News

Zur Bedeutung der neuen NATO-Doktrin über den Einsatz von Cyber-Wirkmitteln

Anfang November hat die NATO beschlossen Cyber-Wirkmittel oder „Cyberwaffen“ (was bislang keine gültige internationale Definition ist) in Zukunft intensiver in die Planungen einzubeziehen und dafür unter anderem eigene Kommando-Strukturen zu schaffen (Youtube-Link zur Pressekonferenz mit NATO-Generalsekretär Stoltenberg) die auf nationale Cyber-Kapazitäten zurück greifen soll.

Dieser Schritt orientiert sich aus Sicht einiger NATO-Experten wie Thomas E. Ricks (Q: Foreignpolicy.com / lokal Kopie) in erster Linie an dem aggressiven Verhaltens Russland Cyberspace – auch wenn vieles davon bisher nicht sicher als aktiv von staatlicher Seite aus initiiert oder gelenkt belegbar ist (soweit es öffentliche Informationen betrifft). Darüber hinaus ist lt. Ricks die neue Kommando-Struktur aber insofern auch ein Novum, da die Operationshoheit bei Cyber-Aktivitäten anders als bei „klassischen“ Waffen und Streitkräften beim jeweiligen NATO-Staat verbleibt. Militärische Ziele und das strategische Vorgehen werden abgestimmt aber die eigentlichen Wirkmittel bleiben in der Hand des nationalen Militärs. Dahinter steht mutmaßlich die Überlegung (und vermutlich auch die Sorge der NATO-Partner), dass zum einen die Cyber-Waffen als Technologie nicht durch die Übergabe an NATO-Kräfte offengelegt werden. Ebenso relevant dürft sein, dass Staaten die sensiblen Informationen über Sicherheitslücken bei Zielen (als „Grundmaterial“ der Cyberwaffen), die in aller auf nachrichtendienstlichem Weg „gewonnen“ wurden zwar nutzen, nicht jedoch einer größeren Öffentlichkeit zur Kenntnis stellen müssen oder wollen. Oder wie es Ricks formuliert:

A cyber weapon is fundamentally different than a traditional weapon. The fact that an adversary knows about a traditional weapon, such as an F-22, does not negate its effect and the F-22 can be used many times against the same adversary. However, with cyber weapons, once that weapon is used, the adversary knows about the cyber techniques employed and an adversary can readily build cyber defenses to prevent future attacks using that cyber weapon. Essentially, cyber weapons are one-use weapons. This makes it likely that Allies will be reluctant to share and use their cyber weapons with NATO unless their own national survival is at stake.

Möglicherweise müssen die deutschen Bestrebungen im Rahmen des neuen Cyber-Kommandos (KdoCIR) auch parallel die offensiven Kräfte auszubauen und u.a. die seit langem bestehende CNO-Einheit zum „Zentrum für Cyberoperationen“ aufzuwerten im Kontext der NATO-Beschlüsse gesehen werden.

[Lesetipp] Studie vergleicht Ausgaben für Cyber-Offensive und Defensive // Korrektur

Die Seite heise.de (lokale Kopie) berichtet aktuell über eine Studie dess Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF e.V.), in der diese die Ausgaben Deutschlands und der USA im Bereich der Offensive und der Defensive im Cyberspace gegenüberstellen. Die Studie (die bislang noch nicht öffentlich ist). Für Deutschland kommen die Autoren zu folgendem Schluß, „dass Deutschland und die USA circa 15-mal mehr Geld in die Cyberoffensive stecken als in die Defensive„:

Die zivile Seite hat in den letzten Jahren aufgestockt, allerdings auf niedrigem Niveau. Das Bundeskriminalamt (BKA) erhält mehr Stellen für IT-Spezialisten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird personell um fast ein Drittel von rund 600 auf knapp 800 Mitarbeiter aufgestockt. Für die zivile IT-Sicherheitsforschung stehen nun 42 Millionen Euro statt 30 Millionen Euro zur Verfügung.

Demgegenüber ist auf Seiten der Angreifer ein Aufstocken allein beim Bundesnachrichtendienst (BND) auf 300 Mio. Euro für Aktivitäten im Cyberraum zu verzeichnen. Die neu gegründete Hackerbehörde ZITIS und der Verfassungsschutz weiten ihre Aufgaben aus und beabsichtigen, Server im Ausland anzugreifen. Zugleich wurde bei der Bundeswehr das frühere Kommando Strategische Aufklärung von 6000 Soldaten und Mitarbeitern in eine eigene Cyber-Teilstreitkraft mit 13.000 Stellen umgebaut. (Q: heise.de)

Die Originalquelle des FIfF e.V. wird hier verlinkt sobald diese veröffentlicht wurde.

