News

NSA-Reform: Sicherheitsfachleute und offensive Hacker in einer Einheit zusammengeführt

Nach den Enthüllungen über die NSA und der anschließenden Kritik an deren allumfassenden Überwachungs-Programmen und damit verbundenen Befugnissen wurde durch Präsident Obama eine Kommission ins Leben gerufen, die Maßnahmen für eine Reform der US-Geheimdienste entwickeln sollte. Ein Teil der Vorschläge (2013, Quelle, lokale Kopie) betraf dabei die dringend gebotene Trennung von jenen Institutionen die Software auf Sicherheitslücken testen um diese in enger Kooperation mit den Herstellern schnell zu schließen und Einheiten wie der Tailored Access Operations (TAO) in deren Aufgabenbereich die Entwicklung maßgeschneiderter Schadsoftware für den verdeckten Zugriff und für Cyberattacken fällt – eine klassische Trennung zwischen Defensive und Offensive.

Wie der britische Guardian (Q: theguardian.com, Kopie) gestern berichtete soll entgegen den Empfehlungen nun weniger eine Trennung als vielmehr ein Effektivierung der teilweise komplexen Haus-internen Strukturen vorgenommen werden. Dabei werden unter anderem das oben benannte Sicherheits-orientierte Information Assurance Directorate (IAD) mit dem Signals Intelligence Directorate (SID) zusammengelegt, deren Aufgaben eben genau die Nutzung derartiger Schwachstellen für nachrichtendienstliche Aufklärung umfasst:

„Signals Intelligence Directorate (SID) Management Directive provides policy and procedures for the formal delegation of mission resporisibility and a consistent process to ensure adequate support and standup of SIGINT mission within the United States SIGINT System“ (Q: aclu.org / Kopie).

Gerade in Bezug auf Sicherheitslücken gab es in der Vergangenheit einige interessante Zitate staatlicher Führungskräfte der USA:

„I certainly have great respect for those that would argue that they most important thing is to ensure the privacy of our citizens and we shouldn’t allow any means for the government to access information. I would argue that’s not in the nation’s best long term interest, that we’ve got to create some structure that should enable us to do that mindful that it has to be done in a legal way and mindful that it shouldn’t be something arbitrary.“ (aktueller NSA Chef General Michael S. Rogers, Keynote der CyCon 2015, Kopie)

Disclosing a vulnerability can mean that we forego an opportunity to collect crucial intelligence that could thwart a terrorist attack stop the theft of our nation’s intellectual property, or even discover more dangerous vulnerabilities that are being used by hackers or other adversaries to exploit our networks (Michael Daniel, Special assistant to the president and cybersecurity coordinator“, Blog  whitehouse.gov/blog, Kopie)

Angesichts der mehr oder minder bestätigten Kooperation der NSA mit militärischen Einheiten (wie der zentralen militärischen Cyber-Einheit USCYBERCOM, die dem jeweiligen NSA-Direktor untersteht) oder der durch Snowden enthüllten präsidialen Direktive PPD-20/2012 ist damit nicht auf Signale der Entspannung aus den USA im gegenwärtigen Cyber-Aufrüstungswettlauf zu rechnen – wonach es allerdings ohnehin nicht aussah.

Weitere Details (und Unklarheiten) zum geplanten Cyber-Ausbau der Bundeswehr

Bereits im Dezember 2015 wurden die Antworten des deutschen Regierung auf eine kleine Anfrage der Fraktion „Die Linke“ veröffentlicht, die einige interessante Details zu den geplanten Erweiterungen im Bereich der Cyber-Defence (und potentiell auch Offence) der deutschen Bundeswehr enthält. Mit Verweis auf das Selbstverständnis und die Aufgaben der Bundeswehr werden dabei Fragen nach den Absichten und Zielen bei der geplanten Erweiterung des Operations-Raumes auf den Cyberspace beantwortet und dabei auf die gewachsenen Herausforderungen und neue Gefährdungen durch den technologischen Fortschritt hervor gehoben. Der Einsatz entsprechender militärischer Wirkmittel („Cyberwaffen“), strategische Planungen und die Auswahl von militärischen Zielen soll dabei wie bisher im rahmen der rechtlichen bestehenden Regelungen (Parlamentsbeschlüsse, Grundgesetz und Völkerrecht) erfolgen (Antwort auf die Fragen 2 und 18).

