News

Cyberwaffen im Wassenaar-Abkommen – Schwierigkeiten und Missverständnisse

Ende 2013 wurden die Regelungen des Wassenaar-Abkommens für ”Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien” – also dem Handel mit potentiell Waffen-fähigen Materialien und Produkten um Klauseln erweitert, die auch Schadsoftware und dafür benötigte Sicherheitslücken umfassen. (Details dazu hier) Das Wassenaar-Abkommen basiert auf einem Kreis von gegenwärtig 41 Vertragsstaaten, von denen die beschlossenen Regelung jeweils unabhängig interpretiert und eigenständig in nationalem Recht verankert werden. Dies umfasst im besonderen die Implementierung der vorgesehenen Kontrollgremien und den exakten Umfang der zu genehmigenden Güter.

Im Zuge entsprechender Anpassungen US-amerikanischer Gesetze, die durch das US-Handelsministerium (U.S. Department of Commerce’s Bureau of Industry and Security – BIS) vorgeschlagen wurden, formiert sich aktuell ein breiter Widerstand – von Seiten der Industrie, der Wissenschaft und zivilgesellschaftlicher Initiativen. Dies hat zu einer eher ungewöhnlichen neuerlichen Überarbeitungsrunde der Gesetzesänderungen geführt. Hauptkritikpunkt ist dabei die weit über die eigentlichen Regelungen des Wassenaar-Vertragstexten hinaus gehenden Kontrollvorhaben. Diese würden auch Werkzeuge, Hilfsmittel und den Informationsaustausch zu Sicherheitslücken erfassen, die IT-Sicherheitsforscher und Firmen gleichermaßen benötigen um IT-Produkte auf Schwächen zu testen oder entsprechende Produkte für die Sicherheit von IT-Systemen zu entwickeln. All diese Tätigkeiten könnten zukünftig – insofern ausländische Kooperations- oder Handelspartner involviert werden – nur mit der Genehmigung der US Behörden erfolgen können. Dazu gehören:

Systems, equipment, components and software specially designed for the generation, operation or delivery of, or communication with, intrusion software include network penetration testing products that use intrusion software to identify vulnerabilities of computers and network-capable devices. [and] Technology for the development of intrusion software includes proprietary research on the vulnerabilities and exploitation of computers and network-capable devices.
(..)
It appears that BIS has just proposed prohibiting the sharing of vulnerability research without a license (Q: eff.org)

Einige Kritiker können dabei die Notwendigkeit der Regelung von Material für “Cyberwaffen” durchaus nachvollziehen und verweisen auf die Umsetzungsvarianten, wie sie durch die EU oder durch Frankreich erfolgt sind. Andere verfehlen mit ihrer Kritik jedoch gänzlich den Sinn und den Hintergrund des Abkommens, wie bspw. Stewart Baker, von des US-amerikanischen Beratungsunternehmens Steptoe & Johnson LLP auf einer Diskussionsveranstaltung:

“No export control regime is going to have any impact on the bad guys, they already have the tools” (Q: threatpost.com)