Korrektur 8.12.207: Bislang ist auch nach Rücksprachen und Nachfragen nicht klar welche Quelle hier beim heise.de Artikel wirklich verwendet wurde und wie dort Dinge gezählt und bewertet wurden um zu den besagten Schlussfolgerungen zu kommen. Insofern der Hinweis, die Aussagen entsprechend kritisch zu hinterfragen. Danke an alle kritischen Nachfragen und Hinweise dazu!!

 

[Lesetipp] Am 2.12.1942 gelang die erste künstliche nukleare Kettenreaktion

Da angesichts der Entwicklungen im Cyberspace hier auch öfter die Verantwortung der Informatik, als die maßgeblichen technischen Gestalter dieses Prozesses thematisiert wird, soll als Lesetipp fürs Wochenende auf einen Text über die Erforschung der Nuklearwaffen hingewiesen werden (Q: heise.de). Vor 75 gelang Enrico Fermi und Leo Szilard die erste stabile nukleare Kettenreaktion, die letztlich (auch) in der Entwicklung von Atombomben mündete. Um es im Geiste George Santayanas zu formulieren: „Those who cannot remember the past are condemned to repeat it.“

Fallzahlen zu Cyberattacken auf deutsche Behörden für 2016

Neben der Veröffentlichung des Lageberichts zur IT-Sicherheit in Deutschland 2017 (lokale Kopie) hat das BSI im Rahmen einer Informationsfreiheitsanfrage konkrete Zahlen zu „Cyber-Angriffsformen nach der Definition des BSI (..) auf Behörden und öffentliche Stellen in dem Jahr 2016“ veröffentlicht. Die Antragssteller wollten dabei genau Angaben zu unterschiedliche Angriffmethoden erfahren. Diese wurde durch das BSI gelierft, bis hin  zu „mehrstufige[n] Angriffe[n], bei denen z.B. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL-Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen“ für die jedoch keine Fälle gemeldet wurden. Insbesondere mit Blick auf die massenhaft attestierten Angriffe sprechen die Zahlen ein recht nüchternes Bild, da sie deutlich unterscheiden zwischen automatisierten und ungezielten Angriffen bzw. Angriffsversuchen und solchen Attacken bei denen gezielt und maßgeschneidert versucht wurde IT-Systeme zu kompromittieren:

Gezieltes Hacking von Webservern 2
Drive-by-Exploits zur breitflächigen Infiltration 1572655
Gezielte Malware-Infiltration über E-Mail / Social Engineering ca. 3/Woche
Distributed Denial of Service-Angriffe (DDoS)  17
Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits 3815611
 Mehrstufige Angriffe 0

Als „gezielte Angriffe“ („targeted attack“) im Sinne völkerrechtlicher Abwägungen können die Fälle des gezielten Hacking von Webservern und unter Umständen die DDoS-Attacken und die gezielte Malware-Infiltration über E-Mail betrachtet werden, wobei sicherheitspolitisch in erster Linie die Auswirkungen der Angriffe von Relevanz sind – über deren Erfolg und möglichen Schaden keine Angaben erteilt wurden.

Alle Dokumente (als Scans) der Antwort hier als lokale Downloads:

[Lesetipp] Diskussionspapier zur Verbesserung der Nachrichtendienstkontrolle

An dieser Stelle ein Lesetipp zu einem Diskussionspapier das von den Kollegen bei der Stiftung Neue Verantwortung im Rahmen des Tracks für „Intelligence Governance & Oversight Innovation“ des Transatlantischen Cyberforums erstellt wurde. Darin gibt der Autor Thorsten Wetzling einen Überblick, „wo die Kontrolle von Nachrichtendiensten weiter lückenhaft oder problematisch ist“ und stellt „daran anknüpfend (..) technische und rechtspraktische Lösungsansätze vor, die bei der Suche nach effizienteren  Kontrollmechanismen neue Wege aufzeigen„:

Options for more Effective Intelligence Oversight

Insbesondere mit Blick auf die (mutmaßlich) enge Kooperation von Nachrichtendiensten und Militärs, wie bspw. im Falle von ZITiS vorgesehen sowie den Herausforderungen einer parlamentarischen Kontrolle militärischer Aktitivitäten und Planungen im Cyberspace ein sehr lesenswerter Diskussionsbeitrag.

