News

Auch ZITiS-Präsident spricht sich für Hack-Back aus

In einem Zitat bei heise.de (lokale Kopie), das einem Interview des ZITiS-Präsidenten Wilfried Karl mit dem Spiegel entnommen wurde spricht sich dieser für Hack-Back-Befugnisse der deutschen Sicherheitsbehörden aus. Dabei soll es seiner Meinung nach mindestens möglich sein „entwendete Dateien und Dokumente (..) auf den Servern der Diebe zu löschen„. Darüber hinaus bekräftigt er leider eher das Narrativ der Cyber-Bedrohungen vor denen Deutschland stehe und der gegenwärtigen Schutzlosigkeit vor diesen Gefahren: „Als Bürger erwarte ich, dass unser Staat auch bei neuartigen digitalen Bedrohungen handlungsfähig bleibt„. Unklar bleibt jedoch, in welcher Form das Löschen von Daten auf fremden IT-Systemen diesem Schutz dienen soll und wann der Diebstahl von Daten (der in Form von Spionage durchaus älter ist als der Cyberspace) tatsächlich die Handlungsfähigkeit des Staates gefährdet. Mit Blick auf den Aufkauf von Sicherheitslücken schließt er diesen explizit nicht kategorisch aus, sondern lässt offen dass dieser nur ausschließlich mit seriösen Firmen durchgeführt wird:  „Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen (..) Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“ Allerdings gibt es zum einen bereits Unternehmen wie Vupen oder Hacking-Team die offiziell als Unternehmen Sicherheitslücken an Staaten verkaufen und zum anderen darf man davon ausgehen, dass auch klassische Rüstungsfirmen diesen Markt für sich entdecken und (weiter) erschließen werden. Leider stehen einer solchen Entwicklung in Deutschland noch keine klaren Regelungen entgegen, wie Sicherheitsbehörden mit Sicherheitslücken umgehen dürfen und wann diese veröffentlicht werden müssen um die (inter)nationale IT-Sicherheit nicht zu gefähren. Eine entsprechende Debatte wird seit längerer Zeit in den USA unter dem Stichwort „Vulnerabilities Equities Process (VEP)“ geführt.

Ein umfassendere Analyse der Hack-Back-Argumente, die Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) in Berlin und ich vor wenigen Monaten erst veröffentlicht haben, findet sich hier.

 

[Lesetipp] Folgen der Leaks und Datendiebstähle für die NSA

Die NY Times haben bereits vor einer Weile eine “Homestory” über die NSA veröffentlicht und sehr umfangreich Einblicke in die Arbeit des Nachrichtendienstes zusammengetragen. Im Vordergrund des Berichtes steht dabei die Frage, wie die Leaks von Edward Snowden und insbesondere der Datendiebstahl durch die ShadowBroker (der unter anderem den ZeroDay-Exploit EternalBlue enthielt, mit dem WannaCry und NotPetya möglich waren) die NSA verändert haben. Der Titel der NY Times Story (lokale Kopie) spricht diesbezüglich bereits für sich:

“Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core –
A serial leak of the agency’s cyberweapons has damaged morale, slowed intelligence operations and resulted in hacking attacks on businesses and civilians worldwide.”

In den Worten von Leon Panetta, dem ehemaligen Verteidigungsminister und Direktor der CIA klingt das so:

“These leaks have been incredibly damaging to our intelligence and cyber capabilities (..) The fundamental purpose of intelligence is to be able to effectively penetrate our adversaries in order to gather vital intelligence. By its very nature, that only works if secrecy is maintained and our codes are protected. (..) Every time it happens, you essentially have to start over.”

Angesichts des zu erwartenden Ausbaus der Befugnisse für offensive Cyberoperationen deutscher Nachrichtendienste und militärischer Kräfte und insbesondere mit Blick auf den Umgang mit Sicherheitslücken ist der NY Times Bericht sehr lesenswert.