Das Wassenaar-Abkommen ist jedoch nur mäßig als Mittel zur Kontrolle der Ausbreitung von gefährlichen Technologien geeignet, für eine effektive Proliferations-Kontrolle bedarf es eines international verbindlichen Abkommens mit einheitlichen und vergleichbaren Standards und Kontrollbestimmungen. Statt dessen handelt es sich bei dem Wassenaar-Prozess um einen Baustein internationaler Rüstungs- und Exportkontrollbestimmungen. Deren Fokus liegt nicht auf den oben zitierten “Bösen” (im Sinne internationaler Terror-Organisationen) sondern ausschließlich auf den zwischenstaatlichen Beziehungen und der Vertrauensbildung mit Hilfe von Transparenzmaßnahmen zu nationalen Rüstungs- und Verteidigungsvorhaben. Vertrauensbildende Maßnahmen – ein Konzept das in den 70’er Jahren im Rahmen der KSZE ( Konferenz über Sicherheit und Zusammenarbeit in Europa) entwickelt wurde – sollen die Glaubhaftigkeit der Abwesenheit von Bedrohungen demonstrieren, Unsicherheiten und Fehlinterpretationen über die Absichten der gegnerischen Seite verringern und Kommunikationskanäle für Krisenzeiten etablieren. Das Wassenaar-Abkommen sieht dafür neben der nationalen staatlichen Handelskontrolle den gegenseitigen Informationsaustausch über erfolgte Export und Importe vor. (Link zum Abkommen mit Details und Hintergründen) Auch wenn das Abkommen mittlerweile durch einige Nicht-Vertragsstaaten eher kritisch und als “elitärer Club mit ökonomisch protektionistischen Absichten” angesehen wird, wäre es voreilig, die Regulierungsvorhaben als solches abzulehnen. Rüstungskontrollmaßnahmen haben sich bspw. in Form der sog. “Australischen Gruppen” oder der UN Handelsdatenbank COMTRADE im Bereich der Verhinderung und Kontrolle chemischer und biologischer Kampfstoffe bewährt. Transparenzmaßnahmen wie die Meldung von Handelsvolumen mit kritischen Materialien und den beteiligten Handelspartnern (die unter anderen auch für die medizinischen Forschung und Arzneiproduktion benötigt werden) bilden einen wichtigen Grundstein der wechselseitigen internationalen Kontrolle beim Bann von solchen Waffen. Multilaterale Verträge wie Wassenaar können dabei einen ersten Schritt in Richtung verbindlicher internationaler Abkommen bilden, insbesondere da es im Bereich der militärischen Nutzung des Cyberspace gegenwärtig einen breiten Dissens gibt und kaum Aussichten auf internationale Verhandlungen im Rahmen der UN bestehen.

Nichts desto trotz übersteigt die Interpretation der erweiterten Wassenaar-Regelungen durch die US Behörden und die daraus resultierenden vorgeschlagenen Bestimmungen des US Handelsministerium den ursprünglichen Zweck des Abkommens bei weitem, insbesondere dort, wo bereits die Forschung zur IT-Sicherheit beeinträchtigt würde. Eine gute Zusammenstellung der Argument ist hier bei der Electronic Frountier Foundation zu finden. In gewissen Maße erinnern die beabsichtigen Kontrollvorhaben an jene Zeiten, als in den USA starke (im Sinne von “effektive und nicht zu knackende”) Kryptographie als militärisch relevante Komponente angesehen und deren Export über Landesgrenzen hinaus ebenfalls durch Genehmigungspflichten beschränkt wurde. In diesem Sinne könnten die aktuellen Bestrebungen der US Regierung auch derart gedeutet werden, dass die Weitergabe von sensiblen Sicherheitsinformationen unterbunden werden soll um solche Informationen für die Entwicklung von Schadsoftware durch die NSA & Co. selbst zu verwenden. Es bleibt daher abzuwarten, welche inhaltlichen Auswirkungen die Proteste bewirken werden und ob die US-Regierung noch von ihren Maximalforderungen abrücken wird.

[Anm.: Danke an Gunnar Jeremias von ZNF für seine Expertise zur Rüstungs- und Exportkontrolle bei biologischen und chemischen Kampfstoffen]

Offensive Cyberbefugnisse für die Bundeswehr

Einem (bislang) geheimen Strategiepapier des Bundesverteidigungsministerium zufolge, das bereits im April gebilligt wurde und der Vorbereitung des neuen Weißbuchs der Bundeswehr dient, soll die Bundeswehr zukünftig auch offensive Fähigkeiten im Cyberspace erhalten(Q: Spiegel.de, Kopie). Dies betrifft vor allem die sogenannten CNO-Einheit (Computer Network Operations), die ein aktives Vorgehen gegen fremde IT-Systeme und den gezielten Angriff derselben seit einigen Jahren übt, jedoch bislang über keine gesetzliche Grundlage für den Einsatz in Kampf- und Verteidigungssituationen besitzt. Laut offiziellen Angaben umfasst die dem “Kommando Strategische Aufklärung” unterstellte Einheit 60 Personen, internen Quellen zufolge wurden die entsprechenden IT-Kompetenzen aber bereits durch Personalrotationen auf einen deutlich größeren Kreis von mehreren hundert Fachkräften ausgeweitet.

