Web 2.0 begünstigt Cyber-Guerilla
John Arquilla, Professor am Departement of Defense Analysis, einem Thinktank des amerikanischen Verteidigungsministeriums, sah die Entwicklung bereits 1996 voraus, als er noch für eine andere Denkfabrik, die Rand Corporation, arbeitete. Er ging im Buch «Advent of Netwar» davon aus, dass Kriege sich in zunehmendem Masse um die Vorherrschaft über die Information und Kommunikation drehen werden. Arquilla unterschied dabei zwischen «Cyberwar» und «Netwar». Beide Begriffe bezeichnen Konflikte im Informationszeitalter und decken das gesamte Spektrum von der Propaganda über konkrete Hackerangriffe auf gegnerische Informatikanlagen bis hin zur technischen Ausrüstung modernen Kriegsgeräts ab. Der Unterschied ist folgender:
Der Cyberwar steht für militärische Computerangriffe, die ähnlich wie ein konventioneller Krieg geführt werden: streng hierarchisch und mit teurem Gerät. Professionelle Informatiker kommen zum Einsatz, die verwendete Technik ist auf dem neusten Stand, die eingesetzte Software ist oft selbst entwickelt und nicht für jedermann zugänglich.
Der Netwar hingegen ist das Pendant zum Guerillakrieg, geführt von relativ kleinen Gruppen, die zerstreut über die Welt leben. Es braucht keine klare Führungsstruktur. Die Akteure bringen sich die nötigen Fähigkeiten oft im Selbststudium bei und benutzen Software, die jedermann zugänglich ist.
Für einen Cyberwar, schloss John Arquilla damals, seien die USA bestens gerüstet. Ein Netwar hingegen stelle jeden Staat vor grosse Probleme.
Cyberterrorist 007
Die Struktur der al-Qaida ist für einen Netwar wie geschaffen. Seitdem die Terrororganisation von den US-Streitkräften aus Afghanistan gebombt wurde, macht sie sich im Internet immer breiter. Ihr Stosstrupp in der virtuellen Welt besteht aus jugendlichen Eiferern, die aus eigenem Antrieb zu Propagandisten des Terrors werden.
Ein Prozess in Grossbritannien lieferte letztes Jahr einen Einblick in die Mechanismen. Vor Gericht standen der 23-jährige Informatik-Student Younes Tsouli (23) und zwei Mitstreiter: Das Trio hatte Muslime im Internet zum heiligen Krieg aufgerufen. Tsouli agierte dabei unter dem Decknamen «Irhabi007», «Terrorist 007». Er trat in Webforen, die sich mit Jihad-Themen befassen, 2003 erstmals in Erscheinung. Er hatte damals offensichtlich noch keine Ahnung, wie man sich anonym im Internet bewegt. So wurde er von Gleichgesinnten in einem Forum gewarnt, die Webseite weiterhin mit seiner persönlichen Adresse zu besuchen. Tsouli änderte daraufhin die Einstellungen seines Computers so, dass er anonym surfte. Wie das mit wenigen Klicks im Betriebssystem geht, ist in jedem halbwegs seriösen Sicherheitstutorial nachzulesen.
Tsouli lernte schnell. Schon bald lud er Propagandamaterial auf ungeschützte Server und gab Pirateriesoftware an andere Cyberjihadisten weiter. Er ging nach dem Prinzip «Learning by Doing» vor, beging dabei aber auch immer wieder Fehler. Die wurden von Aaron Weisburd entdeckt, dem Gründer von Internet Haganah, einem Zusammenschluss von Informatikern, Analysten und Arabisten, die sich dem Kampf gegen den Cyberjihad widmen. Weisburd begann die Aktivitäten von «Irhabi007» systematisch zu verfolgen. Und bereits im Juli 2004 verriet Tsouli in einem Forum seinen Standort: Ealing bei London.
Diese Information leitete Weisburd an die amerikanische und britische Justiz weiter. Nichts geschah, obwohl spätestens im Frühling 2005 klar wurde, dass «Irhabi007» eine zentrale Rolle im Online-Netzwerk von Abu Musab al-Zarqawi spielte, dem Anführer der al-Qaida im Irak, bis er Mitte 2006 von einem amerikanischen Luftschlag getötet wurde. Kein anderer Topterrorist setzte die Möglichkeiten des Internets so gekonnt ein wie er. Die Enthauptung des Amerikaners Nicholas Berg liess er 2004 per Video im Internet verbreiten. Er sorgte dafür, dass die al-Qaida im Irak unzählige Propagandawebseiten bekam und sogar eine virtuelle Presseabteilung. Tsouli war ganz vorne mit dabei: Wo er sich im Web tummelte, las man das Neuste über Zarqawis Terrorfeldzug.
