News

Warum der TV5-Hack keine Vorlage für den Cyberwar ist

Anfang April 2015 wurde IT-Systeme und Konten bei Social-Media-Diensten des französische Sender TV5 durch mutmaßliche Islamisten gehackt und unter anderem die Ausstrahlung von 11 Fernsehkanälen zeitweilig unterbrochen (mehr bei heise.de / Kopie). Aktuell sind noch keine Details zu dem konkreten Ablauf des Hacks oder wie die Angreifer so tief in das System eindringen konnten bekannt . Erste Spekulationen über veröffentlichte Passworte haben sich nicht bestätigt (Q: heise.de / Kopie). Neben der Ausstrahlung islamistischer Propaganda-Inhalte oder dem Entwenden von Mitarbeiter-Daten wurde vermutlich keine dauerhaften Schäden angerichtet, auch wenn TV5 sicher einige Zeit und viel Geld benötigen wird, um ihre Systeme zu prüfen und abzusichern.

Trotz der dünnen Faktenlage über den eigentlichen Hergang und insbesondere Zustand der IT-Systeme des Senders warnt der Sprecher des CCC (Chaos Computer Club) wie folgt:

Wer heute einen Fernsehsender hackt, kann morgen die Strom- oder Wasserversorgung einer ganzen Stadt lahmlegen. Und damit meine ich nicht nur Terrororganisationen, sondern auch andere Staaten und Geheimdienste (Q: taz.de / Kopie)

Aus Sicht der Sicherheits- und Friedensforschung ist diese Behauptungen gefährlich und wurde seit Stuxnet immer dann vorgebracht, wenn es darum ging militärische Interessen einzelner nationaler Akteure voranzutreiben. Folgende Aspekte sprechen gegen diese Sicht oder sollten dazu anregen, entsprechende Vorfälle wie der Hack gegen TV5 oder gegen Sony Pictures Entertainment von Ende 2014 vorsichtig zu bewerten.

Zum einen gibt es für die völkerrechtliche Bewertung von aggressiven Akten als Krieg oder kriegerische Handlung etablierte Definitionen, die von einer Bedrohungen der inneren Sicherheit eines Staates, der Anwendung oder Androhung bewaffneter Gewalt und/oder dem Verlust von Menschenleben ausgehen (siehe u.a. UN Charta Art. 2.4 und Art. 51). Der inflationäre Gebrauch des Begriffes “Krieg” trägt nicht dazu bei, das öffentlich empfundene Bedrohungspotential zu versachlichen. Auch wenn die aktuellen Diskussion, ab wann eine Cyberattacke völkerrechtliche Signifikanz erhält noch in vollem Gange ist, weisen wissenschaftliche Studien darauf hin, mutmaßlich (para)militärische Vorfälle im Cyberspace zwischen Datendiebstahl, Störung und Zerstörung zu unterscheiden (beispielhaft eine Studie von 2012 “On the Spectrum of Cyberspace Operations“, Kopie). Erst Vorfälle aus der letzten Kategorie könnten sicherheitspolitisch als Akte von Cyberwarfare eingeschätzt werden.

