News

[Kurz notiert] Bundeswehr beteiligt sich am Kampf gegen den IS nicht mit CNO

Diese Meldung hier ist mehr oder weniger ein „stating the obvious“. Einer aktuellen Antwort der Bundesregierung (lokale Kopie) auf eine Anfrage der Fraktion Bündnis 90/Die Grünen zufolge beteiligt sich die Bundeswehr im Rahmen der Operation „Counter Daesh“ im Kampf gegen den IS nicht mit Cybermittel. Ein solcher Einsatz ist im Mandat nicht konkret vorgesehen, wäre aber möglicherweise im Rahmen der zugesagten militärischen Aufklärung zumindestens zwischen den Zeilen denkbar. Einen solchen offensiven Einsatz von Cybermittel haben die USA im März 2016 angekündigt. Damit bleibt trotz Aufbau des neuen Cyber-Bereiches bei der Bundeswehr und angesichts des Bestehen der offensiven CNO-Einheit seit 2006 nach wie vor unklar, wofür genau diese Einheit trainiert und wann/wie sie eingesetzt werden soll.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Weitere bilaterale Bemühungen um „Cyberfrieden“ mit China

Wie es scheint, tragen die diplomatischen Bemühungen der USA und Chinas, die im vergangenen Jahr auf höchster Ebene stattfanden weitere Früchte. Einer Presse-Meldung des US Außenministeriums zufolge fanden im Rahmen von Gesprächen zwischen den Außenministern der USA und Chinas auch Abstimmung über weitere, konkrete Schritte in Richtung eines gemeinsamen Kampfes gegen Bedrohungen im Cyberspace statt. Vorrangig geht es dabei in erster Linie um die Eingrenzung digitaler Wirtschaftsspionage. Allerdings dienen diese Gespräche auch in großem Rahmen dazu, die Abstimmungen über ein gemeinsames Verständnis der Herausforderungen im Cyberspace und den Regeln staatlichen Verhaltens in dieser Domäne (für die es nach wie vor kein international einheitliches Vorgehen gibt) voran zu bringen. Da es während der Gespräche auch Konsultationen zur militärischen und zur nuklearen Sicherheit gegeben hat, besteht die Hoffnung, dass auf diesem Wege die internationalen Abstimmungen über die Eingrenzung der Militarisierung des Cyberspace voran getrieben werden. Zuletzt hatten China, Russland und weitere Staaten Anfang 2015 einen Entwurf für einen „International code of conduct for information security“  (hier in der Liste wichtiger Dokumente). Die Gespräche dazu sind jedoch im Zuge der Ukraine-Krise nicht ernsthaft vorangekommen.

Hier der Auszug aus der Presse-Mitteilungen zu den US-China-Gesprächen:

Cyber Security: The United States and China welcomed the cyber commitments reached between President Obama and President Xi during the State Visit last September. The two sides welcomed the results of the inaugural U.S.-China High-Level Dialogue on Cybercrime and Related Issues in December, where the two sides decided to build on these commitments through consistent implementation of guidelines for combating c ybercrime and related issues ; and cooperation to combat malicious cyber activity, including hacker attacks. Both countries also reaffirmed their commitment to refrain from conducting or knowingly supporting cyber-enabled theft of intellectual property, including trade secrets or other confidential business information, with the intent of providing competitive advantages to companies or commercial sectors. Both countries affirmed the value of the inaugural Senior Experts Group on International Norms in Cyberspace and Related Issues, where the two sides held constructive, in-depth and fruitful discussion on international norms and related issues in cyberspace and decided to further discuss these issues in the search for common ground. The two sides decided to hold the next round of the Senior Experts Group in six months. The two sides look forward to conducting a successful second High-Level Dialogue on Cybercrime and Related Issues, which is planned for June 14 in Beijing. (Q: state.gov, lokale Kopie)

Während dessen kommen Anstrengungen der deutschen Bundesregierung, ein vergleichbares Abkommen zur Eingrenzung der Wirtschaftsspionage mit China offenbar nicht voran (Q: heise.de, lokale Kopie). So wurde auf einen Vorschlag der deutschen Regierung in Vorbereitung auf (mittlerweile erfolgte) Regierungskonsultationen Mitte Juli noch nicht reagiert.

