News

[Kurz notiert] Stellungnahme von Kaspersky zu Hacking-Vorwürfen gegen NSA

Vor einigen Tagen wurde bekannt, dass der NSA erneut geheime Daten und Tools abhanden gekommen sind. Diese wurden auf russischen Rechner durch ein israelisches Unternehmen entdeckt. Damit wurden Mutmaßungen verbunden, dass die Software des russischen IT-Sicherheitsunternehmens Kaspersky für den Datenraub mitverantwortlich gewesen sein soll. Kaspersky selbst hat nun Stellung bezogen zu den Vorwürfen und unter anderem erklärt, dass die entdeckte NSA-Schadsoftware nicht absichtlich entwedet, sondern in den Sicherheitsfiltern der Kaspersky-eigenen Schutzsoftware aufgefallen und „eingefangen“ worden ist. In ihrem Blog-Eintrag erläutert das Unternehmen den Hergang der Situation (lokale Kopie) aus ihrer Sicht und verweist darauf, dass es sich insbesondere um eine Analyse der Vorfälle um die Equation Group kümmern wollte – eine Einheit über die mittlerweile bekannt ist, dass sie vermutlich der NSA entstammt.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Lagezentrum Cyber- und Informationsraum der Bundeswehr nimmt Arbeit auf

Im Rahmen des neuen Cyber-Bereiches bei der Bundeswehr wurde auch der Aufbau eines Lagezentrums für die Domäne Cyberspace beschlossen, in der Informationen aus diesem Raum zusammenfließen, ausgewertet und den Streitkräften für Planungen zur Verfügung gestellt werden sollten. Dieses „Lagezentrum Cyber- und Informationsraum“, das die „militärisch relevante Lage aller relevanten Aspekte des Cyber- und Informationsumfelds miteinander korreliert“ ist nun in einem Pilotbetrieb gestartet und auf den Seiten des BMVg wurde dazu ein Interview mit Fregattenkapitän Lars Ruth (lokale Kopie), der seit Juni 2016 als Mitglied des Aufbaustabs Cyber- und Informationsraum für den Aufbau des Lagezentrums zuständig ist, veröffentlicht. Bemerkenswert an der Beschreibung der Arbeit dieses, am Anfang mit 70 Dienstposten ausgestattetem Zentrums ist zum einen, dass dieses neben der schützenden Überwachung der IT-Systeme der Bundeswehr auch die Vorbereitung für ein Wirken in dieser Domäne vorgesehen ist:

Zudem wird eine Gruppe, die Informationen, die im Lagezentrum gewonnen werden, in militärische Planungen des Organisationsbereich Cyber- und Informationsraum vorausdenken und einbringen. Sie erstellen die Wirkforderungen für Effekte im Cyber- und Informationsraum (..) Die Erkenntnisse, die wir im Lagezentrum erarbeiten sind unmittelbar relevant für Aspekte militärischen Handelns. Sie ermöglichen es dem Inspekteur Cyber- und Informationsraum, den Streitkräften das gesamte Portfolio nicht-kinetischer Wirkmöglichkeiten anzubieten. So können wir die Effektivität des Einsatzes von Kräften erhöhen und die Möglichkeiten des gezielten Handelns in modernen Konflikten verbessern.

Ein großer Bestandteil dieser Arbeit soll in der Attribution von unbefugten Zugriffen bestehen. Das eine Beantwortung dieser Frage rein auf technischen Analyse schwer möglich ist und dabei vermutlich auch die aktuelle weltpolitische Lage und die üblichen Verdächtigen in Betracht gezogen werden, wird im Interview deutlich:

Dieses Problem der Attribuierung lässt sich auch mit dem Gemeinsamen Lagezentrum nicht grundsätzlich lösen. Allerdings werden dort Ereignisse mit Daten korreliert, die man von mutmaßlichen Akteuren kennt. Durch die mathematische Aufbereitung der Daten und eine sehr komplexe Netzwerkanalyse kann man dann eine strukturierte Aussage über mögliche Zusammenhänge treffen. In der Folge kann dann aufgrund der Forensik eine weitere Analyse der Daten durchgeführt werden.

