News

Analyse der Cyber-Sicherheitsstrategie 2016

Das Bundesinnenministerium hat noch im vergangenen Jahr die neue Cyber-Sicherheitsstrategie für die kommenden Jahre (lokale Kopie) veröffentlicht. Das Dokument ist der Nachfolger zur Sicherheitsstrategie von 2011, mit dessen Veröffentlichung seinerzeit der nationale Cyber-Sicherheitsrat als Schnittstelle zwischen Wirtschaft und Politik etabliert sowie das nationale Cyber-Abwehrzentrum als Koordinations- und Austausch-Stelle für Cybersicherheits-Aspekte zwischen verschiedenen staatlichen Institutionen gegründet wurde. Ausgehend von den Beschlüssen und Strategien von 2011 bildet “die Cyber-Sicherheitsstrategie 2016 (..) den ressortübergreifenden strategischen Rahmen für die Aktivitäten der Bundesregierung mit Bezügen zur Cyber-Sicherheit und schreibt die Cyber-Sicherheitsstrategie aus dem Jahr 2011 fort.“

Die Strategie enthält neben den Aspekten die bereits bei heise.de oder netzpolitik.org diskutiert oder kritisiert wurden auch einige wichtige Aspekte für die Friedens- und Sicherheitsforschung sowie Implikationen und Fragen die sich mit Blick der Informatik allgemein und der IT-Sicherheitsforschung im speziellen ergeben. Diese sind in der Auswertung der neuen Cyber-Sicherheitsstrategie zusammengefasst und analysiert worden. Der Text ist zu umfangreich für eine Veröffentlichung an dieser Stelle und deshalb hier zum Download verlinkt:

PDF-Download der Analyse zur neuen Cyber-Sicherheitsstrategie (450 kb)

 

Shadowbroker bieten letzte NSA-Exploits an und lösen sich dann auf

Die im Herbst 2016 mit einem Auktionsangebot von mutmaßlichen NSA-Hacking-Tools in Erscheinung getretene Gruppe „Shadowbroker“ haben nach einem kürzlich veröffentlichten erneuten Verkaufsangebot wenige Tage später ihre Auflösung bekannt gegeben. Das letzte Angebot wurde für 750 Bitcoins (ca. eine halbe Million Euro) angeboten und sollte unzählige Expoits für Windows-Systeme enthalten. Einschätzung von IT-Forensiker zufolge soll darunter auch mindestens ein Zero-Day-Exploit gewesen sein:

“Note that most of the tools have apparently been through multiple revisions, adding apparent legitimacy to the claim that these exploits are real,” Williams said. “Though another screenshot hints at a possible zero day SMB exploit, there’s no indication of which exploit names involve SMB (or any other target service).” (Q: Threatpost / lokale Kopie)

Anders als bei vorherigen Angeboten wurden diesmal jedoch keine Datei-Samples für die Verifikation der zum Verkauf stehenden Tools angeboten, sondern nur Screenshots. Darunter befindet sich auch der Verweis auf eine Software zum Manipulieren der System-Log-Daten eines Windows-Rechners. Eine solche Software – sofern sie echt ist – wird unter Experten als sehr hochentwickelt angesehen:

“While we understand that event logs can be cleared and event logging stopped, surgically editing event logs is usually considered to be a very advanced capability (if possible at all).  We’ve seen rootkit code over the years (some was published on the now defunct rootkit.com) that supported this feature, but often made the system unstable in the process,” Williams said. “Knowing that some attackers apparently have the ability to edit event logs can be a game changer for an investigation.  If Shadow Brokers release this code to the world (as they’ve done previously), it will undermine the reliability of event logs in forensic investigations.” (Q: Threatpost / lokale Kopie)

Die Authentizität der vorherigen Angebote gilt mittlerweile als bestätigt. Entgegen der Behauptung der Gruppe, diese Daten einer NSA-Einheit namens „Equation Group“ entwendet zu haben, gehen Fachkreise und Geheimdienste allerdings von einem Insider-Leak dieser Daten aus.