[Kurz notiert] Demnächst jährliche NATO Übung „Cyber Coalition 2017“

Ende November (27.11. bis zum 01.12.) wird in Estland bzw. unter dessen Schirmherrschaft und Koordination die jährliche NATO Übung „Cyber Coalition 2017“ stattfinden, bei der „fast alle NATO-Staaten und weitere NATO-Partner“ die gemeinsame Verteidigung  im Cyberspace trainieren und insbesondere die internatione und nationale Koordiation auf den Prüfstand stellen:

Dabei wird in einem fiktiven Szenario mittels anspruchsvoller und ausgeklügelter Cyber-Angriffe durch einen mächtigen Gegner versucht, einen NATO-Einsatz zu gefährden. Um diese schwerwiegenden Angriffe abzuwehren, gilt es dann für alle NATO-Partner zusammenzuarbeiten, um negative Folgen für diesen fiktiven NATO-Einsatz zu verhindern. Hierbei soll und muss dann auch ein Austausch zwischen militärischen und zivilen Stellen stattfinden, um dem Angriff wirksam zu begegnen beziehungsweise seine Auswirkungen zu minimieren. (Q: Pressemitteilung des BMVg / lokale Kopie)

Auf deutscher Seite wird neben der Bundeswehr mit dem neuen Cyber-Kommando (KdoCIR) und dem Zentrum für Cybersicherheit der Bundeswehr auch das Bundesamt für Sicherheit in der Informationstechnik als wesentlicher Teilnehmer an der Übung beteiligt sein, letzteres vor allem „mit dem nationalen IT-Informationstechnik-Lagezentrum und  [dem] CERT-Bund“.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Auch ZITiS-Präsident spricht sich für Hack-Back aus

In einem Zitat bei heise.de (lokale Kopie), das einem Interview des ZITiS-Präsidenten Wilfried Karl mit dem Spiegel entnommen wurde spricht sich dieser für Hack-Back-Befugnisse der deutschen Sicherheitsbehörden aus. Dabei soll es seiner Meinung nach mindestens möglich sein „entwendete Dateien und Dokumente (..) auf den Servern der Diebe zu löschen„. Darüber hinaus bekräftigt er leider eher das Narrativ der Cyber-Bedrohungen vor denen Deutschland stehe und der gegenwärtigen Schutzlosigkeit vor diesen Gefahren: „Als Bürger erwarte ich, dass unser Staat auch bei neuartigen digitalen Bedrohungen handlungsfähig bleibt„. Unklar bleibt jedoch, in welcher Form das Löschen von Daten auf fremden IT-Systemen diesem Schutz dienen soll und wann der Diebstahl von Daten (der in Form von Spionage durchaus älter ist als der Cyberspace) tatsächlich die Handlungsfähigkeit des Staates gefährdet. Mit Blick auf den Aufkauf von Sicherheitslücken schließt er diesen explizit nicht kategorisch aus, sondern lässt offen dass dieser nur ausschließlich mit seriösen Firmen durchgeführt wird:  „Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen (..) Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“ Allerdings gibt es zum einen bereits Unternehmen wie Vupen oder Hacking-Team die offiziell als Unternehmen Sicherheitslücken an Staaten verkaufen und zum anderen darf man davon ausgehen, dass auch klassische Rüstungsfirmen diesen Markt für sich entdecken und (weiter) erschließen werden. Leider stehen einer solchen Entwicklung in Deutschland noch keine klaren Regelungen entgegen, wie Sicherheitsbehörden mit Sicherheitslücken umgehen dürfen und wann diese veröffentlicht werden müssen um die (inter)nationale IT-Sicherheit nicht zu gefähren. Eine entsprechende Debatte wird seit längerer Zeit in den USA unter dem Stichwort „Vulnerabilities Equities Process (VEP)“ geführt.

Ein umfassendere Analyse der Hack-Back-Argumente, die Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) in Berlin und ich vor wenigen Monaten erst veröffentlicht haben, findet sich hier.

 

[Lesetipp] Folgen der Leaks und Datendiebstähle für die NSA

Die NY Times haben bereits vor einer Weile eine “Homestory” über die NSA veröffentlicht und sehr umfangreich Einblicke in die Arbeit des Nachrichtendienstes zusammengetragen. Im Vordergrund des Berichtes steht dabei die Frage, wie die Leaks von Edward Snowden und insbesondere der Datendiebstahl durch die ShadowBroker (der unter anderem den ZeroDay-Exploit EternalBlue enthielt, mit dem WannaCry und NotPetya möglich waren) die NSA verändert haben. Der Titel der NY Times Story (lokale Kopie) spricht diesbezüglich bereits für sich:

“Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core –
A serial leak of the agency’s cyberweapons has damaged morale, slowed intelligence operations and resulted in hacking attacks on businesses and civilians worldwide.”

