Ein scheinbar normaler Workshop. Die beste Hackerin der Welt. Ein Spiel, das ernst ist: Wie ich einmal einen Cyberangriff auf ein Atomkraftwerk verübte.
Ich werde nie so böse sein können wie dieses Lachen. Dieses Lachen unserer Lehrerin, ein vibrierendes Grollen, das sich im ganzen Raum ausbreitet. Gerade hat sie gesagt: Be as evil as you possibly can, zeigt, wie böse ihr wirklich sein könnt. Dann schaut sie mich an. Ich spüre ihren Blick. Es fühlt sich an, als wüchsen aus ihren Augen Laserstrahlen. "Genau dich meine ich, Russland", sagt sie. Und dann lacht sie wieder. Im Comic würde jetzt eine gezackte "HARR HARR"-Sprechblase über ihrem Kopf erscheinen.
Russland, das bin ich.
Genau genommen, der russische Geheimdienst. Zusammen mit sechs Männern und einer Frau sitze ich in einem nüchternen Konferenzraum in der Innenstadt von Bukarest und spiele ein Spiel. Ich bin auf dem Dev Camp, der größten Hackerkonferenz Osteuropas, und eingeladen hat mich Chris Kubecka, die Frau mit dem bösen Lachen, US-Amerikanerin, eine der berühmtesten Hackerinnen der Welt. Wir acht Teilnehmer sind aufgeteilt auf zwei Teams: Die einen sind Team Westen, also Vertreter der Nato, der Ukraine und Rumäniens, auf der anderen Seite steht Team Russland. Russland greift an, der Westen verteidigt sich. Alle hier im Raum haben im echten Leben mit IT-Sicherheit zu tun, sie arbeiten in Unternehmen oder Behörden, die immer wieder Cyberattacken ausgesetzt sind.
Ich bin nicht nur hier, um besser strategisch denken zu lernen. Seit Jahren schreibe ich darüber, wie Hacker mit Cyberangriffen kritische Infrastrukturen zerstören, Blackouts verursachen oder lebensgefährliche Chemikalien freisetzen. Wie sie Sicherheitslücken ausnutzen, Technologie missbrauchen, Internetverkehr umleiten, um zu spionieren und gezielt Falschinformationen zu streuen. Solche Angriffe sind auf dem besten Weg, Demokratien zu zerstören. Aber irgendwie kriegen wir sie nicht in den Griff. Deswegen bin ich hier: Ich möchte mich in die Köpfe der Angreifer hineinversetzen und ihr zerstörerisches Denken und Vorgehen besser verstehen.
In meinem Team, Team Russland, ist ein Fachmann, der verschlüsselte Daten knacken kann. Neben ihm sitzt ein Saboteur für Industrieanlagen, außerdem ein Desinformationsexperte – und mir fällt die Rolle des Cyber Warfare Strategist zu, also jemand, der sich Angriffspläne überlegt. An diesem Morgen um zehn Uhr ist die Welt noch relativ in Ordnung. Noch fühlt es sich an wie ein ganz normaler Workshop. Ich ahne noch nicht, dass ich am Ende dieses Tages eine Kernschmelze herbeigeführt haben werde.
Das Rollenspiel startet im Jahr 2029. Das Szenario: Die Ukraine hat die russische Invasion endlich zurückgeschlagen. Doch Russland hat in der Zwischenzeit Quantencomputer entwickelt. Dank neuer, leistungsfähiger Rechner kann es jetzt all jene Daten entschlüsseln, die es in den vergangenen Jahren abgefangen hat und die es bisher nicht entschlüsseln konnte. Darunter: Details über die Zusammenarbeit innerhalb der Nato, Interna über ukrainische Streitkräfte, diplomatische Kommunikation aller Art. Harvest now, decrypt later, heißt das, erzählt uns unsere Lehrerin, also: Sammele alle Daten, die du kriegen kannst, irgendwann wirst du sie entschlüsseln können.
Genau so arbeiten Geheimdienste in der Realität. Sensible Daten, die übers Internet verschickt werden, sind meist so gut verschlüsselt, dass es momentan nicht möglich ist, sie zu knacken. Geheimdienste fangen sie trotzdem ab, wo immer das geht. China, Russland und wohl auch die USA leiten dazu immer mal wieder Teile des Internetverkehrs über ihr eigenes Territorium. Geheimdienste sind wie Eichhörnchen, die sich auf den Winter vorbereiten: Sammeln, sammeln, sammeln – bestimmt kann man es später einmal brauchen.