Soweit man aus bisherigen großen Vorfällen im Cyberspace (sowohl im militärischen als auch im zivilen Rahmen) aber Rückschlüsse ziehen kann, scheinen Cyberattacken eine große Vorlauf-Phase zu benötigen, bei der Schwachstellen-Erkundung, dem Aufbau verdeckter Kanäle, durch die Verschleierung von Zugriffen und dem Einbau von Hintertüren um die gezielte Ausführung des eigentlichen Payloads (die Schadroutinen) zu ermöglichen. Betrachtet man die langen Laufzeiten der analysierten Vorfälle dann scheint diese Vorbereitungsphase durchaus mehrere Monate bis Jahre in Anspruch zu nehmen, insbesondere dann wenn nicht wahllos beliebige Systeme angegriffen wurden sondern gezielt spezifisch ausgewählte Einrichtungen.

Gerade auch für mögliche Operationen im Cyberspace durch die deutsche Bundeswehr, die durch das deutsche Parlament erlaubt wurden, ist eine solche Vorfeld-Aufklärung („Lagebild-Analyse“) und Zugriffsvorbereitung wahrscheinlich notwendig. Bisherige Parlamentsbeschlüsse zu Bundeswehr-Einsätzen erfolgten jedoch oft relativ kurzfristig und mit unmittelbarer, dafür aber auch zeitlich sehr eng bemessenem Rahmen. Derartig kurzfristige Operationen dürften in aller Regel kaum ausreichen um eine effektive Lagebild-Aufklärung zu ermöglichen, die jedoch Grundlage für eine effektive Cyberspace-gestützte offensive Verstärkung der klassischen Wirkmittel darstellen. Am Beispiel der NSA-Enthüllungen wird beispielsweise deutlich, in welchem Umfang sich Geheimdienste und Militär frühzeitig auf mögliche Offensiv-Zugriffe vorbereiten, IT-Systeme vorsorglich infizieren und Manipulationsstrukturen aufbauen.

Dieser Widerspruch wird auch durch die Antworten 23 und 24 der kleinen Anfrage deutlich (und durch die Bundesregierung nicht näher aufgelöst):

(23) „Stellt nach Einschätzung der Bundesregierung das Eindringen in fremde oder gegnerische IT-Netzwerke, um dort Schwachstellen auszukundschaften, „aufzuklären“ oder Funktionen zu stören, einen Angriff dar? Wo verortet die Bundesregierung gegebenenfalls die Grenze ab der ein derartiges Vorgehen zum Angriff wird?“:

Auch im Cyber-Raum sind Aktivitäten staatlicher Stellen am geltenden Recht zu messen. In friedensvölkerrechtlicher Hinsicht sind dies das Interventions- und Gewaltverbot sowie die davon nach dem Völkerrecht bestehenden Ausnahmen. Die Frage, inwieweit die für eine Ausnahme vom Interventions- oder Gewaltverbot notwendigen Voraussetzungen erfüllt sind oder nicht, ist im Einzelfall zu prüfen. (..)

(24) „Inwieweit kann es nach Einschätzung der Bundesregierung überhaupt einen Eingriff der Bundeswehr oder anderer staatlicher Stellen, einschließlich der Nachrichtendienste, in ausländische oder gegnerische IT-Netze geben, welcher nicht als Souveränitätsverletzung und in der Folge als „Angriff“ zu definieren ist?“

Ob eine rechtswidrige Souveränitätsverletzung gegeben ist, kann nur im Einzelfall unter Beachtung des einschlägigen Völkerrechts und der Gesamtumstände (z. B. Zustimmung des betroffenen Staates, Vorliegen von Resolution des VN-Sicherheitsrats oder anderer Rechtfertigungsgründe) bewertet werden.

Die Antworten lassen ungeklärt wer bzw. wie eine Regelung für den Einzelfall erfolgen soll. Welche Kriterien müssen abgewogen werden und erfüllt sein, wie werden diese strukturell und nachvollziehbar ausgelegt und von welcher Instanz?

Ein zweiter, kritisch zu bewertender Aspekt der Regierungs-Ansichten soll hier noch hervorgehoben werden. In Frage 30 beziehen sich die Antragsteller auf das sog. Unterscheidungsgebot demzufolge Kombattanten und Cyberangriffe der Bundeswehr äußerlich erkennbar und der Bundeswehr zuordbar sein müssen (letzterer Aspekt ist als das sog. Attributionsproblem bekannt). Die Antwort unterstreicht dabei, dass sich aus Sicht der deutschen Regierung die Zurechenbarkeit von IT-Zugriffen keineswegs aus völkerrechtlichen Geboten ableiten lässt.

