Das Magazin WIRED hat vor wenigen Tag ein neues Interview (Original-Quelle) mit Edward Snowden veröffentlicht, in dem er u.a. über ein bis dato unbekanntes US-Projekt namens „Monstermind“ spricht. Dabei soll es sich um System handeln, das automatisch Cyberattacken auf – nicht näher spezifizierte – US-Netzwerke erkennen und bekämpfen soll. Das System soll dabei aber nicht nur in der Lage sein betroffene Netzwerke und Systeme defensiv zu schützen (bspw. per Redundanz, teilweises Blocken von Zugriffen etc. und dem Auslösen von Warnungen) sondern in der Lage sein, auch automatisch und offensiv zur Gegenwehr zu schreiten. Diese Informationen sind aus mehreren Gründen bemerkenswert. Zum einen ist der Ansatz einer automatischen Angriffserkennungen für komplexe Netzwerke nicht aus der Luft gegriffen und unter anderem das US Department of Homeland Security (DHS) betreibt ein derartiges System unter dem Namen Einstein (Projektpapiere für Version 2 von 2008 und Version 3 von 2013) zum Schutz von Behördennetzen. Auf der anderen Seite werden derartige System in aller Regel eingesetzt um Angriffe am Eintrittspunkt in das zu schützende Netz zu stoppen, wohingegen mit Hilfe von Monstermind automatisiert Gegenangriffe ausgelöst werden, deren Maßnahmen über eigene Netzwerke hinaus reichen.
MonsterMind (..) would automate the process of hunting for the beginnings of a foreign cyberattack. Software would constantly be on the lookout for traffic patterns indicating known or suspected attacks. When it detected an attack, MonsterMind would automatically block it from entering the country—a “kill” in cyber terminology. Instead of simply detecting and killing the malware at the point of entry, MonsterMind would automatically fire back, with no human involvement (WIRED)
Leider fehlen im Interview Details zu den konkreten Ausprägungen dieses Programms. Nichtsdestotrotz sollte angesichts der Fülle an enthüllten Programmen der NSA et. al. die Warnung vor einem solchen offensiven Ansatz ernst genommen werden.
Eine automatische Verteidigung wie sie Monstermind vorsieht oder vorsehen könnte wirft sehr viele Fragen auf. Zu aller erst hat ein solches System einen ungeheuren Bedarf an analysierten Datenströmen und (idealerweise deren Inhalte) um zuverlässig Aussagen über Angriffe, deren Art und Ursprung treffen zu können.
In order for the system to work, the NSA first would have to secretly get access to virtually all private communications coming in from overseas to people in the US. “The argument is that the only way we can identify these malicious traffic flows and respond to them is if we’re analyzing all traffic flows,” he says. “And if we’re analyzing all traffic flows, that means we have to be intercepting all traffic flows. (WIRED)
Neben diesem weiter gesteigerten Bedarf nach der Überwachung internationaler Datenströme ist bei Cyberattacken die tatsächliche Herkunft eines Angriffs vollkommen unklar und vermeintliche Ursprungssysteme könnten problemlos von Angreifers zur Tarnung oder eventuell auch absichtsvoll zum Hinterlassen falscher Fährten eingesetzt werden. Dieses sog. Attributionsproblem ist zwar nicht unlösbar, jedoch der allgemeinen wissenschaftlichen Auffassung nach aktuell nur mit aufwendigen Analyseverfahren und digitaler Forensik möglich, in keinem Fall gehen Experten jedoch davon aus, dass man unmittelbar auf die Herkunft eines Angriffs schließen kann. Automatische offensive Reaktionen gegen fremde Systeme und Netzwerke könnten daher ungeahnte Auswirkungen haben und zu unbeabsichtigten Konflikten führen. Diese Sorge sollte insbesondere angesichts der aktuell international politischen Unsicherheit über militärische Aspekte von Cyberprogrammen einiger Nationen und deren Zerstörungspotential nicht übersehen werden. Diesen Verunsicherungen steht außerdem die bis dato international noch nicht einheitlich geklärte Frage nach den Völkerrechtsgrundlagen von Konflikten im Cyberspace gegenüber, welches Situationen einer nationale Bedrohungen konkret das Recht auf Selbstverteidigung schaffen oder wie der Einsatz von Malware zum Stören oder Zerstören von Computersystemen der Anwendung klassischer militärischer Gewalt entspricht.
Es ist zu erwarten, dass angesichts des verschärften Verhältnisses zwischen Russland, der EU und den USA die Enthüllungen über ein derartiges Programm die Aufrüstung im Cyberspace weiter voran- und die internationale Regulierung für eine friedliche Anwendung zunehmend hemmen wird.