[Kurz notiert] EU Framework zur Bewertung und gemeinsame Reaktionen bei Cyberattacken geplant

Presseberichten zufolge (die sich alle auf einen Bericht des britische Telegraph beziehen, dem Originaldokumente vorliegen sollen / lokale Kopie) plant die EU die Verabschiedung eines neues Frameworks für Sicherheit im Cyberspace. Die Arbeit an einem solchen Framework wurde bereits vor einigen Monaten angekündigt (lokale Kopie). Ein wesentlicher Bestandteil soll dabei die rechtliche Möglichkeit sein Attacken im Cyberspace als kriegerische Angriffe werten und insbesondere – gestützt auf die gemeinsame Auffassung der EU – bei der Verteidigung und der Abwehr der Angriffe auf Unterstützung anderer EU-Partner zurückgreifen zu können. Damit würde die EU den Ansätzen der NATO folgen, die ähnliches bereits im vergangenen Jahr beschlossen und Cyberattacken als Bestandteil der kollektiven Bündnisverteidigung erklärt hatten.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

USA veröffentlichen Bericht über den staatlichen Umgang mit Sicherheitslücken („VEP“)

Die Regierung der USA haben heute ein vierzehnseitiges Paper veröffentlicht, indem sie erläutern nach welchen Bewertungsmaßstäben und Prozessen über den Umgang mit Sicherheitslücken – insb. Zero Day Exploits – umgegangen wird. Dies betrifft in erster Linie die Frage ob und wann derartige Informationen dem Hersteller zur Verfügung gestellt werden, damit die Lücke geschlossen und eine aktualisierte Software an die User verteilt werden kann oder ob und wie lang die Lücke als Mittel für nationale Aktivitäten der Nachrichtendienste und Militärs im Cyberspace genutzt wird. Derartige Zero Day Exploits sind sozusagen das „spaltbare Material“ des Cyber-Zeitalters, da entsprechende Lücken in potentiellen Zielsystemen ausgenutzt werden können um diese zu hacken und entsprechende Operationen durchzuführen. Dieser Prozeß wird in den USA unter dem Titel des „Vulnerabilities Equities Process (VEP)“ geführt und wurde durch die Vorkomnisse um WannaCry und NotPetya, die mit ihren Schäden maßgeblich auf einer, von der NSA zurückgehaltenen Sicherheitslücke beruhen nochmal erheblich verschärft.

Verallgemeinert läßt sich der Ablauf wie folgt zusammenfassen:

When a zero-day is discovered, it’s submitted to a review board consisting of roughly a dozen executive departments and agencies, including the NSA, the Federal Bureau of Investigation, the Central Intelligence Agency, Homeland Security, and more. The NSA’s representative is listed as the “executive secretariat” of the group, which is led by the White House cybersecurity coordinator, currently Rob Joyce. After a vulnerability is submitted to the group, the agency representatives who make up what’s called the Equities Review Board enter a five-day deliberation period in which they discuss whether or not to “discriminate” or “restrict” the vulnerability. If cyberattacks are ongoing involving the vulnerability being assessed, the process may be sped up considerably. In determining whether to withhold knowledge about a security bug from the public, the review board considers a wide range of questions, according to the charter, from how likely threat actors are to exploit the flaw to what level of access a hacker must possess for it to work. (Q: gizmodo.com / lokale Kopie)

Die Stellungnahme der Regierung nebst Factsheet und vollständigem Paper ist hier einzusehen (lokale Kopie der Pressemitteilung und des Papers). Im Rahmen der Veröffentlichtung sprach der Cybersecurity Koordinator des Weißen Hauses Rob Joyce davon, dass etwa 90% aller Sicherheitslücken unmittelbar an die Hersteller gemeldet und nur die verbleibenden 10% zur eingehenderen Analyse zurückgehalten würden.

Update: Mittlerweile gibt es auch von wichtigen zivilgesellschaftlichen Initiativen in den USA Statements zu der Veröffentlichung des Paper. Unter anderem vom Open Technology Institute (OTI), vom Center for Democracy & Technology (CDT) sowie von Public Knowledge.org.

NATO: Neues Cyber-Operations-Zentrum beschlossen

Beim ihrem vergangenen Treffen der NATO-Verteidigungsminister in Brüssel haben die anwesenden Minister viel über den Ausbau der Kommandostrukturen sowie über die dafür notwendigen Infrastrukturmaßnahmen gesprochen (Details dazu bei Thomas Wiegold). Im Rahmen der Beschlüsse wurde auch das Thema Cyber mit erheblicher Dringlichkeit behandelt. Um es mit dem NATO-Generalsekretär Jens Stoltenberg zu formulieren (Q: Text der Pressekonferenz auf nato.int / lokale Kopie):

We discussed ways to strengthen our cyber defences. We must be just as effective in the cyber domain as we are on land, at sea and in the air, with real-time understanding of the threats we face and the ability to respond however and whenever we choose.