In den Worten von Leon Panetta, dem ehemaligen Verteidigungsminister und Direktor der CIA klingt das so:

“These leaks have been incredibly damaging to our intelligence and cyber capabilities (..) The fundamental purpose of intelligence is to be able to effectively penetrate our adversaries in order to gather vital intelligence. By its very nature, that only works if secrecy is maintained and our codes are protected. (..) Every time it happens, you essentially have to start over.”

Angesichts des zu erwartenden Ausbaus der Befugnisse für offensive Cyberoperationen deutscher Nachrichtendienste und militärischer Kräfte und insbesondere mit Blick auf den Umgang mit Sicherheitslücken ist der NY Times Bericht sehr lesenswert.

[Kurz notiert] EU Framework zur Bewertung und gemeinsame Reaktionen bei Cyberattacken geplant

Presseberichten zufolge (die sich alle auf einen Bericht des britische Telegraph beziehen, dem Originaldokumente vorliegen sollen / lokale Kopie) plant die EU die Verabschiedung eines neues Frameworks für Sicherheit im Cyberspace. Die Arbeit an einem solchen Framework wurde bereits vor einigen Monaten angekündigt (lokale Kopie). Ein wesentlicher Bestandteil soll dabei die rechtliche Möglichkeit sein Attacken im Cyberspace als kriegerische Angriffe werten und insbesondere – gestützt auf die gemeinsame Auffassung der EU – bei der Verteidigung und der Abwehr der Angriffe auf Unterstützung anderer EU-Partner zurückgreifen zu können. Damit würde die EU den Ansätzen der NATO folgen, die ähnliches bereits im vergangenen Jahr beschlossen und Cyberattacken als Bestandteil der kollektiven Bündnisverteidigung erklärt hatten.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

USA veröffentlichen Bericht über den staatlichen Umgang mit Sicherheitslücken („VEP“)

Die Regierung der USA haben heute ein vierzehnseitiges Paper veröffentlicht, indem sie erläutern nach welchen Bewertungsmaßstäben und Prozessen über den Umgang mit Sicherheitslücken – insb. Zero Day Exploits – umgegangen wird. Dies betrifft in erster Linie die Frage ob und wann derartige Informationen dem Hersteller zur Verfügung gestellt werden, damit die Lücke geschlossen und eine aktualisierte Software an die User verteilt werden kann oder ob und wie lang die Lücke als Mittel für nationale Aktivitäten der Nachrichtendienste und Militärs im Cyberspace genutzt wird. Derartige Zero Day Exploits sind sozusagen das „spaltbare Material“ des Cyber-Zeitalters, da entsprechende Lücken in potentiellen Zielsystemen ausgenutzt werden können um diese zu hacken und entsprechende Operationen durchzuführen. Dieser Prozeß wird in den USA unter dem Titel des „Vulnerabilities Equities Process (VEP)“ geführt und wurde durch die Vorkomnisse um WannaCry und NotPetya, die mit ihren Schäden maßgeblich auf einer, von der NSA zurückgehaltenen Sicherheitslücke beruhen nochmal erheblich verschärft.

Verallgemeinert läßt sich der Ablauf wie folgt zusammenfassen:

When a zero-day is discovered, it’s submitted to a review board consisting of roughly a dozen executive departments and agencies, including the NSA, the Federal Bureau of Investigation, the Central Intelligence Agency, Homeland Security, and more. The NSA’s representative is listed as the “executive secretariat” of the group, which is led by the White House cybersecurity coordinator, currently Rob Joyce. After a vulnerability is submitted to the group, the agency representatives who make up what’s called the Equities Review Board enter a five-day deliberation period in which they discuss whether or not to “discriminate” or “restrict” the vulnerability. If cyberattacks are ongoing involving the vulnerability being assessed, the process may be sped up considerably. In determining whether to withhold knowledge about a security bug from the public, the review board considers a wide range of questions, according to the charter, from how likely threat actors are to exploit the flaw to what level of access a hacker must possess for it to work. (Q: gizmodo.com / lokale Kopie)

Die Stellungnahme der Regierung nebst Factsheet und vollständigem Paper ist hier einzusehen (lokale Kopie der Pressemitteilung und des Papers). Im Rahmen der Veröffentlichtung sprach der Cybersecurity Koordinator des Weißen Hauses Rob Joyce davon, dass etwa 90% aller Sicherheitslücken unmittelbar an die Hersteller gemeldet und nur die verbleibenden 10% zur eingehenderen Analyse zurückgehalten würden.

Update: Mittlerweile gibt es auch von wichtigen zivilgesellschaftlichen Initiativen in den USA Statements zu der Veröffentlichung des Paper. Unter anderem vom Open Technology Institute (OTI), vom Center for Democracy & Technology (CDT) sowie von Public Knowledge.org.