News

Neuer Datenbank-Eintrag für den EquationGroup-Hack

Nachdem immer weitere große Netzwerk- und IT-Sicherheitsunternehmen mit Bezug auf Analysen der von der ShadowBroker veröffentlichten EquationGroup-Hacking-Werkzeuge kritische Sicherheits-Aktualisierung herausgeben, wurde dieser Vorfall in die Datenbank relevanter Cybervorfälle aufgenommen und wird dort gepflegt und aktualisiert.

Insbesondere die Analysen der betroffenen Unternehmen selbst geben ein deutliches Bild ab, in welchem Umfang es der EquationGroup möglich war weltweit eingesetzte IT und IT-Sicherheitsgeräte zu unterwandern – und damit vermutlich effektiv geschütze Umgebungen zu infiltrieren.

ShadowBroker: NSA Hacking-Tools veröffentlicht (Update /6)

Update: Da die Authentizität der veröffentlichten Hacking-Werkzeuge der EquationGroup mittlerweile durch Analysen von IT-Sicherheitsexperten sowie durch einige betroffene Hersteller von Netzwerk- und IT-Sicherheitstechnik bestätigt wurden, sind die Informationen in die Datenbank relevanter Cybervorfälle aufgenommen worden.  Aktualisierungen und Ergänzungen werden dort weitergepflegt. Der nachfolgende Texte ist die Ursprungs-Version der Meldung.

Allem Anschein nach wurden einige der Hacking-Tools der NSA (aus dem Jahr 2013) durch eine Hacking Gruppe namens „ShadowBroker“ veröffentlicht. Die Gruppe hat am vergangenen Wochenende eine Datei mit Exploits (Software zum Ausnutzen von Sicherheitslücken) und maßgeschneiderten Angriffswerkzeugen gegen populäre IT-Sicherheits-Software veröffentlicht und – verbunden mit einer Auktion – weitere Ressourcen angekündigt.

Die Software soll aus dem Jahre 2013 stammen und von der Equation Group stammen, die möglicherweise seit zwei Jahrzehnten gezielte Hacking-Angriffe entwickelt und gegen hochrangige Ziele durchführt. Seit ihrer Entdeckung im Jahr 2015 gegen IT-Sicherheitsfachleute davon aus, dass die Gruppe Bestandteil der NSA-Einheit Tailored Access Operations (TAO) ist, die für offensive und hochentwickelte maßgeschneiderte Hackingangriffe zuständig ist und im Rahmen der Snowden-Enthüllungen bekannt gemacht wurde. Einige der TAO-Angriffswerkzeuge wie MONSTERMIND sind dabei automatisierte Hacking-Tools, die nach Scans von Zielen diese automatisiert mit passenden Exploits angreifen, Sicherheitslücken ausnutzen und Rechner infizieren.

Hinsichtlich der Authentizität der veröffentlichten Daten gehen ersten Analysen davon aus, dass sie tatsächlich echt sind und direkt aus der NSA-Quelle stammen (also bspw. nicht von einem, durch die NSA kompromittierten System extrahiert wurden):

Because of the sheer volume and quality, it is overwhelmingly likely this data is authentic. And it does not appear to be information taken from comprised systems. Instead the exploits, binaries with help strings, server configuration scripts, 5 separate versions of one implant framework, and all sort of other features indicate that this is analyst-side code­ — the kind that probably never leaves the NSA. (Q: Nicholas Weaver @lawfareblog.com / lokale Kopie)

Den genauen Umfang der Angriffstools, deren Qualität und die Identifikation möglicher Angriffsopfer werden die kommenden Wochen liefern. Interessant sind aber die möglichen Konsequenzen aus den Veröffentlichungen. Zum einen deutet bereits der Umstand des Hacks darauf hin, dass es neben der NSA offensichtlich Hacker gibt die fähig und willens sind in diese Organisation einzubrechen und Daten zu entwenden. Eine solche Gruppe steht vermutlich in staatlichem Auftrag. Sofern der Zeitpunkt der Hacks (2013) korrekt ist stellt sich die nächste Frage, warum die Daten gerade jetzt veröffentlicht wurde. Eine denkbare Option ist, dass dies als Machtdemonstration und Zeichen gegen eine andere Nation gerichtet ist.