Wenige Tage nach dem Angebot der Exploits hat die Gruppe ihre Auflösung bekannt gegeben und Kommunikations- und Auktions-Accounts gelöscht, allerdings mit dem Hinweis, dass ein Angebot über weitere unzählige Windows- und Linux-Exploits nach wie vor gültig und über eine Zahlung an eine bestimmte Bitcoin-Adresse eingelöst werden könnte:

So long, farewell peoples. TheShadowBrokers is going dark, making exit. Continuing is being much risk and bullshit, not many bitcoins. TheShadowBrokers is deleting accounts and moving on so don’t be trying communications. Despite theories, it always being about bitcoins for TheShadowBrokers. Free dumps and bullshit political talk was being for marketing attention. There being no bitcoins in free dumps and giveaways. You are being disappointed? Nobody is being more disappointed than TheShadowBrokers. But TheShadowBrokers is leaving door open. (Q: bit.no.com / lokale Kopie).

Über die Identität der Gruppe ist – zumindestens offiziellen Angaben zufolge – nichts bekannt geworden, ebenso wenig wie über tatsächliche Verkäufe. Allerdings kann man davon ausgehen, dass interessierte Kreise sicher andere Wege als eine, für alle öffentlich einsehbare und nachvollziehbare Überweisung von Bitcoins in deren sog. Blockchain verfügen.

Alle Details können im aktualisieren Eintrag in der Datenbank relevanter Vorfälle nochmals nachgelesen werden.

[Kurz notiert] Rudy Giuliani wird Cyber-Sicherheitsberater in Trump-Team

Der zukünftige US-Präsident Trump hat den ehemaligen Bürgermeister von New York Rudy Giuliani als weiteren Sicherheitsberater in seinem Team bestimmt. Giuliani’s Aufgabe wird es sein, sich dem lt. Trump „am schnellsten wachsende[n] Verbrechen in den USA und vielen Teilen der Welt“ zu widmen und dafür neue Strategien der Abwehr, insbesondere mit Blick auf die Schäden in der Privatwirtschaft, entwickeln. Giuliani, ein studierter Jurist, ist seit Anfang 2016 für das Rechtsberatungs-Unternehmen „Greenberg Traurig“ im Bereich der Cybersecurity und als Senior-Berater des Unternehmens-Vorstandes tätig.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Auch Verfassungsschutz will offensive „Hack back“-Fähigkeiten

Nach dem Innenministerium fordert einem Medienbericht zufolge nun auch der deutsche Bundesverfassunggschutz (BfV) die Möglichkeit Cyberattacken mit offensiven Cyber-Maßnahmen bekämpfen zu können, dem sogenannten „Hack back“ bzw. „Active defense“.

Es sei notwendig, nicht nur rein defensiv tätig zu werden, sagte Maaßen der Deutschen Presse-Agentur. Man müsse auch in der Lage sein, den Gegner anzugreifen, damit er seine Attacken einstelle (Q: Deutschlandfunk / lokale Kopie)

Auch wenn diese Forderung angesichts der aktuellen Befürchtungen vor Hacking-Attacken im deutschen Bundeswahlkampf schlüssig zu sein scheinen, unterschlagen solche Forderungen jedoch die damit verbundenen massiven Probleme sowie die vielen national und international noch ungeklärten Fragen zu den Befugnissen und Grenzen des staatlichen Agierens im Cyberspace. Einige dieser Aspekte hatte ich bereits in diesem Text anlässlich der vergleichbaren Verlautbarung aus dem Innenministerium zusammen getragen.