Mit der neuen Strategie sollen die verfügbaren Cyber-Kapazitäten ausgebaut und die Möglichkeiten des Cyberspace als “Wirkmittel” angesehen werden – also in erster Linie als Waffen zum Stören und Zerstören gegnerischer IT-Systeme:

“Attacken auf Computernetze könnten „nicht-letal und mit hoher Präzision auf gegnerische Ziele“ angesetzt werden. Solche Angriffe seien geeignet, die Kampfkraft der Bundeswehr „signifikant zu erweitern” (Q: Spiegel.de)

Interessant ist in diesem Zusammenhang unter anderem die Frage, welche Grenzen der Gesetzgeber für ein derartig offensives Vorgehen setzen wird. Angesichts der hohen Vernetzung und wechselseitigen Abhängigkeiten von IT-Systemen und ihren physischen Infrastrukturen muss bei Angriffen auf einzelne IT-Bestandteile sichergestellt werden, dass keine zivilen Infrastrukturen oder Personen gefährdet werden. Auch wenn für diese Entscheidung in konkreten Einsatzsituationen sicher eine pragmatische Lösung gefunden wird, bleibt abzuwarten, ob entsprechende Entscheidungen der Bundeswehrstrategen durch eine parlamentarische Kontrolle begleitet und kontrolliert werden.

Ein weiteres Detail des Strategiepapiers deutet darauf hin, dass sich die Erweiterung der Cyberkapazitäten jedoch nicht nur auf den Einsatz in konkreten Konfliktsituationen bezieht. In dem Papier heißt es, dass “[für die aktive Verteidigung] stets ein Lagebild über „Verwundbarkeiten“ der gegnerischen Systeme vorliegen [müssten]”. Damit würde die Bundeswehr in die Fußstapfen des US-amerikanischen Cyber Command treten, die in enger Verflechtung mit der NSA von deren Erkenntnissen und Überwachungsmaßnahmen profitiert. Abhängig von der Menge an solchen “gegnerischen Systemen” könnten entsprechende Vorfeld-Aufklärungsmaßnahmen schnell technisch und personell umfangreiche Dimensionen annehmen. Auch ein aktives Eingreifen und Eindringen durch Bundeswehr-Fachkräfte in IT-Systemen in Friedenszeiten könnte erforderlich werden, um bspw. Überwachungs- und Analysesoftware zu installieren.

Auch eine andere Neuerung des Strategiepapiers wirft zusätzliche Fragen auf. Die Bundeswehr soll der Strategie zufolge auch für die Verteidigung bei Cyberangriffen gegen deutsche Einrichtungen, insbesondere gegen kritische Infrastrukturen, verantwortlich sein. Für die Ausübung derartiger Befugnisse muss jedoch zum einen geklärt werden, wie und mit welchen Mittel die dafür befähigten Abteilungen eine sichere Identifikation der Angreifer vornehmen sollen (die UN Charta schreibt für das Recht auf Selbstverteidigung eine zweifelsfreie Identifikation vor) und woher die Ressourcen für eine solche, zumeist recht aufwendige Forensik kommen sollen. Des weiteren bedarf es einer Festlegung mit welchen Mitteln die Abwehr der Bedrohung erfolgen darf um dem völkerrechtlichen Gebot der Verhältnismäßigkeit zu genügen. Diese Aspekte bilden aktuell einige der Kernfragen auf dem Weg zu einer internationalen Regelung der militärischen Aktivitäten im Cyberspace und die Debatten darüber werden bereits seit einigen Jahren in unterschiedlichen internationalen Gremien geführt.

Letztlich stellt der Vorstoß der Bundesverteidigungsministerin einen Schritt dar, den andere internationale Akteure bereits vollzogen haben und ist unter diesem Gesichtspunkt wenig überraschend. Einer Befriedung des Cyberspace wird er damit jedoch sicher nicht zuträglich sein.

NSA Chef General Rogers zur Bedeutung von Backdoors

NSA Chef General Keith Rogers hat sich bei seiner Eröffnungs-Rede beim CCDCOE in Tallinn (unter deren Federführung das Tallinn-Manual erarbeitet wurde) zur Bedeutung von Sicherheitslücken und Hintertüren in Software für die Nachrichtendienste geäußert:

„I certainly have great respect for those that would argue that they most important thing is to ensure the privacy of our citizens and we shouldn’t allow any means for the government to access information. I would argue that’s not in the nation’s best long term interest, that we’ve got to create some structure that should enable us to do that mindful that it has to be done in a legal way and mindful that it shouldn’t be something arbitrary.“