Heute, im Jahr 2025, sind Quantencomputer beinahe marktreif. Es ist ziemlich wahrscheinlich, dass in den kommenden Jahren alles, was bis heute verschlüsselt wurde, mit ihnen gelesen werden kann. Aus Zahlensalat wird dann wieder Klartext. Die Geheimnisse der Welt liegen dann offen da.
Im Jahr 2029, in der Simulation, sitzen wir, Team Russland, auf einem Datenschatz. Und für den Zweck des Spiels dürfen wir uns jetzt einfach ausdenken, was sich wohl in diesen Daten verbergen könnte und wie wir damit so richtig Schaden anrichten. Der erste Teil des Rollenspiels ist eher ein Gedankenexperiment, wir würfeln zu Beginn verschiedene Stärken aus. Team Russland kann gut entschlüsseln, und auch unsere Sabotage-Punktzahl ist hoch. Team Nato ist gut in internationaler Kooperation.
"Wir werden heute noch richtig Spaß haben", lacht unsere Lehrerin. HARR HARR HARR.
Wir rutschen ein wenig zusammen: Team Russland sammelt sich im vorderen Teil des Raums, unsere Gegner hinten. Einer meiner Kollegen sieht schon aus wie ein russischer Hacker, mit seinem Stoppelhaarschnitt und dem engen schwarzen Pullover. Ein anderer, mit kurzen grauen Haaren, schaut mich verschwörerisch an: Wir stellen uns vor, wie nun also der gesamte Internetverkehr, den Russland in den vergangenen Jahren abgefangen hat, entschlüsselt vor uns liegt.
Der Grauhaarige grinst, und mir wird klar: Das wird ein riesiger Spaß. Wir malen uns aus, was unser Datenschatz alles enthalten könnte. In den Daten könnten wir zum Beispiel (und das ist komplett erfunden, aber nicht unplausibel) einen E-Mail-Wechsel aus dem Jahr 2025 finden: Darin diskutiert das deutsche Verteidigungsministerium mit seinen ukrainischen Kollegen den geheimen Plan, westliche Spezialkräfte auf ukrainischem Boden zu stationieren. Die Unterlagen enthalten Koordinaten geheimer Trainingslager in der Westukraine, Codenamen und die echten Identitäten von Ausbildern und – wie wunderbar für uns! – Hinweise darauf, dass einige dieser Operationen ohne formelle Zustimmung des Nato-Rats erfolgten.
Wir könnten diese Daten auf einer Leak-Plattform veröffentlichen oder uns als Hacktivisten ausgeben und sie an investigative Journalistinnen weiterleiten, malen wir uns aus. Unser Ziel: Misstrauen zwischen Nato-Staaten säen (Schlagzeile: "Was wusste Deutschland wirklich?"), eine Debatte über verdeckte Operationen starten und die öffentliche Meinung gegen eine weitere Unterstützung für die Ukraine drehen. Wir könnten auch innerhalb der Ukraine streuen: Wie ehrlich sind eigentlich eure westlichen Partner? ("Sie operieren heimlich auf eurem Boden: Wie sehr vertrauen sie euch wirklich?") Und dank unserer Kenntnis von Ausbildungsorten und beteiligten Akteuren könnten wir sogar Sabotageakte oder Cyberattacken auf die Trainingslager starten.
Das andere Team, die Ukraine, bekommt auch eine Aufgabe: "Erarbeiten Sie eine umfassende Strategie, um die verbleibenden Sektoren zu sichern, und vermeiden Sie Schaden durch weitere entschlüsselte Daten. Koordinieren Sie sich mit der Nato und anderen internationalen Partnern, um künftige Kommunikation zu sichern."
Da wird mir klar: Wir haben es viel leichter! Denn während die vier aus dem anderen Team sehr viel Kaffee trinken, sich den Kopf zerbrechen und überlegen, wo sie überhaupt anfangen sollen, arbeiten wir schon an der nächsten Stufe: Könnten wir die Informationen in den Daten vielleicht auch dazu nutzen, um kritische Infrastrukturen in der Ukraine anzugreifen? Es finden sich bestimmt Schaltpläne, Computercode oder wenigstens Listen mit Verantwortlichen. Wir diskutieren und arbeiten zwei Stunden lang an diesen Szenarien.