Hinsichtlich der Möglichkeiten zur Abwehr konkretisierte Maaßen sein Vorschläge wie folgt:

Derzeit sei es dem BfV beispielsweise nicht möglich, ausgespähte Daten zu löschen, die von einem Täter auf einem Server abgelegt werden. „Damit besteht die hohe Gefahr, dass sich der Schaden vervielfacht, da nun neben dem Täter auch Dritte in die Daten Einsicht nehmen könnten.“ In diesem Fall müssten die deutschen Behörden die rechtliche Kompetenz erhalten, diese Daten zur Gefahrenabwehr zu löschen. Maaßen hält es auch für erforderlich, „dass es eine klare Regelung dafür gibt, Angriffs-Infrastrukturen auszuschalten, von denen schwerwiegende Gefahren für die Cybersicherheit ausgehen“ (Q: heise.de / lokale Kopie)

Aus friedenspolitischer Sicht vermengen solche Forderungen die Möglichkeiten der Spionageabwehr (das Löschen von entwendeten Daten) mit präventiven Maßnahmen der Gefahrenabwehr, wie bspw. dem genannten Infiltrieren und Zerstören von „Angriffs-Infrastrukturen“, worunter vermutlich Botnetze die für Denial-of-Service-Attacken verwendet werden können. Diese Aufgaben und die dahinter stehenden Schutzziele sind in Deutschland jedoch aufgrund der operativen und sicherheitspolitischen Tragweite berechtigterweise auf unterschiedliche Dienste getrennt verteilt, mit den jeweiligen Befugnissen, Handlungsgrenzen und parlamentarischen Bewilligungs- und Aufklärungspflichten. Vor diesem Hintergrund ist es angesichts der hier bereits dargestellten Gefahren bei offensiven Cyber-Maßnahmen gegen fremde IT-Systeme wie der Fehlattribution, den Kollateralschäden und der schwierigen Zielidentifikation m.M.n. nicht sinnvoll, derlei weitreichende Befugnisse einer im geheimen und öffentlich sowie politisch kaum kontrollierbaren  Institution wie dem BfV einzuräumen. Vergleicht man die Forderungen mit den Debatten über den Aufbau des eigenständigen Cyber-Organisationsbereiches bei der Bundeswehr und den vielen sicherheits- sowie friedenspolitischen Vorbehalten in Bezug auf den Aufbau und möglichen Einsatz offensiver „Cyber-Wirkmittel“ (a.k.a. „Cyberwaffen“) dann wird deutlich, wieviele Sicherheitsbedenken Hans-Georg Maaßen und Bundesinnenminister de Maizière mit ihren Forderungen ignorieren oder zu mindestens öffentlich nicht adressieren. Darüber hinaus ist es zumindestens aus technischer Sicht unklar, ob Maßnahmen wie die Löschbefugnisse von Daten auf fremden IT-Systemen zielführend sind oder wie solche Maßnahmen verfassungskonform gestaltet werden sollen, Aspekte die ja bereits bei der den Debatten um die sog. Onlinedurchsuchung durch das Bundesverfassungsgericht wiederholt angemahnt wurden.

Neben diesen sicherheitspolitischen, verfasssungsrechtlichen und technischen Problemen ergeben sich aber auch mögliche praktische Konflikte zwischen den verschiedenen Diensten wenn diese alle eigene, zum Teil geheime Cyberoperationen durchführen. Wie sollen angesichts des sinnvollen und wichtigen Trennungsgebot der Dienste die Kompetenzen und Befugnisse abgegrenzt und Überschneidungen bei den Operationen vermieden werden. Wie soll angesichts der von Bundesinnenminister de Maizière vielfach wiederholten Floskel der schwierigen Abgrenzung von Innen- und Außenpolitischen Belangen im Cyberspace die notwendige Sorgfalt, Sensibilität und Güterabwägung gewahrt werden, wenn unterschiedlichste Dienste in dieser Domäne verdeckt operieren, Dienste die in der Vergangenheit bereits bei anderen Gelegenheiten in der Kritik standen wegen ihrer politisch recht autonomen Maßnahmen oder ihres sehr eigenen Verfassungsverständnisses?

