Kriegführung im Cyberspace
von Wolff Heintschel von Heinegg, Stefan Hügel, Sylvia Johnigk, Dietrich Meyer-Ebrecht, Götz Neuneck, Kai Nothdurft, Thomas Reinhold, Ingo Ruhmann
Beilage zu Wissenschaft und Frieden 3/2015 und zur FIfF-Kommunikation 3/2015
Herausgegeben von der Informationsstelle Wissenschaft und Frieden und dem Forum InformatikerInnen für Frieden und
gesellschaftliche Verantwortung e.V.
Editorial
Das Internet war einmal eine faszinierende neue Technologie. Es förderte die internationale Zusammenarbeit in der Wissenschaft. Als private NutzerInnen zunehmend Zugang erhielten, wurde seine globale Ausbreitung auch durch die schöne Hoffnung auf einen Beitrag zur Völkerverständigung und Friedensstiftung beflügelt. Dann sah die Wirtschaft ihre Chance: Das Internet wurde zum globalen Handelsplatz. Fertigungs-, Versorgungs- und Verwaltungsprozesse werden durch Vernetzung optimiert, Information wird immer und überall zugänglich. Heute ist das Internet ein »backbone« der Zivilgesellschaft, von dem lebenswichtige Prozesse abhängen, auf dessen ungestörtes Funktionieren wir uns in immer stärkerem Maße verlassen müssen. Und bei alledem ist ziemlich in Vergessenheit geraten, dass die technische Grundlage des Internets – die Vernetzung von Computersystemen weltweit – einmal in militärischem Auftrag angelegt wurde.
Nicht in Vergessenheit geraten ist dies bei den Militärs. Ganz im Gegenteil, »network centered warfare« war bereits 1996 die Kernbotschaft eines Positionspapiers des US-Generalstabs, der »Joint Vision 2010«. Gefordert wird eine umfassende Nutzung moderner Kommunikations- und Informationstechnologie in Waffen, Waffensystemen und den zu ihrem Einsatz notwendigen Infrastrukturen. Eine besondere Rolle kommt in der Doktrin der »Neuen Kriege« dem Cyberspace zu, dem weltweiten virtuellen Verkehrsraum für digitale Daten aus Kabeln, Mobilfunk und vernetzten Computersystemen. Er ist geradezu prädestiniert für eine umfassende Ausspähung nahezu aller Lebensbereiche.
Nun machten die Enthüllungen Edward Snowdens – vor allem das nicht geahnte, ungeheure Ausmaß der digitalen Ausspähung, das sie offenbarten – uns zunächst vornehmlich aufgrund des Eingriffs in unsere Privatsphäre betroffen. Die militärische Dimension hingegen wird kaum thematisiert und auch nicht die Risiken, die ihr entspringen – für uns persönlich und für die Gesellschaft. Im Kontext der aktuellen Kriegsführungsdoktrin ist digitale Ausspähung bereits ein wesentliches Element des Cyberwarfare, des Informationskrieges. Sie dient dem Erkennen der Absichten des Gegners – oder auch des »Freundes«. Mit den für die Ausspähung angelegten geheimen Zugängen sind zugleich schon die Voraussetzung für aktive Eingriffe geschaffen, von »harmlosen« aber spürbaren Eingriffen zur Demonstration der »digitalen Muskeln« bis zu Sabotageakten durch Übernahme der Kontrolle über kritische Systeme.