Im Zuge dieses Vorhabens wurde die Einrichtung eines neuen Cyber Operations Zentrum („Cyber Operations Centre“) als Bestandteil der erweiterten Kommandostruktur beschlossen. Mit diesem Zentrum sollen die Cyberfähigkeiten bei den NATO-Partner zentral koordiniert und harmonisiert werden um Cyber-Fähigkeiten in die Planungen der NATO „auf allen Ebenen“ zu integrieren. Im Rahmen einer Pressenachfrage verdeutlichte NATO-Generalsekretär außerdem, dass Cyber für die NATO (im Vergleich zu konventionellen Mitteln) eine geeignete Wahl sei um angemessen auf Konflikte zu reagieren:

Using cyber capabilities may be a more proportionate response (..) For NATO, it is always our aim to use minimum force to achieve maximum effect and therefore cyber effects may be the best response. (..) I strongly believe that in any military conflict cyber will be an integrated part and therefore we need to strengthen our cyber defences and our cyber capabilities.

Darüber hinaus unterstrich Jens Stoltenberg nochmals die im vergangenen Jahr durch die NATO beschlossene Ausweitung des Artikels 5 des NATO Vertrages auf den Cyberspace und die klare Ausweitung der militärischen Strukturen und Planungen auf den Cyberspace:

Let me also add that we have as part of our strengthening of our cyber defences we have also decided to establish or we have established cyber as a military domain and we have also decided that cyber attacks can trigger Article 5.

[Offtopic] Trends in der nuklearen Aufrüstung der USA und Russlands

Auch wenn Nuklearwaffen eigentlich das Thema der Kolleg_Innen am Institut sind möchte ich hier dennoch auf einen Artikel in der ZEIT hinweisen, der sich mit einer Bewertung der nuklearen Rüstung und der Entwicklung dazu in den USA und Russland auseinandersetzt. Ein wesentlicher Bestandteil der nuklearen Stabilität nach dem Ende des kalten Krieges sind der INF- sowie der aktuelle New START-Vertrag und da es für den relativ jungen Bereich des Cyberspace immer auch darum gehen sollte aus der Vergangenheit und den unzähligen Debatten, Ideen und Vorstößen zu lernen, lohnt es sich deren Entwicklung zu verfolgen. Gegenwärtig stehen die Zeichen dabei leider eher auf “Wettrüsten”, und die dabei zu Tage tretenden außenpolitischen und nationalen Sicherheitsinteressen der beiden Staaten dürften auch für die Debatten um die Eingrenzung der Bedrohung (und des Einsatzes) von Cyberwaffen eine wichtige Rolle spielen. Insofern ist der Artikel “Demnächst überm Westerwald?” sehr lesenswert.

Für eine tiefere Beschäftigung mit diesem Thema ist darüber hinaus der Beitrag von “Wie weiter nach New START” von Götz Neuneck in der Print-Ausgabe des Friedensforums 5/2017 zu empfehlen.

Offensive Cyber-Kapazitäten beim kanadischen Militär

Kanada hat bereits im Juni diesen Jahres im Rahmen einer Aktualisierung der Verteidigungs-Doktrin beschlossen, die militärischen Kapazitäten im Bereich des Cyberspace von einer bis dato rein defensiven Herangehensweise auch auf offensive Fähigkeiten und Befugnisse auszuweiten. Diese Anpassungen erfolgen dabei lt. Doktrin (Q: Kanadisches Verteidigungsministerium / lokale Kopie) insbesondere im Rahmen von „joint capabilities“ und umfassen:

Improve cryptographic capabilities, information
operations capabilities, and cyber capabilities to
include: cyber security and situational awareness
projects, cyber threat identification and response,
and the development of military-specific information
operations and offensive cyber operations capabilities
able to target, exploit, influence and attack in support
of military operations.

Seit einigen Wochen hat das Militär begonnen zum Anfang primär innerhalb der eigenen Reihen nach geeigneten Kandidation für diese Stellen als „cyber operator“ zu suchen, die lt. Pressebericht bis Mitte 2018 besetzt sein sollen. Die Stellenausschreibung umfasst lt. dabei (Q: forces.gc.ca / lokale Kopie) :

A Cyber Operator collects and analyzes data from CAF computer network systems in support of network defence operations in both deployed and non-deployed environments. They monitor networks for potential intrusions and abnormalities and examine networks for vulnerabilities in defensive and offensive postures. They conduct forensic investigation of cyber incidents and maintain specialized cyber toolsets unique to the occupation.3

