News

TAREX und die Tailored Access Operations in fremden Netzen?

Aktuelle Enthüllungen von “The Intercept” aus den Unterlagen von Edward Snowden legen Kooperationen der NSA (lokale Kopie) auch mit solchen Unternehmen nahe, die nicht in den USA beheimatet sind. Über Verbindungspersonen oder eingeschleuste Mitarbeiter wird den Unterlagen zufolge an Zugriffsmöglichkeiten für die NSA und deren Partner auf die Produkte und Dienstleistungen der betroffenen/beteiligten Unternehmen gerarbeitet. In welchem Umfang dies verdeckt oder tatsächlich mit Einverständnis der Unternehmen erfolgt wird nicht explizit erwähnt. Im Zuge derartiger Zugriffsmöglichkeiten erwähnen die enthüllten Dokumente auch ein Programm namens TAREX (Target Exploitation), im Rahmen dessen zum Teil Hardware solcher Unternehmen während des Transportweg manipuliert um so einen verdeckten Kanal per Fernzugriff auf diese Geräte an ihrem Bestimmungsort zu ermöglichen. Derartige Manipulationen wurden vor einigen Monaten im Rahmen der Enthüllungen über den sogenannten ANT-Katalog bereits für große US-amerikanische Netzwerk- und Computerhersteller bekannt. Laut aktuellen Dokumenten sind im Rahmen von TAREX nun auch Unternehmen aus Südkorea, China und Deutschland betroffen.

Die Informationen über TAREX und Verbindungspersonen in betroffene Unternehmen sind dabei mit einer Sicherheitsstufe “ECI” (EXCEPTIONALLY CONTROLLED INFORMATION) versehen, die oberhalb von “Top Secret” angesiedelt ist, eine Klassifikation die von Bruce Schneier folgendermaßen eingeschätzt wird:

 It’s for things that are so sensitive they’re basically not written down

Interessant sind diese Informationen vor allem auch dadurch, dass eine ebenfalls veröffentlichte Liste über nachrichtendienstliche Organisationen die im Rahmen von TAREX beteiligt sind, auch die NSA-Einheit TAO (Tailored Access Operations) auflistet. Deren Auftrag besteht in dem gezielten und offensiven Zugriff auf fremde Computersysteme und Netze um diese zu kontrollieren oder – im Lichte der präsidialen Direktive PPD 20/2012 betrachtet – mit geeigneten Mittel unter Umständen auch zu zerstören. Die TAO wurde in den vergangenen Enthüllungen immer wieder als einer der wichtigen Dienstleister für technische Dienstleistungen für das US Militär (wie bspw. für die US Cybercommand-Einheiten, die in Personalunion auch durch den jeweiligen NSA-Direktor beführt wird) erwähnt. Die aktuellen Enthüllungen lassen daher vermuten, dass Mitarbeiter der TAO im Rahmen von TAREX auch in Nicht-US-Unternehmen an dem Zugriff auf deren Geräte und damit mittelbar den Zugriff auf fremde Systeme der Kunden dieser Unternehmen beteiligt sind.

 

Der Ukraine-Konflikt und der Cyberwar

Angesichts des fortlaufenden Konflikts um den Osten der Ukraine gab es in der Vergangenheit auch einige Meldungen zu Vorfällen im Cyberspace. In Bezug auf die nach wie vor offenen Fragen nach der Ausprägung eines möglichen Cyberwars liefern diese Vorkommnisse einige Antworten darauf, wie digitale Hilfsmittel in zwischenstaatlichen Konflikten eingesetzt werden könnten.

Zum einen gab es insbesondere um den Krim-Konflikt im Frühjahr/Sommer 2014 verstärkt Berichte über Malware-Attacken und DDoS-Angriffe auf ukrainische und russische Webseiten:

On the day of the disputed vote over Crimean secession, Ukranian government websites were hit by a wave of 42 cyberattacks during Crimea’s vote to secede from Ukraine and join Russia. All of those were DDoS attacks, which clog websites with bogus data, echoing DDoS attacks by Russia when it invaded the former Soviet state of Georgia in 2008.