Vor dem Raum hat jemand einen Tisch mit Müsliriegeln, Keksen und Kaffeekannen aufgebaut. Mein Magen knurrt. Bin ich hier die Einzige, die Hunger auf was Richtiges hat?
Als ich Chris Kubecka zum ersten Mal traf, dachte ich: Die Retterin von Saudi Aramco, des größten Ölunternehmens der Welt, habe ich mir anders vorgestellt. Saudi Aramco, ein staatlicher Konzern Saudi-Arabiens, wurde 2012 von iranischen Hackern angegriffen. Shamoon nannten sie die Attacke. Es war einer der verheerendsten Cyberangriffe der Geschichte. Das Unternehmen war wochenlang handlungsunfähig. Irgendwann fing es sogar an, Öl zu verschenken, um wenigstens die saudi-arabische Wirtschaft vor dem Schlimmsten zu bewahren. Saudi Aramco bat Chris Kubecka um Hilfe, weil sie als eine der wenigen damals schon vorhergesehen hatte, dass man mit digitalen Attacken auch physischen Schaden anrichten könnte. Damals, als Nokia-Handys noch der Normalfall waren. Kubecka fand Server mit Schadsoftware, die Saudi Aramco völlig aus dem Blick verloren hatte. Vor allem aber sorgte sie für Ordnung im totalen Chaos: Sie baute ein Krisenteam auf, vernetzte internationale Nachrichtendienste und rekrutierte die besten IT-Sicherheitsleute.
Und diese Person steht Anfang 2024, in einem sonnigen Innenhof in Brüssel, plötzlich vor mir. Es ist die Situation, in der ich entscheide, dass ich an ihrem Rollenspiel in Bukarest teilnehmen will, denn in diesem Moment wird mir klar, dass sie weiter denkt als viele andere. Ich treffe sie damals am Rande einer Cybersecurity-Konferenz, Kubecka hat einen Antipasti-Teller in der Hand. Ich frage sie, womit sie sich gerade so beschäftige. Kubecka fängt an zu rappen. Zwischen all den wichtigen Leuten in ihren Anzügen und Hemden rappt sie über Verschlüsselung und Quantencomputer, reimt "math" auf "attacks", und das alles so schnell, dass ich sie zweimal bitten muss, den Vers zu wiederholen, bis ich ihn verstanden habe.
Sie strahlt wie ein Kind, das gerade eine goldene Schokoladentafel gewonnen hat. Ihr Rap geht nahtlos über in einen Erzählwasserfall mit mindestens zehn verschiedenen Szenarien über heutige Geheimnisse und künftig dadurch verursachte Weltuntergänge. Darin spielt ein von ihr selbst entwickeltes "Kubecka Quantum Computing Attack Framework" eine Rolle sowie eine grundböse künstliche Intelligenz, die sie selbst entwickelt hat und die ihr dabei hilft, böse Pläne auszuhecken: PirateHackerQueenGPT. Nach dem Motto: Angriff ist die beste Verteidigung.
Unter Hackerinnen und Hackern wie Kubecka gibt es nämlich eine Theorie, die sie einem mit verschwörerischer Stimme erzählen, abends nach dem dritten Bier. Das evil bit. Das ist eigentlich eine Anspielung auf die kleinste Informationseinheit in der Informatik – das Bit –, kann aber auch philosophisch verstanden werden. Viele erfolgreiche Hackerinnen und Hacker haben mir erzählt, dass sie dieses "böse Bit" in sich tragen, diesen Funken Böses. Denn nur wer lerne, wie ein Angreifer zu denken, sich in den Kopf eines Saboteurs hineinzuversetzen, könne ein guter Verteidiger sein. Diese Hacker nennen sich deswegen manchmal auch "Blackhats"oder "Greyhats".
Seit Jahren frage ich mich: Dieses evil bit, ist das etwas Genetisches? Eine Veranlagung? Oder kann ich das lernen?