Okay, so let’s think about the game theory here. Some group stole all of this data in 2013 and kept it secret for three years. Now they want the world to know it was stolen. Which governments might behave this way? The obvious list is short: China and Russia. Were I betting, I would bet Russia, and that it’s a signal to the Obama Administration: „Before you even think of sanctioning us for the DNC hack, know where we’ve been and what we can do to you.“ (Q: Bruce Schneier@schneier.com, lokale Kopie)

Eine weitere mögliche Konsequenz wäre, dass mit den veröffentlichten Hacking-Tools rückwirkend Angriffe untersucht werden und diese dem Konto der Equation Group zugewiesen werden könnten. Da ferner eine der typischen Taktiken der Gruppe darin bestand, sehr langfristig und verborgen in kompromittierten Systemen zu ruhen könnten im Nachgang auch weitere, bislang unentdeckte Hacks in hochrangigen Systemen entdeckt werden. Sofern die aktuellen Mutmaßungen zutreffen muss aus Sicht der NSA aktuell sogar davon ausgegangen werden, dass die Angreifer der ShadowBroker-Gruppe möglicherweise nach wie vor über den verdeckten Zugang zu NSA-Systemen und damit Informationen zu  laufenden Operationen und den entwickelten neueren Hacking-Tools verfügen. Nicht zuletzt bedeutet die aktuelle Veröffentlichung, dass damit hochentwickelte Angriffswerkzeuge – die mitnichten veraltet sind – aller Welt zur Verfügung gestellt wurden und damit möglicherweise weitere Systeme geknackt werden können.

Ein paar weitere Details und Wortmeldungen von ehemaligen TAO-Mitarbeitern finden sich hier bei der Washington Post (lokale Kopie) und bei TechTarget (lokale Kopie).

Update (18.8.2016): Laut heise.de (lokale Kopie) reagiert mit CISCO ein erster Hersteller auf die veröffentlichten Angriffswerkzeuge. Das Unternehmen veröffentlicht Sicherheitsaktualisierung für die Software ihrer Geräte (sog. Patches), bei der unter anderem eine als „hoch“ eingestufte Sicherheitslücke behoben wird:

Cisco stuft den Bedrohungsgrad der Zero-Day-Lücke mit Hoch ein. Sie findet sich im Simple Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Ein Angreifer könne die Lücke ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu kapern. (Q:heise.de /lokale Kopie)

Damit können die veröffentlichten Angriffs-Werkzeuge als authentisch angesehen werden – auch wenn dies natürlich noch nicht die Herkunft bestätigt.

Update/2 (18.8.2016): Offenbar patcht auch der Firewall-Hersteller FortiGate seine Produkte und schließt damit Sicherheitslücken die als kritisch bewertet werden und durch deren Ausnutzung Hacker Vollzugriff auf die Geräte bekommen können. FortiGate räumt keinen direkten Zusammenhang zu den NSA-Veröffentlichungen ein, dieser liegt lt. heise.de-Bericht und anderen Analysten aber sehr nahe. (Q: heise.de / lokale Kopie)

Update/3 (18.8.2016): Die folgende Analyse des IT-Security-Unternehmens „Risk based Security“ enthält sehr viele lesenwerte technische Details, Code-Namen und Hintergründe zu den ausgenutzten Sicherheitslücken der Hacking-Tools: The Shadow Brokers: Lifting the Shadows of the NSA’s Equation Group? (lokale Kopie)

