf sich warten.

Damit soll nicht behauptet werden, es gäbe keine Angriffe auf Cyberinfrastrukturen. Das ist, denkt man an Stuxnet oder an Industriespionage, falsch. Gleichwohl erfolgen diese Angriffe stets über klassische Angriffsvektoren wie etwa Sicherheitslücken und zweitens spielt das Internet hier eine abnehmende Rolle: Stuxnet beispielsweise ist nicht auf eine dauerhaft bestehende Netzwerkverbindung angewiesen und verbreitet sich auch über USB-Medien. Ausgefeilte Angriffe wie Stuxnet ließen sich durch einen Not-Ausschalter nicht nur nicht verhindern, sondern jede Entscheidung, den Schalter zu  betätigen, käme im Zweifelsfall zu spät.

Angesichts seines zweifelhaften Nutzens und seiner Möglichkeiten zur Bevölkerungskontrolle – so zweifelhaft diese nach Ägypten auch sind – scheint mir der Not-Ausschalter für das Internet sicherheitspolitisch die Fortsetzung jener Symbolpolitik, die die Zivilgesellschaft im Anti-Terror-Kampf und im Kampf gegen dokumentierten Kindesmissbrauch schon einmal auf die Straße getrieben haben. Der Debatte täte es gut, die romantische Dimension eines zentralen Not-Aus als die eigentliche Triebfeder zu erkennen. Phantasien zentralisierter Selbstmord- oder Ausschaltknöpfe gehören in das Reich von Dr. Seltsam und James Bond, aber nicht in die Debatte um die Sicherheit von Cyberinfrastrukturen.

Kommentare abgeben