Unerwähnt bleibt dabei wie diese Zugriffsmöglichkeiten genau entstehen sollen. Der Subtext zwischen den Zeilen lässt jedoch unschwer erahnen, dass man sich hier nicht auf Zufallsfunde der eigenen IT-Experten verlassen will:

Rogers said a framework to allow law enforcement agencies to gain access to communications is in place within the phone system in the United States and other areas, so „why can’t we create a similar kind of framework within the internet and the digital age?“

Quelle beider Zitate: schneier.com / Kopie

Neuer Datenbankeintrag zur Spionagekampagne mit Duqu 2.0

Mit Duqu 2.0 wurde ein mutmaßlicher Nachfolger der 2011 enttarnten Malware Duqu entdeckt, die unter anderem die Verhandlungen über das iranische Nuklearprogramm in Genf 2014 ausspioniert haben soll.  Duqu wurde damals in enger Verbindung zu Stuxnet gesehen, mit der eine Urananreicherungsanlage im Iran – durch wahrscheinlich israelische und US-amerikanische Geheimdienste – sabotiert worden ist. Duqu 2.0 ist dem gegenüber eine Spionagekampagne, bei der aus technischer Sicht ein besonderer Wert auf Geheimhaltung und Verborgenheit gelegt wurde. Hier  die Details und Einschätzungen

Neuer Datenbank-Eintrag zum Hack des Netzwerk des deutschen Bundestages

Anfang Mai 2015 wurde bekannt, dass sich Hacker Zutritt zum internen Computersystem des deutschen Bundestages Parlakom, über das auch sämtliche Mitarbeiter und Regionalbüros der Abgeordneten angeschlossen sind, Zutritt verschafft haben. Vermutlich gelang es Ihnen mit Hilfe von Spear-Phishing-E-Mails Rechner einzelner Parlamentsangehörige zu infizieren, über die sie sich mit Hilfe von Trojanern sukzessive weitere Netzbestandteile erschlossen haben. Laut Medienberichten sind bis zu 20.000 verschiedene Accounts über das Netzwerk angeschlossen und potentiell betroffen.

Der Angriff ist nach wie vor noch nicht abgewehrt und es ist gegenwärtig offen, in welchem Umfang der Schaden sein wird und Reparaturarbeiten nötigen sein werden. Hier sind die aktuellsten Informationen zusammengetragen.

Chinas Reaktion auf die neue US-Cyberstrategie

In Reaktion auf die unlängst veröffentlichte Cyber-Strategie des US-amerikanischen Verteidungsministeriums und dessen Fokus auf Abschreckung im Cyberspace haben chinesische Behörden (Originalquelle) mit scharfer – und durchaus stichhaltiger – Kritik reagiert:

“[it] will further escalate tensions and trigger an arms race in cyberspace.”

Ein Beitrag eines Mitglied der chinesischen Akademie der militärischen Wissenschaften fasst die neue Strategie mit drei Worten zusammen:  „deterrence, offense, and alliances“ und stellt insbesondere die prinzipielle Wirkung von Abschreckung im Cyberspace in Frage.

Damit wird leider deutlich, wie weit die internationale Gemeinschaft von der Diskussion einer möglichen Cyber-Konvention entfernt ist. Auch der durchaus kritikwürdige Vorschlag der chinesischen und russischen Regierung von 2011, der bisher einzig ernsthafte Ansatz einer solchen Konvention dürfte damit erst einmal wieder vom Tisch sein.

Die neue US-Cyberstrategie und die Rolle der Abschreckung

Vor wenigen Tagen hat das US-amerikanische Verteidigungsministrium seine aktualisierte Fassung der Strategie für den Cyberspace veröffentlicht. Anders als noch in der vorherigen Fassung von 2011 betont die neue Strategie die Rolle von effektiven offensiven Maßnahmen im Kampf gegen die – aus Sicht des Verteidigungsministeriums – immer stärker werdenden Angriffe. Dabei wird verstärkt auf das militärische Konzept der Abschreckung (engl. „deterrence“) gesetzt, das aus den Zeiten des kalten Krieg bekannt ist. Die Abschreckung soll sich in diesem Fall auf wirksame Cyber-Mittel aber auch konventionelle militärische Methoden beziehen um mögliche Angreifer angesichts drohender Rückschläge von Angriffen abzuhalten