[Kurz notiert] Technischer Bericht zu US-Wahl-Hacks enthält keine Beweise für russische Hacker

Ein aktueller Bericht (lokale Kopie) der US-Amerikanischen Heimatschutzbehörde DHS und des FBI zu den Hacking-Attacking während des US-Wahlkampfes soll die Attribution des russischen Ursprungs belegen (und die verhängten Sanktionen rechtfertigen). Die Attacken firmieren mittlerweile als „Grizzly Steppe“ und sollen von den russischen Hackergruppen APT28 und APT29 ausgegangen sein. Allerdings wird der Bericht aus der IT-Sicherheits-Community stark in Frage gestellt, wie hier exemplarisch bei Robert M. Lee (lokale Kopie). Insbesondere die entscheidenden technischen Details und Fachbegriffe werden teils ungenau dargestellt oder sehr weit verbreitete Hacking-Methoden als „Spezialität“ besagter Gruppen ausgegeben. Das Vorgehen erinnert dabei an die erstaunlich rasche Reaktion der US-Regierung auf die Hacking-Attacke des SONY-Tochterunternehmens SPE (Sony Pictures Entertainment) im November 2014. Bereits damals wurden die vom FBI vorgelegten Beweise als „story telling“ kritisiert und seitens der Regierung auf geheime Erkentnisse der NSA als Entscheidungsgrundlage verwiesen. Angesichts der weltweiten Datensammlungen und Analysen der NSA ist es durchaus glaubhaft, dass die NSA über Informationen verfügen könnte und dieser damals wie heute tatsächlich belastbare Beweise vorliegen. Trotzdem ist es angesichts der ohnehin angespannten Rhetorik zwischen den beiden Staaten und mit Blick auf die Gefahren und Unklarheiten im Cyberspace nicht hilfreich, die bereits technisch schwierigen Bedingungen durch ungenaue öffentliche Berichte weiter zu verschärfen.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Fake-News und Cyberwar

Das Thema „Fake-News“ bewegt seit einigen Wochen die deutsche Medienlandschaft und angesichts der Diskussionen um die US-Wahl-Beeinflussung durch mutmaßliche russische Hacker befürchten auch deutsche Politiker diese Methode des „Cyberwar“. Auch wenn diese Sprachwahl meiner Meinung nach zum Teil zu hoch gegriffen ist, weisen die jüngsten Ereignisse interessante Parallelen zu den Debatten über die Gefahren auf, die vom Cyberwar für die internationale Sicherheit ausgehen.

In internationalen Debatten über die Gefahren der militärischen Aufrüstung  im Cyberspace spielen gegenwärtig vor allem die Schwierigkeiten bei der Einschätzung des Berdrohungs- und Zerstörungspotentials von „Cyberwaffen“ eine Rolle, sowie die Rückverfolgbarkeit und Reaktionsmöglichkeiten bei deren Einsatz. Die technischen Spezifika von Software erschweren jedoch genau diese Aspekte sodaß eine der großen Gefahren beim Cyberwar in Fehlzuweisungen und Reaktionen durch unbeabsichtigte oder absichtlich falsch gelegten Fährten liegt. Das Eskalationspotential von Konflikten im Cyberspace liegt damit nicht unmittelbar in dem tatsächlichen militärischen Zerstörungspotential von Cyberwaffen oder deren Einsatz, sondern im politischen und strategischen Umgang mit diesen militärischen Ressourcen, mit der Wahrnehmung von realen oder empfundenen Bedrohungen sowie mit der Zuweisung von Schuld bei konkreten Vorfällen.

(mehr …)

[Kurz notiert] US Cybercommand künftig mit eigener Führung

Das US Cyber Command, die für offensive Cyber-Aktivitäten zuständige Teilorganisation der US-Streitkräfte, soll laut Ankündigungen der Obama-Administration künftig eigenständig geleitet und geführt werden. Bisher übernahm diese Aufgabe der jeweils amtierende (militärische) Direktor der National Security Agency (NSA). Zukünftig soll die militärische Leitung sich auf das US Cyber Command beschränken und die NSA ein zivile Führung erhalten. Hintergrund dieses Vorhabens ist laut Bericht der Washington Post (lokale Kopie), die seit langem bestehende Kritik dass beide Organisation zunehmend komplexe Aufgaben übernehmen, dabei aber sehr unterschiedliche Ziele verfolgen sollen.