Darüber hinaus ist die Argumentation des CCC-Sprechers auch aus technischer Sicht  kaum stichhaltig. Auch wenn Informationseinrichtungungen wie Fernsehsender als Teil der kritischen Infrastrukturen eines Staates gelten (siehe dazu u.a. “Nationale Strategie zum Schutz Kritischer Infrastrukturen” des deutschen Bundesinnenministeriums), wird insbesondere die Energieversorgung, als Grundbaustein vieler weiterer wichtiger Infrastrukturen als besonders schutzbedürftig angesehen und entsprechend mit besonderen Sicherheitsauflagen gesetzlich belegt. Man sollte daher davon ausgehen können, das Kraftwerken und die Kontrolle und Verteilung von Energie besser technisch geschützt sind, als die Redaktion und Sendezentrale eines Fernsehsenders. Während erstere Anlagen in aller Regel abgeschottet von öffentlichen Netzwerken betrieben werden, liegt es für Medienbetriebe nahe, ihre Systeme stark zu vernetzen um auf öffentliche Bild- und Ton-Datenbanken zugreifen zu können, redaktionelle Beiträge zwischen lokalen Redaktionen oder anderen Sendeanstalten auszutauschen oder Beiträge, die vor Ort wichtiger Ereignisse erstellt werden, zu übertragen. Auch die Sicherheitsprüfungen von Angestellten oder der Umgang mit persönlichen mobiler Datenträgern (USB-Sticks) ist sicherlich nicht vergleichbar. Darüber hinaus werden in Kraftwerken und Industrie-Anlagen in aller Regel spezialisierte IT-Systeme eingesetzt (bspw. sog. SCADA-Anlagen) und es bedarf einiger Fachkenntnisse über den Aufbau einer konkreten Anlage um sensible Systeme zu erreichen. Exemplarisch verdeutlicht der Abschlussbericht zu den Stuxnet-Vorfällen die notwendige Insider-Kenntnisse und die Komplexität der Angriffsschritte die für die damalige Manipulation notwendig waren. Im Gegensatz dazu verwenden Fernsehanstalten sicherlich größtenteils normale Windows- oder Mac-Systeme für ihre IT-Landschaft.  Tatsächlich existieren für die zuverlässige und empirisch gesicherte Bedrohungseinschätzung von Cyberattacken auf kritische Infrastrukturen noch keine öffentlich verfügbaren Studien um bspw. einzuschätzen wie hoch der Aufwand eines Angreifers sein muss um relevante und anhaltende Schäden zu erzeugen. Darüber hinaus sollte man davon ausgehen, das Betreiber entsprechender Anlagen aus Eigeninteresse und auf Grundlage schärferer Richtlinien aus den Erkenntnisse der Stuxnet-Vorfälle gelernt haben und noch stärker auf die Abschottung kritischer Systeme setzen.

Vor diesem Überlegungen erscheint eine Behauptung wie die eingangs zitierte grob fahrlässig. Zum einen schürt sie weiter die Angst vor den Bedrohungen aus dem Cyberspace in der medialen Wahrnehmung und treibt die Sorgen vor einem Cyber-Terrorismus voran, ohne tatsächlich über Aufwände, Ressourcen und Möglichkeiten und Grenzen derartiger Spekulationen zu sprechen. Auf diese Weise wird auch die Logik von militärischen Rüstungswettläufen, getrieben von unbekannten und überschätzten Bedrohungen durch feindliche Akteure, wie sie im Cyberspace bereits erkennbar wird (vergleiche dazu bspw. den UNIDIR Cyber Index), weiter voran getrieben. Und dass kann sicher auch nicht im Interesse des Chaos Computer Clubs sein.

 

Neuer Datenbank-Eintrag: “Equation Group”

Die Datenbank wurde erweitert um Hintergrund, technische Details und Analysen zur sogenannten Equation Group, einer jahrelange Spionage-Kampagne die weltweit unterschiedlichste Ziel mit hoch-entwickelten Malware-Werkzeugen angegriffen hat. Die Qualität der Einsatzwerkzeuge und die Breite der angegriffenen Ziele deuten stark auf einen geheimdienstlichen Ursprung hin, möglicherweise handelt es sich bei der “Equation Group” direkt um die bisher als “Tailored Access Operations“-Einheit bekannte Einheit der NSA.

