News

Details zum Abschlussbericht des Aufbaustab Cyber- und Informationsraum [UPDATES]

Update: Eine jeweils aktualisierte Fassung der Auswertung finden Sie hier. Der nachfolgende Texte ist die Ursprungs-Version der Auswertung.

Mit der Veröffentlichung des Abschlussbericht Aufbaustab Cyber- und Informationsraum stehen der Bundeswehr und dem BMVg vor allem einige Veränderungen ins Haus. An dieser Stelle sollen die wichtigsten Änderungen zusammengefasst werden, dabei neben den strukturellen Änderungen (die im Abschlussbericht in aller gebotenen Detailtiefe nachzulesen sind) vor allem die Implikationen hinsichtlich des Ausbaus offensiver Fähigkeiten der Bundeswehr im Cyberspace und den damit verbundenen friedens- und sicherheitspolitischen Aspekte eingehen.

Zum 1. Oktober 2016 wird im Bundesverteidigungsministerium eine Abteilung Cyber/ IT (CIT) eingerichtet und (vermutlich) mit dem ThyssenKrupp-Manager Klaus-Hardy Mühleck in der Rolle eines Chief Information Officer (CIO) besetzt. Auf militärischer Seite wird zum 1. April 207 mit der Aufstellung eines neuen Organisationsbereichs für den Cyber- und Informationsraum begonnen (KdoCIR) und durch eine/n Inspekteur/in geleitet Dem Tagesbefehl der Verteidigungsministerin vom 26.4.2016 zufolge wird Generalmajor Ludwig Leinhos diese Funktion übernehmen. Die Umstrukturierungs- und Aufbauarbeiten sollen bis 2021 abgeschlossen sein und bis zu 20.000 Personen und Dienststellen betreffen. Die im Abschlussbericht genannten Personalstärken verdeutlichen, dass dies insbesondere zum Start in erster Linie mit Umstrukturierungen bestehender Kapazitäten erfolgen wird. Für die neue Abteilung CIT beim Bundesverteidigungsministerium wird ein „anfänglicher Bedarf von ca. 130 Dienstposten“, gesehen, „von denen voraussichtlich 95 Dienstposten übertragen werden können“. Im Bereich der militärischen Strukturen des KdoCIR werden 13.700 Dienstposten zusammengeführt, von denen der überwiegende Teil (12.800 Dienstposten) dem aktuellen Bereich der Streitkräftebasis (SKB) entstammt. Die Auflistung der Wanderungsbewegung zeigt, dass ohnehin bereits ein Gutteil der IT-relevanten Aufgaben und Fähigkeiten in Bereich der Streitkräftebasis zusammengeführt sind:   Führungsunterstützungskommando (FüUstgKdoBw), Kommando Strategische Aufklärung (KdoStratAufkl), Zentrum für Operative Kommunikation der Bundeswehr (ZOpKomBw) und Teile des (zivilen) Bundesamts für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr mit dem angeschlossenen IT-ZentrumBw.

(mehr …)

Bundeswehr: Pläne für Aufbau der Cyber-Einheit veröffentlicht [Update]

In Berlin wurde heute durch Frau von der Leyen der Abschlussbericht des Stabes präsentiert, der sich mit dem Aufbau einer Cyber-Einheit in Form eines neuen Organisationsbereiches „Cyber und Informationsraum“ auf der Ebene der anderen Bundeswehr-Teilstreitkräfte befasst hat.

Bis 2021 soll der Aufbau erfolgt sein, der am 1. Oktober unter Führung des ThyssenKrupp Managers Klaus-Hardy Mühleck beginnt, und zum 1. April 2017 unter die Führung eines militärischen Inspekteurs  gestellt wird.

Der Organisationsbereich wird von einem neuen Kommando (Kdo CIR) in Bonn truppendienstlich und fachlich geführt werden. Es geht um die Aufgaben Cyber, IT, militärisches Nachrichtenwesen, Geoinformationswesen und Operative Kommunikation. Insgesamt 13.500 Dienstposten werden von den anderen Teilstreitkräften und Organisationsbereichen in die neue Struktur wechseln – 12.800 davon aus der Streitkräftebasis.