The day after the Crimean vote, however, saw a huge, apparently retaliatory, counter wave of attacks against Russia, including 132 separate DDoS blasts slamming Russian websites. One 18-minute DDoS attack that hit Russia March 17 was 148 times more powerful than anything Russia did in Georgia in 2008, and four times larger than a large attack emanating from Russia just days earlier, according to Arbor Networks of Burlington, Mass., which tracks such attacks. (Q: CS Monitor, lokale Kopie, 7.4.2014)

Weitere Berichte sprechen von Attacken gegen NATO-Webseiten und die russische Zentralbank sowie Angriffen gegen Telefone des ukrainischen Parlaments. Keiner dieser Vorfälle lässt sich mit Sicherheit nachprüfen oder auf staatliche Akteure zurückführen und angesichts der Bedeutung, die in aktuellen internationalen Debatten dem Cyberspace und dessen Schutz beigemessen wird, müssen solche Verlautbarungen auch als Gegenstand politischer Ziele betrachtet werden. Nicht zuletzt spielen in derart stark mit Nationalbewusstsein aufgeladenen Konflikten auch zwischenstaatliche Akteure wie Hackergruppen eine wichtige Rolle.

Der Verlauf dieser Ereignisse verdeutlicht jedoch, dass sich die Entstehung und der Verlauf zwischenstaatlicher Konflikte auch im Cyberspace spiegeln und verfolgen lassen. Zu diesem Ergebnisse kommt auch eine aktuelle Studie (lokale Kopie) der IT-Sicherheitsfirma FireEye, die das Kommunikationsaufkommen von Malware auf Rechnern von Industrie- und Regierungskunden untersucht haben. Zu diesem Zweck wurden die Command & Control-Server (C&C Server) der über viele Monate beobachteten Malware identifiziert. Dabei gelangen die Analysten zur einer, angesichts der Debatte über die erschwerte Attribution im Cyberspace interessanten Antwort:

Zwar versuchen Malware-Betreiber manchmal, ihre Position zu verschleiern und lassen die Callback-Nachrichten zwischen Computern verschiedener Ländern hin- und herspringen. In diesen Fällen konnte FireEye jeweils nur die erste Station bestimmen. Da sich die Programmierer aber nicht immer die Mühe gäben, ein solches System aus Umschaltstationen aufzusetzen, ließen sich aus ausreichend großen Datensätzen trotzdem akkurate geografische Muster bestimmen (Q: heise.de aus der Vorstellung der Studie auf der Black Hat Sicherheitskonferenz 2014)

Die Analysten konnten anhand aktueller weltpolitischer Konflikt wie dem Krieg im Gaza-Streifen und dem laufenden Konflikt in der Ukraine den Anstieg von Kommunikation der Schadsoftware  mit ihren C&C Server feststellen, was auf ein Deployment der Malware hindeuten könnte.

Obgleich die Aussagekraft derartiger Analysen kritisch hinterfragt werden muss, können sie für die Debatten über die Entwicklung und den Einsatz staatlicher Cyberwaffen wichtige Indizien liefern, insbesondere zu Fragen des Monitoring von offensiven Einsätzen solcher Mittel und der Verifikation möglicher zwischenstaatlicher Abkommen.

Mutmaßungen über Cybervergeltungen Russlands

Aktuellen Medienberichten zufolge wurden US-Banken in den vergangenen Tagen verstärkt Opfer von Cyberattacken (New York Times 27.8.2014 – Quelle // Spiegel Online 28.8.2014 – Quelle) in einem, die üblichen Angriffsversuche übersteigenden Ausmaß. Da in einigen, der bei den Attacken eingesetzten Tools ukrainische und russische Bezeichnungen gefunden wurden, wird Russland als Urheber dieser Attacken vermutet und das FBI aufgefordert, diese Vermutungen zu untersuchen.