„The United States must be able to declare or display effective response capabilities to deter an adversary from initiating an attack“ (..) „We obviously have a capability to do that, not just in cyber but in other ways“ (Q: U.S. Defense Secretary Ash Carter bei Reuters)

Abschreckung durch die Androhung starker Reaktionen ist jedoch im Cyberspace im Gegensatz zu klassischen Waffen ein eher schwierig zu übertragendes Konzept. Zum einen muss die Abschreckung glaubhaft einem potentiellen Gegner demonstriert werden um diesen von der Ernsthaftigkeit der US-Pläne zu überzeugen. Dies ist inbesondere für Verteidigungsmöglichkeiten die auf Cyber-Mittel setzen schwer, weil bisher keine Vorfälle bekannt wurden, in denen Cyber-Mittel zeitlich nah, zielgenau und präzise gegen bestimmte Ziele eingesetzt werden konnten. Die bisher bekannten „großen“ Cybervorfälle von Stuxnet, der Sony-Hack oder die Hacking-Attacken von TV5 basierten alle auf langwieriger Vorbereitung und Durchführung. Gerade diese Verzögerungen bei Cyberattacken weisen auf ein weiteres Problem hin. Die erwähnten Cyberattacken hatten keinen klaren Angriffszeitpunkt und wurden zumeist erst bekannt, nachdem der Angriff längere Zeit im Verborgenen durchgeführt oder abgeschlossen war. Selbst bei entdeckten Angriffen dauerte es in aller Regel einige Wochen bis zu mehreren Monaten bis die Angriffe forensisch untersucht wurden, mögliche Angreifer identifiziert und tatsächliche Schäden ermittelt werden konnte. Einer solchen Situation mit Abschreckung begegnen zu wollen entspräche dem Bild eines Hausbesitzers, der beim Nachausekommen einen Einbruch bemerkt und laut in der Nachbarschaft seine Rache- und Vergeltungsgedanken verkündet. Sinnvoller wäre eine gute Einbruchssicherung gewesen.

Angesichts dieser Probleme ist auch unklar, ob der Verweis auf mögliche Verteidiungs-Reaktionen mit klassischen Mitteln geeignet erscheint. Die nach der UN-Charta zulässige Selbstverteidigung muss einem Angriff angemessen sein. Inwiefern Schäden durch Cyberattacken – die zu mindestens bisher stets nur materielle Schäden angerichtet haben – eine Vergeltung mit Raketen oder ähnlichem genügen ist daher völlig offen.

Aus diesen Erwägungen heraus erscheint eine Kritik angebracht die durch Mary Ellen O’Connell im Oxford Journal of Conflict and Security Law formuliert wurde:

To date, the problem of Internet security has been the domain of international law scholars with expertise in use of force questions. They have sent the message that the Internet may be protected through military force or the threat of military force, analogizing to Cold War deterrence strategy. Governments have followed this modelling, pouring resources into the military for keeping the Internet safe and for taking advantage of what it offers to attack opponents. Doing so has required strained analogies of cyber­attacks to conventional kinetic attacks. The Internet is now far less secure than before there was a Cyber Command or a NATO CCDCOE. It is time, therefore, to turn to cyber disarmament and a focus on peaceful protection of the Internet. The motto should be: a good cyber defence is good cyber defence.

Warum der TV5-Hack keine Vorlage für den Cyberwar ist

Anfang April 2015 wurde IT-Systeme und Konten bei Social-Media-Diensten des französische Sender TV5 durch mutmaßliche Islamisten gehackt und unter anderem die Ausstrahlung von 11 Fernsehkanälen zeitweilig unterbrochen (mehr bei heise.de / Kopie). Aktuell sind noch keine Details zu dem konkreten Ablauf des Hacks oder wie die Angreifer so tief in das System eindringen konnten bekannt . Erste Spekulationen über veröffentlichte Passworte haben sich nicht bestätigt (Q: heise.de / Kopie). Neben der Ausstrahlung islamistischer Propaganda-Inhalte oder dem Entwenden von Mitarbeiter-Daten wurde vermutlich keine dauerhaften Schäden angerichtet, auch wenn TV5 sicher einige Zeit und viel Geld benötigen wird, um ihre Systeme zu prüfen und abzusichern.