Vupen und die Wassenaar-Beschränkungen

Nachdem Ende 2013 “Intrusion software” auf die Liste der, nach dem Wassenaar-Abkommen in der Ausfuhr-beschränkten Güter aufgenommen wurde, zeigen diese Regelungen scheinbar die ersten wirtschaftlichen Auswirkungen. Dies lässt zu mindestens die Ankündigung der in Frankreich beheimateten Firma “Vupen” vermuten, die angekündigt haben, ihren Stammsitz aus Frankreich verlegen zu wollen:

“Ich bin ein starker Befürworter dieser Methode der Exportkontrolle von diesen Techniken, aber unglücklicherweise sind die Verzögerungen französischer Behörden nicht länger für uns hinnehmbar, weil inkompatibel mit der Geschwindigkeit des Geschäftes”, wird Geschäftsführer Chaouki Bekrar zitiert” (Q: heise.de, Kopie)

Vupen plant unter anderem in Singapur und Luxemburg Büros einzurichten. Da Luxemburg aber wie Frankreich das Wassenaar-Abkommen unterzeichnet hat,  könnte der neue Firmenhauptsitz also demnächst von Singapur aus geführt werden, von dort aus sicherlich ohne die “Überdosis Bürokratie” die Chaouki Bekrar gegenwärtig beklagt (Q: L’Expansion, Kopie [französisch]).

Näheres zum Wassenaar-Abkommen, den neuen Regelungen und den “digitalen Waffenhändlern” kann hier in einem älteren Beitrag nachgelesen werden.

Die Schweiz rüstet sich für den Cyberwar

Die NZZ berichtet in der heutigen Onlineausgabe (PDF des Artikel und Quelle) von einer Initiative des schweizer Nachrichtendienstes NDB (Nachrichtendienst des Bundes), dessen Befugnisse im Cyberspace durch ein neues Gesetz deutlich erweitert werden sollen. Mit der Änderung “ist denn auch vorgesehen, das der NDB künftig in Computersysteme und -netzwerke eindringen kann – auch im Ausland [um dort] den digitalen Informationsfluss aber auch «stören, verhindern oder verlangsamen» [zu] können, falls er den begründeten Verdacht hat, dass Systeme für Angriffe auf kritische Infrastrukturen in der Schweiz verwendet werden”

Obwohl ein solches Vorgehen vermutlich ohnehin zur Praxis von Auslandsnachrichtendiensten gehört ist es bemerkenswert, dass derartige Befugnisse und Vorhaben offen kommuniziert werden. Derart klare Aufgabenbeschreibungen die das Stören fremder Systeme umfassen gab es bisher nur in der präsidialen Direktive PPD 20/2012 von US-Präsident Obama. Diese Anweisung an die US-Geheimdienste und das US-Militär war allerdings ursprünglich geheim und wurde erst durch Edward Snowden enthüllt. Von daher bleibt abzuwarten, in welchem Umfang weitere Staaten eine derart deutliche Sprache wählen und dem allgemeinen Trend der Aufrüstung im Cyberspace folgen werden.

[Update:] Anders als es der NZZ-Artikel suggeriert sollen sich die offensiven Befugnisse ausschließlich auf die Möglichkeit beziehen, im Falle von Angriffen gegen schweizerische Computersysteme die Ursprungssysteme selbst anzugreifen um Gefahren abzuwehren. Myriam Dunn-Cavelty von der ETH Zürich meint dazu:

Der Artikel ist leider sehr unpräzise formuliert. Die Befugnisse im Gesetz sind sehr klar definiert, es geht nur um ein „Hack Back“. Wenn also bspw. mit Sicherheit klar ist, dass ein Land eine Distributed Denial of Service Attacke (DDoS) auf die Schweizerische Nationalbank durchführt, dann soll für solche akuten Bedrohungen die Möglichkeit bestehen, diese Computer zu stören und ggf. abschalten. Es geht hier also “nur” um “active defense” und auf keinen Fall vorbereitende oder offensive Handlungen.

Der Originaltext des Gesetzesvorhaben kann hier eingesehen (lokale PDF und Originalquelle) werden. Der NZZ-Beitrag bezieht sich dabei vor allem auf Artikel 25/d.