Obgleich sich die Faktenlage hinter diesen Ereignissen - soweit es die öffentlichen Quellen betrifft – kaum von den üblichen Phishing- und Datenleck-Vorfällen unterscheidet, bieten diese jedoch, mit Blick auf die Wahrnehmung und Bewertung von Cybervorfällen, eine beachtenswerte Situation . Zum einen berührt die zeitliche und weltpolitische Nähe dieser Angriffe im Rahmen des Ukraine-Konflikts einen wesentlichen Aspekte des sogenannten Attributionsproblems, also der raschen, technisch jedoch sehr komplizierten Ursprungsbestimmung eines Cybervorfalls. Obgleich es zum aktuellen Zeitpunkt keine faktischen Grundlagen für die Mutmaßungen, dass hinter den Angriffen offizielle russische Stellen stehen, gibt, beeinflussen die Vorfälle die öffentliche Wahrnehmung des aktuellen Konflikts, die damit verbundene Bedrohungsbewertung und unter Umständen auch politische Reaktionen. Auf der anderen Seite könnten diese Vorfälle durchaus ein Beispiel darstellen, wie der Cyberspace in zukünftigen klassischen Konflikten als Mittel eingesetzt wird. Dies würde die Einschätzung von Experten wie Thomas Rid unterstreichen, denen zufolge es eher keine “reinen Kriege im Cyberspace” geben wird – wie es der Begriff des “Cyberwar” suggeriert – sondern dass Cyber-Maßnahmen flankierend und hinsichtlich ihres Aggressionspotentials unterhalb kritischer Schwellen eingesetzt werden.

Die Situation bleibt insofern spannend, als dass eventuelle stichhaltige Beweise für eine tatsächliche offizielle Beteiligung des russischen Staats genau jene Fragen des Rechts auf Verteidigung aufwerfen, die insbesondere im Tallin-Manual, als dem bisher elaboriertesten Ansatz einer Übertragung der Normen des humanitären Vökerrechts auf den Cyberspace gegenwärtig international kontrovers diskutiert werden.

 

Monstermind und der automatische “Cyberrückschlag”

Das Magazin WIRED hat vor wenigen Tag ein neues Interview (Original-Quelle) mit Edward Snowden veröffentlicht, in dem er u.a. über ein bis dato unbekanntes US-Projekt namens “Monstermind” spricht. Dabei soll es sich um System handeln, das automatisch Cyberattacken auf – nicht näher spezifizierte – US-Netzwerke erkennen und bekämpfen soll. Das System soll dabei aber nicht nur in der Lage sein betroffene Netzwerke und Systeme defensiv zu schützen (bspw. per Redundanz, teilweises Blocken von Zugriffen etc. und dem Auslösen von Warnungen) sondern in der Lage sein, auch automatisch und offensiv zur Gegenwehr zu schreiten. Diese Informationen sind aus mehreren Gründen bemerkenswert. Zum einen ist der Ansatz einer automatischen Angriffserkennungen für komplexe Netzwerke nicht aus der Luft gegriffen und unter anderem das US Department of Homeland Security (DHS) betreibt ein derartiges System unter dem Namen Einstein (Projektpapiere für Version 2 von 2008 und Version 3 von 2013) zum Schutz von Behördennetzen. Auf der anderen Seite werden derartige System in aller Regel eingesetzt um Angriffe am Eintrittspunkt in das zu schützende Netz zu stoppen, wohingegen mit Hilfe von Monstermind automatisiert Gegenangriffe ausgelöst werden, deren Maßnahmen über eigene Netzwerke hinaus reichen.

 MonsterMind (..) would automate the process of hunting for the beginnings of a foreign cyberattack. Software would constantly be on the lookout for traffic patterns indicating known or suspected attacks. When it detected an attack, MonsterMind would automatically block it from entering the country—a “kill” in cyber terminology.  Instead of simply detecting and killing the malware at the point of entry, MonsterMind would automatically fire back, with no human involvement  (WIRED)

(mehr …)

“Digitale Waffen” und die Geheimhaltung von Sicherheitslücken

In den vergangenen Wochen wurden mehrere interessante und aufschlussreiche Interviews und Stellungnahmen hochrangiger US-amerikanischer Amtsinhaber veröffentlicht, die ein gutes Licht auf den Umgang nationaler Institution mit IT-Sicherheitslücken, deren Geheimhaltung und Bedeutung für operative Planungen werfen. Diese ergänzen die Überlegungen des vorherigen Beitrags zur Bedeutung von IT-Sicherheitsfirmen, die sich auf die Suche und den Handel mit derartigen Sicherheitslücken spezialisieren, als ein neuer Bestandteil militärischer Prozesse.