Ab kommenden Jahr plant das Verteidigungsministerium, die Suche nach Bewerber_Innen auch auf zivile Fachkräfte auszuweiten um bis 2019 eine voll funktionsfähige Einheit aufzustellen. Über den genauen Personal-Umfang gibt es bislang  noch keine Aussagen. (Q: Pressemitteilung zur Veröffentlichung der neuen Doktrin / lokale Kopie). In diesem Zusammenhang ist auch eine Analyse des kanadischen Ministeriums für Öffentliche Sicherheit, der zufolge zwischen 2013 und 2015 bis zu 2500 mutmaßlich staatliche Cyberattacken gegen Regierungsnetzwerke pro Jahr durchgeführt wurden, von denen anfangs etwa 6% und aufgrund erhöhter Schutzmaßnahmen zuletzt nur noch 2% erfolgreich waren. Die (sehr umfangreiche) Analyse (lokale Kopie) ist ein lesenswertes Dokument, da sich die Autoren unter anderem intensiv mit der Frage nach dem Managment von Abwehrmaßnahmen und dem Aufstellen von „action plans“ befassen und dabei auch die zum Teil sehr hinderlichen parallelen Ressourcen und die sich daraus ergebenden „Kompetenzdiffusionen“ auswerten und kritisieren.

[Lesetipp] Spear-Phishing am Fallbeispiel detailliert erklärt

Eine der Vorgehensweisen bei gezielten Angriffe auf IT-Systeme besteht darin, zu versuchen die Login-Daten sowie weitere entscheidende Informationen von relevanten Personen zu  erlauschen oder diese dazu zu bewegen, sie unwissend in gefälschte Formulare einzutragen. Im IT-Sicherheitskontext werden diese maßgeschneiderten Angriffe als „Spear-Phishing“ bezeichnet und bestehen oft darin, den Zielen E-Mails oder Word-Dokumente zu senden, die fachlich spezifisch oder inhaltlich spezifiisch auf den Hintergrund der Zielperson zugeschnitten sind um ihn so zu veranlassen Links auf infizierte oder gefälschte Webseites oder mit Malware versehene Dateien zu öffnen.

Zu einem solchen Vorfall gibt es exemplarisch eine ausführliche Analyse (lokale Kopie) von Cisco Talos mit einer gefälschten Einladung zu einer Cyber Conflict-Konferenz (CyCon U.S.), die den Autoren zufolge der russischen Hackergruppe APT 28 zugeschrieben wird. Die Analyse bietet ein detailierte und anschaulichen Darstellung wie solche Dokumente beispielhaft mit Schadsoftware versehen und auf diese Weise für gezielte Angriffe auf einzelne, ausgewählte Personen genutzt werden. Aus den Schlußfolgerungen der Analysten:

Analysis of this campaign shows us once more that attackers are creative and use the news to compromise the targets. This campaign has most likely been created to allow the targeting of people linked to or interested by cybersecurity, so probably the people who are more sensitive to cybersecurity threats. In this case, Group 74 did not use an exploit or any 0-day but simply used scripting language embedded within the Microsoft Office document. Due to this change, the fundamental compromise mechanism is different as the payload is executed in a standalone mode. The reasons for this are unknown, but, we could suggest that they did not want to utilize any exploits to ensure they remained viable for any other operations. Actors will often not use exploits due to the fact that researchers can find and eventually patch these which renders the actors weaponized platforms defunct. Additionally the author did some small updates after publications from the security community, again this is common for actors of this sophisticated nature, once their campaigns have been exposed they will often try to change tooling to ensure better avoidance.

[Kurz notiert] DDoS-Angriff auf kritische Infrastruktur in Schweden

Verschiedene IT-Systeme des schwedischen Bahnverkehrs waren Mitte Oktober über mehrere Tagen hinweg Ziel von Cyberangriffen, vorwiegend per sog. DDoS-Attacken. Schwedische Medien berichteten, dass unter anderem das Buchungs-, Kunden-Informations- und Zugleitungs- bzw. Verkehrsplanungssysteme betroffen waren. Die Angriffe sollen über mehrere Tage durchgeführt worden sein und zum Teil dafür gesorgt haben, dass einige Züge ohne zentrale Verkehrsüberwachung quasi „auf Sicht“ fahren mussten. Die angegriffenen IT-Dienste konnten lt. den Berichten innerhalb weniger Stunden wiederhergestellt werden,  trotzdem wirkten sich die verursachten Verzögerungen über einige Tage massiv aus. (Q: thelocal.se Link 1 / lokale Kopie und thelocal.se Link 2 / lokale Kopie)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