Cybercom’s mission is, when ordered, to disrupt and destroy adversaries’ networks. It is also to defend the nation against incoming threats to critical systems and to protect the military’s computers from cyberattack.

The NSA also has a defensive mission — to protect the government’s classified networks — but is better known for its role in conducting electronic spying on overseas targets to gather intelligence on adversaries and foreign governments.

Die getrennte Führung der beiden Organisation war in der Vergangenheit immer wieder, unter anderem durch die jeweiligen Direktoren der NSA, durch den Direktor der nationalen Geheimdienste James R. Clapper sowie eine interne Review-Kommission empfohlen worden. Der Zeitungsbericht deutet aber ebenso an, dass aktuell unklar ist, ob die durch Obama eingeleiteten Schritte auch unter Präsident Trump weiterverfolgt werden.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Reaktionen der Obama-Regierung auf russische US-Wahl-Hacks erwartet (Updates)

Reuters (lokale Kopie) und CNN (lokale Kopie) berichten übereinstimmend mit Verweis auf Quellen innerhalb der Obama-Administration, dass in Kürze die angekündigten Reaktionen auf die mutmaßlichen Hacking-Attacken Russlands im Rahmen der US-Präsidentenwahl veröffentlicht werden. Die amtierende Regierung der US geht mittlerweile auch in offiziellen Stellungnahmen mit Verweis auf Untersuchungen der Geheimdienste FBI und CIA von einer gezielten Beeinflussung durch staatlich gesteuerte russische Hacking-Gruppen aus. Präsident Obama hat darauf hin bereits vor einigen Wochen von möglichen Reaktionen auf diese Aktivitäten gesprochen:

“I think there is no doubt that when any foreign government tries to impact the integrity of our elections … we need to take action,” Obama said. “And we will – at a time and place of our own choosing (..) Some of it may be explicit and publicised; some of it may not be.” (Q: The Guardian / lokale Kopie)

Hinsichtlich der möglichen Reaktionen verweist Jim Lewis vom US Thinktank CSIS (Center for Strategic and International Studies) auf den Umstand, dass die Sanktionen auch mit Blick auf die künftige Trump-Regierung und deren Verhältnis zu Russland eine Rolle spielen könnten:

Jim Lewis (..) said further sanctions may be an effective U.S. tool in part because they would be difficult for Trump to roll back and because Russia „hates“ dealing with them. „For the rest of the world, it’s like having ’scumball‘ stamped on your forehead“ (Q: Reuters  / lokale Kopie)

Andererseits hat auch bereits das russische Außenministerium mit „Vergeltungsmaßnahmen“ gedroht, falls die US-Regierung weitere Wirtschaftssanktionen verhängen sollte:

„To be honest, we are tired of lie about the ‚Russian hackers‘, which is being poured down in the United States from the very top,“ [Russias] Foreign Ministry spokeswoman Maria Zakharova said. (Q: Reuters.com / lokale Kopie)

Update (30.12.2016): Die US-Regierung hat mittlerweile die angekündigten Sanktionen veröffentlicht. Diese, in erster Linie politischen Maßnahmen betroffen russisch, in den USA lebende und als Agenten agierende Privatpersonen (andere Quellen sprechen von Personen mit diplomatischem Status), russische Unternehmen und Forschungseinrichtungen:

Obama verhängt Sanktionen gegen die russischen Geheimdienste GRU und FSB, gegen vier namentlich genannte führende GRU-Offiziere, sowie gegen drei juristische Personen. Sie sollen der GRU erhebliche Unterstützung gewährt haben. Diese juristischen Personen sind die Moskauer Forschungseinrichtung KSI sowie die Unternehmen Special Technology Center (STLC Ltd.) sowie Zorsecurity (Esage Lab).

Alle Vermögenswerte der Genannten sind gesperrt. Sobald ein Vermögenswert oder ein Anspruch in den USA ist, in die USA kommt oder in die Hände von US-Personen gelangt, darf er nicht weitergegeben werden. Der Handel mit den Genannten oder Spenden an sie sind in den Vereinigten Staaten, sowie für US-Personen weltweit, verboten.