Zum einen unterstreicht Michael Daniel (“special assistant to the president and cybersecurity coordinator”) in verblüffender Deutlichkeit in einem Blog-Eintrag des Weißen Hauses, dass man mit der vorschnellen Veröffentlichung von unbekannten Sicherheitslücken eventuell strategische Möglichkeit und Vorteile aufgibt die den Sicherheitsinteressen der Nation dienen könnten: 

(mehr …)

Die neuen digitalen Waffenhändler ?

Es ist ein offenes Geheimnis dass Staaten an Software arbeiten, die es Ihnen ermöglicht Computer zu überwachen, Daten zu entwenden oder IT-Systeme zu stören. Der sog. ANT-Katalog der NSA hat dabei deutlich gezeigt, in welchem Umfang und mit welcher technologischen “Breite” sich Dienste entsprechende Hilfsmittel und Werkzeuge aufbauen. 

Eine der wichtigsten Funktionen für die Entwicklung von derartiger Programme stellen Sicherheitslücken, idealerweise in großflächig verwendeter Software wie Betriebssystemen oder Browsern dar, die der Fachwelt noch unbekannt sind und für die es keine Sicherheitsaktualisierungen gibt. Solche als Zero Day Exploits bezeichneten Schwächen bilden oft den Ausgangspunkt von spezialisierter Spionage- oder Sabotage-Software, indem sie bildlich gesprochen als Loch in einer Mauer vorhandener Schutzmaßnahmen dienen, über das die eigentliche Software mit der Schadfunktion (der sog. Payload) auf den Zielcomputer geschleust und in Umgehung der Sicherungsbarrieren installiert werden kann.  

Zero Day Exploits sind dabei in aller Regel fehlerhaft programmierte Funktionen und gerade wenn Sie aktuelle Software betreffen selten und daher sehr begehrt. Es ist darf daher nicht verwundern, dass es neben einem florierenden Schwarzmarkt für Exploits auch offizielle Firmen gibt, die gezielt derartige Sicherheitslücken suchen, aufkaufen oder auf eigens veranstalteten Treffen von Hackern sammeln um diese zu vermarkten. Der bekannteste Spieler in diesem Markt ist die französische Firma “Vupen Security“. Eigenen Aussagen zufolge beliefert Vupen ausschließlich Staaten und deren Institutionen:

“Not one of our exploits have ever been discovered in the wild,” Bekrar [Gründer von Vupen Security] added. “All of our customers use exploits in a targeted way for specific national security missions.” (Quelle: threatpost.com)

Nachdem in der Vergangenheit vor allem noch davon gesprochen wurde solche Exploits für die Tests und Pflege von Defensiv-Systemen zu verkaufen, damit Staaten sich gegen Angriffe aus dem Cyberspace wappnen können, scheinen mittlerweile offensive Cyber-Fähigkeiten salonfähig geworden zu sein:

VUPEN provides government-grade zero-day exploits specifically designed for law enforcement agencies and the intelligence community to help them achieve their offensivecyber missions and network operations (Quelle: vupen.com)