Enge Verbindungen zwischen nachrichtendienstlichen und militärischen Organisation wie sie bspw. in den USA in Form der NSA und der US-Cybercom bestehen demonstrieren jedoch, wie schnell defensive Fähigkeiten auch Begehrlichkeiten für die militärische Planungen im Cyberspace wecken. Letztlich bleibt es dabei, dass in erster Linie die Absicht des Anwenders darüber entscheidet, ob der Einsatz einer Software im Cyberspace der Verteidigung oder dem Angriff dient.

Neuer Datenbank-Eintrag: Regin

Die Datenbank wichtiger Vorfälle im Cyberspace wurde aktualisiert und um Informationen zur Schadsoftware “Regin” erweitert. Mehr Informationen und Analysen finden Sie hier

Von den Realitäten im Cyberwar, oder:
Die Bedeutung des Sony-Hacks für zukünftige Cyber-Konflikte

Im sicherheitspolitik-blog ist heute ein Gastbeitrag erschienen, der die Vorfälle des Sony-Hacks Ende des letzten Jahres nochmals aufgreift und sich mit der Bedeutung der US-amerikanischen Regierung für zukünftige Cyber-Konflikte auseinandersetzt.

An dieser Stelle sei deshalb dorthin verwiesen.

In eigener Sache

Aufgrund einer längeren Erkrankungen konnte diese Seite in den vergangenen zwei Monaten kaum gepflegt und mit Informationen über die gegenwärtigen Entwicklungen aktualisiert werden und das obgleich in den vergangenen Wochen sehr viel vorgefallen ist. Zum einen wurde auf Rechner von Regierungsinstitutionen und Unternehmen mehrerer Staaten eine sehr ausgefeilte Spionage-Software namens “Regin” entdeckt, deren Qualität auf einen staatlichen Ursprung schließen lassen. Zum anderen haben die Geschehnisse um den Hack gegen weite Netze des Unternehmens Sony und die Anschuldigungen der US-Regierung gegen Nord-Korea als Urheber dieser Attacke ein interessantes Licht auf die Debatten über Attribution von Cyberattacken geworfen und die Frage, wie staatliche Cyberkonflikte in der Realität aussehen und sich zukünftig entwickeln könnten.

Diesen Fragen wird in Kürze ausführlicher mit einem Beitrag nachgegangen und die Datenbank um detaillierte Informationen zu den aktuellen Vorfällen erweitert. Vielen Dank für Rücksicht und Geduld. Bei dringenden Anfragen oder gezielten Fragen können Sie auch jederzeit gern das Kontaktformular nutzen.

Statement des ICRC zur militärischen Aufrüstung im Cyberspace

Manche Dinge kann man nicht besser und deutlicher formulieren, deshalb an dieser Stelle ein Zitat aus dem Statement des Internationalen Roten Kreuzes anlässlich der 69. Session der “debate on all disarmament and international security agenda items” des ersten Komitees der UN Generalversammlung.

The potential human cost of cyber warfare is also a matter of concern. Cyber warfare refers to operations against a computer or a computer system through a data stream, when employed as  means and methods of warfare. Cyber attacks against transportation systems, electricity  networks, dams and chemical or nuclear plants could have devastating consequences. The  ICRC welcomes the fact that the 2013 Report of the United Nations Group of Governmental  Experts on Developments in the Field of Information and Telecommunications in the Context of  International Security confirmed the applicability of international law in this regard. Indeed, cyber  warfare is subject to the limits imposed by international humanitarian law on all new weapons,  means and methods of warfare, in particular the prohibition on directing attacks against civilian  objects and the prohibition on indiscriminate and disproportionate attacks.  Even though existing rules apply to cyber warfare, the interconnectedness of military and civilian  networks poses a significant practical challenge in terms of protecting civilians from the dangers  of cyber warfare. This challenge underscores the importance for States that develop or acquire  cyber-warfare capabilities – whether for offensive or defensive purposes – to assess their  lawfulness under international humanitarian law.