Einem Interview mit Ludwig Leinhos dem Inspekteur Cyber- und Informationsraum im „Behörden Spiegel“ Nr. 193 (lokale Kopie) zufolge sollen die Informationen auch mit „anderen Behörden“ geteilt werden.

Hinsichtlich der Aktivitäten des Lagebildes ist umso relevanter, dass Klarheit über die Regeln und Normen denen sich die Bundeswehr im Cyberspace verpflichtet ist geschaffen und die Probleme und Gefahren beim „Wirken in fremden Netzen“ berücksichtigt werden – wie hier vor wenigen Tagen etwas genauer ausgeführt.

 

Cybersicherheitspolitische Impulse für die nächste Legislaturperiode

Die Kolleg_Innen von der Stiftung Neue Verantwortung haben in einem Impulspapier sehr stichhaltig diejenigen Themen zusammengefasst, die für die Legislaturperiode der kommenden Regierung im Bereich der Cyber- und IT-Sicherheit relevant sein müssen. Dabei identifizieren sie drei Bereiche und verbinden ihre Analyse mit klaren Vorschlägen, darunter die Stärkung des BSI als zentrale deutsche Instanz für die Vorbeugung und Behandlung von IT-Sicherheitsvorfällen. Um diese Rolle auszufüllen und öffentlich als vertrauensvoll wahrgenommen zu werden sollte das BSI als Einrichtung vom BMI getrennt und damit dem potentiellen Wirkungsbereich der Nachrichtendienste entzogen werden. Um es mit den Worten des Papers zu sagen: “Code maker” und “Code breaker” sollten getrennt werden. Neben diesem Vorschlag geht es den Autoren noch um die deutliche Verbesserung der Personalpolitik im Bereich der IT-Sicherheit, die zum einen effizienter und zum anderen – angesichts der vielen öffentlichen Einrichtungen die mit diesem Problem kämpfen – bedarfsgerechter gestaltet werden müsste. Ein dritter wichtiger Punkt besteht darin, angesichts der Debatten über den Aufkauf von Sicherheitslücken (unter anderem im Rahmen von ZITiS) klare Regularien für den Umgang mit diesen Mitteln zu schaffen und verantwortungsvoll abzuwägen, um IT-Sicherheit durch ein solches Vorgehen nicht noch weiter zu gefährden.

Neben diesen Punkten des Impulspapiers sollte aber ein vierter Aspekt für die kommende Regierung von Relevanz sein. Angesichts des weiteren Aufbaus der Cyber-Einheiten bei der deutschen Bundeswehr und der damit verbundenen Aufstockung der Offensiv-Kräfte CNO und deren Aufwertung zu einem Zentrum für Cyberoperationen ist es dringend geboten zu klären, wie die Regierung und im speziellen das BMVg diese Cyberkapazitäten bei der Bundeswehr nutzen will und welchen Normen und Regeln sie sich bei der strategischen Planung verpflichtet sieht. Bislang erfolgt dies stets mit Verweis auf die Regeln und Planungen der bestehenden Teilstreitkräfte – ein Verweis der unter anderem deshalb unzureichend ist, da Defensive und insbesondere die Offensive im Cyberspace anders funktionieren und anderen Bedingungen und Funktionsweisen unterworfen sind, die Analogien und Operationalisierungen unterminieren. Exemplarisch dafür kann die nach wie vor anhaltende Debatte über die Möglichkeiten und Grenzen der Attribution im Cyberspace gelten sowie die Frage, was eine Cyberattacke genau ist und welches Ausmaß einer Cyber-Einwirkung als solche gelten kann. Auch der bisherige Verweis des BMVg auf das Tallinn Manual bei solchen Fragen reicht dabei nicht aus, da diese Analyse in erster Linie auf Analogien zu kriegerischen Akten mit konventionellen Waffen beruht und eher auf die diversen Probleme bei der Anwendung etablierter Regeln auf den Cyberspace und die entsprechende Notwendigkeit internationaler Debatten und die Notwendigkeit spezifischer Normen hinweist. Eine Frage an der sich diese Ungereimtheiten im Bereich der Bundeswehr kristallisieren lässt besteht darin klären (und internationale *erklären* zu müssen) ob und wie weit und tief die Bundeswehr für die Erstellung ihres Cyber-Lagebildes sowie die strategische Planung in Friedenszeiten in IT-Systeme fremder Staaten eingreifen darf um diese auszuspähen oder ein Wirken vorzubereiten.