Die besten Lügen bleiben nah an der Realität
Chris Kubecka selbst, erzählt sie mir, habe das Böse in sich schon als Grundschülerin entdeckt, als sie in geheimen Unterlagen ihres Großvaters schmökerte, der Agent des DIA, des militärischen Geheimdienstes der Vereinigten Staaten, war und manchmal leichtsinnigerweise geheime Papiere mit nach Hause gebracht habe. Eines Tages fand sie in diesen Unterlagen ein Exemplar der damals noch als geheim eingestuften Broschüre Simple Sabotage Field Manual, das die CIA im Zweiten Weltkrieg herausgebracht hatte. Dort standen Tipps für einfache Sabotageaktionen gegen die Nationalsozialisten. Das habe zu einigen Abenteuern geführt, sagt Kubecka heute. Überall habe sie Gelegenheiten gesehen, etwas auszuhecken: ein feuerfester Raum? Stell einen vollen Papierkorb hinein und mach ihn dadurch nicht mehr feuerfest. Eine Maschine, die geölt werden muss? Kippe "versehentlich" Wasser hinein. Für jede entdeckte Gelegenheit habe sie sich Punkte gegeben. So trainierte sie ihren "bösen Muskel". Kubecka erzählt, sie habe sich als kleines Kind oft machtlos gefühlt, in einer Welt, in der Erwachsene über alles bestimmen. "Aber das Manual hat mir die Fähigkeit gegeben, ein bisschen Unheil anzurichten und mir damit ein wenig Macht zurückzuerobern."
Gerade hat sie ein neues Manual veröffentlicht, die moderne Version des alten Sabotage-Handbuchs: How to hack a modern dictatorship with AI.
12.45 Uhr. Im kleinen Konferenzraum in Bukarest wird die Luft stickig, mein Magen knurrt. "Ich habe gerade erfahren, dass es kein Mittagessen gibt", sagt Chris Kubecka. "Na ja, wir werden schon klarkommen."
Wir haben sowieso keine Zeit für eine Pause. Denn während Team Westen mit unserem Desinformationschaos kämpft, arbeiten wir an einer zielgerichteten Phishing-E-Mail. "Spear-Phishing" heißt das im Cybersecurity-Jargon: So wie ein Angler beim realen Speerfischen einen ganz konkreten Fisch erlegt (anstatt einfach mal die Angel ins Wasser zu halten und zu hoffen, dass irgendein Fisch anbeißt). So suchen wir uns nun aus den erbeuteten Daten einen konkreten Mitarbeiter eines ukrainischen Kraftwerks aus, dem wir eine persönlich auf ihn zugeschnittene Phishing-E-Mail schicken. In der Hoffnung, er möge auf eine angehängte Datei klicken und so einen Virus installieren.
In diesem Moment fällt mir ein Plan ein. Mein Vorbild ist die Realität.
Als ich kurz vor der russischen Invasion in der Ukraine recherchierte, zeigte mir eine Hackerin eine solche Phishing-Mail, die der Ausgangspunkt eines massiven Cyberangriffs war. Die Mail war 2015 im Postfach eines Angestellten eines ukrainischen Energiekonzerns gelandet. Mit fast schon aggressiver Harmlosigkeit war darin die Rede von einem "Entwicklungsplan des integrierten Energiesystems der Ukraine für die nächsten zehn Jahre", der angehängt sei und auf den man bitte klicken solle.
Dieser Mitarbeiter bekam ständig solche E-Mails. Das wussten die Angreifer vom russischen Geheimdienst, denn sie lasen seit Monaten mit. Sie hatten Zugriff auf Konzerndokumente, die ihnen verraten hatten, wer hier wofür zuständig war, in welchem Stil die Mails geschrieben waren; und auch, auf welche nächsten Schritte jener unglückliche Mitarbeiter wartete.
Er hatte keine Chance. Er erkannte nicht, welche folgenschwere Entscheidung er an jenem Tag traf, als er routiniert den Anhang öffnete, wodurch sich ein Trojaner installierte und damit das erste Glied einer Kette bildete, an dessen Ende, ein Jahr später, einer der größten Blackouts in der Geschichte der Ukraine stand. Die Schadsoftware hatte sich von einem Computer aus im ganzen Netzwerk ausgebreitet, bis die Angreifer schließlich die Kontrolle über das Kraftwerk übernahmen.