USA: Diskussion über Hack-Back-Befugnisse für „authorized individuals and companies“

Ebenso wie in Deutschland ist auch in den USA das Thema des Hacking-Back als scheinbar wirksames Mittel zur Abwehr von Cybergefahren virulent. Der jüngste Vorstoß der republikanischen Senatoren Tom Graves und Kyrsten Sinema geht dabei jedoch noch einen Schritt über derlei Befugnisse für staatliche Einrichtungen hinaus und verdeutlicht, wie wenig die Probleme und Gefahren solcher Maßnahmen scheinbar berücksichtigt werden.  Mit dem Vorschlag eines „Active Cyber Defense Certainty Act“ (ACDC / lokale Kopie) als Ergänzung des bestehenden Computer Fraud and Abuse Act (CFAA) soll es den Senatoren zufolge auch für authorisierte Einzelpersonen und und Unternehmen möglich und legal sein, auf Hackerattacken mit offensiven Gegenmaßnahmen zu reagieren um gestohlene Daten beim (mutmaßlichen) Angreifer zu löschen oder eine Cyberattacke durch (Zer)Störung der Angreifer-IT zu unterbinden:

Specifically, ACDC gives authorized individuals and companies the legal authority to leave their network to 1) establish attribution of an attack, 2) disrupt cyberattacks without damaging others’ computers, 3) retrieve and destroy stolen files, 4) monitor the behavior of an attacker, and 5) utilize beaconing technology. The enhanced flexibility will allow individuals and the private sector to develop and use tools that are currently restricted under the CFAA to protect their own network. Additionally, allowing defenders to develop and deploy new tools will help deter criminal hacking

Although ACDC allows a more active role in cyber defense, it protects privacy rights by prohibiting vigilantism, forbidding physical damage or destruction of information on anyone else’s computer, and preventing collateral damage by constraining the types of actions that would be considered active defense.  (Volltext / Zusammenfassung des ACDC)

Diese Form der „digitalen Selbstverteidigung“ soll den Senatoren zufolge helfen Cyberkriminalität mit Hilfe von Abschreckung einzudämmen. Wie bei Debatten an anderer Stelle besteht die zentrale Frage bei einer solchen „Bevollmächtigung“ darin, wie eine sich verteidigende Instanz sicher den potentiellen Angreifer identifizieren und diese Attribution rechtswirksam belegen können soll – ein Problem das zum gegenwärtigen Stand der Debatten und Technik sehr viel Interpretationsspielräume und „graue Zonen“ offen lässt. Um dem Mißbrauch solcher Unschärfen vorzubeugen schlagen die Senatoren vor, dass:

[The] Congress holds that active cyber defense techniques should only be used by qualified defenders with a high degree of confidence in attribution, and that extreme caution should be taken to avoid impacting intermediary computers or resulting in an escalatory cycle of cyber activity.

Welche rechtlichen und qualitativen Maßstäbe dabei für einen „qualified defender“ sowie den „high degree of confidence in attribution“ angelegt werden soll – und ob eine solche Regelung ausreichend bzw. unter welchen Umständen nicht statthaft ist – geht aus dem Vorschlag der Senatoren nicht hervor. Neben möglichen Problemen auf nationaler Ebene durch Zivilpersonen die fremde IT gefährden ergibt sich zusätzlich das Problem der potentiellen Beeinträchtigung von IT-Systemen fremder Staaten, die dem Vorschlag zufolge jedoch mit der Einhaltung einer „exercise extreme caution to avoid violating the law of any other nation“ vermieden werden soll.

Ob derlei Befugnisse  – selbst unter der optimistischen Annahme einer besonderen Vorsicht bei Hack-Back-Maßnahmen – wirklich sinnvoll und der Strafverfolgung zuträglich sind wurde indes bereits vor einigen Monate durch den damals noch amtierenden FBI-Direktor James Comey in Frage gestellt (Q: vice.com / lokale Kopie):

„It runs a risk of tremendous confusion in a crowded space (..) And I know that’s a frustrating answer often, and it maybe some day our country will change the law, but the hacking back could cause all kinds of complications for things we’re trying to do to protect you“

Es bleibt zu hoffen, dass auch die Debatten in Deutschland die unzähligen Probleme, Gefahren und Schwierigkeiten bei Hack-Back berücksichtigen und anstelle von solchen ungewissen Konzepten eher die gezielte Verbesserung und den Ausbau des Schutzes der IT-Strukturen im Großen und Kleinen vorantreiben.