Die Bedeutung, die aus internationaler Sicht diesen Exploits zukommt wird unter anderem daran sichtbar, dass am 4. Dezember 2013 Zero Day Exploits auf die Liste der durch das Wassenaar-Abkommen regulierten, kritischen Güter aufgenommen wurden. Staaten die dem Abkommen beigetreten sind müssen Ausfuhren der regulierten Güter durch nationale Firmen genehmigen. Zum einen haben sie dabei jedoch relativ weite Hand hinsichtlich der Entscheidung darüber, welche Güter im Detail reguliert werden und zum anderen müssen die neuen Regelungen erst in nationales Recht überführt werden. Zusätzlich verpflichten sich Staaten alle anderen Mitgliedsstaaten des Abkommens über entsprechende Exporte zu unterrichten, jedoch erst nachdem der Export stattgefunden hat. Eine effektive Kontrolle der Verbreitung solcher Güter (die sog. Proliferation), ein wichtiger Bestandteil von klassischen Rüstungskontrollabkommen, ist damit nur bedingt möglich, unter anderem da das Wassenaar-Abkommen bisher nur von 41 Staaten ratifiziert wurde und somit keine weltweite Reichtweite erzielt.

In wieweit sich die Sichtweise das Wassenaar-Abkommens in den kommenden Jahren auch in größeren Foren durchsetzen kann und sich in einer international einheitlichen und verbindlichen Regelung niederschlägt bleibt abzuwarten. Unter anderem arbeiten die UN seit mehreren Jahren im Rahmen einer “group of governmental experts” (GGE) an der Etablierung von Maßstäben zur friedlichen Entwicklung des Cyberspace, diese wird jedoch oft durch Fragen der einheitlichen Sichtweisen der beteiligten Staaten gebremst. 

Ob Firmen wie Vupen zukünftig als Waffenhändler betrachtet oder in die Riege von Rüstungsfirmen aufgenommen werden ist gegenwärtig sehr unklar, deutlich wird jedoch, dass diesen Firmen ein rasant wachsender Markt offen steht und weitere Regelungen dringend geboten sind, wenn eine effektive internationale Kontrolle der Existenz und Verbreitung offensiv schädlicher Software erreicht werden soll. 

Der Syrien-Konflikt und der Cyberspace

Angesichts der zunehmenden Militarisierung von Staaten im Cyberspace ist eine der gegenwärtig offenen Fragen, in welcher Form militärische Operationen im Cyberspace in zukünftigen Konfliktsituationen strategisch integriert werden. Ein Großteil der Experten geht davon aus, dass es wahrscheinlich kaum Konflikte oder Kriege geben wird, die ausschließlich im Cyberspace ausgetragen werden. Stattdessen werden Cyberspace-Operationen vermutlich normaler Bestandteil klassisch militärischer Planung und die zur Verfügung stehenden Werkzeuge entsprechend eingesetzt. Angesichts einer Proliferation von entsprechenden Tools und Malware-Baukasten-Software gehen Fachleute jedoch auch davon aus, dass zukünftig auch nicht-staatliche Akteure wie Volksgruppen oder Bürgerkriegsparteien den Cyberspace verstärkt nutzen werden, insbesondere da dessen Struktur der klassisch asymmetrischen Konfliktführung entgegen kommt.

(mehr …)

Neue Player im Cyberwar !?

Abseits der wenig abreißenden medialen Bearbeitung der Enthüllungen Eward Snowdens sind in den vergangenen Wochen einige wichtige Meldungen nahezu untergegangen. Zum einen wurde durch das IT-Sicherheits-Unternehmen Kaspersky ein umfassender Bericht über eine bereits seit 2007 Jahren aktive Malware-Operation veröffentlicht. Bei der als “The mask” oder “Careto” bezeichneten Kampagne wurden per Spear Phising hunderte Rechner von Regierungsbehörden, Diplomaten, Energieunternehmen sowie Forschungseinrichtungen in 31 Ländern befallen und nach interessanten Office-Dokumente, Kryptographie-Schlüssel zum Signieren von PDFs oder für SSH-Verbindungen sowie Konfigurationsdateien für den Fernzugriff auf andere Rechner ausspioniert. Die Rechner wurden dabei gezielt über eigens dafür eingerichtete Webseite infiziert die an das Betriebssystem des Zielrechners und deren typische Verwundbarkeiten zugeschnitten waren und darauf spezialisierten Infektions-Code einsetzen konnten. Laut Kaspersky steht Careto dabei auf einer Stufe mit Flame, einem Bericht der Washington Post zufolge [LINK] immerhin eine Gemeinschaftsentwicklung Israels und der USA.