Genau so möchte ich es machen. Doch wird die Gegenseite auf den Anhang klicken? Im Rollenspiel entscheidet der Würfel. Team Westen würfelt eine Sechs. Angriff abgewehrt. Wir verlieren die erste Runde knapp.
Aber es geht ja gerade erst los. "Wollt ihr thermonuklearen Post-Quanten-Cyberkrieg spielen?", schreit unsere Lehrerin vorn. "Jaaaaa!", rufe ich begeistert. Die anderen schweigen.
Im Nachhinein kann ich nicht mehr rekonstruieren, wann ich das evil bit in mir zum ersten Mal spürte. Vor Jahren gab mir eine Hackerin den Tipp: einfach mal ausprobieren. Den Muskel trainieren, der nach den Lücken sucht, den Schwächen in Systemen.
Ich begann mit etwas Einfachem: Wenn es darum geht, ein gut gesichertes Gebäude zu betreten, versuche ich seither, mich unbemerkt hineinzuschleichen. Auch dann, wenn ich einen offiziellen Termin habe und einfach nur meinen Namen an der Pforte sagen müsste. Manchmal gehe ich einfach freundlich lächelnd mit einer Gruppe fremder Menschen hinein, die mir gut bewachte Türen aufhalten. Manchmal nehme ich das Handy ans Ohr, tue, als sei ich in ein Gespräch vertieft, und schreite zielstrebig am Wachmann vorbei – nicht ohne zu winken und freundlich zu lächeln.
Ich nutze einen recht offensichtlich unechten Ausweis, um in Hotels einzuchecken. Nicht weil ich in besonders geheimer Mission unterwegs wäre, sondern einfach, um die Lücken zu testen. Diesen Ausweis muss man nur mit genügend Selbstbewusstsein überreichen, und schon fragt niemand nach. In zwei Jahren hat nur ein einziges Mal ein Rezeptionist in einem Hotel in Zürich gesagt, er brauche schon einen echten Ausweis. Ich habe ihn so lange in Diskussionen über Datenschutz verwickelt und dabei nicht existierende Paragrafen zitiert, bis er meinte, er wolle gar nicht mehr wissen, wer ich wirklich bin. Er ließ mich einchecken.
Und einmal schrieb ich Barack Obamas ehemaligem IT-Sicherheitsberater eine Spear-Phishing-E-Mail.
Eric Rosenbach war mittlerweile Professor an der Harvard Kennedy School, wo ich bei ihm ein Jahr lang Cybersecurity studierte. Die Phishing-E-Mail gab er damals selbst in Auftrag, eine Art Hausaufgabe. Ich fand es erst seltsam, aber dann merkte ich, was für ein riesiger Spaß das war, andere reinzulegen. Und wie einfach! Ich musste nur eine Nacht lang recherchieren, um eine überzeugende E-Mail zu entwerfen – persönlich zugeschnitten auf Eric Rosenbach.
Die besten Lügen bleiben so nah wie möglich an der Realität. Ich gab mich aus als die (real existierende) CEO einer europäischen Hackerkonferenz, fälschte deren E-Mail-Adresse und lud ihn als Keynote-Speaker ein. Ich nannte ein paar Namen anderer Sprecher, die auch eingeladen sein würden – alles Menschen, von denen ich wusste, wie sehr Rosenbach sie schätzte. Die Konferenz gab es wirklich, nur standen die Speaker der nächsten Ausgabe noch nicht fest. Ich gab vor, seinen Vortrag auf einer anderen Konferenz gesehen zu haben (von dem es eine Aufzeichnung gab). "The talk was amazing", schrieb ich ihm, fand ein paar blumige Worte und ein Beispiel aus seinem Vortrag, das mir besonders gut gefallen hatte. Das europäische Publikum wäre sicherlich von seinem Stil begeistert, der sehr gut zum "spirit of our conference" passe. Dazu versprach ich ihm ein gutes Honorar und fünf Nächte in einem teuren Hotel "in the center of the romantic old town of Heidelberg". In der nächsten Vorlesungsstunde erzählte Rosenbach, dass er diese E-Mail angeklickt hätte. Ich hatte es also geschafft, Obamas Ex-Sicherheitschef in eine Falle zu locken.
