Lebensadern des Cyberkriegs

von Ingo Ruhmann und Ute Bernhardt

Die Manipulation unserer IT-Infrastrukturen aus Hardware, Software und Netzwerken durch Militärs, Geheimdienste und deren Söldner ist zum Element des digitalen Alltags geworden. Für die Betroffenen ist es völlig egal, ob wir dies als Cyberkrieg bezeichnen oder diplomatischer als transnationale staatliche Computereingriffe (intrusion) „ohne Einwilligung betroffener Staaten zu Zwecken der Überwachung, Spionage oder Cyberoperationen in Zeiten des Friedens oder der Spannungen“.1 Für den Alltag wichtig ist die Frage, wie sich diese Eingriffe eindämmen und möglichst verhindern lassen. Wer dies als Ziel verfolgt, muss zuerst klären, womit wir es zu tun haben – und das nicht nur auf der Handlungsebene, sondern auf der Ebene der Infrastrukturen, der Lebensadern des Cyberwar.

Computermanipulationen werden im Allgemeinen primär auf der Wissens- und Handlungsebene betrachtet. Für Angreifer wie Betroffene hat das Handlungswissen eine wesentliche Rolle, als Infrastruktur werden nur Computer und Internetverbindungen betrachtet. Dabei sind im Sinne der IT-Sicherheit die operativen Elemente der Cyberkriegsführung zu unterscheiden vom Hacken. Die Cyberkriegsführung verfolgt spezifische Ziele gemäß einer definierten Doktrin, die Akteure verfügen über spezifische Ressourcen, und die Cyberkriegsführung verbleibt nicht im Digitalen, sondern geht auch mit physischen Operationsformen einher. Sowohl die Ziele als auch die exorbitanten personellen und vor allem materiellen Ressourcen, die für die Cyberkriegsführung heute aufgewandt werden,2 lassen sich an Infrastrukturen – »Lebensadern« – festmachen. Aus diesen Lebensadern ergeben sich Ansatzpunkte für Gegenstrategien, was schon elementarste Ebenen zeigen.

Kritische Infrastrukturen der Zivilgesellschaft

Beginnen wollen wir mit dem Offensichtlichen: den zivilen Infrastrukturen. In den 1990er Jahren wurde aufgearbeitet, welche Eingriffe in zivile Netzwerke zu »kritischen« Ausfällen lebenswichtiger Versorgungssysteme der Zivilgesellschaft führen würden. Diese Versorgungssysteme betreffen die Sektoren Energie, Wasser, Telekommunikation, Gesundheit, Ernährung, Logistik und das Finanzsystem, aber auch die staatliche Verwaltung. Ihre »Kritischen Informationstechnischen Systeme« (KRITIS) gelten als primäre Ziele von Cyberangriffen und sind in besonderer Weise zu schützen. Nach über 20 Jahren der Diskussion in Deutschland regelt das IT-Sicherheitsgesetz nun technische Vorgaben und Meldepflichten.

Schon diese Sicht auf physische, logische und organisatorische Infrastrukturen, ihre Spezifika und die entsprechende Risikoanalyse ermöglicht Handlungs- und Schutzstrategien sowie rechtliche Vorgaben. Wären die Infrastrukturen des Cyberkrieges bekannt, ließen sich ebenfalls Reaktionsstrategien entwickeln. Der Schutz kritischer Infrastrukturen ist jedoch allein auf zivile Infrastrukturen gerichtet. Systematisch ausgeblendet werden damit jene militärischen und geheimdienstlichen IT-Infrastrukturen, die das Hochwert-Ziel jedes Angreifers darstellen. Genauso wie KRITIS für die Zivilgesellschaft, gibt es für militärische und geheimdienstliche Akteure schützenwerte Infrastrukturen, die der militärischen Operationsführung dienen. Besonders interessant sind die Infrastrukturen für offensive und defensive Cyber-Operationen.

Nervenbahnen für Kommando und Kontrolle – militärische Infrastrukturen

Ein Ziel der elektronischen Kriegsführung – in der Bundeswehrsprache: Fernmelde- und Elektronischer Kampf (Eloka)3 – ist es, die Kommunikationsinfrastrukturen potentieller Gegner lückenlos zu erfassen. Viele Werkzeuge werden seit Jahrzehnten rund um die Uhr eingesetzt und sind ein operativer Teil der heutigen Cyberkriegs-Infrastruktur. Sichtbar ist das bei jenen militärischen Anlagen, die als Antennen-Installationen in Sperrgebieten aus der Umgebung und selbst auf Satellitenbildern gängiger Suchmaschinen unübersehbar sind, wie das monströse Rechenzentrum des US-Spionagegeheimdienstes NSA mit fast zehntausend Quadratmetern Fläche nur für die IT plus achtzigtausend Quadratmetern für Kühlung und Energieversorgung.

