Anlässlich eines Fachgespräches zum Thema Überwachungs-Technologie und Exportkontrolle im Ausschuß digitale Agenda des deutschen Bundestages war unter anderem der stellvertretende wissenschaftliche Direktor des Instituts für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH) Prof. Götz Neuneck geladen, an dessen Statement ich mitgearbeitet habe. Da im Rahmen der Anhörung einige interessante Aspekte rund um Schadsoftware, deren Kontrolle und insbesondere Exportkontrolle (die ja bereits im Rahmen des Wassenaar-Abkommens in Deutschland implementiert ist) zusammen getragen wurden möchte ich hier auf ein paar Berichte als Nachlese verweisen:

• Experten zu Überwachungstechnik: „Exploits radikal verbieten“ (Q: heise security)
• Bericht direkt vom deutschen Bundestag „Überwachungstechnik verletzt Menschenrechte“ (Q: bundestag.de)
• Überarbeitete Stellungnahme von Prof.

… →

Ende 2015 wurde mutmaßlich durch einem Hackingangriff gegen ukrainische Stromanbieter für mehrere Stunde ein Stromausfall provoziert der bis zu 700.000 Bewohner der Region betroffen hat. Die Angriffe wurden vermutlich mit Hilfe eines Trojaner namens „BlackEnergy“ durchgeführt, der bereits seit 2007 bekannt ist und in der Ukraine schon für Attacken während der Regionalwahlen 2015 eingesetzt wurde. Die Herkunft des Angriffs ist gegenwärtig noch unklar, allerdings weisen einige Hinweise auf Aktivitäten einer „Sandworm“ genannten Gruppe hin, die mit BlackEnergy in den vergangenen zwei Jahren in der Ukraine, aber auch gegen russische Unternehmen und Einzelpersonen agiert haben sollen und unter Umständen einem staatlichen Hintergrund entstammt. … →

Atefeh Riazi, IT-Chefin der UN, hat unlängst die Idee von digitalen Blauhelmen in Fortführung des international anerkannten Prinzips der Blauhelme als Friedenssichernde Maßnahme in Konfliktsituationen präsentiert und diese in einem Interview auf heise.de (lokale Kopie) näher erläutert.
Sie plant (..) zwei „Gattungen“: Eine für Cybersecurity, die sich Themen wie Malware, Hacking und Kontinuitätsmanagement widmen soll. Und eine andere für den Kampf gegen Cybercrime, im Rahmen der UN-Aufgaben. … →

Für den Nicht-Angriffspakt im Cyberspace zwischen Russland und China gibt es mittlerweile eine inoffizielle englische Übersetzung (besten Dank an alle die dazu beigetragen haben). Das Original-Dokument und die Übersetzung kann hier in der Liste der wichtigen Dokumente heruntergeladen werden.
Update und Kurzanalyse
Die Analyse des Abkommens verdeutlicht in erster Linie die bereits im vorherigen Post formulierten Aspekte der gegenseitigen Versicherungen und Kooperationen zwischen den beiden Vertragsstaaten. … →

Bereits im Mai dieses Jahres wurde zwischen Russland und der Volksrepublik China ein bilaterales Abkommen vereinbart, dass in dieser Form eines digitalen „Nicht-Angriffspaktes“ bisher einzigartig ist (Update: Mittlerweise gibt es für den Vertrag eine inoffizielle englische Übersetzung). Darin kommen die Staaten überein, sich gemeinsam gegen die wesentlichsten nationalen Bedrohungen im Cyberspace zu wenden. Diese umfassen dabei folgende Aspekte:

• “to carry out acts of aggression aimed at the violation sovereignty, security and territorial integrity of states,”
• “to interfere in the internal affairs of states”
• “to cause economic damage, to commit crimes, including data breach, for terrorist purposes,
• “to disseminate information that “harms political and socio-economic systems, or the spiritual, moral and cultural environment of other states.”(Q: Russia Direct offline, original Link war „http://www.russia-direct.org/analysis/china-russia-cyber-security-pact-should-us-be-concerned“ / lokale Kopie)