Da der (Cyber)Diebstahl von Unternehmensdaten nach wie vor ein großes Problem deutscher Unternehmen zu sein scheint,25 bleibt abzuwarten, in welchem Umfang und mit welchen Maßnahmen diese Herausforderungen im Rahmen der neuen Cybersicherheits-Strategie addressiert werden wird.

[Kurz notiert] Bericht über Probleme mit kritischen Infrastrukturen

Die beiden Sicherheitsforscher und Gründer der Plattform internetwache.org Tim Philipp Schäfers und Sebastian Neef legen in einem sehr ausführlichem Bericht dar, wie einfach es nach wie vor zum Teil ist, IT-Systeme von kritischen Infrastrukturen im Netz zu finden, diese anzugreifen und Informationen zu entwenden oder kritische Steuerungsmöglichkeiten zu erlangen. Der Bericht ist in seiner ausführlichen Darstellung sehr empfehlenswert.

Mit dem Fokus der militärischen Nutzung des Cyberspace muss dem gegenüber gestellt werden, dass jedoch ein erheblicher Unterschied zur militärischen und nachrichtendienstlichen Vorgehensweise besteht. Dort geht es zum einen in aller Regel nicht darum ein beliebiges, zufällig entdecktes und anfälliges System zu knacken, sondern darum spezielle, strategisch relevante und ausgewählte Ziele zu unterwandern. Zum anderen erfolgt ein solcher Zugriff zumeist nicht zeitgleich, sondern in Vorbereitung konkreter militärischer Aktivitäten. Daher müssen die Angreifer einen hohen Aufwand betreiben um innerhalb der Systeme verdeckt zu bleiben und diese Tarnung ggf. lange aufrecht zu erhalten. Die Ressourcen für derart gestaltete Angriff sind deutlich höher. Eine sehr umfangreiche Dokumentation eines solchen exemplarischen Vorfalls  ist der Abschlussbericht „To Kill a Centrifuge – A Technical Analysis of What Stuxnet’s Creators Tried to Achieve„(Q: Langner.com) von Ralf Langer zu Stuxnet.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

[Kurz notiert] DARPA-Wettkampf zum vollautomatisierten Hacking

Die Forschungseinrichtung des US-Militärs DARPA (Defense Advanced Research Projects Agency) veranstaltet demnächst zeitlich sehr geschickt zwischen zwei großen Hacking-Konferenzen (Blackhat und Defcon) gelegen das Finale des DARPA’s Cyber Grand Challenge (lokale Kopie der Presseankündigung). Dabei geht es darum Computer mit einem speziellen, von der DARPA entwickelter Sicherheits-Betriebssystem so zu programmieren, dass diese automatisiert im Rahmen des Wettkampf andere Systeme hacken bzw. Angriffe selbst erkennen, abwehren und Sicherheitslücken schließen können.

Eigenen Aussagen der DARPA zufolge (lokale Kopie) dienen die Erkenntnisse ausschließlich dem Zweck, IT-Sicherheit durch selbst-reparierende Systeme zu verbessern. Allerdings hat bereits Edward Snowden von Anstrengungen der NSA (in Form eines Programms namens Monstermind) berichtet (lokale Kopie), dass automatisiert breitflächig IT-System infiltrieren, unter eigene Kontrolle bringen können soll und in die Lage versetzt werden automatisiert offensiv auf Angriffe zu reagieren.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

(Cyber)Ergebnisse des Warschauer NATO-Gipfels

Erwartungsgemäß spielte das Thema „Cyber“ beim vergangenen NATO-Gipfel ein wichtige Rolle. Bereits im Vorfeld wurde angenommen, dass insbesondere die Abwehr von Bedrohungen aus dem Cyberspace als weitere zentrale Aufgabe der kollektiven Verteidigung aufgenommen werden würden. Das Abschluß-Communiquè (lokale Kopie) bestätigt diese Annahmen und so sollen die wichtigsten Cyber-Beschlüsse hier dokumentiert werden.