Update/4 (19.8.2016): Sicherheitsforscher haben in dem veröffentlichten Datensatz ein Hacking-Werkzeug namens „BENIGNCERTAIN“ gefunden, mit dem sich offenbar verschlüsselten Verbindungen (sog. VPN-Tunnel) von bestimmten CISCO-Produkten aushebeln und abhören lassen. Das Hilfsmittel wurde erfolgreich durch die Sicherheitsexperten getestet und gilt als echt. VPN-Tunnel sind u.a. ein typisches Hilfsmittel für Mitarbeiter_Innen die aus der Ferne (bspw. einer Regierungszweigstelle) mit zentralen Diensten kommunizieren müssen und sich dafür über eine verschlüsselte Verbindung mit einem Netzwerk verbinden. (Q: musalbas.com / lokale Kopie)

Update/5 (22.8.2016): Im Kontext der Veröffentlichungen zur Equation-Group hat CISCO heute weitere Sicherheitsaktualisierungen herausgegeben,  mit denen unter anderem zwei als „besonders kritisch“ bewertete Lücken geschlossen werden. Wie bereits zuvor ist/war es mit Hilfe dieser Lücken möglich Vollzugriff über Firewall-Systeme des Unternehmens zu erhalten und damit genau jene Systeme frei steuern zu können, die eigentlich für den Schutz gedacht sind. (Q: heise.de, lokale Kopie)

Update/6 (23.8.2016): Mit der weltweit agierenden Firma Juniper hat ein weiteres Unternehmen aus dem Markt der Firewall- und Netzwerk-Sicherheit bekannt gegeben (lokale Kopie), dass die Veröffentlichungen der ShadowBroker gezielte Angriffe auf ihre Produkte enthält. Dabei sollen lt. Firmen-Angaben keine Schwächen in der Software attackiert werden, sondern der Angriff bezieht sich auf den Boot-Loader, also jenen Teil eines Gerätes, der beim Start der Hardware aktiv wird und als erstes – noch vor Betriebssystemen – ausgeführt wird. Angriffe auf diese Stufe sind oft sehr effektiv, da der Boot-Loader (und mit ihm eventueller Schadcode) noch vor den gängigen Schutz-Mechanismen geladen wird. Allerdings sind derartige Manipulation in aller Regel sehr viel schwerer zu bewerkstelligen, da damit Bereiche des Gerätes angegriffen werden müssen, die sich meist dem direkten Zugriff eines laufenden Betriebssystems entziehen. Allerdings wurden im Rahmen der Snowden-Enthüllungen auch Angriffe mit Hardware-Implantaten (die bspw. auf dem Postweg heimlich in Geräte eingebaut werden) sowie manipulierten Festplatten bekannt, die für solche Attacken genutzt werden könnten.

ProjectSauron: neue Spionagekampagne mutmaßlich staatlicher Herkunft

Das IT-Sicherheits-Unternehmen Kaspersky hat Ende 2015 Spuren einer neuen APT-Kampagne namens ProjectSauron entdeckt, die aufgrund ihrer Ziele (Regierungs- und Forschungseinrichtungen sowie Militärs) und der Qualität der Schadsoftware mutmaßlich staatlichen Ursprungs ist und seit mindestens 2011 eingesetzt wird. Dabei haben die Entwickler offensichtlich viel Mühe auf ein langfristiges, verdecktes Agieren in infizierten Systemen gelegt und dabei mit viel Sorgfalt von früheren APT-Kampagnen gelernt um von deren Konzepten und Schwächen zu profitieren. Trotzdem weist die Schadsoftware keine Ähnlichkeiten im Quellcode oder der Signaturen auf.  Mit der Kampagne wurden gezielt und maßgeschneidert Hochwertziele infiziert und dort unter anderem nach verschlüsselten Dokumenten sowie nach Protokollen einer Software zum Verschlüsseln von Kommunikation gesucht, die insbesondere von Regierungseinrichtungen genutzt wird.

Alle weiteren Informationen, eine umfangreichere Auswertung und Dokumente mit technischen Analysen sind in der Datenbank relevanter Vorfälle zu finden.