300 Dienstposten sind für das Kommando CIR sowie für zwei neue Cyber-Zentren vorgesehen: das „Zentrum Cyber-Operationen“ und das „Zentrum für Cyber-Sicherheit der Bundeswehr“. Sie werden gebildet aus dem bisherigen Computer Emergency Response Team der Bundeswehr (CERTBw), dem Betriebszentrum IT-System der Bundeswehr (BITS) sowie der Gruppe Computer-Netzwerk-Operationen (CNO) und stellen die zweite nachgeordnete Ebene des Kommandos dar. (Q: bmvg.de)

Eine detailierte Auswertung der geplanten Änderungen wird hier zeitnah präsentiert. Deutlich wird jedoch bereits jetzt, dass etablierte Einheiten der Verteidigung und Abwehr von IT-Bedrohungen mit offensiven Einheiten formell zusammengeführt werden. Diese organisatorisch sicher sinnvolle Änderung könnte in ihrer Außenwirkungen jedoch am Anspruch einer reinen Verteidigungsarmee Zweifel aufwerfen.

Update: Hier eine ausführliche Auswertung des Berichts

Kurzes Update: Offensiver Cyberwar der USA gegen den ISIS

In Ergänzung zu den Ankündigungen der USA im Kampf gegen ISIS auch verstärkt auf Cyberwar-Operationen zu setzen, werden diese Maßnahmen nun in einem Statement von Präsident Obama (Q:whitehouse.gov) und einem Zeitungsinterview (Q: The Daily Beast) klarer.

Dabei wird zum einen deutlich, dass Cyber explizit als offensives Wirkmittel neben anderen eingesetzt wird um ISIS-Kämpfer zu lokalisieren, zu identifizieren und „aus der Deckung zu treiben“. Im Gegensatz zur nachrichtendienstlichen Operationen gehen die Cyber-Einheiten hier wenig verdeckt vor, sondern versuchen mit maximal invasiven Mitteln wie Viren, Trojaner oder dem Blockieren verschlüsselter Kommunikation die Netzwerke und Kommunikationsmöglichkeiten zu stören, Finanzströme zu unterbinden oder die Logistik zu behindern.

In other words, the ISIL core in Syria and Iraq continues to shrink.  Their ranks of fighters are estimated to be at the lowest levels in about two years, and more and more of them are realizing that their cause is lost.  Our cyber operations are disrupting their command-and-control and communications.  We continue to target ISIL’s financial infrastructure, including its oil wells, refineries and supply lines.  We’ve reduced their oil production and their oil revenue.  And every dollar we deny them means one less dollar to pay their fighters and to fund their terror. (Q: whitehouse.gov, Kopie)

Damit scheinen zum ersten Mal alle „Cyber-Register“ im Kampf gegen einen militärischen Gegner gezogen zu werden, oder, wie es Deputy Secretary of Defense Robert Work in einem Interview mit der NY Times formuliert:

“We are dropping cyberbombs (..) We have never done that before.” The attacks are being carried out by small teams, operationally modelled on special forces. (Q: NYTimes, Kopie)

Kleine Ergänzung: Auch die Bundeswehr beteiligt sich an der EU-Anti-IS-Operation mit bis zu 1200 Soldaten. Deren Aufgaben sind unter anderem die luft-, raum- und seegestützte Aufklärung (Q: Wissenschaftlicher Dienst des Bundestages Punkt 2.17, Kopie):

Das Vorgehen gegen den IS in Wahrnehmung des kollektiven Selbstverteidigungsrechts gemäß Artikel 51 der Charta der Vereinten Nationen ist von der Resolution S/RES/2249 (2015) des VN-Sicherheitsrates umfasst. Soweit die kollektive Selbstverteidigung zu Gunsten von Frankreich geleistet wird, erfolgen die militärischen Beiträge Deutschlands zusätzlich in Erfüllung der EU-Beistandsklausel nach Artikel 42 Absatz 7 des Vertrages über die Europäische Union.

Unklar ist, welche Einheiten für die Aufklärung nötig ist.