[Lesetipps] Analysen & Fallstudien zum Attributionsproblem im Cyberspace

Zum Wochenbeginn zwei Lesetipps die sich dem Thema und dem Problem der Attribution im Cyberspace widmen.

Zum einen soll auf die Analyse “Stateless Attribution – Toward International Accountability in Cyberspace” (lokale Kopie) der Rand Cooperation hingewiesen werden (mit Dank an Thea Riebe). Diese kommt anhand der Untersuchung konkreter Vorfälle der letzten Zeit und den öffentlichen Zweifeln an der Glaubwürdigkeit der offiziellen Attribution zu dem Vorschlag einer internationalen, unabhängigen Instanz die für Attributionen zuständig ist. Damit soll dem Vorwurf der Beeinflussung von Schuldzuweisungen durch nationale außenpolitische Ziele und Interessen begegnet und Attribution transnational gelöst werden.

Der zweite Lesetipp „Walking In Your Enemy’s Shadow: When Fourth-party Collection Becomes Attribution Hell“ (lokale Kopie) ist eine Auswertung zweier IT-Security-Forscher der Kaspersky Labs, die Fälle dokumentieren und bewerten, bei denen nach Hacks und der Frage nach der Herkunft von Angreifern in den Daten des kompromittierten Systemes neben Hinweise auf die vermutlichen Angreifer auch Spuren weiterer, mutmaßlich staatlicher Hackergruppen gefunden werden. Derartige Situationen erschweren die Zuweisung von Angriffen den Analysten zufolge enorm, nicht zuletzt dadurch, dass Beweise kritisch hinterfragt werden müssen, deren Glaubhaftigkeit unterminiert wird oder auch gezielt falsche Fährten gelegt werden könnten. Darüberhinaus ergeben sich damit Situation in denen Angreifergruppen gezielt und unabsichtlich Werkzeuge und Daten anderer Hacker kopieren oder deren Angriffe sabotieren könnten. Das derlei Fälle durchaus realistisch sind zeigt der unlängst veröffentliche, mutmaßlich russische Hack der NSA, der durch israelische IT-Securityanalysten anhand von Spuren russischen ausspionierten Systemen entdeckt worden sein soll.

[Kurz notiert] US-Präsident Trump plant Maßnahmen gegen iranische Cyberoperationen

Einer Meldung von Reuters zufolge will der US-Präsident Trump im Rahmen der Maßnahmen gegen den Iran auch gegen Cyberoperationen vorgehen, die dem Land zugeschrieben werden. Dabei soll es nach den Worten der Pressesprecherin des Weißen Hauses darum gehen, mit den getroffenen Maßnahmen eine “breite” Strategie aufzubauen um neben den Cyberattacken auch das Nuklearprogramm, die Raketentests und die Terrorunterstützung des Landes zu adressieren und einzudämmen. (Q: reuters.com / lokale Kopie)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Neues Cybersecurity-Department und neue militärische Cyber-Kräfte in Polen