Und so verschaffte mir mein evil bit zwei Dinge: eine gute Note in Harvard und die Erkenntnis, dass wenn ich es schaffe, Obamas IT-Sicherheitsberater reinzulegen, wir alle verloren sind.
Bukarest, 15 Uhr. In der nächsten Runde der Simulation wartet auf mich eine erschreckend schöne neue Aufgabe. In meiner Rolle als Cyber Warfare Strategist solle ich "gezielte Angriffe auf Nuklearanlagen planen", so sagt es unsere Lehrerin Chris Kubecka.
Unser Ziel ist ein Atomkraftwerk im Nordwesten der Ukraine, an der Grenze zu Polen. In den Spielunterlagen steht, dass das Kraftwerk seine Kontrollsysteme erst kürzlich auf den neuen Stand gebracht habe und jetzt ein System von Siemens für die Sicherheit der Anlage nutze: "Teleperm" heißt das Modul, die genaue Modellbezeichnung haben wir dank unserer neuen Quanten-Skills entschlüsselt.
Und jetzt wird das Spiel bedrückend real. Ich erinnere mich an eine Recherche über eine petrochemische Anlage in Saudi-Arabien. 2017 war in der Anlage ein Sicherheitssystem des französischen Unternehmens Schneider Electric ausgefallen, des Marktführers. Hacker hatten das Sicherheitssystem zur Messung von Schwefelwasserstoff in der Atemluft aus der Ferne manipuliert. Normalerweise sorgt das System dafür, dass die Anlage heruntergefahren wird, wenn eine zu hohe Konzentration in der Atemluft festgestellt wird.
Schwefelwasserstoff ist eines der gefährlichsten Gase in der Ölindustrie. Es fällt bei der Arbeit in der Anlage an und riecht nach faulen Eiern. In hohen Konzentrationen lähmt es den Geruchssinn, sodass man es nicht mehr riechen kann, und führt dann zum Atemstillstand. Ein Fachmann für Kontrollsysteme, der damals in die Anlage gerufen wurde und den ich später interviewte, sagte mir: "Vor Ort wurde mir klar, dass ich mich in Lebensgefahr befinde."
Eine Black-Hat-Hackerin hat mir demonstriert, wie die Angreifer dabei vorgingen. Über Monate hatte sie sich durch den Code der Angreifer gegraben und meinte, es sei beinahe, als habe sie einen unsichtbaren Mitbewohner – so nahe kam sie dem Denken der Hacker. Sie war ein abgebrühter Profi, doch sie sagte mir, sie habe das Gefühl gehabt, in einen Abgrund zu schauen. Wer schreibt einen Code, der darauf ausgelegt ist, den letzten Schutzwall zwischen Arbeitern und giftigem Gas zu brechen?
Wieso gibt es Bauteile für AKWs eigentlich auf eBay?
Das alles geht mir durch den Kopf, als ich unseren Plan entwickle. Dank moderner Technologie ist der Trick eigentlich einfach: Sicherheitssysteme wie Siemens' Teleperm werten die Daten der Sensoren in einem Atomkraftwerk aus: zum Beispiel die Temperatur, den Druck im Kühlsystem, den Wasserstand im Reaktorkühlbecken. Und dann steuern sie die nötigen Reaktionen darauf: Ist es beispielsweise zu warm, wird das entsprechende Kühlmodul aktiviert. Automatisierung kann hier Leben retten. Aber sie kann auch zur tödlichen Falle werden.
Vielleicht würde es in diesem Fall schon genügen, erkläre ich meinen drei Kollegen vom russischen Geheimdienst, wenn wir das Sicherheitssystem des ukrainischen Atomkraftwerks so manipulieren, dass die Temperatur im Kühlbecken um zehn Grad kühler angezeigt wird, als sie real ist. Dann würde die Kühlung aussetzen, weil die automatische Steuerung davon ausgeht, dass das Wasser im Kühlbecken kühl genug ist. Mit etwas "Glück" könnten wir so eine Überhitzung herbeiführen.