Spekulation zum neuen Weißbuch der Bundeswehr

Voraussichtlich im Juni will das BMVg den Entwurf für ein neues Weißbuch der Bundeswehr ins Kabinett einbringen. Bereits im Vorfeld wird nun ausgiebig über einen mutmaßlichen Vorschlag diskutiert, bei dem die Bundeswehr stärkere Befugnisse zum Einsatz im Inneren, insbesondere bei der Unterstützung der Polizei, erhalten soll.

Neben den diskutieren Aspekten der Terrorbekämpfung könnte eine stärkere offizielle Einbindung der Bundeswehr in innere Aufgaben und die Verbindung zu anderen Ressorts auch dem geplanten neuen Organisationsbereich Cyber- und Informationsraumkommando (CIRK) zu Gute kommen, wenn es darum geht Kompetenzen und Know-How im Bereich des Cyberspace zu sammeln. Den Ankündigungen der Bundesverteidigungsministerin zufolge sollen mit dem für Frühjahr 2016 angekündigten Strategiepapier zum Aufbau der Organisationseinheit mehr als 10.000 Stellen zusammengeführt und neu strukturiert werden. Dabei will die Bundeswehr neben der Konsolidierung von defensiven Fähigkeiten auch mehr Know-How für offensive Aktivitäten sammeln. Wie eine Anhörung im Verteidiungs-Ausschuß unlängst verdeutlicht hat, kollidieren bei militärischen Operationen im Cyberspace aber – zumindestens formell – Grundsätze wie u.a. die notwendige Parlamentsbeteiligung mit den Anforderungen  realistischer Einsatz-Szenarien. Eine engere Verzahnung von Bundeswehr-Einheiten bspw. beim Schutz von kritischen Infrastrukturen mit Institutionen wie dem BSI, der Cyber-Abwehrzentrum und anderen CERTs (wie dies in besagter Anhöhrung diskutiert wurde) könnte dabei eine wichtige Lücke füllen um für den Cyberspace relevante Informationen über Angriffe, aktuelle Angriffs-Muster und Werkzeuge oder auch – über Kooperationen mit Nachrichtendiensten – Schwachstellen potentieller Ziele zu erhalten.

Bis zur Veröffentlichung des Weißbuches bleibt dies alles natürlich reine Spekulation.  Es wird sich zeigen müssen, welche Zielsetzungen und Umstrukturierungen die Bundeswehr für den Cyberspace fit machen sollen und in welchem Umfang dabei auch offensive Fähigkeiten betont werden.

Bundestagshack – Verbindung zu Russland nicht belegt

Aus der Antwort der Bundesregierung auf eine Anfrage nach dem Informationsfreiheits-Gesetz geht hervor, dass selbiger keine Unterlagen vorliegen, die im Zusammenhang mit dem Hack des Parlakom-System des deutschen Bundestags auf (wie bis dato vermutet) russische staatliche Hacker hinweisen würden:

(..) da der Verwaltung des deutschen Bundestages keine Unterlagen vorliegen , aus denen hervorgeht, daß der Angriff auf die IT-Infrastruktur des deutschen Bundestages im Mai 2015 einem russischen militärischen Nachrichtendienst zugeordnet werden kann (Q: fragdenstaat.de , lokale Kopie)

Gleichwohl verweist die Antwort auf die laufenden Ermittlung des Generalbundesanwalts und dass die Herausgabe weiterer Informationen nachteilige Auswirkungen auf diese sowie  „Folgen für die Bundesrepublik Deutschland haben“ haben könnten. Die Dokumentation des Bundestags-Hack in der hiesigen Datenbank wurde entsprechend ergänzt.