Telekommunikationsunternehmen sind ebenfalls in diese Infrastrukturen eingebunden. Das Post- und Telekommunikationssicherstellungsgesetz schrieb ihnen bis vor wenigen Jahren sogar noch bauliche Maßnahmen, wie das Verbunkern, vor „zum Schutz von Anlagen zur Aufrechterhaltung des Betriebes auch während unmittelbarer Kampfeinwirkungen“.4 Mit dem Projekt HERKULES verfügt die Bundeswehr nun wie andere Armeen über ein Weitverkehrs-Datennetz unter eigener Kontrolle.5

Diese Infrastrukturen sind die Nervenbahnen militärischer Kommandoausübung. Sie unbrauchbar zu machen, bedeutet das Ende koordinierter Militäroperationen. Daher gehört zu den sensibelsten Teilen der Infrastruktur einerseits der Schutz der physischen Infra­struktur internationaler Datennetze, andererseits deren Überwachung. Im britischen Menwith Hill,6 im bayerischen Bad Aibling7 oder im baden-württembergischen Rheinhausen8 wird die Überwachung der Satellitenkommunikation sichtbar. Weniger sichtbar ist, dass seit der Jahrtausendwende U-Boote der USA auch an den unterseeisch verlegten Glasfaserkabeln horchen;9 russische Boote haben nachgezogen.10

Verborgene Lebensadern

Neben diesen Lebensadern des Cyberkrieges existieren digitale Infrastrukturen, die schwerer zu identifizieren und bei denen die physische Existenz und logische Funktion nur mit größerem Aufwand zu ermitteln sind.

Glasfasernetze haben auch die Infrastruktur der Überwachung verändert. Der Deutsche Central Internet Exchange De-CIX in Frankfurt ist der weltweit größte Internetknoten zur Übergabe von Daten zwischen verschiedenen Providern. Der Bundesnachrichtendienst (BND) und zuvor die NSA haben sich dort Anschluss verschafft, die Klage des Betreibers dagegen blieb 2018 erfolglos.11 Vergleichbare Einrichtungen zur Überwachung und Ableitung des durch die USA laufenden Datenverkehrs sind bekannt. Seit 2003 hat die NSA Verträge mit Providern geschlossen.12 Für die Filterung der enormen Datenmengen aus der Überwachung des Datenverkehrs werden Rechenkapazitäten vor Ort benötigt. Unterlagen der NSA zufolge besteht diese heimliche Infrastruktur aus trutzigen Gebäude inmitten jener acht Städte in den USA, in denen es einen direkten Zugang zu den großen Internet-Backbones gibt.13 Von dort aus wird der gefilterte Datenverkehr zu Rechenzentren der NSA geleitet.

Auch andere Infrastrukturen sind sichtbar, ihre Bedeutung aber schwer zu erkennen. Seit Jahren war für IT-Fachleute rätselhaft, welch riesigen Datenmengen über bestimmte Datenleitungen im Stuttgarter Raum abgewickelt wurden, obwohl nur eine kleine Signals-Intelligence-Einheit der U.S. Army angeschlossen war. Durch die Snowden-Enthüllungen wurde klar, dass Stuttgart-Vaihingen einer von weltweit nur drei Übergangsknoten für das NSA-Programm TRANSGRESSION ist.14 Das auffällige Datenvolumen resultiert daraus, dass sich die NSA bei ihren gegnerischen Cyberkriegs-Akteuren einhackt, deren Werkzeuge und Zugänge zu Infrastrukturen in andern Ländern stiehlt und die erbeuteten Daten über Vaihingen in die USA übermittelt. So operiert nicht nur die NSA. Sie erbeutet bei diesen Raubzügen auch Daten, die von den Gegnern von dritter und vierter Seite gesammelt wurden. Solche Operationen machen klar, welch detaillierte Kenntnisse die großen Cyberkriegs-Akteure in West, Ost und Fernost von ihren jeweiligen Gegnern und ihren Infrastrukturen haben.

