[Kurz notiert] EU will Export von Hacking-Tools stärker kontrollieren

Nach der Erweiterung des Wassenaar-Abkommen Ende 2013, mit dem der Handel von sog. „intrusion software“ eingeschränkt und eine stärkere Transparenz zwischen den Vertragspartner vereinbahrt wurde, folgt nun auch die EU diesem Schritt, wie es sich bereits im Sommer des vergangenen Jahres abgezeichnet hatte. Vor wenigen Tagen wurde das entsprechende Proposal im EU-Parlament beraten (lokale Kopie), dessen Ziel folgendermaßen zusammengefasst wird:  „Die neuen Vorschriften würden bestimmte Instrumente für die digitale Überwachung in die Liste der Gegenstände aufnehmen, deren Ausfuhr durch die nationalen Behörden genehmigt werden muss. … →

[Lesetipp] Vorstoß für ein Abkommen zum Schutz globaler Finanz-IT-Infrastrukturen

Tim Maurer von der Carnegie-Stiftung für internationalen Frieden hat unlängst auf einer Konferenz einen Vorschlag unterbreitet, der Staaten empfiehlt sich in einem gemeinsamen Abkommen zu einer Nicht-Beeinflussung kritischer internationaler IT-Infrastrukturen zu verpflichten. Im Gegensatz zum Vorstoß einer “digitalen Genfer Konvention”, der im vergangenen Jahr durch Microsoft vorgebracht wurde, konzentriert sich Tim Maurers Ansatz auf die Sicherung globaler IT-basierter Finanzsysteme als friedens- und stabilitätssichernde Maßnahme angesichts einer zunehmenden staatlicher Vereinnahmung des Cyberspace. … →

Cyber in der neuen US Verteidigungsstrategie 2018

Am 19.01.2018 veröffentlichte das Pentagon seine neue Verteidigungs-Strategie für die kommenden Jahre, die damit die Version von 2015 ablöst. Die veröffentlichte Version (Q: defense.gov / lokale Kopie) ist dabei jedoch nur eine Zusammenfassung der Strategie, sodass in den kommenden Tagen und Wochen sicher noch Konkretisierung (bzw. der Veröffentlichung) der einzelnen Maßnahmen erfolgen werden. An dieser Stelle daher vorerst eine Zusammenstellung wichtiger O-Töne aus dem Dokument:
Der Grundtenor der Strategie beruht darin, dass sich die USA mit ihren Fähigkeiten zur Verteidigung der „Menschen , Werte und Interessen“ in der Vergangenheit auf ihre absolute Dominanz verlassen konnte. … →

[Kurz notiert] DoS-Attacke auf Lettlands digitales Gesundheitssystem

Laut Medienberichten und einer Stellungnahme des lettischen Gesundheitsministerium kam es in den vergangenen Tagen zu einer groß angelegten DDoS-Attacke auf das Anfang 2018 offiziell gestartete E-Health-System des Landes, mit dem zukünftig die Verwaltung der medizinischen Versorgung digital gelöst werden soll.  Während anfangs noch durch Premierministerin Māris Kučinskis (Q: bnn-news.com / lokale Kopie) eine Hacking-Attacke als Grund großflächiger Ausfälle angezweifelt wurde, ist dies am vergangenen Dienstag in einer Pressekonferenz durch einen Staatssekretär bestätigt worden: „It is clear that it was a planned attack, a widespread attack—we might say a specialised one—as it emanated from computers located in various different countries, both inside the European Union and outside Europe“ (Q: france24.com/AFP / lokale Kopie).  … →

Cyber im Rahmen der gemeinsamen europäischen Verteidigung (PESCO)

Ende des vergangenen Jahres haben die Außen- und Verteidigungsminister der EU nahezu einstimmig (25 von 28) beschlossen die Verteidigung künftig gemeinsam zu gestalten. Grundlage dieses Vorhabens ist die Unterzeichnung eines Übereinkommens über die Ständige Strukturierte Zusammenarbeit (Permanent Structured Cooperation – PESCO / lokale Kopie) die durch den Vertrag von Lissabon möglich wurde. “Dieser ständige Rahmen für die Zusammenarbeit im Bereich Verteidigung ermöglicht es den Mitgliedstaaten, die dazu bereit und in der Lage sind, Verteidigungsfähigkeiten gemeinsam zu entwickeln, in gemeinsame Projekte zu investieren oder die operative Einsatzbereitschaft zu verbessern und den Beitrag ihrer Streitkräfte auszuweiten” (Q: consilium.europa.eu / lokale Kopie). … →