Götz Neuneck und Thomas Reinhold geben einen Einblick in die militärische Aufrüstung im Cyberspace aus friedenspolitischer Sicht. Und sie stellen die Rolle heraus, die die Zivilgesellschaft – unbeabsichtigt und unreflektriert – dabei spielt, insbesondere die Fachgemeinde der Informatik und Informationstechnik. Denn in geradezu perfider Weise nutzen die Militärs hier eine Technologie, die motiviert von den vielfältigen zivilen Einsatzmöglichkeiten entwickelt und durch einen ungebremsten Konsum boomhaft angetrieben wird: ein Paradebeispiel für eine Dual-use-Technologie – und ein Anstoß, das Verantwortungsbewusstsein der Technologiegemeinde einzufordern. Deren Wirken hat immerhin dazu geführt, dass wir uns heute im Informationsraum, im Cyberspace, wie in einer Art fünftem Raum neben dem Land-, Luft-, See- und Weltraum, sehr selbstverständlich bewegen, in einem Raum ohne nationale, geografische, physische Grenzen. Das wirft gesellschaftspolitische Fragen auf, so die Frage nach einem Rechtsrahmen im Cyberspace, vor allem nach der Anwendbarkeit des Völkerrechts auf diesen Raum. Wolff Heintschel von Heinegg berichtet über die Initiative einer internationalen Expertengruppe im estnischen Tallinn, das internationale Völkerrecht auf seine Anwendbarkeit im Cyberspace zu prüfen. Das daraus hervorgegangene »Tallinn Manual« liefert eine erste Grundlage zur Orientierung, die im derzeit laufenden Tallinn-2-Prozess präzisiert wird.
Alle Rechtsinstrumente bleiben jedoch machtlos, solange eine zuverlässige Attributierung, also eine Zuordnung zum Urheber eines Eingriffs oder Angriffs auf Systeme im Cyberspace, nahezu unmöglich ist. Dass die Urheber nicht verfolgt und haftbar gemacht werden können, ist per se ein Problem. Schwerwiegender aber sind vorschnelle, fehlgerichtete Reaktionen, die einen Konflikt eskalieren lassen oder ihn erst heraufbeschwören. Sylvia Johnigk und Kai Nothdurft beschreiben die raffinierten Vorgehensweisen der »Angreifer«, die sogar in gut geschützte Systeme eindringen und dabei ihre Spuren verdecken oder vernichten. (Ein aktuelles Beispiel ist der Einbruch in das Computernetz des Deutschen Bundestages und die zum Zeitpunkt der Erstellung dieses Dossiers im Juli 2015 bereits Wochen andauernde, ergebnislose Suche nach der Quelle.) Ein Fortschritt dabei, dem mit verbesserten technischen Schutzmaßnahmen oder gar mit Sicherheitsgesetzen entgegenzuwirken, ist praktisch nicht in Sicht, solange die Ressourcen für »staatliche Hacker« die Investitionen in zivile IT-Sicherheit weit übertreffen. Ingo Ruhmann gibt in einer umfangreichen Studie ein ernüchterndes Bild dieses Ungleichgewichts.
Dass der Cyberspace ein abstrakter, selbst für Fachleute kaum durchschaubarer Raum ist, dass wir nicht wahrnehmen können, wie die geheimdienstlichen und militärischen Operationen in den zivilen Informationsströmen gleichsam mitschwimmen, macht die potentiellen Gefährdungen um so schwieriger vermittelbar. Der Cyberspace ist mehr denn je ein Faszinosum, heute weniger seine Technologie als sein schier unerschöpfliches Potential für Komfort und Entertainment. Statt eines kritischeren Umgangs mit der Technologie machen wir vor ihren fundamentalen Risiken für die Zivilgesellschaft lieber die Augen zu. Dabei ist dringend ein Gegenentwurf zur Militarisierung des Cyberspace geboten. Stefan Hügel entwickelt ein detailliertes Programm, wie die Menschenrechte auch in einer digitalen Gesellschaft zum Primat erhoben werden können und der Cyberspace einer ausschließlich friedlichen Nutzung vorbehalten werden kann. Es liefert die programmatische Grundlage für eine derzeit durchgeführte Kampagne des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, mit der den darin gestellten Forderungen politisches Gehör verschafft werden soll. Die Formel der Kampagne heißt »Cyberpeace« …
Dietrich Meyer-Ebrecht • Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.