Kommentar zu den Plänen der Bundeswehr im Cyberspace

Anlässlich der Familien-Urlaubs-Zeit an dieser Stelle ein Link auf einem Kommentar von mir zu den Bundeswehr-Plänen im Cyberspace und den Problemen dabei. Zu finden beim IPG Journal der Friedrich-Eberst-Stiftung (Internationale Politik und Gesellschaft):

Vom Hindukusch zum Cyberspace – Wie die Bundeswehr unsere Sicherheit im virtuellen Raum verteidigen will

In Kürze wieder ausführlicher.

[Kurz notiert] Details zum Aufbau der zivilen Cyber-Einheit ZITiS

Anfang Juli wurde bekannt, dass die Bundesregierung im Rahmen der kommenden neuen Cybersichersicherheits-Strategie auch zivile Cyber-Einheiten, unter anderem beim BMI, aufbauen will, die sich mit der Entwicklung und Beschaffung von IT befassen sollen um „technische Unterstützung für nationale Sicherheitsbehörden im Hinblick auf deren operative Cyberfähigkeiten“ leisten zu können. Neben dem Aufbau von Fertigkeiten zum Brechen von Verschlüsselung könnte diese Einrichtung auch ein Bindeglied zwischen den geplanten offensiven Cyber-Fähigkeiten der Bundeswehr und der Zuarbeit durch zivile Einrichtungen in Friedenszeiten (Hier entsprechende Hintergrundinformationen).

Einer kleinen Anfrage der Fraktion „DIE LINKE“ zufolge gibt es tatsächlich entsprechende Pläne einer, mit 400 Personalstellen ausgestatteten „Zentralstelle für Informationstechnik im Sicherheitsbereich“ (ZITiS), die ans BMI angegliedert sein soll. Die Planungen sind lt. Antwort der Bundesregierung noch nicht abgeschlossen sind.

Die Fragen der Fraktion beziehen sich dabei in erster Linie auf die mögliche Ausweitung von Überwachungstechnologie (mit den entsprechenden Befugnisse bei den Diensten) und die Weitergabe an ausländische Partner-Dienste. Trotzdem enthält die Antwort der Bundesregierung einige interessante Details zu den aktuellen und – aus Sicht der Regierung – notwendigen Fähigkeiten im Cyberspace und ist daher als Lektüre sehr zu empfehlen (lokale Kopie). Eine genauere Auswertung erfolgt hier urlaubsbedingt erst demnächst, ebenso wie die Verlinkung der original Drucksache.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Lesetipp zum Vergleich von Cyber- mit Nuklearwaffen

Insbesondere in der Zeit nach Stuxnet und den Beunruhigungen durch die Vision von kritischen Infrastrukturen die per Cyberattacken sabotiert werden könnten, wurden Cyberwaffen rasch mit Nuklearwaffen verglichen. Obgleich die Analogie insbesondere mit Blick auf die politische Signalwirkung eines massiven Cyberangriffs wie Stuxnet nachvollziehbar ist, greift die Analogie zu kurz und verleitet auch heute noch immer wieder zu falschen Schlußfolgerungen. Dem gegenüber steht, dass die NATO im Zuge der Beschlüsse zum Warschauer Gipfel mit dem Ausbau der militärischen Ressourcen im Cyberspace das sicherheitsstragische Konzept der Abschreckung (engl. „deterrence“) wieder aufgreift, das bislang insbesondere im Rahmen von nuklearer Bewaffnung eine Rolle spielt. Vom Konzept der „deterrence“ leiten sich vereinfacht zwei Varianten ab,:

  1. Abschreckung durch Verweigerung („deterrence by denial“): dem Gegenspieler G wird damit gedroht, durch geeignete eigene Massnahmen den möglichen Erfolg der von ihm beabsichtigten Handlung zu unterbinden
  2. Abschreckung durch Vergeltung („deterrence by retaliation/punishment“) dem Gegenspieler wird im Falle seines Handelns mit Vergeltungsmassnahmen gedroht, deren Kosten für ihn untragbar sind
    Quelle der Definition: Vorlesungsfolien von Prof. Dr. Dr. h.c.mult. Reinhard Meyers, lokale Kopie)

Das Konzept der Abschreckung ist hinsichtlich seiner Wirksamkeit – die nur gegeben ist, wenn die Ausführung und Umsetzung angekündigter Maßnahmen auch glaubhaft potentiellen Gegner versichert werden kann – und seinem negativen Einfluß auf die internationale Sicherheitslage, der eher Aufrüstung fördert zu recht sehr umstritten.