[Kurz notiert] Russland laut CIA Urheber von NotPetya

Die Washington Post berichtet (lokale Kopie), dass der CIA geheime Dokumente vorliegen bzw. entsprechende Dossiers erstellt worden sind, denen zufolge Russland als der Urheber von NotPetya gilt. Zu dieser Sichtweise passt, dass NotPetya zuerst in Industrie- und Regierungssystemen der Ukraine aktiv wurde und als Angriffsvektor eine Finanzverwaltungs-Software namens MeDoc verwendet die dort viel eingesetzt wird. Allerdings gelangten Infizierungen mit NotPetya auch in russische Systeme, wie bei den Unternehmen Rosneft und Bashneft. … →

[Lesetipp] Mandatierung von Auslandseinsätzen der Bundeswehr im Lichte des Völkerrechts

Ein Bestandteil der Fragen rund um den Aufbau des Bundeswehr-Cyberkommandos (KdoCIR) betrifft die Mandatierungspflicht von Auslands-Einsätzen dieser Einheit und die Dikussionen um die Zustimmungspflicht des Parlaments („Parlamentsvorbehalt„) dabei.  Zu diesem Thema daher ein Lesetipp für eine Veröffentlichung des Wissenschaftlichen Dienstes des Deutschen Bundestages, der sich nicht explizit auf den Cyberspace bezieht, aber neben anderem das Thema Zustimmungspflichten des Parlaments bei Bundeswehreinsätzen und den Verantwortlichkeiten dabei umfassend darstellt: „Mandatierung von völkerrechtlich umstrittenen Auslandseinsätzen der Bundeswehr im Lichte völkerstrafrechtlicher Verantwortlichkeit„. … →

BGP-Manipulation als Angriffsvektor für Cyberwaffen?

Eine der anhaltenden Debatten rund um die Militarisierung des Cyberspace und den Fragen danach wie man diese eindämmen und völkerrechtlich begrenzen kann ist, was eigentlich genau unter den Sammelbegriff der „Cyberwaffen“ fällt. Im Gegensatz zu konventionellen Waffen die zumeist mit ihrer Wirkung etwas stören oder zerstören sind im Cyberspace deutlich mehr Möglichkeiten gegeben durch Veränderung der Funktionsparameter dafür zu sorgen das Dinge nicht oder außerhalb der Spezifikationen wirken. Im kleinen Umfang mit spezifisch ausgewählten Zielen, wie bspw. … →

CPU-Exploits „Meltdown“ und „Spectre“: Lesetipps zu Einschätzung, technischen Details und NSA-Dementi

Die beiden massiven Bugs namens „Meltdown“ und „Spectre“  sind zu Recht aufgrund der Tragweite der betroffenen Systeme und dem Umfang der Ausnutzbarkeit in aller Munde. Die genauen Konsequenzen werden sicher erst in den kommenden Tagen deutlich, wenn weitere Analysen erscheinen, die zeigen wie diese Lücken ausgenutzt werden können und wieviele Systeme wirklich betroffen sind. An dieser Stelle daher erst einmal eine Linksammlung.
Sehr empfehlenswert ist ein Artikel von Bruce Schneier, der das ganze Problem gut umreißt und warum uns die Situation besorgen sollte: „Spectre and Meltdown Attacks Against Microprocessors“ (lokale Kopie). … →

Beteiligung des neuen Cyber-Bundeswehrkommandos an Krisenübung LÜKEX 2018

„LÜKEX (Länder­übergreifende Krisen­management­übung / Excercise) ist eine regelmäßig stattfindende Übung in der Bundesrepublik Deutschland. Ziel von Lükex ist es, das gemeinsame Management des Bundes und der Länder in nationalen Krisen aufgrund von außergewöhnlichen Gefahren- und Schadenslagen auf strategischer Ebene zu verbessern“ (Q: Wikipedia) Die Übungen werden vom BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) nach thematischen Vorgaben u.a. des BMI (Bundesministerium des Innern) geplant und durchgeführt. Die nächste Übung wird lt.  … →