Vor einigen Tagen berichtete die Webseite „Radio Poland“ mit Verweisen auf Reden der Premier- und des Verteidigungsminister über neue Initiativen des Landes im Cyberspace. Die polnische Innenministerin sprach anlässlich des European Cybersecurity Forum davon, dass „[cybersecurity] is about the economy, security, it’s a question of stability, but also — I think we all realize — of peace“ (Q: thenews.pl / lokale Kopie). Um dieser Herausforderung zu begegnen soll im Rahmen des Innenministeriums eine neue Abteilung für den Cyberspace aufgebaut werden, deren Aufgabe in der Analyse von Vorfällen, dem Monitoring des Cyberspace und dem Aufbau eines Expertenpools bestehen soll. Der Fokus dieser Abteilung soll dabei auf der Bekämpfung von Internet-Kriminalität und Terrorismus liegen (Q: premier.gov.pl / lokale Kopie).

Ebenfalls im Rahmen der Veranstaltung unterrichtete der polnische Verteidigungsminister die Öffentlichkeit davon, dass beim polnischen Militär eine neue Einheit für Cyber-Operationen aufgebaut wird, die bis zu 1000 Personen umfassen und initial mit einem Etat von knapp 500 Millionen Euro ausgestattet ist. Dabei verwies er darauf, dass auch vom Cyberspace Bedrohungen ausgehen, „no less than [military operations] on land, sea, air and in space.“ (Q: thenews.pl / lokale Kopie). Zu den genauen Aufgaben der neuen Einheit machte der Verteidigungsminister neben der allgemeinen Aufgabe der staatlichen Verteidigung im Cyberspace keine genaueren Angaben, verwies mit Blick auf neue Bedrohungen aber unter anderem auf Fake News, Meinungs-Manipulationen durch Einflußnahme fremder Staaten und „Troll-Fabriken“ (Q: mon.gov.pl/ lokale Kopie).

 

[Kurz notiert] Südkoreas Verteidigungspläne angeblich durch nordkoreanische Hacker entwendet

Die südkoreanische Nachrichtenagentur Yonhap  berichtete am 10.10.2017 (lokale Kopie) mit Verweis auf Aussagen eines Parlamentariers davon, dass dem Land durch mutmaßlich nordkoreanische Hackerangriffe unzählige Gigabyte an militärischen Informationen entwedet worden sein.

Rhee said that 235 gigabytes of military documents were taken with the content of nearly 80 percent of them yet to be identified. Also among them were contingency plans for the South’s special forces, reports to allies‘ top commanders, and information on key military facilities and power plants, he added.

Unter den Daten sollen sich Pläne für militärische Verteidigungsfälle des Landes sowie Maßnahmen für den Schutz kritischer Infrastrukturen befinden.

OPLAN 5015 is the latest Seoul-Washington scheme to handle an all-out war with Pyongyang, which reportedly contains detailed procedures to „decapitate“ the North Korean leadership. OPLAN 3100 is Seoul’s plan to respond to the North’s localized provocations.

Dem Medienbericht zufolge könnten die entwendeten Daten mit einem, im Mai 2017 entdeckten Hack von militärischen IT-Systemen zusammenhängen. Nord-Korea hat eine Beteiligung an den Vorfällen abgestritten.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Infosammlung zu Russlands jüngstem NSA-Hack /Update

Bereits vor einigen Tagen wurde öffentlich bekannt, dass der NSA erneut Daten und Software durch einen Hack abhanden gekommen sind, der mutmaßlich auf russische Angreifer zurückzuführen sein soll. (Update 18.10.2017) Der Vorfall, der im vergangenen Jahr entdeckt wurde, soll sich 2015 bei einem Sub-Unternehmen der NSA ereignet haben. Den aktuellen Berichten zufolge soll dabei die Software des russischen Unternehmens Kaspersky, die eigentlich für den Schutz von Rechnern mit Hilfe von Firewall- und Antiviren-Lösungen zuständig ist, bei dem Zugriff ausgenutzt worden sein. Zu diesem Narrativ passt, dass US-Behörden bereits vor einigen Wochen den eigenen Behörden die Verwendung der Kaspersky-Software verboten haben. Damals war allerdings vermutet worden, dass dies primär im Zusammenhang mit den außenpolitischen Konflikten der beiden Länder erfolgt ist.