Ich beschließe, dass wir vom russischen Geheimdienst versuchen, so ein Teleperm-Modul in die Finger zu kriegen, also die Steuereinheit des Sicherheitssystems. Damit könnten wir – wie echte Hacker – üben, wie sich unsere Manipulation der Software auf so ein Modul auswirkt. Meistens – das weiß ich aus meinen Recherchen auch – findet sich zum Beispiel ein nicht geschützter Zugang zur Fernwartung. Also so etwas wie Teamviewer nur für industrielle Kontrollsysteme: Wenn es ein Problem mit der Anlage gibt, kann ein Fachmann aus der Ferne auf die Steuerung zugreifen. Und Angreifer auch. Am physischen Modul würden wir im Vorfeld üben, es richtig zu steuern, damit beim Angriff dann auch alles klappt.
Ich google nach dem Teleperm-Modul: Es ist eine kleine Box mit einer Platine darin und verschiedenen Anschlüssen. Ich ergänze "Ebay" bei meiner Suche – und wünsche mir im nächsten Moment, ich hätte das nicht getan. Denn ich finde nicht nur ein Teleperm-Modul dort, sondern Hunderte. Und 52 mit der Zusatzbezeichnung XS, was für "eXtended Safety" steht und speziell für sicherheitskritische Anwendungen in nuklearen Anlagen entwickelt wurde. Ich hätte nicht gedacht, dass die Aufgabe so einfach sein würde.
Wieso gibt es sicherheitskritische Spezialbauteile für Atomkraftwerke auf eBay?
Egal, mein Job ist es jetzt, mich darüber zu freuen.
Die Stimme unserer Lehrerin überschlägt sich, als sie die Szenen nachstellt, die sich nach unserem Angriff im Kontrollraum des Atomkraftwerks abspielen. "Wir haben das Kühlsystem verloren!", schreit sie in der Rolle des diensthabenden Ingenieurs, "alle Systeme versagen, wir verlieren den Reaktorkern, wir brauchen sofort Hilfe!" Der Chefingenieur antwortet per Funk, noch mit routinierter Stimme: "Wir haben 48 Minuten, bis die Kernschmelze einsetzt", sagt er, "wir müssen Zugriff auf das Kühlsystem bekommen." Er ordnet eine Evakuierung aller Bewohner in der Umgebung des Atomkraftwerks an, in der Ukraine, Polen, Belarus.
Unsere Lehrerin hat die Sicherheitsprotokolle im Detail recherchiert, und ihre Gabe, die Panik in diesen Workshopraum zu übertragen, ist beeindruckend. "Was glaubt ihr, wie einfach das ist, das ganze Gebiet zu evakuieren", brüllt sie Team Westen an, "über drei Ländergrenzen hinweg, nachts um zwei??!!" Niemand rührt sich. Ich sage irgendwann: "Das wird wohl schwierig." Sie wiederholt: "Ja, das wird wohl schwierig." Es klingt wie ein Vorwurf an mich. Dabei tue ich hier doch nur meinen Job.
Bukarest, 16.30 Uhr. Die ausgefallene Mittagspause ist vergessen. So bedrückend das ist: Mein evil bit fühlt sich angespornt durch den Erfolg, und offenbar geht es meinen drei Kollegen ähnlich. Schließlich läuft es gerade richtig gut für uns. Deshalb machen wir direkt weiter.
Wir suchen uns ein Elektrizitätswerk in Transnistrien aus. Das ist eine abtrünnige Region im kleinen Land Moldau, die – anders als der Rest des Landes – nicht zur EU gehören möchte, sondern zu Russland.
"Aber wieso greifen wir denn dann Transnistrien an?", fragt einer aus unserer Runde. Die Region sei doch unser Freund.
Weil jetzt die Zeit gekommen ist, das Böse einmal über die Bande zu spielen.
In der Simulation ist heute der 8. Mai 2029: Tag der Befreiung. Feiertage sind perfekt für Cyberangriffe, schließlich arbeitet überall nur eine Notbesetzung – wenn überhaupt. Wir hacken uns in das Steuerungssystem, schalten das Elektrizitätswerk ab und sorgen für einen Blackout in Transnistrien, Moldau und sogar in Teilen der Ukraine. Gleichzeitig verbreiten wir Deepfake-Videos, gefälschte und erfundene Screenshots und Social-Media-Posts, die angeblich zeigen, dass der ukrainische und der rumänische Geheimdienst hinter dem Angriff auf Transnistrien stecken. Sie haben schließlich ein Motiv: Sie könnten die Region dafür bestrafen wollen, dass sie sich nicht wie der Rest Moldaus der EU anschließen möchte.
