Die NSA „Tailored-Access-Operations“ oder „How to control the Internet“

Bereits vor einigen Monaten wurde bekannt dass die NSA eine eigene Einheit aus ca. 600 Mitarbeitern betreibt, deren Aufgabe unter anderem im Hacken und gezielten Infizieren von Computer-Systemen und der Entwicklung maßgeschneiderter Schadsoftware besteht. Diese als Tailored-Access-Operations (TAO) bezeichnete Gruppe ist dabei neben weiteren Aufgaben auch für den Betrieb der als ACIDFOX bezeichneten seperaten Server-Infrastruktur im Internet-Backbone verantwortlich. Diese Server wurden unter anderem für Man-in-the-Middle-Attacken auf verschlüsselte oder anonymisierte Verbindungen eingesetzt und sind unlängst im Zusammenhang mit den QUANTUM INSERT-Programmen des britischen GCHQ wieder aufgetaucht, bei der wahrscheinlich auch Computersysteme des EU-Parlaments angegriffen und abgehört wurden.

Jüngste Veröffentlichungen des niederländischen NRC Handelsblad bestätigen darüber hinaus Spekulationen über eine weitere, entscheidende Aufgabe der TAO. Bereits vor einigen Monaten wurde im Zuge der Enthüllungen zum NSA-Budget für 2011 (dem sog. „Black Budget“) ein umfangreich finanziertes Programm namens GENIE bekannt, deren Ziel in der Infektion weltweit ausgewählter, strategisch wichtiger Computersysteme besteht. Bis 2013 sollten bis zu 85.000 Systeme mit Schadsoftware infiziert und unter Kontrolle der NSA gebracht werden, um im Bedarfsfall den Payload der Malware auf diesen Systemen zu aktivieren und damit ausländische Netzwerke zu kontrollieren. Dieses Programm liegt damit auf einer Linie mit der bekannt gewordenen präsidialen Direktive PPD-20 von Oktober 2012. Entgegen der bisherigen internationalen Entwicklung, die Verteidigung gegen Bedrohungen aus dem Cyberspace in Sicherheits- und Militärdoktrinen zu verankern definiert die US-Regierung damit erstmals formell den Cyberspace als Domäne, in der es gilt potentielle Ziele zu identifizieren und mögliche offensive Maßnahmen zu entwickeln und in die strategisch militärische Planung zu integrieren. Auf einer der vom NRC Handelsblad veröffentlichten NSA-Grafiken wird deutlich dass im Rahmen dieses Programms offenbar tatsächlich bereits neben 50.000 regulären unterwanderten Systemen auch „Zugangspunkte an 20 Hochgeschwindigkeits-Internetknoten, 80 regionalen Knoten und 52 Satelliten“ (Zitat Netzpolitik.org) infiziert worden sind. Noch ist unbekannt welcher Art die Malware ist die für Infektionen eingesetzt wird und in welchem Umfang die davon befallenen Systeme kontrolliert werden können. Da aber bereits mit einfachen, aus dem Internet downloadbaren Exploit-Kits Trojaner erstellt werden können die volle Kontrolle über Computer ermöglichen, ist es denkbar, dass diese vielen Computersysteme mit Hilfe zentraler Steuerungsrechner durch die NSA übernommen und in vollem Umfang gesteuert werden können.

Anders als die ebenfalls massenweise Infektionen bei kriminellen Botnetzen, die zumeist „einfache“ Single-User-Computersysteme und Privat-PCs befallen, könnte die heimliche Übernahme gezielter, strategisch wichtiger Computer tatsächlich einer Kontrolle von Teilen der weltweiten Infrastruktur, gezielter Dienste oder einzelnen wichtigen Einrichten von Staaten gleichkommen. Was wäre bspw. wenn alle Verwaltungs-Computer einer großen deutschen Behörde kollektiv ausgeschalten oder gelöscht würden, Abrechnungssysteme bei Banken oder zentrale Verteilerknoten eines nationalen Kommunikationsnetzwerkes deaktiviert würden? Da die USA am Beispiel von Stuxnet bewiesen haben, dass sie mit Hilfe von Industriekooperationen auch technische, Hersteller-spezifische Details über Interna von verbreiteter Hardware erhalten und diese nutzen, befindet sich auch die Kontrolle wichtiger Netzwerk-Knoten wie Router im Rahmen des Vorstellbaren.

In allen diesem Fällen stellt sich die Frage, in welchem Umfang ein Nachrichtendienst damit Infrastrukturen fremder Staaten unterwandert und kontrollieren kann und welche Auswirkungen dies auf die staatliche Souveränität der angegriffenen Nation hat. Ein Expertengremium der NATO kommt in den Schlussfolgerungen der als Tallin-Manual bezeichneten Analyse zur Anwendbarkeit des internationalen Völkerrechts im Cyberspace zu dem Schluss, dass offensive Cyberoperationen durchaus die Schwere eines Bruch dieser Souveränität darstellen und Staaten zu völkerrechtlich legitimierten Reaktionen provozieren könnten. Mit Sicherheit lässt sich gegenwärtig feststellen, dass diese flächendeckende Unterwanderung wichtiger IT-Strukturen die aktuellen Debatten über die Tragweite der Handlungen eines einzelnen nationalen Nachrichtendienstes anfachen und das Vertrauen in die Regierungs der USA weiter beschädigen werden.