News

Debatte über Einsatz von Cyberwaffen im US-Wahlkampf

In der ersten Debatte der beiden Präsidentschaftskandidaten im US-Wahlkampf ging es neben vielen anderen Themen auch um die Bedrohungen der USA im Cyberspace, die notwendigen Reaktionen darauf und den möglichen Einsatz von Cyberwaffen.

Dabei machte Hillary Clinton zum einen deutlich, dass Russland gegenwärtig einer der wichtigsten Opponenten im Cyberspace ist:

The most recent and troubling of these has been Russia. There’s no doubt now that Russia has used cyber attacks against all kinds of organizations in our country, and I am deeply concerned about this

Dabei unterstrich Clinton, dass die USA im Cyberspace jedem Angreifer gewachsen sind und – obschon mal diese Mittel nicht einsetzen will  – bereit ist sich zu verteidigen:

We need to make it very clear — whether it’s Russia, China, Iran or anybody else — the United States has much greater capacity. And we are not going to sit idly by and permit state actors to go after our information, our private-sector information or our public-sector information.

And we’re going to have to make it clear that we don’t want to use the kinds of tools that we have. We don’t want to engage in a different kind of warfare. But we will defend the citizens of this country.

Donald Trump wollte hinsichtlich der Attribution in Richtung Russland keine eindeutigen Aussagen treffen, betonte dafür jedoch, dass die USA künftig im Cyberspace zu deutlich stärkeren Mitteln greifen muss um sich den Gefahren gegenüber besser aufzustellen:

So we have to get very, very tough on cyber and cyber warfare (..) The security aspect of cyber is very, very tough. And maybe it’s hardly doable. But I will say, we are not doing the job we should be doing.

Dabei bezog Trump sich auch auf die Bedrohungen durch den internationalen Terrorismus im Internet, im speziellen die ISIS-Organisation, die Hillary Clinton zufolge auch online bekämpft werden muss (Anm: wie dies seit einigen Monaten auch getan wird).

Ein Transkript der gesamten Debatte gibt es bei der Washington Post (oder hier als lokale Kopie).

Erster offizieller Einsatz der deutschen offensiven militärischen CNO-Einheit (Update)

Der Spiegel (lokale Kopie) berichtet heute über einen Einsatz der deutschen CNO-Einheit der Bundeswehr, die im Herbst 2015 bei der Befreiung deutscher Geiseln geholfen haben sollen. Die „Computer Network Operations“ besteht seit 2006, umfasst zwischen 60 und 80 Soldat_Innen und trainiert lt. Aussage des BMVg in abgeschlossenen Trainings-Netzwerken das Hacking von fremden IT-Systemen. Über diese bislang einzige offensive Cyber-Einheit der Bundeswehr gab es bislang sehr wenige offizielle Informationen und ein Einsatz (bspw. im Kontext des Anti-IS-Kampfes) wurde bislang durch die Regierung stets verneint. Die Informationen des Spiegel-Berichts können an dieser Stelle bestätigt werden. In persönlichen vertraulichen Gesprächen wurde mir Anfang dieses Jahres gegenüber von einem solchen Einsatz gesprochen.

Mit dieser Quasi-Bestätigung steht jedoch umso mehr die Frage im Raum, welches strategische Ziel die Bundeswehr mit der CNO-Einheit – die im Rahmen des Aufbaus der Cybereinheit zu April 2017 um 20 Personen aufgestockt werden soll – verfolgt und vor allem, wie ein solcher offensiver Einsatz parlamentarisch mandatiert und kontrolliert werden soll. Unklar bleibt ebenso, wie eine solche, für offensive Einsätze trainierende Einheit gegenüber internationalen Partner erklärt werden soll, wenn es bisher aus Regierungskreisen immer nur um die Defensive ging. Auch wenn der vorliegende Fall aus menschenrechtlichen Gründen nachvollziehbar ist, sollte das BMVg nun dringend eine Klärung der Ziele und Strategien hinter der CNO-Einheit vorlegen.

Update (29.9.2016): Der „Newsletter Verteidigung.Streitkräfte.Wehrtechnik“ des Behördenspiegels berichtet in Ausgabe 167, dass „Laut BMVg (..) über Einsätze der CNO-Einheit ausschließlich die verantwortlichen Ausschüsse sowie das Parlamentarische Kontrollgremium (PKGr) des Bundestags unterrichtet [würden]“ (Kopie des Newsletters).