Bemerkenswert an diesem Statement ist vor allem, dass – unabhängig aller aktuellen Debatten über Cyberwaffen, die Tragweite von Attacken im Cyberspace und der Gefährung kritischer Infrastrukturen – das ICRC über diese Diskussionen hinweg die militärische Aufrüstung im Cyberspace als Bedrohung für Menschen, des etablierten Völkerrechts und die internationale Sicherheit betrachtet. Hier das Originaldokument und eine lokale Kopie.

TAREX und die Tailored Access Operations in fremden Netzen?

Aktuelle Enthüllungen von “The Intercept” aus den Unterlagen von Edward Snowden legen Kooperationen der NSA (lokale Kopie) auch mit solchen Unternehmen nahe, die nicht in den USA beheimatet sind. Über Verbindungspersonen oder eingeschleuste Mitarbeiter wird den Unterlagen zufolge an Zugriffsmöglichkeiten für die NSA und deren Partner auf die Produkte und Dienstleistungen der betroffenen/beteiligten Unternehmen gerarbeitet. In welchem Umfang dies verdeckt oder tatsächlich mit Einverständnis der Unternehmen erfolgt wird nicht explizit erwähnt. Im Zuge derartiger Zugriffsmöglichkeiten erwähnen die enthüllten Dokumente auch ein Programm namens TAREX (Target Exploitation), im Rahmen dessen zum Teil Hardware solcher Unternehmen während des Transportweg manipuliert um so einen verdeckten Kanal per Fernzugriff auf diese Geräte an ihrem Bestimmungsort zu ermöglichen. Derartige Manipulationen wurden vor einigen Monaten im Rahmen der Enthüllungen über den sogenannten ANT-Katalog bereits für große US-amerikanische Netzwerk- und Computerhersteller bekannt. Laut aktuellen Dokumenten sind im Rahmen von TAREX nun auch Unternehmen aus Südkorea, China und Deutschland betroffen.

Die Informationen über TAREX und Verbindungspersonen in betroffene Unternehmen sind dabei mit einer Sicherheitsstufe “ECI” (EXCEPTIONALLY CONTROLLED INFORMATION) versehen, die oberhalb von “Top Secret” angesiedelt ist, eine Klassifikation die von Bruce Schneier folgendermaßen eingeschätzt wird:

 It’s for things that are so sensitive they’re basically not written down

Interessant sind diese Informationen vor allem auch dadurch, dass eine ebenfalls veröffentlichte Liste über nachrichtendienstliche Organisationen die im Rahmen von TAREX beteiligt sind, auch die NSA-Einheit TAO (Tailored Access Operations) auflistet. Deren Auftrag besteht in dem gezielten und offensiven Zugriff auf fremde Computersysteme und Netze um diese zu kontrollieren oder – im Lichte der präsidialen Direktive PPD 20/2012 betrachtet – mit geeigneten Mittel unter Umständen auch zu zerstören. Die TAO wurde in den vergangenen Enthüllungen immer wieder als einer der wichtigen Dienstleister für technische Dienstleistungen für das US Militär (wie bspw. für die US Cybercommand-Einheiten, die in Personalunion auch durch den jeweiligen NSA-Direktor beführt wird) erwähnt. Die aktuellen Enthüllungen lassen daher vermuten, dass Mitarbeiter der TAO im Rahmen von TAREX auch in Nicht-US-Unternehmen an dem Zugriff auf deren Geräte und damit mittelbar den Zugriff auf fremde Systeme der Kunden dieser Unternehmen beteiligt sind.

 

Der Ukraine-Konflikt und der Cyberwar

Angesichts des fortlaufenden Konflikts um den Osten der Ukraine gab es in der Vergangenheit auch einige Meldungen zu Vorfällen im Cyberspace. In Bezug auf die nach wie vor offenen Fragen nach der Ausprägung eines möglichen Cyberwars liefern diese Vorkommnisse einige Antworten darauf, wie digitale Hilfsmittel in zwischenstaatlichen Konflikten eingesetzt werden könnten.