(30) „Wie beabsichtigt die Bundesregierung mit Blick auf das völkerrechtliche Gebot, Kombattanten äußerlich erkennbar und so von der Zivilbevölkerung unterscheidbar zu machen (Unterscheidungsgebot), zu gewährleisten, sodass bei Cyberangriffen der Bundeswehr für die jeweiligen Gegner erkennbar wird, von wo bzw. wem der Angriff ausging (d. h., ob es sich um einen staatlichen, militärischen oder um einen von nichtstaatlichen, zivilen Akteurinnen oder Akteuren ausgehenden Angriff handelte)?“

Die Streitkräfte der Bundeswehr sind im internationalen bewaffneten Konflikt verpflichtet, sich von der Zivilbevölkerung zu unterscheiden, insbesondere durch das Tragen von Uniform. Das völkerrechtliche Unterscheidungsgebot erfordert aber bei der Nutzung technischer Einrichtungen und Aktivitäten im Cyber-Raum nicht, die Zurechenbarkeit zu einem bestimmten Staat offenzulegen.

Diese Interpretation mag aus juristischer Sicht möglicherweise tragfähig sein, wird jedoch absehbar für weitere Probleme sorgen. Zugriffe bei Cyberattacken sind – sofern sie nicht dereinst vollautomatisiert erfolgen – nicht vom Hacker der sich in dem fremden IT-System bewegt und mit entsprechenden Kommandos seine Operationen ausführt kaum zu trennen. Welche Situationen von der Regierungs als reine „Nutzung technischer Einrichtungen und Aktivitäten“ wie dies in der Antwort als Grundlage herangezogen wird bleibt auch hier offen. Eine sinnvolle und den technischen Begebenheiten schlüssig folgende Erläuterung ist zweifelhaft.

Insgesamt werfen die Antworten auf die kleine Anfrage mehr Detail-Probleme und Schwierigkeiten auf als sie beantworten oder aus der Welt räumen können. Es bleibt abzuwarten ob die in der Antwort der Regierung  angeteaserte Budget-Kalkulation für die neue Bundeswehr-Cyber-Einheit hier weitere Erkenntnisse bringen wird.

Fachgespräch zu Überwachungstechnologie und Exportkontrolle im Bundestag

Anlässlich eines Fachgespräches zum Thema Überwachungs-Technologie und Exportkontrolle im Ausschuß digitale Agenda des deutschen Bundestages war unter anderem der stellvertretende wissenschaftliche Direktor des Instituts für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH) Prof. Götz Neuneck geladen, an dessen Statement ich mitgearbeitet habe. Da im Rahmen der Anhörung einige interessante Aspekte rund um Schadsoftware, deren Kontrolle und insbesondere Exportkontrolle (die ja bereits im Rahmen des Wassenaar-Abkommens in Deutschland implementiert ist) zusammen getragen wurden möchte ich hier auf ein paar Berichte als Nachlese verweisen:

Hacking-Angriff auf ukrainische Stromanbieter – Neuer Datenbank-Eintrag zu BlackEnergy

Ende 2015 wurde mutmaßlich durch einem Hackingangriff gegen ukrainische Stromanbieter für mehrere Stunde ein Stromausfall provoziert der bis zu 700.000 Bewohner der Region betroffen hat. Die Angriffe wurden vermutlich mit Hilfe eines Trojaner namens „BlackEnergy“ durchgeführt, der bereits seit 2007 bekannt ist und in der Ukraine schon für Attacken während der Regionalwahlen 2015 eingesetzt wurde. Die Herkunft des Angriffs ist gegenwärtig noch unklar, allerdings weisen einige Hinweise auf Aktivitäten einer „Sandworm“ genannten Gruppe hin, die mit BlackEnergy in den vergangenen zwei Jahren in der Ukraine, aber auch gegen russische Unternehmen und Einzelpersonen agiert haben sollen und unter Umständen einem staatlichen Hintergrund entstammt. Alle Details in der Datenbank relevanter Vorfälle.