Die NATO hat in ihren jüngsten Beschlüssen festgelegt, das bislang verfolgte Konzept (lokale Kopie) der „deterrence by denial“ im Rahmen einer Priorisierung der Cyber-Abwehr bei den Mitgliedsstaaten auch auf den Cyberspace als militärisch relevante Domäne auszuweiten:

Now, in Warsaw, we reaffirm NATO’s defensive mandate, and recognise cyberspace as a domain of operations in which NATO must defend itself as effectively as it does in the air, on land, and at sea.  This will improve NATO’s ability to protect and conduct operations across these domains and maintain our freedom of action and decision, in all circumstances.  It will support NATO’s broader deterrence and defence [..] We continue to implement NATO’s Enhanced Policy on Cyber Defence and strengthen NATO’s cyber defence capabilities, benefiting from the latest cutting edge technologies
(Q:Abschluß-Communiquè, Punkt 70 / lokale Kopie)

Selbst das deutsche Verteidigungsministerium illustriert im Aufbaubericht zum Cyber-Organisationsbereichs Cyber als nächsten strategischen Schritt nach den Nuklearwaffen (siehe Abschnitt 2, „Strategischer Kontext“, Quelle, lokale Kopie).

Angesichts dieser neuerlichen Debatten über Abschreckung und die Analogien zur nuklearen Bewaffnung aus den Zeiten des kalten Krieges ist folgender Text als Lesetipp sehr zu empfehlen, der die Gültigkeit der Analogie auf ihre Lücken und Tücken abklopft: „Cyberweapons Aren’t Like Nuclear Weapons“ von Patrick Cirenza (lokale Kopie).

Ausbau der militärischen Cyberforschung in Deutschland

Wie bereits im Rahmen des Aufbauberichts zum neuen Cyber-Organisationsbereich der Bundeswehr und dann vor wenigen Wochen bei der Vorstellung des Weißbuches angemerkt, soll die militärische Forschung im Bereich des Cyberspace deutlich ausgebaut werden. In diesem Zuge wurde nun angekündigt, an der Bundeswehr-Universität in München ein „eigenes Hochsicherheitsgebäude zur Cyber-Forschung“ (Q: heise.de / lokale Kopie) zu bauen sowie einen eigenen internationalen Master-Studiengang „Cyber-Sicherheit“ für anfangs 70 Studierende einzurichten. Damit wird das bereits bestehende „Forschungszentrums Cyber Defence“ aufgewertet. Vorrangig soll damit zum einen dem Fachkräfte-Problem der Bundeswehr im Bereich der IT begegnet sowie die nationale Forschung zur Cyber-Abwehr ausgebaut werden. Die Ankündigung der Universität (Q: unibw.delokale Kopie) erklärt jedoch nicht, warum eine solche Forschung zur IT-Sicherheit ein „Hochsicherheitsgebäude“ benötigt. Vermutlich geht es aber bei der Forschung zur „Cyber-Abwehr“ auch um die Entwicklung von wirksamen Mitteln zum offensiven Wirken im Cyberspace – immerhin spricht das Weißbuch von der „Befähigung zum bundeswehrgemeinsamen Wirken in allen Dimensionen“ (Zitat Weißbuch 2016) als dem „übergeordneten Maßstab“ der zukünftigen strategischen Ausrichtung. Die IT der Bundeswehr wurde bereits im vergangenen Jahr zu einer nationalen Schlüsseltechnologie erklärt, die verstärkt in Deutschland entwickelt werden muss und noch fehlen in den Erläuterungen aus dem BMVg zu den Cyberfähigkeiten die Hinweise, wie genau und woher die Bundeswehr sich entsprechende Offensiv-Mittel beschaffen will (abgesehen davon, dass auch die gesetzliche und völkerrechtliche Grundlage nach wie vor ungeklärt ist).