We agreed in Wales that cyber defence is part of NATO’s core task of collective defence.  Now, in Warsaw, we reaffirm NATO’s defensive mandate, and recognise cyberspace as a domain of operations in which NATO must defend itself as effectively as it does in the air, on land, and at sea.  This will improve NATO’s ability to protect and conduct operations across these domains and maintain our freedom of action and decision, in all circumstances.  It will support NATO’s broader deterrence and defence [..] We continue to implement NATO’s Enhanced Policy on Cyber Defence and strengthen NATO’s cyber defence capabilities, benefiting from the latest cutting edge technologies (Q: Warsaw Summit Communiqué, Punkt 70)

We will ensure that Allies are equipped for, and meet requirements tailored to, the 21st century.  Today, through our Cyber Defence Pledge, we have committed to enhance the cyber defences of our national networks and infrastructures, as a matter of priority.  Each Ally will honour its responsibility to improve its resilience and ability to respond quickly and effectively to cyber attacks, including in hybrid contexts. [..] We remain committed to close bilateral and multilateral cyber defence cooperation, including on information sharing and situational awareness, education, training, and exercises.  Strong partnerships play a key role in effectively addressing cyber challenges (Q: Warsaw Summit Communiqué, Punkt 71)

Damit werden wohl in den kommenden Jahren auch weitere NATO-Staaten im Aufbau expliziter militärischer Cyber-Bereiche – wie aktuell vom deutschen Verteidigungsministerium vorgesehen – mitziehen. Interessant wird dabei unter anderem, wie der – nach wie vor nur inoffiziell geklärte – Umgang mit den Regeln militärischer Aktivitäten im Cyberspace interpretiert werden wird.

Neben den konkreten militärischen Herausforderungen betont das  Communiqué aber auch noch die Bedeutung kritischer ziviler Infrastrukturen und hebt die Aufgabe dessen Schutz auch im Rahmen des NATO-Selbstverständnisses hervor:

We will consult and share information on energy security issues of particular concern to Allies and the Alliance, with a view to providing a comprehensive picture of the evolving energy landscape, concentrating on areas where NATO can add value.  We will also continue to develop NATO’s capacity to support national authorities in protecting critical infrastructure, as well as enhancing their resilience against energy supply disruptions that could affect national and collective defence, including hybrid and cyber threats. (Q: Warsaw Summit Communiqué, Punkt 135)

Neben dem Communiquè gibt es noch eine offizielle, in Deutsch übersetzte Erklärung der NATO-Partner zur Cyber-Abwehr (lokale Kopie), die hier der Vollständigkeit halber noch mit aufgenommen werden soll und die Kernpunkte des Communiquès zusammenfasst.

Auswertung des Weißbuches 2016 und der militärischen Bedeutung des Cyberspace

Am heutigen Mittwoch soll im Parlament das neue Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr beschlossen werden. Die taz hat dieses Dokument in einem weitgehend fertig zwischen den beteiligten Ressorts abgestimmten Arbeitsentwurf (Stand 24.Mai 2016) veröffentlicht. Die Ausführungen sind geprägt von einem klaren Bekenntnis zum Willen des militärischen Wirkens – defensiv und offensiv – im Cyberspace.

Im hier verlinkten PDF (das an dieser Stelle dann jeweils in der aktualisierten Fassung hinterlegt wird) folgt eine Kurzanalyse des zukünftigen Bundeswehr-Weißbuchs  mit Blick auf die strategischen Planungen der Bundeswehr insbesondere im Cyberspace.

Mehr dazu in Kürze.

Update: Das Weißbuch 2016 wurde heute vom Kabinett verabschiedet und kann hier in der finalen Fassung heruntergeladen (lokale Kopie) werden. Ein Vergleich der hier ausgewerteten Fassung und dem finalen Stand wird nachgereicht.