[Kurz notiert] Datenleck bei französischem U-Boot-Hersteller

Nicht ganz in den Bereich einer Cyberattacke, dafür aber ganz sich dem der Wirtschaftsspionage fällt der Leak von mehr als 22.000 Seiten von Präsentationsmaterial über die aktuelle U-Boot-Klasse des französischen Staatskonzerns DCNS, die an Indien, Malaysia, Brasilien, Chile und – in modifizierter Variante – auch Australien verkauft wurden. In den Präsentationen geht es unter anderem um das verwendete Torpedo-System und dürfte daher für die einen oder anderen Dienste durchaus interessant sein. Derartige Spionage ist sicherlich keineswegs neu, dessen Auswirkungen und mögliche Reaktionen von Staaten könnte in der Zukunft jedoch angesichts des weiten Aus- und Aufbaus von Cyberabwehr-Kräften möglicherweise für mehr Konfliktpotential sorgen falls Staaten beschließen sollten, solche Zugriffe mit einem Hacking-Back zu unterbinden oder gestohlene Dokumente als kritisch für die nationale Sicherheit zu bewerten und entsprechend offensiv reagieren. (Q: heise.de / lokale Kopie)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

DDoS-Attacken als Cyberwaffe?

Der renommierte IT-Sicherheits-Experte Bruce Schneier hat unlängst in einem längeren Blogartikel auf Beobachtungen seiner Kunden hingewiesen, bei denen es sich allem Anschein nach um sukzessive Belastungstests der DNS-Rootserver durch externe – und den nötigen Ressourcen nach zu schließen – staatliche Akteure handelt. DNS-Rootservern sind globale Register, die jeweils den gesamten Namensraum für eine oder mehrere Endung im Internet (wie .com, .net oder .de) verwalten und für die Zuordnung einer Adresse wie tagesschau.de zu der tatsächlich physisch relevanten und für den Webseiten-Zugriff notwendigen IP-Adresse verantwortlich sind. Bei einem Ausfall dieser Dienste wäre u.U. der gesamte Webseiten-Bereich mit der entsprechenden Endung aufgrund der fehlenden Zuordnungs-Möglichkeit nicht mehr erreichbar (es sei denn man verwendet von Vorhinein die IP-Adressen). Bruce Schneier berichtet in seinem Beitrag (lokale Kopie) von sog. DDoS-Attacken gegen einige dieser Root-Server (für die Bereich .com und .net) bei denen durch sukzessives Austesten und Ausweiten der Angriffsstärke die Abwehr-Ressourcen und Belastungsgrenze der Server ausgetestet worden ist. Bei derartigen DDoS (Distributed Denial of Service) werden Internetdienste mit eigentlich regulären Anfragen zeitgleich überschwemmt, sodass die dahinter stehenden Server-Infrastrukturen zusammenbrechen und damit zeitweise außer Dienst gesetzt werden.

(mehr …)

Verfassungsschutz plant eigene Cyberabwehr

Medienberichten aus der vergangenen Woche zu den Haushaltsverhandlungen für 2017 zufolge möchte das Bundesamt für Verfassungsschutz (BfV) im kommenden Jahr 30 Fachkräfte einstellen und damit eine Dienst-eigene “Cyberabwehr” aufbauen. Dafür ist ein zusätzliches Etat von 4,5 Millionen Euro veranschlagt das auch Mittel für Aufträge an externe Dienstleister umfasst. Mit dem Geld sollen die eigenen Netze besser geschützt und Hacker-Attacken besser analysiert werden. Dabei ist unklar was genau im Rahmen von “eigenen Netzen” gemeint ist, da das BfV wie andere kleinere Institutionen mit Sicherheit zum Großteil nationale Netze und IT-Dienstleister – mit entsprechender Kryptographie gesichert – nutzt. So ist es bspw. In Meckelburg-Vorpommern das als Land einen eigenen zentralen IT-Dienstleister für nahezu alle Behörden betreibt, der gemietete Netze mit gesicherten VPN und Hochsicherheits-Rechenzentren betreibt. Eigene Netze die über lokale Büro-Netzwerke hinausgehen betreibt das LfV in Mecklenburg-Vorpommern nicht und wären auch nicht begründbar. Interessant wäre auch, in welchem Umfang das BfV mit Cyberattacken zu kämpfen hat oder welche Dienste genau mit dem zusätzlichen Topf eingekauft werden sollen. Problematisch ist diese Entwicklung angesichts der fehlenden Transparenz dieses Geheimdienstes und der schwierigen parlamentarischen Kontrolle der Aktivitäten – wofür das Amt in der Vergangenheit immer wieder in der Kritik gestanden hat. Die Sorge einer im verdeckten agierenden Cybertruppe wäre umso begründeter, wenn sich das Amt angesichts der zur Verfügung stehenden Kapazitäten zu Aufklärungsszwecken selbst in fremde IT-Systeme bewegt. Von verfassungsrechtlichen Grenzen abgesehen wäre nicht nachprüfbar ob solche Aktivitäten an den Grenzen deutscher IT-Netzwerke halt machen – eine Beschränkung die angesichts von VPN und Cloud-Diensten ohnehin kaum Bestand hat. Angesichts der Bedenken die Parlamentarier im Zuge des Cyberausbaus der Bundeswehr geäußert haben ist dieser Trend von eigenständigen Cyber-Kräften bei Nachrichten- und Geheimdiensten umso besorgniserregender. (Q: sueddeutsche.de / lokale Kopie)

