Die NSA und insbesondere ihre, für den gezielten Zugriff (aka. „Hack“) auf Computersysteme spezialisierte Einheit „Tailored Access Operations“ (TAO) ist gegenwärtig medial sehr präsent. Dies verdanken wir unter anderem Dokumenten die unlängst durch den Spiegel veröffentlicht wurden und aus denen der Umfang der technischen und exekutiven Möglichkeiten dieser Einheit hervorgehen (der sog. ANT-Katalog). Davon ausgehend wird gegenwärtig zwischen Fachleuten darüber diskutiert ob diese Fähigkeiten wirklich neu und Besorgnis-erregend sind oder ob es sich dabei nicht einfach um die alten Geheimdienst-Methoden handelt, technisch übertragen auf das 21. Jahrhundert.
Don’t get me wrong, as a security specialist, the NSA’s Tailored Access Operations (TAO) scare the daylights of me. I would never want these capabilities used against me or any other innocent person. But these tools, as frightening and abusable as they are, represent far less of a threat to our privacy and security than almost anything else we’ve learned recently about what the NSA has been doing.
TAO is retail rather than wholesale.
That is, as well as TAO works (and it appears to work quite well indeed), they can’t deploy it against all of us – or even most of us. They must be installed on each individual target’s own equipment, sometimes remotely but sometimes through „supply chain interdiction“ or „black bag jobs“. By their nature, targeted exploits must be used selectively. Of course, „selectively“ at the scale of NSA might still be quite large, but it is still a tiny fraction of what they collect through mass collection. (Q: Blog von Bruce Schneier)
Meiner Auffassung nach ist es fraglich ob diese Einschätzung wirklich zutreffend ist. Der zentrale Unterschied besteht darin dass (im Gegensatz zu früher) es aus technischer Sicht faktisch keinen Unterschied macht ob in gehackten Systemen „nur“ Spionage-Tools installiert oder ob diese Systeme mit massiv-destruktiver Malware versehen werden. Damit umfasst das Wirkungsspektrum der TAO ein viel größere invasive und potentiell militärisch offensive Komponente mit der es möglich ist größflächig Computersysteme zu sabotieren oder zu zerstören als bisher angenommen. Das diese Fähigkeiten nicht nur „Nebenwirkung“ vermeintlich friedlicher Geheimdiensttätigkeit sind zeigt die vor einigen Monaten enthüllte „Presidential Policy Directive PPD 20“ von Mai 2012. Darin wird durch die US-Regierung ein Gremien aus Militär und Geheimdiensten berufen die militärisch lohnenswerte Ziele im Cyberspace identifizieren und im Rahmen sog. „Offensive cyber effect operations“ (OCED) technische Möglichkeiten entwickeln sollen um diese Ziele anzugreifen und ggf. zu zerstören.
Im Lichte dieser Direktive kommt die TAO gegenwärtig der Vision einer militärischen Cyber-Armee-Einheit mit gezielten „Waffen“ am nächsten. Da der aktuelle Leiter der NSA General Keith Alexander in Personalunion auch Leiter einiger Einheiten des US-Militärs ist, kann man davon ausgehen, dass Synergie-Effekte intensiv genutzt werden. Die Enthüllungen zur TAO werden damit die internationalen Sorgen um eine Militarisierung des Cyberspace und den Aufbau offensiver Fähigkeiten durch einzelne Staaten weiter anheizen. Es bleibt abzuwarten inwieweit die bereits existierenden technischen Fähigkeiten der TAO Rüstungsbestrebungen anderer Nationen verstärken werden.