Insbesondere der letzte Punkt hebt erneut hervor, dass Russland und China wie bereits in ihren 2011 und 2015 vorgelegten Entwürfen für UN-Cyberresolutionen von “Informationssicherheit” sprechen und dabei stets neben der Sicherheit der IT-Infrastrukturen auch die nationale Souveränität über die dort enthaltenen und darüber verbreiteten Informationen meinen. … →

Im Zuge der Vereinbarungen zwischen der Volksrepublik China und den USA zur Eindämmung der gegenseitigen Industriespionage sind erste Schritte erfolgt. Wie jetzt bekannt wurde, übergab die US-Regierung bereits vor der Bekanntgabe der Vereinbarungen eine Liste verdächtigter Hackern an chinesische Behörden:
“We need to know that you’re serious,” was the way one individual familiar with the matter described the message. “So we gave them a list, and we said, ‘Look, here’s these guys. … →

Die Ney York Times berichtet in ihrer Ausgabe vom 19.9.2015 dass Vertreter Chinas und der USA gegenwärtig über ein bilaterales Abkommen verhandeln, dessen Gegenstand der gegenseitig Verzicht auf den First-Use von Cyberwaffen sein soll. Das Abkommen soll Gegenstand des kommenden Staatsbesuches des chinesischen Präsidenten Xi Jinping in den USA sein. Bis dato ist unklar welche konkreten Vereinbahrungen getroffen werden sollen:
But a senior administration official involved in the discussions cautioned that an initial statement between Mr. … →

Im Juli wurde durch den Spiegel von bis dato noch geheimen Plänen des Bundesverteidigungsministeriums berichtet, den Bereich Cyberverteidigung bei der deutschen Bundeswehr stärker auszubauen, personell aufzustocken und mit offensiven Fähigkeiten auszurüsten. Das Dokument dieser neuen strategischen Leitlinie wurde später durch den Blog netzpolitik.org (Q: netzpolitik.org, Kopie) veröffentlicht, bislang jedoch noch nicht durch das BMVg kommentiert.
Langsam lichten sich jedoch die Schleier und so berichtet die Süddeutsche Zeitung heute davon, dass die neue strategische Ausrichtung (Q: Süddeutsche Zeitung, Kopie) in dieser Woche auf einer eigenen Konferenz näher diskutiert werden soll. … →

Ende 2013 wurden die Regelungen des Wassenaar-Abkommens für ”Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien” – also dem Handel mit potentiell Waffen-fähigen Materialien und Produkten um Klauseln erweitert, die auch Schadsoftware und dafür benötigte Sicherheitslücken umfassen. (Details dazu hier) Das Wassenaar-Abkommen basiert auf einem Kreis von gegenwärtig 41 Vertragsstaaten, von denen die beschlossenen Regelung jeweils unabhängig interpretiert und eigenständig in nationalem Recht verankert werden. Dies umfasst im besonderen die Implementierung der vorgesehenen Kontrollgremien und den exakten Umfang der zu genehmigenden Güter. … →

Einem (bislang) geheimen Strategiepapier des Bundesverteidigungsministerium zufolge, das bereits im April gebilligt wurde und der Vorbereitung des neuen Weißbuchs der Bundeswehr dient, soll die Bundeswehr zukünftig auch offensive Fähigkeiten im Cyberspace erhalten(Q: Spiegel.de, Kopie). Dies betrifft vor allem die sogenannten CNO-Einheit (Computer Network Operations), die ein aktives Vorgehen gegen fremde IT-Systeme und den gezielten Angriff derselben seit einigen Jahren übt, jedoch bislang über keine gesetzliche Grundlage für den Einsatz in Kampf- und Verteidigungssituationen besitzt. … →