„Das ist nicht schön und keine gute Norm“, sagt Schneider. Sie sagt, dass das langsame Vorgehen der US-Regierung bei Cyberangriffen größtenteils darauf zurückzuführen sei, dass sie darauf achtete, zu vermeiden, dass sie unbeabsichtigt Zivilisten trifft, internationales Recht bricht oder einen gefährlichen Rückschlag auslöst.
Dennoch räumt Schneider ein, dass Caceres und Angus Recht haben: Die USA könnten ihre Cyber-Streitkräfte stärker einsetzen, und einige der Erklärungen dafür, warum das nicht auf Bürokratie hinausläuft. „Es gibt gute Gründe, und es gibt schlechte Gründe“, sagt Schneider. „Wir haben zum Beispiel eine komplizierte Organisationspolitik, wir wissen nicht, wie wir die Dinge anders machen können, wir sind schlecht darin, diese Art von Talent einzusetzen, wir machen das schon seit 50 Jahren so und es hat beim Abwerfen von Bomben gut funktioniert.“ .“
Offenbar ist Amerikas offensives Hacking im letzten halben Jahrzehnt weniger aggressiv und weniger geschickt geworden, betont Schneider. Ab 2018 beispielsweise befürwortete General Paul Nakasone, damals Chef des Cyber Command, eine „Verteidigung nach vorne“-Strategie, die darauf abzielte, Cyber-Konflikte in das Netzwerk des Feindes zu verlagern, anstatt darauf zu warten, dass sie auf amerikanischem Boden ausgetragen werden. In diesen Jahren startete Cyber Command disruptive Hacking-Operationen, die darauf abzielten, Russlands desinformationsverbreitende Trollfarm Internet Research Agency lahmzulegen und die Infrastruktur der Ransomware-Gruppe Trickbot lahmzulegen, von der einige damals befürchteten, dass sie zur Einmischung in die Wahlen 2020 genutzt werden könnte. Seitdem scheint es jedoch relativ still um das Cyber Command und andere Hacker des US-Militärs zu sein und die Reaktion auf ausländische Hacker oft den Strafverfolgungsbehörden wie dem FBI zu überlassen, die weitaus größeren rechtlichen Einschränkungen ausgesetzt sind.
Caceres hat nicht ganz Unrecht, wenn er diese konservativere Haltung kritisiert, sagt Jason Healey, der bis Februar als leitender Cybersicherheitsstratege bei der US-amerikanischen Cybersecurity and Infrastructure Security Agency tätig war. Er antwortet auf Caceres‘ Cyberhawk-Argumente, indem er das Subversive Trilemma zitiert, eine Idee, die in einem Artikel des Forschers Lennart Maschmeyer aus dem Jahr 2021 dargelegt wurde: Hacking-Operationen müssen zwischen Intensität, Geschwindigkeit und Kontrolle wählen. Selbst in früheren, aggressiveren Jahren neigte das US-Cyber-Kommando dazu, den Regler für die Kontrolle höher zu drehen, sagt Healey, und gab ihr Vorrang vor diesen anderen Variablen. Aber er weist darauf hin, dass es tatsächlich bestimmte Ziele geben könnte – etwa Ransomware-Banden oder Hacker, die für Russlands kompromisslosen Militärgeheimdienst GRU arbeiten –, die ein Zurücksetzen dieser Zifferblätter rechtfertigen könnten. „Für diese Ziele“, sagt Healey, „kann man wirklich die Jagdhunde freilassen.“
P4x ist tot, Viva P4x
Was Caceres selbst betrifft, sagt er, er sei nicht dagegen, dass amerikanische Hacker-Agenturen einen konservativen Ansatz verfolgen, um ihren Schaden zu begrenzen oder Zivilisten zu schützen – solange sie Maßnahmen ergreifen. „Es geht darum, konservativ zu sein“, sagt er, „und dann ist da noch das verdammte Durcheinander.“
Mit dem Argument, dass aggressivere Cyberangriffe zu Eskalation und Gegenangriffen ausländischer Hacker führen würden, verweist Caceres auf die Angriffe, die diese ausländischen Hacker bereits durchführen. Der katastrophale Angriff der Ransomware-Gruppe AlphV auf Change Healthcare im Februar beispielsweise legte medizinische Anspruchsplattformen für Hunderte von Anbietern und Krankenhäusern lahm, was für die Zivilbevölkerung ungefähr die gleichen Auswirkungen hatte wie jeder Cyberangriff. „Diese Eskalation findet bereits statt“, sagt Caceres. „Wir tun nichts und sie eskalieren immer noch.“
Caceres sagt, er habe es noch nicht ganz aufgegeben, jemanden in der US-Regierung davon zu überzeugen, seinen eher zurückhaltenden Ansatz zu übernehmen. Das Ablegen des P4x-Namens und die Preisgabe seines richtigen Namens ist in gewisser Weise sein letzter verzweifelter Versuch, die Aufmerksamkeit der US-Regierung auf sich zu ziehen und das Gespräch wieder aufzunehmen.
Er sagt aber auch, dass er nicht auf die Zustimmung des Pentagons warten werde, bevor er diesen Ansatz auf eigene Faust fortsetze. „Wenn ich das alleine weitermache oder nur mit ein paar Leuten, denen ich vertraue, kann ich viel schneller vorankommen“, sagt er. „Ich kann für die Leute, die es verdienen, Scheiße vermasseln, und ich muss mich niemandem melden.“
Mit anderen Worten: Das P4x-Handle ist möglicherweise tot. Aber die P4x-Doktrin der Cyberkriegsführung lebt weiter.