Digitale Blauhelme für den Cyberwar

Atefeh Riazi, IT-Chefin der UN, hat unlängst die Idee von digitalen Blauhelmen in Fortführung des international anerkannten Prinzips der Blauhelme als Friedenssichernde Maßnahme in Konfliktsituationen präsentiert und diese in einem Interview auf heise.de (lokale Kopie) näher erläutert.

Sie plant (..) zwei „Gattungen“: Eine für Cybersecurity, die sich Themen wie Malware, Hacking und Kontinuitätsmanagement widmen soll. Und eine andere für den Kampf gegen Cybercrime, im Rahmen der UN-Aufgaben. Hierein fallen für Riazi etwa der Kampf gegen Terror, gegen Verbrechen, gegen Drogen, und gegen Menschenschmuggel. (Q: heise.de)

Dabei soll es zum einen um das Capacity-Building gehen, indem IT-Fachleute für den Aufbau von sicheren IT-Infrastrukturen und Diensten für Staaten ausgebildet werden, die bisher noch über mangelhafte IT-Sicherheitsmaßnahmen und Strukturen verfügen. Die UN-Abteilung würde dabei als globales CERT agieren, die Fachleute ausbilden und koordinieren.

Die andere Sparte wird sich dem von Riazi weit ausgelegten Thema Cybercrime widmen, wobei der Übergang zum Cyberwar fließend ist. Insbesondere sollen diese digitalen Blauhelme die verschiedenen UNO-Teilorganisationen mit Analysen unterstützen und mit IT-Werkzeugen versorgen. Darüber hinaus sollen sie Werbung für den Einsatz von IT und IT-Experten für die Gute Sache. (Q: heise.de)

Eine ähnliche Idee wird seit 2013 von der NATO verfolgt (Neues Deutschland vom 6.6.2013, lokale Kopie), mit dem Ziel eine kleine Gruppe von IT-Experten in Form einer schnellen Einsatztruppe für Vorfälle im Cyberspace auf die Beine zu stellen und Mitgliedsstaaten bei mutmaßlichen Attacken verteidigend und forensisch zu unterstützen. Unter dem Dach einer international akzeptierten Organisation wie der UN würde eine solche Expertentruppe sicher eine breitere Akzeptanz als neutrale Unterstützung erfahren ohne den Ruch der einseitigen Vorteilsnahme im Rahmen des Verteidigungsbündnisses.

Die Idee der digitalen Blauhelme ließe sich jedoch sogar noch weiter treiben, indem bspw. eine mit UN Mandat ausgestattete Beobachtermission in Konfliksituationen auch die IT-Strukturen von Konfliktparteien kontrollieren oder die Verwaltung derselben zeitweise übernehmen könnten. Betrachtet man die Konfliktherde der bisherigen UN-Missionen und deren technischen Entwicklungsstand, so erscheint eine solche Konflikt-trennende Blauhelm-Mission im Cyberspace noch sehr unnötig. Allerdings  ist eines der großen Probleme bei Angriffen im Cyberspace eben die schwierige Kontrollierbarkeit und Sichtbarkeit der Aktivitäten. Eine Blauhelm-IT-Truppe die in solchen Situationen direkt auch IT-Infrastrukturen zeitnah überwachen kann und Log-Daten der IT- und TK -Systeme von Konfliktparteien kontrolliert könnte genau dieses Problem sinnvoll adressieren.

Inoffizielle englische Übersetzung des Nicht-Angriffspakt zwischen Russland und China im Cyperspace

Für den Nicht-Angriffspakt im Cyberspace zwischen Russland und China gibt es mittlerweile eine inoffizielle englische Übersetzung (besten Dank an alle die dazu beigetragen haben). Das Original-Dokument und die Übersetzung kann hier in der Liste der wichtigen Dokumente heruntergeladen werden.

Update und Kurzanalyse

Die Analyse des Abkommens verdeutlicht in erster Linie die bereits im vorherigen Post formulierten Aspekte der gegenseitigen Versicherungen und Kooperationen zwischen den beiden Vertragsstaaten. Das Abkommen ist bis auf wenige Nennungen nicht exklusiv auf die beiden Staaten begrenzt sondern spricht in aller Regel von „internationalen“ Regeln. Darüber hinaus enthält es den Verweis, dass mit diesem Vertrag die Anstrengungen um eine breitere Verankerung von Normen für den Cyberspace / Informationsraum weiter vorangetrieben werden sollen. Der Großteil des Vertrags-Textes betrachtet dabei die Bedeutung dieses Raumes für die ökonomische und zivilgesellschaftliche Entwicklung der Staaten und dessen Schutzbedarf. Von diesem Grundgedanken ausgehend werden gemeinsame Anstrengungen für die gemeinsame Normenbildungen, die Etablierung von Institutionen zur Kommunikation und Konfliktbereinigung und der Austausch von Informationen, Know-How und Experten beschlossen. Ein konkreter Verweis auf den gegenseitigen Verzicht von Attacken gegen den Cyberspace / den Informationsraum gibt es im Vertragstext nicht.