Aus Zeitgründen zu den Vorfällen hier leider erst einmal nur ein paar Lesetipps mit weiteren Hintergründen:

Weitere Informationen und Bewertungen folgen.

[Kurz notiert] Politische Debatte über Umgang mit Sicherheitslücken

Die Zeit (lokale Kopie) dokumentieren in einem sehr lesenswerten Artikel die aktuelle Debatte über den Umgang mit Sicherheitslücken durch Sicherheitsorgane. Dies betrifft insbesondere den Aspekt ob und ggf. wann Einrichtungen Sicherheitslücken für den „Eigenbedarf“ kaufen können sollen oder ob es nicht allgemein besser wäre diese direkt an den Hersteller zu melden.

Im wesentlichen gibt es in der deutschen Politik aktuell dazu die folgenden Standpunkte:

Das Außenministerium möchte gerne ZeroDay Exploits ächten, auch weil seine Experten 2015 bei der UN zu dem Schluss gekommen sind, dass es besser für die internationale Sicherheit wäre. Die Sicherheitsbehörden möchten Sicherheitlücken gerne selbst nutzen, u.a. die Bundeswehr. Die Bundesregierung bezieht keine Position. Es wird vorgeschlagen, Zero Days nicht pauschal zu melden sondern zu bewerten nach ihrer Gefährlichkeit und Einsatzmöglichkeit durch ZITiS, wie es bereits in den USA durch die NSA praktiziert wird.

Besten Dank an Thea Riebe von IANUS für die Zusammenfassung.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Forderung nach „Hack-Back“-Befugnissen ist zurück /Update

Wie zu erwarten war hat Verfassungsschutzpräsident Maaßen heute in einer öffentlich durchgeführten Anhörung des Geheimdienstausschusses im deutschen Bundestag erneut Hack-Back-Befugnisse für seine Behörde gefordert und damit das Thema wieder in die öffentliche Diskussion gebracht. Laut Medienberichten reicht es seiner Meinung nach nicht „ausländische Server abzuschalten oder zu zerstören. Der Geheimdienst müsse die Angreifer auch selbst ausspähen und Daten löschen dürfen“ (Q: dfl24.de / lokale Kopie). Diese Forderung umfasst neben dem Reagieren und Intervenieren (also einem „Hack-Back“ zum Abwenden akuter Gefahren) aber mutmaßlich auch offensive Operationen ohne konkreten Gefahrenanlass.  Dabei wirft der erneute Vorstoß des Verfassungsschutzpräsident auch Fragen auf, warum der Verfassungsschutz mit seiner primär aufklärenden und informationsbeschaffenden Funktion über derartige Befugnisse verfügen sollte. So scheinbar verlockend das Konzept von Hack-Back als „Notmaßnahme“ erscheint, so verbinden sich damit dennoch sehr viele weitere politische, sicherheitspolitische, technische und praktische Schwierigkeiten, Probleme und Unabwägbarkeiten auf diese bereits an anderer Stelle ausführlich hingewiesen wurde, nämlich:

Update (6.10.2017): Mittlerweile gibt es auch eine offizielle Pressemitteilung zu der Anhörung auf der Webseite des Bundestages (lokale Kopie) sowie die Anhörung in der Mediathek zum Nachschauen/Hören. Laut Bericht auf netzpolitik.org äußerte sich neben Herrn Maaßen auch der Präsident des BND Bruno Kahl zum Thema Hack-Back mit dem Verweis, dass der BND für entsprechende offensive Aktivitäten bereit stünde sofern entsprechende gesetzliche Befugnisse geschaffen würden – was die Frage aufwirft, über welche Fähigkeiten und Ressourcen im Cyberspace und insbesondere mit Blick auf offensive Kapazitäten der Inlandsnachrichtendienst verfügt.