Trotz der dünnen Faktenlage über den eigentlichen Hergang und insbesondere Zustand der IT-Systeme des Senders warnt der Sprecher des CCC (Chaos Computer Club) wie folgt:

Wer heute einen Fernsehsender hackt, kann morgen die Strom- oder Wasserversorgung einer ganzen Stadt lahmlegen. Und damit meine ich nicht nur Terrororganisationen, sondern auch andere Staaten und Geheimdienste (Q: taz.de / Kopie)

Aus Sicht der Sicherheits- und Friedensforschung ist diese Behauptungen gefährlich eher schwierig (Edit: kleiner Disclaimer zu dieser Aussage) und wurde seit Stuxnet vor allem immer dann vorgebracht, wenn es darum ging militärische Interessen einzelner nationaler Akteure voranzutreiben. Folgende Aspekte sprechen gegen diese Sicht oder sollten dazu anregen, entsprechende Vorfälle wie der Hack gegen TV5 oder gegen Sony Pictures Entertainment von Ende 2014 vorsichtig zu bewerten.

Zum einen gibt es für die völkerrechtliche Bewertung von aggressiven Akten als Krieg oder kriegerische Handlung etablierte Definitionen, die von einer Bedrohungen der inneren Sicherheit eines Staates, der Anwendung oder Androhung bewaffneter Gewalt und/oder dem Verlust von Menschenleben ausgehen (siehe u.a. UN Charta Art. 2.4 und Art. 51). Der inflationäre Gebrauch des Begriffes „Krieg“ trägt nicht dazu bei, das öffentlich empfundene Bedrohungspotential zu versachlichen. Auch wenn die aktuellen Diskussion, ab wann eine Cyberattacke völkerrechtliche Signifikanz erhält noch in vollem Gange ist, weisen wissenschaftliche Studien darauf hin, mutmaßlich (para)militärische Vorfälle im Cyberspace zwischen Datendiebstahl, Störung und Zerstörung zu unterscheiden (beispielhaft eine Studie von 2012 „On the Spectrum of Cyberspace Operations„, Kopie). Erst Vorfälle aus der letzten Kategorie könnten sicherheitspolitisch als Akte von Cyberwarfare eingeschätzt werden.

Darüber hinaus ist die Argumentation des CCC-Sprechers auch aus technischer Sicht  kaum stichhaltig. Auch wenn Informationseinrichtungungen wie Fernsehsender als Teil der kritischen Infrastrukturen eines Staates gelten (siehe dazu u.a. „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ des deutschen Bundesinnenministeriums), wird insbesondere die Energieversorgung, als Grundbaustein vieler weiterer wichtiger Infrastrukturen als besonders schutzbedürftig angesehen und entsprechend mit besonderen Sicherheitsauflagen gesetzlich belegt. Man sollte daher davon ausgehen können, das Kraftwerken und die Kontrolle und Verteilung von Energie besser technisch geschützt sind, als die Redaktion und Sendezentrale eines Fernsehsenders. Während erstere Anlagen in aller Regel abgeschottet von öffentlichen Netzwerken betrieben werden, liegt es für Medienbetriebe nahe, ihre Systeme stark zu vernetzen um auf öffentliche Bild- und Ton-Datenbanken zugreifen zu können, redaktionelle Beiträge zwischen lokalen Redaktionen oder anderen Sendeanstalten auszutauschen oder Beiträge, die vor Ort wichtiger Ereignisse erstellt werden, zu übertragen. Auch die Sicherheitsprüfungen von Angestellten oder der Umgang mit persönlichen mobiler Datenträgern (USB-Sticks) ist sicherlich nicht vergleichbar. Darüber hinaus werden in Kraftwerken und Industrie-Anlagen in aller Regel spezialisierte IT-Systeme eingesetzt (bspw. sog. SCADA-Anlagen) und es bedarf einiger Fachkenntnisse über den Aufbau einer konkreten Anlage um sensible Systeme zu erreichen. Exemplarisch verdeutlicht der Abschlussbericht zu den Stuxnet-Vorfällen die notwendige Insider-Kenntnisse und die Komplexität der Angriffsschritte die für die damalige Manipulation notwendig waren. Im Gegensatz dazu verwenden Fernsehanstalten sicherlich größtenteils normale Windows- oder Mac-Systeme für ihre IT-Landschaft.  Tatsächlich existieren für die zuverlässige und empirisch gesicherte Bedrohungseinschätzung von Cyberattacken auf kritische Infrastrukturen noch keine öffentlich verfügbaren Studien um bspw. einzuschätzen wie hoch der Aufwand eines Angreifers sein muss um relevante und anhaltende Schäden zu erzeugen. Darüber hinaus sollte man davon ausgehen, das Betreiber entsprechender Anlagen aus Eigeninteresse und auf Grundlage schärferer Richtlinien aus den Erkenntnisse der Stuxnet-Vorfälle gelernt haben und noch stärker auf die Abschottung kritischer Systeme setzen.