Zum einen gab es insbesondere um den Krim-Konflikt im Frühjahr/Sommer 2014 verstärkt Berichte über Malware-Attacken und DDoS-Angriffe auf ukrainische und russische Webseiten:

On the day of the disputed vote over Crimean secession, Ukranian government websites were hit by a wave of 42 cyberattacks during Crimea’s vote to secede from Ukraine and join Russia. All of those were DDoS attacks, which clog websites with bogus data, echoing DDoS attacks by Russia when it invaded the former Soviet state of Georgia in 2008.

The day after the Crimean vote, however, saw a huge, apparently retaliatory, counter wave of attacks against Russia, including 132 separate DDoS blasts slamming Russian websites. One 18-minute DDoS attack that hit Russia March 17 was 148 times more powerful than anything Russia did in Georgia in 2008, and four times larger than a large attack emanating from Russia just days earlier, according to Arbor Networks of Burlington, Mass., which tracks such attacks. (Q: CS Monitor, lokale Kopie, 7.4.2014)

Weitere Berichte sprechen von Attacken gegen NATO-Webseiten und die russische Zentralbank sowie Angriffen gegen Telefone des ukrainischen Parlaments. Keiner dieser Vorfälle lässt sich mit Sicherheit nachprüfen oder auf staatliche Akteure zurückführen und angesichts der Bedeutung, die in aktuellen internationalen Debatten dem Cyberspace und dessen Schutz beigemessen wird, müssen solche Verlautbarungen auch als Gegenstand politischer Ziele betrachtet werden. Nicht zuletzt spielen in derart stark mit Nationalbewusstsein aufgeladenen Konflikten auch zwischenstaatliche Akteure wie Hackergruppen eine wichtige Rolle.

Der Verlauf dieser Ereignisse verdeutlicht jedoch, dass sich die Entstehung und der Verlauf zwischenstaatlicher Konflikte auch im Cyberspace spiegeln und verfolgen lassen. Zu diesem Ergebnisse kommt auch eine aktuelle Studie (lokale Kopie) der IT-Sicherheitsfirma FireEye, die das Kommunikationsaufkommen von Malware auf Rechnern von Industrie- und Regierungskunden untersucht haben. Zu diesem Zweck wurden die Command & Control-Server (C&C Server) der über viele Monate beobachteten Malware identifiziert. Dabei gelangen die Analysten zur einer, angesichts der Debatte über die erschwerte Attribution im Cyberspace interessanten Antwort:

Zwar versuchen Malware-Betreiber manchmal, ihre Position zu verschleiern und lassen die Callback-Nachrichten zwischen Computern verschiedener Ländern hin- und herspringen. In diesen Fällen konnte FireEye jeweils nur die erste Station bestimmen. Da sich die Programmierer aber nicht immer die Mühe gäben, ein solches System aus Umschaltstationen aufzusetzen, ließen sich aus ausreichend großen Datensätzen trotzdem akkurate geografische Muster bestimmen (Q: heise.de aus der Vorstellung der Studie auf der Black Hat Sicherheitskonferenz 2014)

Die Analysten konnten anhand aktueller weltpolitischer Konflikt wie dem Krieg im Gaza-Streifen und dem laufenden Konflikt in der Ukraine den Anstieg von Kommunikation der Schadsoftware  mit ihren C&C Server feststellen, was auf ein Deployment der Malware hindeuten könnte.

Obgleich die Aussagekraft derartiger Analysen kritisch hinterfragt werden muss, können sie für die Debatten über die Entwicklung und den Einsatz staatlicher Cyberwaffen wichtige Indizien liefern, insbesondere zu Fragen des Monitoring von offensiven Einsätzen solcher Mittel und der Verifikation möglicher zwischenstaatlicher Abkommen.