Eine weitere interessante Aussage betrifft den Umfang des Hacks und ähnliche Vorkommnisse:

Ganz allgemein kann ich Ihnen mitteilen, dass es keine anderen, mit dem Angriff im Mai 2015 vergleichbaren, Angriffe auf die IT-Infrastruktur des Deutschen Bundestages gegeben hat. Die IT-Infrastruktur ist zwar ständigen Angriffen von außen ausgesetzt, mit denen versucht wird, unter anderem Schadsoftware wie Viren, Trojaner etc. in das System einzuschleusen. Diese werden i. d. R. automatisch durch die getroffenen IT-Sicherheitsmaßnahmen abgewehrt oder jedenfalls im Rahmen der regelmäßigen System- Überprüfungen erkannt und beseitigt. Eine gesonderte Dokumentation von solchen Fällen findet nicht statt.(Q: fragdenstaat.de , lokale Kopie)

Auf Nachfrage bei der Generalbundesanwaltschaft wurde darauf verwiesen, dass keine Auskünfte über laufende Ermittlungen erteilt würden und diese nach eigenem Ermessen über Erkenntnisse berichten.

Offizielle Konsequenzen aus d. Bundestags-Hack?

Über den Leak von Dokumenten aus der IuK-Kommission (Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien) des Bundestags wurden Details zum Hacking-Angriff auf das interne Kommunikations-System des deutschen Bundestages „ParlaKom“ bekannt. Neben dem zeitlichen Hergang des Angriffs und den Abwehrversuchen wird dabei vor allem deutlich, dass die Angreifer übliche Angriffswerkzeuge verwendet haben. Unter anderem wurde der Rechner eines Parlamentariers mit Malware infiziert und von diesem ausgehend die Zugänge von Administratoren des Parlakom-Systems gehackt. Die Unterlagen des mit der Untersuchung beauftragten BSI (siehe „relevante Dokumente“) geben jedoch keine offizielle Bestätigung der Mutmaßungen über die russische Gruppe APT-28/Sofacity als Urheber der Angriffe. Nichts desto trotz wurde Anfang 2016  durch die Bundesanwaltschaft am 15. Januar 2016 ein Ermittlungsverfahren gegen Unbekannt aufgrund des Verdachts auf „einen geheimdienstlich gesteuerten Angriff“ eingeleitet. (Q:netzpolitik.org). Damit könnten zum ersten Mal offiziell außenpolitische Konsequenzen aus dem Hack des Parlakom-Systems folgen.

Alle Details zum Hack in der Datenbank der relevanten Cyber-Vorfälle.

Cyberwar der USA gegen den ISIS/Daesh

Wie bereits hinlänglich berichtet wurde, haben die USA beschlossen den ISIS militärisch nun auch im Cyberspace zu attackieren. US-Verteidigungsminister Ashton Carter gab in einer Pressekonferenz am 29.2. dazu folgendes bekannt:

We’re also using cyber tools to disrupt ISIL’s ability to operate and communicate over the virtual battlefield (..) In the counter-ISIL campaign in — particularly in Syria to interrupt, disrupt ISIL’s command and control, to cause them to lose confidence in their networks, to overload their network so that they can’t function, and do all of these things that will interrupt their ability to command and control forces there, control the population and the economy. (Q: defense.gov, Kopie)

Überraschend an dieser Mitteilung ist vor allem, dass damit zum ersten Mal direkt auf Cyber-Operationen als Bestandteil von militärischen Einsätzen verwiesen wird. Die Militär-Doktrinen der USA sehen die Möglichkeit eines solchen Einsatzes tatsächlich schon seit längerem vor und definieren Cyber als elementaren Bestandteil jeglicher „field operations“. Die Denial-of-service-Angriffe von den Ashton Carter spricht, stellen jedoch keineswegs hochgradig entwickelte technische Cyberwaffen dar, sondern gehören eher zum Standard-Repertoire von Hackern.

Insofern scheint die Ankündigung tatsächlich auch einen wichtigen symbolischen Charakter zu haben – gerade weil der IS dafür bekannt ist auch in großem Umfang moderne Kommunikationsmittel zu verwenden. Eine andere Interpretationsweise ist, dass medial der Boden für weitere Cyber-Operationen bereitet werden soll, um entsprechende Erfolge dem verstärkten Cyber-Engagement zurechnen zu können. Das wäre als Kommunikationstrategie insofern schlüssig, da der militärische Einsatz von Cyber im Augenblick seine Nützlichkeit ja erst noch beweisen muss. Insbesondere aus Reihen des US-Militärs wurden Cyberattacken oft als „sauberes“ und günstiges Wirkmittel hervorgehoben, was nach dieser Ankündigung und entsprechenden Erfolgen „bewiesen“ werden könnte.