Vor diesem Überlegungen erscheint eine Behauptung wie die eingangs zitierte grob fahrlässig. Zum einen schürt sie weiter die Angst vor den Bedrohungen aus dem Cyberspace in der medialen Wahrnehmung und treibt die Sorgen vor einem Cyber-Terrorismus voran, ohne tatsächlich über Aufwände, Ressourcen und Möglichkeiten und Grenzen derartiger Spekulationen zu sprechen. Auf diese Weise wird auch die Logik von militärischen Rüstungswettläufen, getrieben von unbekannten und überschätzten Bedrohungen durch feindliche Akteure, wie sie im Cyberspace bereits erkennbar wird (vergleiche dazu bspw. den UNIDIR Cyber Index), weiter voran getrieben. Und dass kann sicher auch nicht im Interesse des Chaos Computer Clubs sein.

Disclaimer:

Da es an dieser Stelle so wirkt als würde ich den Autor des TAZ-Artikels direkt angreifen, möchte ich hiermit unbedingt darauf hinweisen, dass es mir nur um die wissenschaftliche Auseinandersetzung mit Thesen geht. Ich verfolge seit einigen Jahren die Diskussionen in internationalen politischen Gremien und das hier von mir kritisierte Argument ist meinem Gefühl nach einfach zu oft als Totschlag-Argument verwendet werden. Aus diesem Grund ist es mir wichtig in diesem Artikel meine Sicht und die Kritikpunkte an einer solchen Aussage darzustellen. Wenn ich den Autor damit persönlich verletzt habe, so möchte ich mich hiermit ausdrücklich entschuldigen.

Neuer Datenbank-Eintrag: „Equation Group“

Die Datenbank wurde erweitert um Hintergrund, technische Details und Analysen zur sogenannten Equation Group, einer jahrelange Spionage-Kampagne die weltweit unterschiedlichste Ziel mit hoch-entwickelten Malware-Werkzeugen angegriffen hat. Die Qualität der Einsatzwerkzeuge und die Breite der angegriffenen Ziele deuten stark auf einen geheimdienstlichen Ursprung hin, möglicherweise handelt es sich bei der „Equation Group“ direkt um die bisher als „Tailored Access Operations„-Einheit bekannte Einheit der NSA.

Vupen und die Wassenaar-Beschränkungen

Nachdem Ende 2013 “Intrusion software” auf die Liste der, nach dem Wassenaar-Abkommen in der Ausfuhr-beschränkten Güter aufgenommen wurde, zeigen diese Regelungen scheinbar die ersten wirtschaftlichen Auswirkungen. Dies lässt zu mindestens die Ankündigung der in Frankreich beheimateten Firma „Vupen“ vermuten, die angekündigt haben, ihren Stammsitz aus Frankreich verlegen zu wollen:

„Ich bin ein starker Befürworter dieser Methode der Exportkontrolle von diesen Techniken, aber unglücklicherweise sind die Verzögerungen französischer Behörden nicht länger für uns hinnehmbar, weil inkompatibel mit der Geschwindigkeit des Geschäftes“, wird Geschäftsführer Chaouki Bekrar zitiert“ (Q: heise.de, Kopie)

Vupen plant unter anderem in Singapur und Luxemburg Büros einzurichten. Da Luxemburg aber wie Frankreich das Wassenaar-Abkommen unterzeichnet hat,  könnte der neue Firmenhauptsitz also demnächst von Singapur aus geführt werden, von dort aus sicherlich ohne die „Überdosis Bürokratie“ die Chaouki Bekrar gegenwärtig beklagt (Q: L’Expansion, Kopie [französisch]).

Näheres zum Wassenaar-Abkommen, den neuen Regelungen und den „digitalen Waffenhändlern“ kann hier in einem älteren Beitrag nachgelesen werden.