Russland-USA-Cybergespräche am Rande der G20

Präsident Obama hat auf einer Pressekonferenz am Rande des G20-Treffens in Hangzhou in China über ein Treffen mit russischen Vertretern gesprochen, bei dem unter anderem die Bedrohungen im Cyberspace und die drohenden Aufrüstungsspiralen in dieser Domäne thematisiert worden sind. In seinem Statement betont Obama dass es dringend geboten ist, die militärische Aufrüstung im Cyberspace zu reglementieren, unterstrich aber auch nochmals, dass sich die USA im Cyberspace als die unangefochtene defensive und offensive Militärmacht sehen. Trotzdem und insbesondere angesichts von Problemen mit Cyberangriffen (“cyber intrusion”) aus Russland und anderen Ländern will man diese Situation hinter sich lassen und einen “kalten Krieg” im Cyberspace verhindern:

„We are moving into a new area where a number of countries have significant capacities. And frankly we’ve got more capacity than any other country, both offensively and defensively [..] But our goal is not to suddenly, in the cyber arena, duplicate a cycle of escalation that we saw when it comes to other arms races in the past but rather to start instituting some norms so that everybody is acting responsibly.“ (Q: Bloomberg TV auf Twitter)

Statt den Blick auf die Militarisierung des Cyberspace zu richten sollten Staaten sich anderer, aus seiner Sicht dringenderer, Probleme widmen, darunter die allgegenwärtige Kriminalität und die Spionage im Cyberspace, die für viele führende Wirtschaftsnationen erhebliche Schädigungen verursacht:

„We are going to have enough problems in cyberspace with non-state actors who are engaging in theft and using the internet for all sorts of illicit practices and protecting our critical infrastructure and making sure that our financial systems are sound [..] What we cannot do is have a situation in which suddenly this becomes the wild, wild west where countries that have significant cyber capacity start engaging in competition, unhealthy competition or conflict, through these means, when I think, wisely, we put in place some norms when it comes to using other weapons.“ (Q: Bloomberg TV auf Twitter)

Mit den Statements betont Obama die führende Rolle der USA bei der Etablierung von Normen und verweist auf erste Erfolge in Gesprächen mit Russland und China:

„We have started to get some willingness with a lot of countries around the world to adopt these norms but we have got to make sure we are observing them.“  (Q: Bloomberg TV auf Twitter)

Unklar ist allerdings weiterhin, welche konkreten Maßnahmen in Richtung einer internationalen Rüstungs- und Rüstungsverbreitungskontrolle unternommen werden sollen. Gegenwärtig stecken die Debatten hierzu noch in den Kinderschuhen, da ein Großteil der etablierten Maßnahmen in diesem Bereich nicht oder nur sehr schwer auf den Cyberspace übertragen werden können. Ein paar Details dazu sind hier in einem Beitrag für die Bundeszentrale für politische Bildung beschrieben.

Einsichten aus Voßhoffs Kritik am BND und Bundeswehr-Kooperationen

Am 1.9. wurde durch die Seite netzpolitik.org ein Bericht der Bundesdatenschutz-Beauftragten Andrea Voßhoff veröffentlicht, der auf Basis der Snowden-Enthüllungen die BND-Tätigkeiten begutachtet und bewertet. Dieser Bericht enthält neben der lesenswerten Stellungnahme zum eigenwilligen Selbstverständnis des Nachrichtendienstes auch weitere Puzzle-Teile zu möglichen Kooperationen der Bundeswehr und des Bundesnachrichtendienstes, über die hier im Zuge des Weißbuches, der geplanten Cybersicherheits-Strategie und dem neuen Cyber-Bereich der Bundeswehr spekuliert wurde.

