Ein Angriff bewegt sich heute mit Lichtgeschwindigkeit und kommt ohne Absenderkennung an. Staatlich gesponserte Hacker haben ein ukrainisches Stromnetz abgeschaltet (der BlackEnergy-Angriff von 2015, der rund 230.000 Haushalte verdunkelte), 30.000 Computer von Saudi Aramco gelöscht (Shamoon, 2012), die Interna von Sony Pictures veröffentlicht (2014), in die US-Wahl eingegriffen (2016), Irans Zentrifugen über Stuxnet zerstört (~2010), Colonial Pipeline so erpresst, dass die Treibstoffader der US-Ostküste stillstand (2021), und die Sicherheitsüberprüfungsakten von 22 Millionen US-Bundesbeschäftigten ausgeschleust (der OPM-Einbruch, 2014–15). Der Schaden ist strategisch erheblich; die Antworten sind gedämpft. Cyberkrieg ist die Grauzone, in der heute der größte Teil des Großmächtewettbewerbs tatsächlich ausgetragen wird — unterhalb der Kriegsschwelle, oberhalb der Friedensschwelle.
Die strategische Eigenart von Cyberangriffen liegt darin, dass sie in einer Domäne stattfinden, in der Abschreckung schwerfällt. Zuschreibung ist langsam und umstritten; Vergeltung ohne klare Zuschreibung wirkt destabilisierend; und die rechtliche Schwelle dafür, was als „Angriff“ gilt, ist mehrdeutig — ist Datendiebstahl eine Kriegshandlung? Ist Wahlbeeinflussung eine? Heraus kommt eine Domäne, in der staatlich gesponserte Offensivoperationen Dauerzustand sind, meist nicht zugeordnet und meist so kalibriert, dass sie unter der Linie bleiben, die eine konventionelle Antwort auslösen würde. Russland, China, Nordkorea, Iran, die Vereinigten Staaten, das Vereinigte Königreich, Israel und Frankreich unterhalten allesamt bedeutende offensive Cyberprogramme — Nordkoreas funktioniert zudem als Einnahmequelle, indem die Lazarus-Gruppe Kryptowährung im Milliardenwert stiehlt, um das Regime zu finanzieren. Die Verteidigungslage ist grundlegend asymmetrisch: Der Angreifer muss eine Schwachstelle finden, der Verteidiger muss alle schließen, und die Angriffsfläche ist mit Cloud-Computing, dem Internet der Dinge und Software-Lieferketten explodiert (die SolarWinds-Kompromittierung von 2020 erreichte über ein einziges vertrautes Update rund 18.000 Organisationen). Die Ökonomie neigt sich in dieselbe Richtung — ein Exploit kostet Monate in der Entwicklung, aber Pfennige beim millionsten Einsatz, und derselbe Code lässt sich, einmal verwendet, abfangen, rückentwickeln und gegen seinen Urheber wenden, wie es geschah, als NSA-Werkzeuge durchsickerten und in den Würmern WannaCry und NotPetya von 2017 wieder auftauchten, von denen Letzterer weltweit rund 10 Milliarden Dollar Schaden anrichtete. Kritische Infrastruktur — Stromnetze, Wassersysteme, Finanzabwicklung, Krankenhäuser — ist heute die primäre Zielkategorie, wobei der ukrainische Schauplatz seit 2014 als lebendes Labor dafür dient, wie Cyberoperationen gegen zivile Ziele in großem Maßstab aussehen.
KI-gestützte offensive Cyberoperationen — automatisierte Schwachstellensuche, großflächiges Spear-Phishing, auf Deepfakes gestützte Social-Engineering-Angriffe — sind der nächste Wendepunkt; sie senken die Einstiegshürde für ausgefeilte Angriffe und heben zugleich die Obergrenze. Jeder größere Nachrichtendienst investiert massiv; jedes größere Ziel versucht im Wettlauf, seine Verteidigung vor dem Angriffswerkzeug zu halten. Ob Cybernormen — eine Genfer Konvention für den Cyberraum, eine Selbstverpflichtung zum Verzicht auf Erstangriffe gegen Stromnetze, ein glaubwürdiges Zuschreibungsregime — entstehen, bevor ein größerer Vorfall eine erzwingt, oder ob die Domäne auf unbestimmte Zeit ein Wilder Westen bleibt, ist eine der folgenreicheren Regierungsfragen des nächsten Jahrzehnts.