Der Lebenssaft in den Lebensadern: Software

Zu den bisher skizzierten Lebensadern des Cyberkrieges kommt der »Lebenssaft« in diesen Adern: die Software. Cyberkriegs-Akteure profitieren von den sich trotz aller Veränderungen immer wieder herausbildenden Software-Monokulturen. Das sind vor allem dominante Betriebssysteme und die gängigste darauf laufende Anwendungssoftware. Die noch unveröffentlichten Sicherheitslücken darin – »zero-day exploits« – sind Einfallstore für Angriffe. Dafür hat sich ein Millionenmarkt etabliert, den Cyberkriegs-Akteure anfachen, statt dafür zu sorgen, dass die Sicherheitslücken bekannt und geschlossen werden. Die NSA sammelt seit den 1980er Jahren in weltweit verteilten Datenbanken alle ihr bekannt werdenden Schwachstellen möglichst vieler IT-Systeme, um mit diesem Wissen mit den heutigen Cyberkriegs-Werkzeugen, wie XkeyScore, beliebige Computer automatisiert und ohne Fachkenntnisse der Bearbeiter anzugreifen und zu übernehmen.15

Software-Monokulturen und die Detailkenntnis physischer Infrastrukturen erlauben unmöglich scheinende Angriffsformen. Im »Quantum«-Programm haben US-Dienste Werkzeuge entwickelt, um die von nur wenigen Herstellern produzierten Telekommunikationsknoten mit »Implantaten« zu versehen und sie unter eigene Kontrolle zu bringen. Ziel ist es bei diesem Programm nicht, das Netz abzuschalten, sondern die Kommunikation von Angriffsopfern selektiv zu manipulieren. Das Implantat auf dem gekaperten Netzknoten fängt automatisiert den Datenverkehr zum Zielsystem ab und ersetzt ihn durch manipulierte Datenpakete. Die Reaktionsgeschwindigkeit in Sekundenbruchteilen setzt voraus, Netzknoten nahe am Operationsziel zu kapern.16 Damit gelang der NSA der Angriff auf die Rechner der EU-Kommission über deren Provider Belgacom.

In Lebensadern denken: Was sind die Infrastrukturen des Cyberkrieges?

Es liegt in der Logik der Sache, dass die Cyberkriegs-Akteure die zivilen und militärischen Infrastrukturen ihrer Gegner ausspionieren und manipulieren. Das TRANSGRESSION-Programm der NSA und die gegenseitigen Raubzüge der Cyberkrieger zeigen, wie gut die Akteure sich gegenseitig und ihre Infrastrukturen kennen. Schon dies widerlegt den Irrglauben, gegen Cyberkrieg sei nichts auszurichten, weil die Akteure und ihre Infrastrukturen unbekannt seien. Sie kennen auch unsere zivilen Infra­strukturen. Wir aber nicht ihre. Das ist fahrlässig. Denn wer als Provider weiß, dass spezifische Datenleitungen einen zentralen NSA-Übergabeknoten anbinden und damit primäres Cyberkriegs-Ziel sind, wird für seine zivilen Kunden nach Alternativen suchen.

Es geht aber um mehr: Cyberkriegs-Akteure aus Russland, der Volksrepublik China und den USA gehen davon aus, dass die jeweils andere Seite »Implantate« in den kritischen Infrastrukturen installiert hat, um diese bei Bedarf zusammenbrechen zu lassen. Für die US-Seite sei der Erhalt solcher Implantate in anderen Staaten Vorbedingung zum IT-Sicherheits-Abkommen mit China gewesen.17 Die Friedensbewegung hat in der Vergangenheit Atomwaffenlager als militärische Infrastruktur oder Sprengkammern in Brückenbauwerken zur Zerstörung ziviler Infrastruktur zur Kenntnis gebracht. Heute geht es darum, die Infrastrukturen des Cyberkriegs aufzuklären und die Risiken durch eine Vernetzung militärischer mit zivilen IT-Infrastrukturen zu reduzieren.

Es geht letztlich darum, Cyberkrieg für die Rüstungskontrolle und internationale Kooperation fassbar zu machen. Es reicht nicht mehr aus, dass das schwedische Friedensforschungsinstitut SIPRI Truppenstärken, Atomwaffenarsenale und Ausgaben für die konventionelle Rüstung ermittelt. Wir haben aufgezeigt, dass sich die materiellen und personellen Ressourcen der Cyberkriegs-Akteure ermitteln lassen.18

Die Infrastrukturen des Cyberkriegs sind ein Gegenstand für Rüstungskon­trolle. Die Kenntnis der Infrastrukturen ist auch ein Ansatzpunkt für internationale Kooperation als Gegenmodell zum heutigen Cyberkrieg – jeder gegen jeden. Wir sollten lernen, die Lebensadern des Cyberkriegs zu erkennen und systematisch zu erheben. Dieses Wissen lässt sich nutzen, um die Folgen des Cyberkrieges abzumildern oder Cyberkonflikte zu verhindern. Für diese Aufgabe liegen genügend Daten vor.