Die kurze Version davon lautet: Sollte die Bundeswehr tatsächlich die präventiven und teilweise offensiven Cyber-Operationen durchführen und/oder aufbauen wollen, die im Aufbaubericht zum Cyber-Bereich vorgesehen sind, dann wird sie dabei Kooperationen mit anderen Diensten benötigen. Zum einen ergibt sich dies aufgrund des stets notwendigen parlamentarischen Mandats von Operationen sowie aus der allgemeinen verfassungsrechtlichen Eingrenzung auf ausschließlich defensive Aufgabe – die Spionage in fremden Netzen zur Lagebildaufklärung in Friedenszeiten überschreitet diese Grenze bereits deutlich. (mehr …)

[Kurz notiert] Malware-Kampagne ProjectSauron möglicherweise bereits seit 2001 aktiv

Die vor wenigen Wochen enthüllte Schadsoftware-Kampagne „ProjectSauron„, die aufgrund der Qualität und des Umfang wahrscheinlich staatlichen Ursprungs ist, wurde nun aufgrund weiterer Analysen auf sehr viel älter eingeschätzt als bislang angenommen:

Sauron appears to be the product of a long-lived, continually evolving, large-scale development. While the bulk of the code may be new, there are indications that a number of components—notably those protocols using RC5 and RC6—arose prior to 2001 while other pieces kept receiving enhancements. (..) Other components speak to an even older history. Various encryption libraries include the RC6 and RC5 encryption algorithms, which are sensible but still strangely obsolete choices. RC5 dates back to 1994 and RC6 succeeded it in 1998. There is no real reason to use RC5 after RC6’s definition. Furthermore, RC6 was a candidate for the AES standard, a federal standard for cryptography, and there was no sense using RC6 after 2001 when the AES standard group decided on Rijndael. Another component uses the Salsa20 stream cypher developed by Daniel Bernstein in 2005. Again, this is a probably good cypher, but overcome by a superior successor Bernstein developed in 2007, ChaCha20. Taken together, these aspects suggest older protocols. Even if you write new code, if you need it to interact with an older system, using an older cryptographic protocol, your new code will use the old algorithm.(Q: www.lawfareblog.com / lokale Kopie)

Darüber hinaus unterstreichen die neuen Analysen die Vermutung einer staatlichen Herkunft und vermuten die NSA als Urheber der Malware. Alle Details in der Datenbank relevanter Cybervorfälle.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Neue Details zur neuen Cybersicherheits-Strategie

Auf netzpolitik.org wurde gestern ein Vorabdruck der Antwort auf eine kleine Anfrage der Fraktion Die Linke veröffentlicht (lokale Kopie), die nach Details zur in Arbeit befindlichen neuen Cybersicherheits-Strategie (CSS) fragen. Die neue CSS soll lt. Aussagen der Bundesregierung im Herbst vom Bundeskabinett ohne eine, den bisherigen Planungen zufolge parlamentarischen Beratung verabschiedet werden.

Die Planung der kommenden CSS sind unter anderem interessant hinsichtlich der möglichen kommenden Vernetzung von Bundeswehr und zivilen Diensten wie dem BND. Wie an dieser Stelle bereits öfter betont enthalten die Planungen des BMVg zum Aufbau eines eigenen Organisationsbereiches „Cyber und Informationsraum“ bei der Bundeswehr einige strukturelle Lücken die auch mit dem mittlerweile veröffentlichten Bundeswehr-Weißbuch nicht ausgeräumt wurden. Dies betrifft inbesondere die Frage, ob oder in welcher Form sich Bundeswehr-Hacker in Friedenszeiten in fremden Netzen bewegen dürfen oder ob solche vorgesehenen Tätigkeiten der Lagebildaufklärung durch dafür formelle befugte Dienste wie den BND erledigt werden. Darüber hinaus soll mit der neuen CSS eine „Zentralstelle für Informationstechnik im Sicherheitsbereich“ (Zitis) eingerichtet werden, deren Aufgabe die Erforschung und Versorgung der Dienste mit technischen Hilfsmitteln für den Einsatz im Cyberspace besteht. Entsprechende selbst entwickelte oder kommerzielle Hacking-Werkzeuge wären bei einem offensiven Einsatz durch Militärkräfte unter Umständen als Cyberwaffen zu betrachten – entsprechend kritisch haben in den vergangenen Monaten Parlamentarier immer wieder die Bundesregierung um Klärung zum Einsatz, den Regularien sowie der Kontrolle und den Grenzen einer militärischen Anwendung solcher Technologien gebeten.

(mehr …)

Neuer Datenbank-Eintrag für den EquationGroup-Hack

Nachdem immer weitere große Netzwerk- und IT-Sicherheitsunternehmen mit Bezug auf Analysen der von der ShadowBroker veröffentlichten EquationGroup-Hacking-Werkzeuge kritische Sicherheits-Aktualisierung herausgeben, wurde dieser Vorfall in die Datenbank relevanter Cybervorfälle aufgenommen und wird dort gepflegt und aktualisiert.

Insbesondere die Analysen der betroffenen Unternehmen selbst geben ein deutliches Bild ab, in welchem Umfang es der EquationGroup möglich war weltweit eingesetzte IT und IT-Sicherheitsgeräte zu unterwandern – und damit vermutlich effektiv geschütze Umgebungen zu infiltrieren.