Verbindung der neuen Cybersicherheits-Strategie zu den militärischen Cyber-Plänen

Wie in der vergangenen Woche durch ZEIT (Q: zeit.de, lokale Kopie) und Deutschlandfunk (Q:  deutschlandfunk.de, lokale Kopie) vermeldet arbeitet die Bundesregierung an einer neuen Cybersicherheits-Strategie. Der Strategie zufolge sollen mehrere neue zivile Cyber-Einheiten zum Zweck der Strafverfolgung und der zivilen Gefahrenabwehr (genaueres im Artikel des DLF) aufgebaut werden. Daneben fällt mit Blick auf die vor wenigen Wochen veröffentlichten Pläne der Bundeswehr zum Aufbau eines Cyber-Organisationsbereichs die Planung einer weiteren Stelle im Innenministerium auf, die  ”technische Unterstützung für nationale Sicherheitsbehörden im Hinblick auf deren operative Cyberfähigkeiten” leisten soll und dafür “bedarfsbezogen und zukunftsorientiert Methoden, Produkte und Strategien für die operative Umsetzung der Cyberfähigkeiten in den Sicherheitsbehörden erarbeitet” (Original-Zitate aus dem ZEIT-Artikel). Die weiteren Vorschläge mit Bezug auf die Bundeswehr wie den Ausbau der bereits existierenden Kooperationen und Koordinationen im Rahmen des Cyberabwehrzentrums sowie die Unterstützung von IT-Aufgaben durch private Dienstleister hatten sich bereits mit dem Abschlußbericht des Cyber-Aufbaustabs angedeutet. Dem gegenüber blieben konkrete Aussagen zu den Planungen für offensive Fähigkeiten der Bundeswehr – abgesehen von dem Ausdruck des Bedarfs – aus.

Eine der dabei entscheidenden Fragen, der in Anhörungen und Stellungnahmen des BMVg in den vergangenen Monaten eher ausgewichen wurde, betrifft die engen, parlamentarisch gedeckten Regelungen zum offensiven Wirken im Cyberspace. Auf Nachfragen durch Abgeordnete wurde dabei stets der, auch für Operationen im Cyberspace geltende Parlamentsvorbehalt betont ohne dabei jedoch zu erläutern, wie Cyberoperationen Sinn ergeben sollen, wenn jegliche offensive Handlungen (und dazu zählen bereits Port-Scans oder die Analyse fremder Netzwerke) erst nach Freigabe durch das Parlament und ausschließlich für spezifische Einsatzgebiete erlaubt sind. Das gleiche Dilemma betrifft die Ausrüstung der Bundeswehr mit Werkzeugen die potentiell für  ein solches aktives und offensives Agieren eingesetzt werden könnten. Gleichwohl sehen die BMVg-Pläne einen Ausbau der für offensive Cyber-Einsätze trainierenden CNO-Einheit zum April 2017 vor und lassen strategische Planungen im Ministerium vermuten.

Die neue, beim BMI angesiedelte Stelle könnte der Missing-Link zwischen diesem strategischen “Soll” und den demokratischen Auflagen des “Dürfen” einer Verteidigungsarmee sein, indem die ohnehin bereits bestehenden Verbindungen zum BND und dem BMI ausgebaut und für jene Aktivitäten genutzt werden, die der Bundeswehr untersagt sind. Einem Bericht des Bundeswehr-Journals zufolge sind ca. 10% der BND-Mitarbeiter aus Kreisen der Bundeswehr rekrutiert oder im Rahmen von Rotationen dorthin versetzt worden. Die Beschaffungsstelle würde damit qua gesetzlicher Regelungen in die Lage versetzt, Hilfsmittel für das Wirken im Cyberspace zu beschaffen oder entwickeln zu lassen, der BND übernimmt die “Lagebildaufklärung” in fremden Netzen und beide Ressourcen würde im Konfliktfall den CNO-Kräften der Bundeswehr zur Verfügung gestellt werden. Bis zum Erscheinen der neuen Cyberstrategie und der Konkretisierung der genauen Schnittstellen zwischen den Institutionen bleiben dies Mutmaßungen, würde jedoch erklären, wie sich das BMVg den offensiven Einsatz im Cyberspace vorstellt und warum trotz fehlender (öffentlich verfügbarer) strategischer Leitlinie für den Cyberspace seit 2006 am Aufbau und dem Training der offensiven CNO-Einheit festgehalten wird.