Der Vertrag formuliert in erster Linie gemeinsame Überzeugungen und den Willen zu kollektiven Anstrengungen um den Cyberspace / Informationsraum als wirtschaftliches, und zivilgesellschaftliches Gut zu erhalten, auszubauen und zu schützen und ist damit weniger ein militärischer Nicht-Angriffspakt (wie hier ursprünglich formuliert) als eher eine Grundlage für die weitere Entwicklung von Vertrauensbildenden und Friedenssichernden Maßnahmen auf dem Weg zu international verbindlichen Abkommen.

Digitaler „Nicht-Angriffspakt“ zwischen Russland und China

Bereits im Mai dieses Jahres wurde zwischen Russland und der Volksrepublik China ein bilaterales Abkommen vereinbart, dass in dieser Form eines digitalen „Nicht-Angriffspaktes“ bisher einzigartig ist (Update: Mittlerweise gibt es für den Vertrag eine inoffizielle englische Übersetzung). Darin kommen die Staaten überein, sich gemeinsam gegen die wesentlichsten nationalen Bedrohungen im Cyberspace zu wenden. Diese umfassen dabei folgende Aspekte:

  • “to carry out acts of aggression aimed at the violation sovereignty, security and territorial integrity of states,”
  • “to interfere in the internal affairs of states”
  • “to cause economic damage, to commit crimes, including data breach, for terrorist purposes,
  • “to disseminate information that “harms political and socio-economic systems, or the spiritual, moral and cultural environment of other states.”(Q: Russia Direct, lokale Kopie)

Insbesondere der letzte Punkt hebt erneut hervor, dass Russland und China wie bereits in ihren 2011 und 2015 vorgelegten Entwürfen für UN-Cyberresolutionen von “Informationssicherheit” sprechen und dabei stets neben der Sicherheit der IT-Infrastrukturen auch die nationale Souveränität über die dort enthaltenen und darüber verbreiteten Informationen meinen.

Neben Maßnahmen der gemeinsamen Informations- und Techniktransfers sowie der Kooperation von Strafverfolgungsbehörden enthält die Vereinbarung auch das gemeinsame Versprechen, sich nicht gegenseitig zu hacken (“pledge not to hack”), also keine Cyberattacken gegen Infrastrukturen des anderen Staates durchzuführen. Obgleich eine solche Vereinbarung die klare aber in der Praxis schwer mögliche Abgrenzung zwischen offensiven und defensiven Maßnahmen im Cyberspace berührt, steht diese Übereinkunft doch historisch in einer Linie zu bereits bestehenden Kooperationen zwischen den beiden Staaten in ihrem Versuch Normen für das staatliche Agieren im Cyberspace festzulegen. Vor diesem Hintergrund erscheint das aktuelle Abkommen eher als eine breite Vertragsbasis um weiter an derartigen Normen zu arbeiten, Transparenz- und Vertrauensbildende Maßnahmen zu entwickeln und engere Kooperationen aufzubauen.

On a larger scale, the agreement illustrates the ongoing Russian efforts to promote a norms-driven approach to cyberspace governance. (…) In this sense, the bilateral agreement clearly builds on the points already mutually accepted and reinforces Russia’s lead on norms formation, backed up by the important partner from the East. (Q: Russia Direct, lokale Kopie)

Gerade angesichts der Spannungen durch die Ukraine-Krise stärkt dieses Abkommen damit die russische Position, denn obgleich ähnliche vertrauensbildende Maßnahmen zwischen Russland und den USA bereits 2013 vereinbart wurden liegen diese aktuell aufgrund der geringen diplomatischen Kooperationen auf Eis.

Konkrete Schritte zur Cyberbefriedung zwischen China und den USA?