“What makes ‘The Mask’ special is the complexity of the toolset used by the attackers,” the Kaspersky analysis stated. “This includes an extremely sophisticated malware, a rootkit, a bootkit, 32- and 64-bit Windows versions, Mac OS X and Linux versions, and possibly versions of Android and iPad/iPhone (Apple iOS).” (Q: wired.com)

Aus Sicht der zunehmenden Militarisierung des Cyberspace ist das interessanteste Detail des Berichts die Spekulation über die vermutliche Herkunft von “The mask”. Einige Indizien im Quellcode sowie hinsichtlich der verwendeten Entwicklungsumgebung deuten auf Spanisch-sprechende Urheber bin. Auch der namensgebende Begriff “Careto” findet sich im Code und bezeichnet auf Spanisch ein Fratze oder eine hässliche Maske. Auch wenn international mehr als 20 Länder Spanisch als offizielle Sprache verwenden, erweitert diese Malware-Kampagne den Kreis der bisher stets betrachteten üblichen Verdächtigen.

In diesen Kontext passt eine aktuelle Meldung des Wall Street Journals (Q: Wall Street Journal), denen zufolge ein im September 2013 durchgeführter Angriff iranischer Hacker auf das Navy Marine Corps Intranet sehr viel schwer wiegender war als bisher offiziell bestätigt. Dem Bericht und den zittierten Quellen zufolge war es den Angreifern gelungen sich in dem von etwa 800.00 beteiligten Personen genutzten Netzwerk effektiv auszubreiten und Computer zu infiltrieren. Entgegen ersten Meldungen verblieben die Angreifer über mehrere Monate in dem Netzwerk verursachten einen kalkulierten Schaden von mehr als 10. Mio Dollar. Auch wenn unklar ist, ob hinter den Angriffen offizielle staatliche Institutionen gestanden haben überstiegen die damit demonstrierten technischen Fähigkeiten der Angreifer bei weitem die bisherigen Erwartungen in Bezug auf iranische Cyberwar-Fähigkeiten:

“It was a real eye­opener in terms of the capabilities of Iran to get into a Defense Department system and stay in there for months,” said a former U.S. official. “That’s worrisome.” (Q: Wall Street Journal)

Die Entwicklungen decken sich damit mit den unlängst aktualisierten Informationen des UNIDIR-Berichts zu den weltweiten Sicherheits- und Verteidigungs-Doktrinen, der insbesondere eine Zunahme der Berücksichtigung des Cyberspace unter Aspekten offensiver militärischer Möglichkeiten feststellt.

Obamas Rede zur NSA und der Cyberwar

Angesichts Obamas Rede zur Reform der NSA oder wenigstens einiger ihrer Befugnisse und der präsidialen Direktive stellt sich die Frage, welche Konsequenzen sich für die militärische Nutzung des Cyberspace aus Sicht der USA ergeben. Während die erwähnte Direktive diese Programme weder erwähnt noch auf die militärische Bedeutung der technischen Dominanz, wie sie angesichts der NSA-Enthüllungen deutlich wird, eingeht, deuten die einleitenden Worte trotz aller Beschwichtigungsbemühungen die US-Richtung der nächsten Jahre deutlich an:   

United States must preserve and continue to develop a robust and technologically advanced signals intelligence capability to protect our security and that of our partners and allies. Our signals intelligence capabilities must also be agile enough to enable us to focus on fleeting opportunities or emerging crises and to address not only the issues of today, but also the issues of tomorrow, which we may not be able to foresee.

