Offensive Cyberoperationen umfassen im militärischen Kontext ein breites Spektrum. Dazu zählen das Lahmlegen der Infrastruktur von Bedrohungsakteuren und die Überwachung von Gegnern – ein Vorwurf, der gegen die USA wiederholt mit Blick auf China und andere erhoben wurde. Ebenso fallen darunter Angriffe wie Stuxnet, der dem iranischen Atomprogramm schweren Schaden zufügte und den USA und Israel zugeschrieben wird, ohne dass eine der beiden Regierungen eine Beteiligung offiziell bestätigt hätte.

Alexander erinnerte daran, dass frühe Kritiker des amerikanischen Einstiegs in offensive Cyberoperationen davor warnten, das Internet zu einem Ort der Kriegsführung zu machen. “Das ist es bereits”, entgegnete er. “Und weil es das ist, müssen wir die Besten darin sein, denn unsere Nation ist die am stärksten digitalisierte der Welt.”

Auf die Frage, wie Regierungsvertreter festlegen, wo die rote Linie bei besonders schweren Cyberangriffen verläuft, antwortete Nakasone unmissverständlich: “Was immer der Präsident als rote Linie bezeichnet, das ist sie am Ende des Tages.” Er allein entscheide, ob eine bestimmte Reaktion erfolge. Die Obama-Regierung hatte sich bereits 2011 das Recht vorbehalten, auf Cyberangriffe mit militärischer Gewalt zu antworten.

Rogers ergänzte, dass er in seiner Zeit unter Präsident Obama dafür plädiert habe, Kriterien für eine angemessene kinetische Antwort festzulegen – etwa wenn ein Cyberangriff unmittelbar zum Verlust von Menschenleben führe. Haugh betonte, Aufgabe der Kommandeure sei es, den politisch Verantwortlichen “Optionen” mit unterschiedlichen Reaktionsstufen und dem jeweils verbundenen Risiko vorzulegen.

Alexander sprach sich gegen starre Regeln aus: Ein Kommandeur müsse dem Präsidenten und dem Nationalen Sicherheitsrat Spielraum für eine Reaktion lassen. Es könne Situationen geben, in denen der Präsident etwa den Abschuss von Raketen als Antwort auf einen Cyberangriff für unangebracht halte, selbst wenn dieser bestimmte Kriterien erfülle. Entsprechend wandte er sich gegen Gesetze, die solche Vorgaben festschreiben: “Man will nicht, dass der Kongress etwas gesetzlich regelt, das er nicht wirklich versteht.”

Schlein stellte zudem die Frage: “Ist diesem Land Cyber überhaupt so wichtig?” Hintergrund sind massive Stellenstreichungen bei der CISA wie auch bei anderen Bundesbehörden sowie die faktische Auflösung des Cyber Safety Review Board kurz nach Trumps Amtsantritt. Auf der diesjährigen RSAC Conference war die US-Regierung – anders als in früheren Jahren – praktisch nicht offiziell vertreten; Behörden zogen sich abrupt zurück, nachdem die frühere CISA-Direktorin Jen Easterly zur RSAC-Geschäftsführerin berufen worden war.

Alexander gab sich diplomatisch und betonte, die zentralen Akteure im Cyberbereich arbeiteten so hart wie eh und je. Rogers übte deutlichere Kritik an der amtierenden Regierung: Er sehe einen hochmotivierten privaten Sektor, aber eine Regierung, die “nicht bereit ist, politisches Kapital einzusetzen, um grundlegenden Wandel im Cyberbereich voranzutreiben”. Die USA als größte Volkswirtschaft der Welt hätten weder einen einheitlichen bundesweiten Datenschutzrahmen noch ein bedeutendes Cybergesetz – anders als die übrigen Five-Eyes-Staaten. Diese Lage “frustriert mich persönlich ungemein”, sagte Rogers und beklagte einen Mangel an Zusammenarbeit zwischen Regierung und Cybersicherheitsbranche: “Wir brauchen eine politische Führung, die mit dem privaten Sektor abgestimmt ist. Keiner von beiden schafft es allein.”