Das ungebremste Treiben veranlasste Weisburd, auf seinem Blog im September 2005 zu enthüllen, dass «Irhabi007» in Ealing, Grossbritannien, wohne. Der Zufall half mit, wenig später die wahre Identität des Cyberjihadisten zu enthüllen. Die bosnische Polizei verhaftete Mitte Oktober in Sarajevo zwei junge Männer, beide noch keine 20, die vor einem Attentat in Dänemark standen. Mehrere Handfeuerwaffen, 19 Kilogramm Plastiksprengstoff und ein selbst produziertes Bekennervideo wurden bei ihnen sichergestellt. Einer der beiden hatte auf seinem Handy die Telefonnummer von «Irhabi007» gespeichert. Wenige Tage später wurden Tsouli und seine zwei Kumpane in Grossbritannien verhaftet. Die Ermittler entdeckten Aktivitäten, an die sie nicht im Traum gedacht hatten.
Das Trio war im Besitz von über 37 000 Kreditkartennummern und der dazugehörigen Personaldaten. Diese Informationen hatten die Burschen von Cyberkriminellen gekauft, die sich die Kreditkartendaten durch so genannte Phishing-Attacken von Privatpersonen holten. Phishing ist eine Form des Trickbetrugs im Internet. Der Phisher schickt E-Mails, die verleiten sollen, vertrauliche Informationen von Online-Banking-Zugängen preiszugeben. Damit dies funktioniert, kommt die Webseite als Imitation einer seriösen Seite wie einer Online-Banking-Seite daher.
Younes Tsouli bezahlte mit den Kreditkarten für über 180 Webseiten, auf denen er Al-Qaida-Material veröffentlichte. In Onlineshops kaufte das Trio zudem Nachtsichtgeräte, Schlafsäcke, Prepaid-Handys und Flugtickets zuhauf, um sie an Gleichgesinnte weiterzuleiten. Geld verschoben sie via Online-Kasinos auf Konten. Das Gesamtvolumen der Transaktionen betrug mindestens 3,5 Millionen Dollar.
Die britische Justiz verurteilte Tsouli schliesslich zu zehn Jahren Zuchthaus, seine Komplizen zu sechseinhalb Jahren – allerdings nicht wegen der wirtschaftskriminellen, sondern wegen ihrer terroristischen Aktivitäten: Der zuständige Richter erklärte sich ausser Stande, die illegalen Transaktionen im Internet zu durchblicken. Der Fall zeigt, wie schnell Cyberkriminelle komplexe Aktivitäten entwickeln können, welche die Strafbehörden vor schier unlösbare Aufgaben stellen.
Stinkbomben als biologische Waffen
Die immer wieder zu lesenden Berichte, dass man im Internet leicht an Anleitungen zum Basteln von chemischen und biologischen Bomben komme, sind jedoch mit Vorbehalt zu geniessen. Viele dieser «Anleitungen» enthalten Falschinformationen und sind schlicht unbrauchbar. Ein Paradebeispiel ist die Mär, im Internet finde sich eine Schritt-für-Schritt-Anleitung, wie man zu Hause Rizin herstellt,einen der giftigsten Eiweissstoffe, der für den Menschen schon in kleinen Mengen tödlich ist. Gemeint sind Dokumente wie «The Mujahideen Poisons Handbook». Die Angaben bezüglich Rizin gehen letztlich auf dieselbe Quelle zurück: auf die Webseite «Temple of the Screaming Electron» (www.totse.com), eine elektronische Mailbox (BBS), wo Teenager zu Beginn der 90er-Jahre «Geheimwissen» austauschten. Nur: Wie man Rizin chemisch richtig extrahiert und verfeinert, wird nicht erklärt. Und trotzdem wurde die Rizin-Mär von renommierten Zeitungen und Politikern in den USA kolportiert.
Das erwähnte Handbuch enthält angeblich auch eine Anleitung für ein weiteres «tödliches» Gas, das jeder kennt, der im Chemieunterricht einmal Experimente machte: Schwefelwasserstoff. Eine daraus hergestellte Stinkbombe – Geruchsrichtung faule Eier – soll in der Lage sein, einen Menschen in 30 Sekunden zu töten. Wers glaubt, wird selig.
Falken-Propaganda für die Medien
Propaganda im Internet betreiben natürlich nicht nur die al-Qaida und andere Extremistengruppen. Auch politische Akteure, zum Beispiel dem amerikanischen Präsidenten nahe stehende Kreise, versuchen ihre Sicht der Dinge über den virtuellen Raum in die traditionellen Medien zu bringen. Ein Beispiel ist das in Washington beheimatete Middle East Media & Research Institute (Memri), das den Nahen Osten interessierten Kreisen, allen voran Politikern und Journalisten, angeblich nahe bringen will. Memri-Mitarbeiter übersetzen seit 1998 Artikel und TV-Sendungen aus dem Nahen Osten. Der Ausstoss stieg mit jedem Jahr, immer mehrInternetprojekte entstanden: vom Musikblog bis zum durchgestylten Auftritt auf Youtube. Das Institut schaffte es, renommierte Journalisten von seinen Diensten zu überzeugen. Ein führender Kolumnist der «New York Times» griff ebenso auf Memris Dienstleistungen zurück wie der Herausgeber der «Zeit».