Zum genauen Umfang heißt es auf den Seiten der Bundeswehr:

Bereits im Sommer 2016 werden elf neue Professuren ausgeschrieben. Die neu eingestellten Professorinnen und Professoren sollen dann von 67 wissenschaftlichen Mitarbeiterinnen und Mitarbeitern, Technikern und Verwaltungsangestellten unterstützt werden. Dazu kommen weitere rund 200 wissenschaftliche Drittmittel-Mitarbeiterinnen und Mitarbeiter. (..) Um dem neuen Personal ein hochattraktives Forschungsumfeld zur Verfügung zu stellen, werden wir auf dem Campus einen Neubau errichten, der technisch und architektonisch den höchsten Anforderungen entspricht”, so der Dekan der Fakultät für Informatik Prof. Klaus Buchenrieder. Der Neubau wird weit über 7.000 Quadratmeter groß sein und diverse Laboratorien für Cyber-Sicherheit beinhalten, unter anderem für digitale Forensik, Malware-Analyse und Cyber-Lagebild. (Q: bundeswehr.de / lokale Kopie)

[Kurz notiert] Bundeswehr beteiligt sich am Kampf gegen den IS nicht mit CNO

Diese Meldung hier ist mehr oder weniger ein „stating the obvious“. Einer aktuellen Antwort der Bundesregierung (lokale Kopie) auf eine Anfrage der Fraktion Bündnis 90/Die Grünen zufolge beteiligt sich die Bundeswehr im Rahmen der Operation „Counter Daesh“ im Kampf gegen den IS nicht mit Cybermittel. Ein solcher Einsatz ist im Mandat nicht konkret vorgesehen, wäre aber möglicherweise im Rahmen der zugesagten militärischen Aufklärung zumindestens zwischen den Zeilen denkbar. Einen solchen offensiven Einsatz von Cybermittel haben die USA im März 2016 angekündigt. Damit bleibt trotz Aufbau des neuen Cyber-Bereiches bei der Bundeswehr und angesichts des Bestehen der offensiven CNO-Einheit seit 2006 nach wie vor unklar, wofür genau diese Einheit trainiert und wann/wie sie eingesetzt werden soll.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Weitere bilaterale Bemühungen um „Cyberfrieden“ mit China

Wie es scheint, tragen die diplomatischen Bemühungen der USA und Chinas, die im vergangenen Jahr auf höchster Ebene stattfanden weitere Früchte. Einer Presse-Meldung des US Außenministeriums zufolge fanden im Rahmen von Gesprächen zwischen den Außenministern der USA und Chinas auch Abstimmung über weitere, konkrete Schritte in Richtung eines gemeinsamen Kampfes gegen Bedrohungen im Cyberspace statt. Vorrangig geht es dabei in erster Linie um die Eingrenzung digitaler Wirtschaftsspionage. Allerdings dienen diese Gespräche auch in großem Rahmen dazu, die Abstimmungen über ein gemeinsames Verständnis der Herausforderungen im Cyberspace und den Regeln staatlichen Verhaltens in dieser Domäne (für die es nach wie vor kein international einheitliches Vorgehen gibt) voran zu bringen. Da es während der Gespräche auch Konsultationen zur militärischen und zur nuklearen Sicherheit gegeben hat, besteht die Hoffnung, dass auf diesem Wege die internationalen Abstimmungen über die Eingrenzung der Militarisierung des Cyberspace voran getrieben werden. Zuletzt hatten China, Russland und weitere Staaten Anfang 2015 einen Entwurf für einen „International code of conduct for information security“  (hier in der Liste wichtiger Dokumente). Die Gespräche dazu sind jedoch im Zuge der Ukraine-Krise nicht ernsthaft vorangekommen.