Während unsere Gegner versuchen, die Desinformation zu enttarnen, erbeuten wir weitere Daten und entschlüsseln sie. Jetzt wissen wir, welche nächsten Schritte die Ukraine plant, die natürlich längst ihre Partner und auch die Nato um Unterstützung gebeten hat. Glücklicherweise wird unser Angriff bemerkt, rumänische Medien berichten groß davon. Russland erbeutet Daten der Nato! Skandal!
Und jetzt kommt der Clou: Wir schreiben gefälschte E-Mails, die angeblich aus den USA stammen.
Und behaupten darin, dass die USA gemeinsam mit der Ukraine einen Drohnenangriff auf Transnistrien planen. Das stimmt natürlich gar nicht, aber es ist so leicht, das einfach zu behaupten. Weil alle Medien davon berichten, dass wir Daten erbeutet haben, wirken diese Fakes viel glaubhafter. Das alles sorgt für ein herrliches Chaos!
Und dann nehmen wir noch eine Umdrehung, damit niemand mehr weiß, wo oben und wo unten ist. In unseren gefälschten (angeblich amerikanischen) Mails erfinden wir den perfiden Plan, alles Russland in die Schuhe zu schieben. Für unsere Gegner ist es kaum möglich, unsere Finte zu enttarnen, denn es wirkt zu plausibel. (Wir sind ja sogar tatsächlich verantwortlich!)
Das zieht größere Teile der Bevölkerung Moldaus sowie Rumäniens auf unsere Seite, die finden: Das geht nun wirklich zu weit. "Schließlich sind die Menschen in Transnistrien unsere Brüder und Schwestern", sagt Kubecka empört in der Rolle einer moldauischen Bürgerin. Drohnen aus dem Westen auf Moldau? Nein, dann doch lieber nicht in die EU!
Wenn ich mir das so klarmache, muss ich lachen. Darüber, wie wenig glaubwürdig in diesem Fall die wahre Geschichte ist, nämlich die unserer Gegner: Ja, sie seien zwar gehackt worden und hätten tatsächlich interne Dokumente verloren. Aber genau jene internen Dokumente, die nun geleakt wurden, die seien nicht echt. "Schönes Narrativ", sage ich ihnen lachend ins Gesicht: "Ihr erklärt einfach alles zum Deepfake, was euch nicht gut aussehen lässt."
Das Szenario endet im Chaos. Das ganze Spiel endet im Chaos. Und auch wenn unsere Gegner immer wieder Würfelglück haben und einzelne Attacken stoppen können, haben sie keine Chance: Unsere Desinformationskampagnen haben viele nachhaltig verunsichert. Niemand weiß mehr, wem er noch trauen kann, was echt und was fake ist.
Am Ende sind wir erschöpft. Die Gegner, weil sie alles versucht und einfach keine Chance hatten. Und wir, weil so erschreckend klar wurde, was für massive Vorteile das Böse hat: Es ist so viel einfacher, Chaos zu stiften, als Vertrauen zu retten.
Und das ist vielleicht die traurigste Erkenntnis aus diesem Kriegsspiel. Welche Macht der Zweifel besitzt. Und wie leicht er zu streuen ist. Welchen massiven Vorteil diejenigen haben, die Demokratien zerstören wollen.
"Geschichte wiederholt sich nicht", sagt Chris Kubecka am Ende der Simulation, "aber sie reimt sich." Wir können die Zukunft nicht vorhersagen, aber doch erahnen. Quantencomputer werden Geheimnisse enttarnen. Es wird Angriffe auf kritische Infrastruktur geben. Desinformation an allen Ecken und Enden. "Wir brauchen dringend mehr Menschen wie euch", verabschiedet uns Chris Kubecka. Dann ist sie weg.
Es gibt für die Gefahren der Zukunft keinen technischen Fix, keinen einfachen Hebel. Doch wenn ich an diesem Tag in Bukarest eins gelernt habe, dann das: Es braucht das Böse auch bei den Guten. Ich werde mein evil bit künftig noch besser pflegen.
Nehmt es mir nicht übel, ich tue es für euch.