[Update]: Für eine Konkretisierung der Maßnahmen siehe hier

Neue Details zur Cyberattacke auf ukrainische Kraftwerke werfen Zweifel auf

Erkenntnisse einer Studie die im Auftrag des US Industrial Control Systems-CERTs die Ende 2015 in der Ukraine durch eine mutmaßliche Cyberattacke gestörten Kraftwerke vor Ort untersucht und Interviews durchgeführt haben, werfen Zweifel an der Charakterisierung des Vorfalls als Cyberattacke auf. Die Beschreibungen des Angriffs-Hergangs legen die Vermutung nahe, dass die Ausführung der eigentlichen Schadens-Funktionen nur mit Hilfe der Legitimation von Bedien-Personal möglich waren oder durchgeführt wurden (bspw. sind denkbar die Deaktivierung von System-Warnungen,  die Ausführung von Routinen mit eigentlich geschützten Accounts oder die Veränderung von Toleranz-Grenzen um Warnungen zu verhindern). Außerdem soll die Malware KillDisk erst nach dem Angriff benutzt worden sein um die Festplatten der System zu löschen und die Wiederherstellung des Systems so zu erschweren. Das würden bedeuten, dass die Malware BlackEnergy (oder eine andere) vor allem genutzt wurde um Credentials wie System-Zugängen zu erlangen (Phishing) und der eigentliche Angriff weniger eine Cyberattacke als die gezielte Sabotage durch menschliches Einwirken war.

Anhörung zur Rolle der Bundeswehr im Cyberraum

Am 22.2. gab es im deutschen Bundestag eine Anhörung zum Thema zur Rolle der Bundeswehr im Cyberraum, die insbesondere angesichts der Planung des BMVg eine hohe Relevanz aber auch sehr viele offene Fragen beinhaltet. Die vollständige Namens-Fassung der Anhörung lautet daher auch „Verfassungs-, völker- und sonstige nationale und internationale rechtliche Fragen sowie ethische Aspekte im Zusammenhang mit Cyberwarfare und die hieraus erwachsenden Herausforderungen und Aufgaben für die Bundeswehr„. Viele der besprochenen Aspekte sind in dieser Form bereits an anderer Stelle diskutiert werden,  eine gute Zusammenfassung gibt es daher hier bei heise.de und bei Thomas Wiegold.

Gerade die Diskussion und die Fragen der Parlamentarier, die nach wie vor von Problemen der Attribution, der Unterscheidung zwischen Offensive und Defensive oder völkerrechtlichen Fragen wie dem Recht auf Selbstverteidigung handeln machen deutlich, wie wenig die Planung des BMVg scheinbar durch politische, zivile und wissenschaftliche Diskussion begleitet werden. Angesichts der bisher eher diffusen Aussagen des Verteidigungsministeriums selbst kann angezweifelt werden, ob diese Fragen dem BMVg selbst klar sind. Dies wird unter anderem deutlich an der Frage, wie und in welchem Umfang reine Cyberoperationen – die beispielsweise im Vorfeld von offenen Konflikten geschehen und der Aufklärung dienen – im Geheimen stattfinden sollen wenn sie – lt. Aussage von Frau Suder, Staatssekretärin im Bundesministerium der Verteidigung – auf jeden Fall dem Parlamentsbeteiligungsgesetz unterliegen und mandatspflichtig wären.

Eine Nachschau der vierstündigen Sitzung ist sehr empfehlenswert.