Anmerkungen

1) Militärische Definition von »Intrusion« in: U.S. Vice Chairman of the Joint Chiefs of Staff (2010): Joint Terminology for Cyberspace Operations. Washington.

2) Vgl. Ruhmann, I. (2018): Aufrüstung im Cyberspace – Staatliche Hacker und zivile IT-Sicherheit im Ungleichgewicht. W&F-Dossier Nr. 79, S. 12-16.
Ders. (2015): Wachsendes Ungleichgewicht – Cyberrüstung und zivile IT-Sicherheit. W&F-Dossier Nr. 86.

3) Siehe die gute Aufbereitung in: Piper, G. (2014): EloKa – die Abhörtruppe der Bundeswehr. telepolis, 9.8.2014.

4) Post- und Telekommunikationssicherstellungsgesetz §9, BGBl. I, vom 14. September 1994, S. 2325, 2378.

5) BWI GmbH (2010): Bundeswehr-Sondernetze jetzt in das neue Weitverkehrsnetz integriert. Pressemeldung vom 28.9.2010.

6) Gallagher, R. (2016): Inside Menwith Hill. The Intercept, 6.9.2016.

7) Meister, A (2016): Geheimer Prüfbericht – Der BND bricht dutzendfach Gesetz und Verfassung – allein in Bad Aibling. netzpolitik.org, 1.9.2016.

8) SIR/dpa (2014): BND lüftet Geheimnis um Abhöranlage. Stuttgarter Nachrichten, 6.6.2014.

9) Meister, A. (2013): Glasfaserkabel und Spio­nage-U-Boote – Wie die NSA die Nervenzentren der Internet-Kommunikation anzapft. ­Netzpolitik.org, 20.6.2013.

10) Michael Birnbaum (2017): Russian submarines are prowling around vital undersea cables – It’s making NATO nervous. Washington Post, 22.12.2017.

11) Pressemitteilung Nr. 38 des Bundesverwaltungsgerichts vom 31.5.2018.

12) Timberg, C.; Nakashima, E. (2013): Agreements with private companies protect U.S. access to cables’ data for surveillance. The ­Washington Post, 6.7.2013.

13) Gallagher, R.; Moltke, H. (2018): The Wiretap Rooms – The NSA’s Hidden Spy Hubs in Eight U.S. Cities. The Intercept, 25.6.2018.

14) So die Angaben aus der NSA-Präsentation in Spiegel Online auf spiegel.de/media/media-35685.pdf , Folie 5.

15) Vgl. Bernhardt, U.; Ruhmann, I. (2014): Information Warfare und Informationsgesellschaft – Zivile und sicherheitspolitische Kosten des Informationskriegs. W&F-Dossier Nr. 78, S. 9f.

16) Appelbaum, J.; Rosenbach, M.; Schindler, J.; Stark, H.; Stöcker, C. (2013): NSA-Programm »Quantumtheory« – Wie der US-Geheimdienst weltweit Rechner knackt. Spiegel Online, 30.12.2013; eigene Auswertung der darin publizierten Dokumente.

17) Sanger, D.E. (2015): U.S. and China Seek Arms Deal for Cyberspace. New York Times, Sept. 19, 2015.

18) Vgl. Ruhmann, I. (2018).

Ingo Ruhmann (Dipl. Inform.) ist wissenschaftlicher Referent und Lehrbeauftragter an der TH Brandenburg. Er ist ehemaliges Vorstandsmitglied des Forum InfomatikerInnen für Frieden und gesellschaftliche Verantwortung e.v. ( FifF) und arbeitet zu den Themen IT-Sicherheit, Informatik und Militär sowie Datenschutz im Netzwerk.
Ute Bernhardt (M.A.) ist wissenschaftliche Referentin. Sie ist Gründungs- und ehemaliges Vorstandsvorsitzende des FIfF und arbeitet zu den Themen Bürgerrechte, Informatik und Militär sowie Datenschutz im Netzwerk.