Im selben Aufwasch verhängt Obama auch gegen zwei weitere Russen die gleichen Sanktionen. Sie werden beschuldigt, US-Unternehmen, -Universitäten und -Regierungseinrichtungen gehackt zu haben. Evgenij M. B. soll dabei über 100 Millionen US-Dollar erbeutet haben. Alexej A. B. habe personenbezogene Daten ergattert, um sich daran persönlich zu bereichern, heißt es in dem Präsidentenerlass. (Q: heise.de / lokale Kopie)

Angesichts dieser recht massiven Sanktionen bleibt abzuwarten wie Russland konkret reagieren wird, die bereits angekündigt hatten Maßnahmen vergleichbar zu beantworten. Darüber hinaus hatte Präsident Obama darauf hingewiesen, dass sich die US-Regierung vorbehält auch verdeckte Maßnahmen im Rahmen der Vergeltung durchzuführen, über deren Natur sicher die politischen Beziehungen in den nächsten Woche näher Aufschluß geben werden.

Update 1.1.2017: Der Vollständigkeit halber hier noch das von Präsident Obama veröffentlichte Communique im Wortlaut: „Statement by the President on Actions in Response to Russian Malicious Cyber Activity and Harassment“ (Quelle: whitehouse.gov / lokale Kopie)

[Kurz notiert] „Works for me“

Heute beginnt in Hamburg der 33. Kongress des Chaos Computer Clubs (33C3), der in diesem Jahr unter dem Motto „Works for me“ steht. Damit rückt der Kongress thematisch die gesellschaftliche Verantwortung der Informatiker im Allgemeinen und der Hacker im Speziellen in der Vordergrund. Dieses Thema ist mir seit vielen Jahren wichtig und als Friedensforscher versuche ich seit langem auf die Gefahren einer Ingenieurswissenschaftlichen Haltung, die sich ausschließlich auf die technische Lösung von Problemen konzentriert, hinzuweisen. Mit Blick auf die vergangenen (und z.T. noch akuten) Herausforderung der Friedenswahrung angesichts militärischer Technologien bietet der Cyberspace die einmalige Chance, vollkommen durch menschliche Regeln definiert und gestaltet zu sein. Es ist höchste Zeit, diese Gestaltungshoheit einzufordern und dem gegenwärtigen Cyber-Säbelrasseln entgegen zu treten. Ein längerer Beitrag zu diesem Thema ist bereits in Arbeit, zum Weiterlesen bietet sich derweil dieser Text an.

Die Vorträge des 33C3 sind zum Nachsehen hier zu finden, wie bspw. die Eröffnungs-Keynote.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Anstelle von Weihnachtswünschen

Liebe Leserinnen und Leser dieser Seite

In wenigen Tagen ist Weihnachten und ich wünschen Ihnen allen, dass sie diese Zeit zu Hause, in Frieden und im Kreise von geliebten Menschen verbringen können.

Viele haben nicht dieses Glück, sondern stehen als Bedürftige von unseren Grenzen und sind auf unser Mitgefühl und unsere Menschlichkeit angewiesen. Für viele gibt es kein Zuhause mehr, wir sind ihr neues Zuhause.

Dieser Film erzählt ein paar ihrer Geschichten.

Wenn sie etwas für diese Menschen tun wollen, dann fragen sie ihren regionalen Flüchtlingsbeauftragten oder engagieren sich für Borderline-Europe, Seawatch (beides Organisationen die von Freunden geführt werden, für deren Integrität ich mich verbürge) oder eine der anderen NGOs.

„We have seen people lose their lives a few meters from our coast,
we have seen young children lose their mothers,
and mothers lose their children.
And this, we cannot bear.

For them, this island represents hope.
It represents European civilization.
And we need to be worthy of that hope..

Spyros Gallinos, Bürgermeister von Lesbos, Griechenland