[Kurz notiert] NATO-Gipfel in Warschau tagt zum Cyberspace

Am morgigen Freitag (8.7.) startet das NATO-Gipfeltreffen in Warschau. Es wird erwartet, dass die anwesenden Minister und Militärs wie angekündigt die Verteidigung im Cyberspace als integralen Bestandteil der militärischen Planung sowie als Gegenstand des Artikels 5 des NATO-Vertrags (Bündnis-Regelungen) aufnehmen. Hier ein paar Hintergründe dazu. Diese Planungen sind seit längerem bekannt, interessant wird daher in erster Linie welche Leitlinien zur Cyber-Verteidigungs aufgestellt werden und welche Konsequenzen sich für die einzelnen NATO-Staaten daraus zum Auf- und Ausbau ihrer Cyber-Einheiten ergeben… auch hinsichtlich etwaiger offensiver Planungen oder der sog. „active defense“ oder „hack back“, also das aktive Eindringen in Systeme des Angreifers um Angriffe abzuwehren. Bisher existiert dazu nur eine Studie des CCDCOE in Tallinn und Aussagen der deutschen Verteidigungsministerin sowie der Staatssekretärin Frau Suder zufolge wurde ein solches Vorgehen bisher verworfen. Mal schauen, wie das nach dem Treffen in Warschau aussieht.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

[Kurz notiert] Nord-Koreas staatliche Hacker

Mitte Juli wurden Informationen zu einer Hacking-Kampagne in Süd-Korea bekannt, bei der tausenden Dokumente des Militärs und von Rüstungsbetrieben entwendet worden sein sollen. Darunter sollen sich auch Informationen zu militärischen Projekten wie dem Jagdflugzeug F-15 befunden haben. Hinter der Hacking-Attacken sollen nord-koreanische staatliche Einheiten stehen, die bereits seit 2014 in mehr als 140.000 Rechner eingebrochen sein sollen. Grundlage der Zuordnung sind wie bereits bei vorherigen Fällen die Geolocation der IP-Adressen. Die schiere Zahl der infizierten Systeme scheint darauf hinzudeuten, dass es sich nicht um eine gezielte Attacke handelt. Stattdessen wurden scheinbar massiv Rechner mit Schadsoftware infiziert, die daraufhin erst einmal inaktiv geblieben sind und nur für die weitere Verbreitung benutzt wurden (ein üblicher Weg um „tiefer“ in Netzwerke einzudringen). Anders als im Falle des Sony-Pictures-Entertainment-Hacks von Ende 2014 ergeben die Anschuldigungen hier durchaus Sinn, da Nord-Korea zweifelsohne Interesse an militärischer Aufklärung und Spionage gegen Süd-Korea hat. Da man von einen signifikanten Schutz der entwendeten militärischen Informationen ausgehen kann, könnte die Kampagne auf deutlich gesteigerte militärische Fähigkeiten Nord-Koreas im Cyberspace hindeuten.  (Q: Reuters, lokale Kopie)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Datenbank-Eintrag zu Stuxnet-ähnlichem IRONGATE

Wie bereits vor wenigen Tagen hier erwähnt, wurde im vergangenen Jahr eine Malware namens IRONGATE entdeckt, die sich insbesondere konzeptionell sehr an Stuxnet orientiert. Die Malware scheint dabei vor allem eine Test-Entwicklung gewesen zu sein. Dennoch verweist dessen Analyse auf das Problem, „dass Angriffe nach dem Muster von Stuxnet, bei denen gezielt Industrieanlagen mit maßgeschneiderter Malware manipuliert werden, weiterhin eine reelle Bedrohung darstellen und offenbar von unbekannten Akteuren erprobt werden.“

Alles weitere hier im Eintrag zu IRONGATE in der Datenbank relevanter Cyber-Vorfälle.