Im Zuge der Vereinbarungen zwischen der Volksrepublik China und den USA zur Eindämmung der gegenseitigen Industriespionage sind erste Schritte erfolgt. Wie jetzt bekannt wurde, übergab die US-Regierung bereits vor der Bekanntgabe der Vereinbarungen eine Liste verdächtigter Hackern an chinesische Behörden:

“We need to know that you’re serious,” was the way one individual familiar with the matter described the message. “So we gave them a list, and we said, ‘Look, here’s these guys. Round them up.’” (Q: Washington Post, lokale Kopie)

Die Hackern sollen jetzt angeklagt und die Vorfälle bei denen massiv Daten US-amerikanischer Unternehmen und Institutionen entwendet wurden durch chinesische Strafverfolgungsbehörden untersucht werden. Mit diesen Maßnahmen ist die chinesiche Regierung den Forderungen der USA in dem jahrelang Streit, der geprägt war von gegenseitigen Anschuldigungen über Cyberattacken und Industrie-Spionage einen wichtigen Schritt entgegen gekommen. Dennoch äußern sich US-amerikanische Stimmen eher verhalten optimistisch, wie tragfähig diese Vereinbarungen sein werden:

“You’d want to see it sustained over time,” said one U.S. Official (..) “And in a situation when there wasn’t a major state visit coming up. That will be the proof that the cooperation really is improving.” (Q: Washington Post, lokale Kopie)

Das Abkommen zur Eindämmung der wirtschaftlich motivierten Cyberattacken umfasst unter anderen auch die gemeinsame Selbstverpflichtung zur zeitnahen Reaktion (“timely responses”) auf Bitten der Behörden bei entsprechenden Vorfällen im Cyberspace. Vor diesem Hintergrund könnten die Verhaftung als erstes Symbol der Ernsthaftigkeit der chinesischen Regierung betrachtet werden:

Catherine Lotrionte, who teaches international law and cyberpolicy at Georgetown University and is a former CIA lawyer, said she had been skeptical that the pact was more than words. But China’s arrests, she said, “makes the U.S. government look much smarter coming into this agreement” with Xi. “You want to see the Chinese do something,” she said. “This would be one of those things that I want to see. It is a good-faith move by the Chinese.” (Q: Washington Post, lokale Kopie)

Angesichts der Verpflichtungen bleibt offen, welche konkreten Maßnahmen seitens der Regierungen umgesetzt werden und wie sich solche Verpflichtungen unter anderem in den weltweiten Überwachungs- und Spionageprogrammen der NSA niederschlagen werden.

China und die USA verhandeln über weltweit erstes No-First-Use-Abkommen zu Cyberwaffen (Update)

Die Ney York Times berichtet in ihrer Ausgabe vom 19.9.2015 dass Vertreter Chinas und der USA gegenwärtig über ein bilaterales Abkommen verhandeln, dessen Gegenstand der gegenseitig Verzicht auf den First-Use von Cyberwaffen sein soll. Das Abkommen soll Gegenstand des kommenden Staatsbesuches des chinesischen Präsidenten Xi Jinping in den USA sein. Bis dato ist unklar welche konkreten Vereinbahrungen getroffen werden sollen:

But a senior administration official involved in the discussions cautioned that an initial statement between Mr. Obama and Mr. Xi may not contain “a specific, detailed mention” of a prohibition on attacking critical infrastructure. Rather, it would be a more “generic embrace” of a code of conduct adopted recently by a working group at the United Nations. (Q: Ney York Times, Kopie)

Trotzdem wären die Vereinbahrung der ersten konkrete Schritt in internationalen Beziehungen in Bezug auf den militärischen Einsatz von „Cyberwaffen“. Dies wird einen enorme internationale Signalwirkung haben und könnte als Vorlage für weitere bi- und multilaterale Abkommen dienen.

Die Gespräche und deren Dinglichkeit verdeutlichen dabei aber auch, dass beide Staaten entweder von der Möglichkeit ausgehen, dass der jeweils andere Staat entsprechende Cyberwaffen besitzt bzw. entwickelt oder das China und die USA selbst auf aufgrund eigener Projekte mit der Verfügbarkeit entsprechender Waffen rechnen. Da es laut Presseveröffentlichungen primär um ein Abkommen gegen den First-Use von Cyberwaffen geht, legt dies darüber hinaus den Schluß nahe, dass mit den Vereinbahrungen nicht die nahezu alltäglichen Spionage-Attacken gemeint sein werden, sondern gezielte, militärische Angriffe gegen kritische Infrastrukturen beider Staaten.