Mittlerweile ist jedoch bewiesen, dass die kostenlosen Übersetzungsdienste des Instituts mit äusserster Vorsicht zu geniessen sind. Die E-Mails, die mehrfach wöchentlich an Politiker und Journalisten verschickt werden, enthalten oft tendenziös zusammengestellte Artikel und subtile Übersetzungslücken, die das Geschriebene in ihr Gegenteil verkehren. Von der Unabhängigkeit, die Memri für sich in Anspruch nimmt, kann keine Rede sein: Das Programm entspringt neokonservativer Ideologie – und ist klar propagandistisch. Einige der Mitarbeiter, die das Memri engagierte, stammten aus den Reihen des israelischen Geheimdiensts.
© Tages-Anzeiger; 29.03.2008
Die grosse chinesische Web-Mauer
Das Internet wurde ursprünglich konstruiert, um auch im Katastrophenfall die Datenpakete ungehindert weiterleiten zu können – durch unzählige voneinander unabhängige Computerleitungen. Das Internet, so meinte man, trotze schon von seiner Struktur her jeglichen Zensurversuchen.
Nicht so in China. Praktisch der gesamte Internetverkehr zwischen China und dem Ausland muss durch zentrale Knotenpunkte in Shanghai, Guangzhou oder der Umgebung von Peking. Dadurch sind die chinesischen Behörden theoretisch in der Lage, den gesamten unverschlüsselten Internetverkehr ins Ausland zu überwachen. Die ersten dazu benötigten Geräte lieferte der weltweit grösste Routerhersteller, die US-Firma Cisco. Unterdessen stellen die Chinesen solche Geräte nach ihren eigenen Bedürfnissen her.
Nach welchen Methoden gehen die Behörden vor? Im amerikanischen Monatsmagazin «The Atlantic» beschreibt der in Peking ansässige Informatik-Professor Andrew Lih die vier Haupttechniken.
1. Die einfachste Methode ist das Manipulieren des Domain Name System (DNS). Jeder Webseite ist eine eindeutige Nummernfolge zugewiesen (die IP-Adresse). Diese Zuweisung muss aber in einem Index aufgelistet sein, dem Domain Name System (DNS). Wenn wir eine Webseite eingeben, z.B. www.tagesanzeiger.ch, wird im DNS die zugehörige Nummernfolge (IP-Adresse) abgefragt. Ist dieser Index so konfiguriert, für www.tagesanzeiger.ch keine Nummernfolge anzugeben, erhält der Surfer statt der Webseite des «Tages-Anzeigers» die Fehlermeldung «Seite nicht gefunden» oder «Site not found».
2. Kommt man zu einer gültigen IP-Adresse, folgt die so genannte «Connect»-Phase. Jetzt verlangt der PC vom Server (dort, wo die gewünschte Webseite gespeichert ist) eine Verbindung, um Daten zu erhalten (also den Inhalt der Webseite). Nun schalten sich die Computer der chinesischen Behörden ein. Sie können die Verbindungsanfrage abfangen und auf unerwünschte Webseiten überprüfen. Befindet sich die IP-Adresse der gewünschten Webseite auf der schwarzen Liste, sendet der chinesische Überwachungscomputer an den PC und den Server einen Reset-Befehl und erzwingt damit, dass die Verbindung unterbrochen wird. Meist erscheint dann die Meldung im Browser «The Connection has been reset» oder «Die Verbindung wurde zurückgesetzt».
3. Auch unerwünschte Namenfolgen in der Webadresse werden gefiltert. Diese Liste der «verbotenen Termini» wird von den Behörden häufig aktualisiert. Gibt man eine solche Webadresse ein, manipulieren die chinesischen Zensurserver den Browser so, dass die Anfrage in eine Endlosschlaufe mündet.
4. Die neuste und anspruchsvollste Methode der chinesischen Zensurbehörden ist das Scannen ganzer Webseiten. Werden Inhalte angefordert, lesen und kopieren die Zensurserver mit. Finden sie Unerwünschtes, wird die Verbindung zwischen den zwei Rechnern temporär geblockt. Versucht der User in diesem Intervall wieder dieselbe Seite aufzurufen, verlängert sich der Verbindungsunterbruch.
China zensiert nicht einfach das gesamte Web. Wer einmal in Peking war, wird zwar feststellen, dass der Internetverkehr oft sehr langsam ist, ausländische Medien wie die BBC aber je nach politischer Wetterlage verfügbar sind. Manchmal erscheint die Seite, dann wieder nicht. Dies macht das Web zu einem unzuverlässigen Medium – und erfüllt damit genau den Zweck, der beabsichtigt ist: Die Informationsbeschaffung über ausländische Kanäle wird für die Chinesen so mühsam gemacht, dass sie an irgendeinem Punkt keine Lust mehr auf ausländische Berichterstattung haben und sich mit News aus dem Inland begnügen. Und dort hat das Regime leichtes Spiel. (chb)
© Tages-Anzeiger; 29.03.2008