Zeitgleich hat die Washington Post eine Statistik der finanziellen Ausstattung des US-Cyber Command (CYBERCOM) veröffentlicht, deren Budget für 2014 sich mehr als verdoppelt. Ein Grund dieses enormen Zuwachses liegt in den Kosten für die anvisierten zusätzlichen 4000 Computer-Experten die in den nächsten Monate das US-CYBERCOM verstärken sollen. Damit werden aller Wahrscheinlichkeit nach die Rüstungsspiralen im Cyberwar weiter angefeuert die unlängst erst angesichts des vom Spiegel veröffentlichten NSA-Kataloges und der darin dokumentieren verfügbaren Cyber-Technologien weiteren Aufschwung erfahren hat. 

Die politische Bedrohung durch die “Tailored Access Operations” Einheit

Die NSA und insbesondere ihre, für den gezielten Zugriff (aka. “Hack”) auf Computersysteme spezialisierte Einheit “Tailored Access Operations” (TAO) ist gegenwärtig medial sehr präsent. Dies verdanken wir unter anderem Dokumenten die unlängst durch den Spiegel veröffentlicht wurden und aus denen der Umfang der technischen und exekutiven Möglichkeiten dieser Einheit hervorgehen (der sog. ANT-Katalog). Davon ausgehend wird gegenwärtig zwischen Fachleuten darüber diskutiert ob diese Fähigkeiten wirklich neu und Besorgnis-erregend sind oder ob es sich dabei nicht einfach um die alten Geheimdienst-Methoden handelt, technisch übertragen auf das 21. Jahrhundert. 

Don’t get me wrong, as a security specialist, the NSA’s Tailored Access Operations (TAO) scare the daylights of me. I would never want these capabilities used against me or any other innocent person. But these tools, as frightening and abusable as they are, represent far less of a threat to our privacy and security than almost anything else we’ve learned recently about what the NSA has been doing.

TAO is retail rather than wholesale.

That is, as well as TAO works (and it appears to work quite well indeed), they can’t deploy it against all of us – or even most of us. They must be installed on each individual target’s own equipment, sometimes remotely but sometimes through “supply chain interdiction” or “black bag jobs”. By their nature, targeted exploits must be used selectively. Of course, “selectively” at the scale of NSA might still be quite large, but it is still a tiny fraction of what they collect through mass collection. (Q: Blog von Bruce Schneier)

Meiner Auffassung nach ist es fraglich ob diese Einschätzung wirklich zutreffend ist. Der zentrale Unterschied besteht darin dass (im Gegensatz zu früher) es aus technischer Sicht faktisch keinen Unterschied macht ob in gehackten Systemen “nur” Spionage-Tools installiert oder ob diese Systeme mit massiv-destruktiver Malware versehen werden. Damit umfasst das Wirkungsspektrum der TAO ein viel größere invasive und potentiell militärisch offensive Komponente mit der es möglich ist größflächig Computersysteme zu sabotieren oder zu zerstören als bisher angenommen. Das diese Fähigkeiten nicht nur “Nebenwirkung” vermeintlich friedlicher Geheimdiensttätigkeit sind zeigt die vor einigen Monaten enthüllte “Presidential Policy Directive PPD 20” von Mai 2012. Darin wird durch die US-Regierung ein Gremien aus Militär und Geheimdiensten berufen die militärisch lohnenswerte Ziele im Cyberspace identifizieren und im Rahmen sog. “Offensive cyber effect operations” (OCED) technische Möglichkeiten entwickeln sollen um diese Ziele anzugreifen und ggf. zu zerstören.

Im Lichte dieser Direktive kommt die TAO gegenwärtig der Vision einer militärischen Cyber-Armee-Einheit mit gezielten “Waffen” am nächsten. Da der aktuelle Leiter der NSA General Keith Alexander in Personalunion auch Leiter einiger Einheiten des US-Militärs ist, kann man davon ausgehen, dass Synergie-Effekte intensiv genutzt werden. Die Enthüllungen zur TAO werden damit die internationalen Sorgen um eine Militarisierung des Cyberspace und den Aufbau offensiver Fähigkeiten durch einzelne Staaten weiter anheizen. Es bleibt abzuwarten inwieweit die bereits existierenden technischen Fähigkeiten der TAO Rüstungsbestrebungen anderer Nationen verstärken werden.