Die Vereinbahrungen können dabei jedoch nur ein erster Schritt zur Befriedung des Cyberspace und gegen die zunehmende Militarisierung dieser Domäne sein, die in nachfolgenden Verhandlungen Konzepte der Überprüfung solcher Abkommen und die breitere Einbindung weiterer Staaten umfassen müssen

Joseph S. Nye, a Harvard professor known for his studies of American power, said the concept of a “no first use” doctrine for cyberattacks had been “gestating for some time” in a variety of international forums. “It could create some self-restraint,” Mr. Nye said, but he added that the problem was, “how do you verify it, and what is its value if it can’t be verified?” (Q: Ney York Times, Kopie)

Update: Entgegen den obigen Mutmaßungen betreffen die konkreten Vereinbarungen (Quelle) „nur“ den Bereich der Spionage zu wirtschaftlichen Zwecken („commercial intelligence“) mit deren Hilfe sich Firmen Wettbewerbsvorteile verschaffen wollen. Darüber hinaus gehende Absprachen betreffen die Einrichtungen einer gemeinsamen Arbeitsgruppe sowie direkter Kommunikationskanäle für den unmittelbaren Austausch zu diesen Themen. Der Bereich der militärischen Anwendung des Cyberspace findet keine Erwähnung.

Neue Leitlinie zur Cyber-Verteidigung der Bundeswehr wird langsam offizieller (Update)

Im Juli wurde durch den Spiegel von bis dato noch geheimen Plänen des Bundesverteidigungsministeriums berichtet, den Bereich Cyberverteidigung bei der deutschen Bundeswehr stärker auszubauen, personell aufzustocken und mit offensiven Fähigkeiten auszurüsten. Das Dokument dieser neuen strategischen Leitlinie wurde später durch den Blog netzpolitik.org (Q: netzpolitik.org, Kopie) veröffentlicht, bislang jedoch noch nicht durch das BMVg kommentiert.

Langsam lichten sich jedoch die Schleier und so berichtet die Süddeutsche Zeitung heute davon, dass die neue strategische Ausrichtung (Q: Süddeutsche Zeitung, Kopie) in dieser Woche auf einer eigenen Konferenz näher diskutiert werden soll. Dabei soll es unter anderem darum gehen die bisher verteilten Kompetenzen in einer zentralen Organistationsstruktur zu bündeln und diese den bisherigen Heeresteilen wie Marine, Luftwaffe und Heer gleichzustellen. Damit vollzieht das Verteidigungsministerium einen Wandel, der aller Wahrscheinlichkeit nach zu einer stärkeren offensiven Einbettung von Cyber-Einheiten in militärische Operationen führen wird – eine strategische Planung wie sie bspw. auch in der aktuellen US-amerikanischen Sicherheitsdoktrin vorgesehen ist.

Gegenwärtig verfügt die Bundeswehr in Form der „Computer network operations“-Einheit, die beim Kommando Strategische Aufklärung (KdoStratAufkl bzw. KSA) ansässig ist nur über einige Dutzend Fachkräfte, während alle anderen IT-Fachleute und System-Administratoren eher für die technischen Dienstleistungen zuständig waren. Vor diesem Hintergrund wird der Vorstoß der Verteidigungsministerin nur ein erster Schritt in Richtung einer offensiven Cyber-Einheit sein, die Forderung nach weiteren Sach- und Personalmitteln wird wohl demnächst folgen.

Update (18.9.2015):

Verteidigungsministerin Frau von der Leyen hat im Rahmen ihrer Keynote bei einem Cyber-Workshop des BMVg die obige Pläne bestätigt:

In den nächsten Monaten soll ein Kommando aufgebaut werden, das die 15.000 mit Informationstechnik befassten Soldaten und zivilen Mitarbeiter der Bundeswehr koordinieren soll (..) Es gehe auch darum, die Vernetzung mit der Cyber-Abwehr der Bündnispartner zu verbessern (..) Um den Aufbau der IT-Truppe soll sich ein kleiner Stab um Staatssekretärin Katrin Suder kümmern, der bis zum Frühjahr ein Konzept erarbeiten soll. (Q: heise.de, Kopie)

Über die ebenfalls vor einige Monaten durchgesickerten Absichten, die gesetzlichen Grundlagen der Cyber-Einheiten auch um Offensiv-Befugnisse zu erweitern wurde jedoch nichts verlautbart.