Ein wichtiger Aspekt der in der Stellungnahme von Stellungnahme Prof. em. Dr. Michael Bothe deutlich wird, betrifft den Parlamentsvorbehalt bei Einsätzen der deutschen Bundeswehr bei möglichen Cyber-Operationen. Wie bereits früher erläutert erfordern komplexe Cyberattacken in aller Regel vorangestellte Hacks, Analyse-Zugriffe auf Ziel- oder weitere verkettete Systeme oder offensive Aufklärungsmaßnahmen und können eben nicht erst mit dem „Go“ der Regierung begonnen werden – sofern sie effektiv und zeitlich nah verfügbar sein sollen. Damit wären aber konstante Zugriffe auf potentielle Fremdsysteme notwendig (wie sie bspw. bei der NSA vermutet werden). Auch wenn diese keine schädigende Absicht haben, sind versehentliche Nebeneffekt schwer kategorisch auszuschließen und das sog. „scale and effect“-Kriterium der Bewertung solcher Zugriffe ein valides Argument:

Eine wesentliche und noch nicht hinreichend diskutierte verfassungsrechtliche Frage ist die Anwendung des Erfordernisses der Parlamentsbeteiligung auf Cyber-Angriffe. Dieser Parlamentsvorbehalt gilt für Beteiligung der deutschen Streitkräfte an militärischen Unternehmen. Eine erste Antwort auf diese Frage liegt in einer angemessenen Anwendung
des scale and effects-Kriteriums. Denn wenn für die völkerrechtliche Definition eines Angriffs, der eine Verletzung des Gewaltverbots oder gar einen bewaffneten Angriff im Sinne des Art. 51 UN Charter darstellt, von der Notwendigkeit eines Waffeneinsatzes abgesehen und auf die Wirkung abgestellt wird, dann sollte das auch für den Einbezug von Soldaten „in bewaffnete Unternehmungen“, der nach der Rechtsprechung des Bundesverfassungsgerichts das Zustimmungserfordernis auslöst, relevant sein.  (Prof. em. Dr. Michael Bothe)

Die Stellungnahmen sind hier auf den Seiten des deutschen Bundestags zu finden oder in einer Zip-Datei hier als lokales Backup.

Neues zu Stuxnet – Schadsoftware nur Bestandteil einer komplexen Kampagne

Im Zuge von Recherchen zu einer Dokumentation über Stuxnet soll bekannt geworden sein, dass die Schadsoftware nur ein Bestandteil einer größeren Kampagne namens „Nitro Zeus“ war, dessen Ziel in der Infiltration kritischer Infrastrukturen des Iran war um diese notfalls unmittelbar abzuschalten. Dafür sollen über Jahre hinweg unzählige kritische Systeme versteckt infiziert und kontinuierlich aktualisiert worden sein.

Zu dieser These passt die im Abschlussbericht von Ralph Langner skizzierte Entwicklung von Stuxnet und das Deployment verschiedener Versionen mit unterschiedlich komplexen (und sensiblen) Manipulationsroutinen und die bekannt gewordene allgemeine Leitlinie der NSA mit Programmen für die massenhafte und automatisierte Infektion ganzer IT-Systeme. Auch hinsichtlich außer- und sicherheitspolitischer Interessen wäre ein solches Vorgehen schlüssig, da mit Natanz (dem Ziel von Stuxnet) zwar die einzige Uran-Anreicherungsanlage des Iran sabotiert werden konnte, nicht jedoch die unmittelbare Energieversorgung (Q: www.iranintelligence.com).

Gegen diesen These der komplexen Infiltration iranischer Systeme spricht, dass es vor, außer und nach Stuxnet (dessen Funde in Natanz und Busher bestätigt wurden) keine weiteren Berichte über Infektionen iranischer Anlagen gegeben hat. Gleichwohl kann man nach der Entdeckung von Stuxnet mit hoher Wahrscheinlichkeit von einer intensiven Prüfung der iranischen kritischen Infrastrukturen ausgehen. Da ein möglicher weiterer Fund den Iran aus völkerrechtlicher Sicht jedochinternational eine sehr starke Position in Bezug auf das Recht der nationalen Souveränität oder dem Recht auf nationale Selbstverteidigung nach UN Charta 51 verliehen hätte, ist auch die Geheimhaltung weiterer Infektionen durch die iranische Regierung eher unwahrscheinlich – außer wenn entsprechende Funde hinter verschlossenen Türen als diplomatisches Verhandlungsmaterial hätten verwendet werden können.

Alle weitere Informationen und Quellenangaben in der Datenbank, eine umfassendere Darstellung des ganzen bei der New York Times Q: www.nytimes.com, lokale Kopie)