Hier der Auszug aus der Presse-Mitteilungen zu den US-China-Gesprächen:

Cyber Security: The United States and China welcomed the cyber commitments reached between President Obama and President Xi during the State Visit last September. The two sides welcomed the results of the inaugural U.S.-China High-Level Dialogue on Cybercrime and Related Issues in December, where the two sides decided to build on these commitments through consistent implementation of guidelines for combating c ybercrime and related issues ; and cooperation to combat malicious cyber activity, including hacker attacks. Both countries also reaffirmed their commitment to refrain from conducting or knowingly supporting cyber-enabled theft of intellectual property, including trade secrets or other confidential business information, with the intent of providing competitive advantages to companies or commercial sectors. Both countries affirmed the value of the inaugural Senior Experts Group on International Norms in Cyberspace and Related Issues, where the two sides held constructive, in-depth and fruitful discussion on international norms and related issues in cyberspace and decided to further discuss these issues in the search for common ground. The two sides decided to hold the next round of the Senior Experts Group in six months. The two sides look forward to conducting a successful second High-Level Dialogue on Cybercrime and Related Issues, which is planned for June 14 in Beijing. (Q: state.gov, lokale Kopie)

Während dessen kommen Anstrengungen der deutschen Bundesregierung, ein vergleichbares Abkommen zur Eingrenzung der Wirtschaftsspionage mit China offenbar nicht voran (Q: heise.de, lokale Kopie). So wurde auf einen Vorschlag der deutschen Regierung in Vorbereitung auf (mittlerweile erfolgte) Regierungskonsultationen Mitte Juli noch nicht reagiert.

Da der (Cyber)Diebstahl von Unternehmensdaten nach wie vor ein großes Problem deutscher Unternehmen zu sein scheint,25 bleibt abzuwarten, in welchem Umfang und mit welchen Maßnahmen diese Herausforderungen im Rahmen der neuen Cybersicherheits-Strategie addressiert werden wird.

[Kurz notiert] Bericht über Probleme mit kritischen Infrastrukturen

Die beiden Sicherheitsforscher und Gründer der Plattform internetwache.org Tim Philipp Schäfers und Sebastian Neef legen in einem sehr ausführlichem Bericht dar, wie einfach es nach wie vor zum Teil ist, IT-Systeme von kritischen Infrastrukturen im Netz zu finden, diese anzugreifen und Informationen zu entwenden oder kritische Steuerungsmöglichkeiten zu erlangen. Der Bericht ist in seiner ausführlichen Darstellung sehr empfehlenswert.

Mit dem Fokus der militärischen Nutzung des Cyberspace muss dem gegenüber gestellt werden, dass jedoch ein erheblicher Unterschied zur militärischen und nachrichtendienstlichen Vorgehensweise besteht. Dort geht es zum einen in aller Regel nicht darum ein beliebiges, zufällig entdecktes und anfälliges System zu knacken, sondern darum spezielle, strategisch relevante und ausgewählte Ziele zu unterwandern. Zum anderen erfolgt ein solcher Zugriff zumeist nicht zeitgleich, sondern in Vorbereitung konkreter militärischer Aktivitäten. Daher müssen die Angreifer einen hohen Aufwand betreiben um innerhalb der Systeme verdeckt zu bleiben und diese Tarnung ggf. lange aufrecht zu erhalten. Die Ressourcen für derart gestaltete Angriff sind deutlich höher. Eine sehr umfangreiche Dokumentation eines solchen exemplarischen Vorfalls  ist der Abschlussbericht „To Kill a Centrifuge – A Technical Analysis of What Stuxnet’s Creators Tried to Achieve„(Q: Langner.com) von Ralf Langer zu Stuxnet.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.