Die Militarisierung des Cyberspace
Die Informatik ist gefordert!
von Götz Neuneck und Thomas Reinhold
Fast täglich berichten Medien über Cyberattacken auf Firmen, Regierungsbehörden und andere Institutionen, zuletzt auf den Bundestag. Aufsehen erregende Angriffe mit komplexer Schadsoftware, wie Stuxnet, haben die Weltgemeinschaft alarmiert. Regierungen diskutieren Maßnahmen, die von der Stärkung der Verteidigung über wirkungsvolle Abschreckung bis hin zur Schaffung von »Cyberwaffen« und speziellen Cybereinheiten reichen. Spätestens die Snowden-Enthüllungen haben gezeigt, dass die USA eine massive Überwachung der globalen Informations- und Kommunikationsnetze vorantreiben. Der Übergang von Überwachung über Spionage bis zur Manipulation oder Unterbrechung zentraler Dienste (Energie, Finanzen, Transport etc.) ist dabei fließend. Gleichzeitig – und trotz dieser Gefahren! – machen sich moderne Gesellschaften immer mehr von Netzwerken abhängig. Vor dem Hintergrund schnell entwickelter Software und schwer zu kontrollierender, überall erhältlicher Hardware steigt damit auch die Verwundbarkeit. Der Erhalt eines offenen, sicheren, freien und friedlichen Internets ist damit nicht nur eine große Herausforderung für eine Cyber-Außenpolitik, sondern auch für den einzelnen Informatiker und die IT-Community.
Eine Erhebung des United Nations Institute for Disarmament Research aus dem Jahr 2012 ergab, dass 47 Staaten Cyberwarfare in ihre militärische Planung einbeziehen und 17 Staaten offensive Fähigkeiten entwickeln.1 Diese Zahl wird zunehmen, wobei nicht klar ist, was das Militär im einzelnen für welche Szenarien vorbereitet. Es gilt allerdings als sicher, dass in einem Kriegsfall auch IT-Systeme in Mitleidenschaft gezogen werden. Insbesondere in den USA, in Russland, in China – den Hauptakteuren –, aber auch in Indien und in Staaten in Krisenregionen ist ein digitales Wettrüsten wahrscheinlich. Die neue Cyberstrategie des Pentagon2 hebt verstärkte Abschreckung als Antwort hervor und fordert, technische Optionen zu erarbeiten, die Kommando-Netzwerke, militärbezogene Infrastrukturen und Waffenfähigkeiten lahm legen können. Äußerst aufschlussreich ist die als »top secret« markierte und durch Edward Snowden an die Öffentlichkeit gebrachte Presidential Policy Directive PPD-20, die Präsident Obama am 20.10.2012 unterzeichnet hatte.3 Die dafür zuständigen Behörden werden darin aufgefordert, Instrumente für »Offensive Cyber Effect Operations« zu entwickeln und eine Liste potenzieller Ziele zu erstellen.
Die National Security Agency (NSA) beispielsweise steht unter militärischem Kommando. Die militärische Forschungsagentur DARPA erforscht im Rahmen des Projektes »Foundational Cyberwarfare« neue technologische Ansätze. Was in den USA offen bekannt ist, wird in kleinerem Maßstab von anderen Staaten aufgenommen. Auch die NATO diskutiert und implementiert ähnliche Ansätze für den Krisenfall. Damit stellen sich neue völkerrechtliche Fragen zur Kriseneskalation, zu neuen Kriegsgefahren und zu einem gesteigerten Wettrüsten. Das »Tallinn Manual«,4 das von der NATO in Auftrag gegeben worden war, um u.a. zu prüfen, ob die Normen und Prinzipien des Völkerrechts auf den Fall eines Cyberwar anwendbar sind, enthält 35 kommentierte Regeln, die allerdings viele Fragen offen lassen. Ohne eine solide technische Abschätzung werden künftige friedenspolitische und rechtliche Überlegungen kaum international mit einbezogen werden können.
Internationale Organisationen wie die Vereinten Nationen und die OSZE haben die Gefahr einer fortschreitenden Militarisierung des Cyberspace erkannt und diskutieren in Expertengruppen erprobte Beschränkungs- und Krisenverhütungsstrategien, wie die Rüstungskontrolle, sowie die Wirkung vorhandener Regeln des humanitären Völkerrechts. Sie reichen von neuen Normen und Prinzipien für verantwortungsvolles staatliches Verhalten bis hin zu einem besseren Krisenmanagement. Erste Ergebnisse sind die Implementierung vertrauensbildender Maßnahmen bei der OSZE, mehr Transparenz bei den nationalen Cyberdoktrinen und bezüglich offensiver Fähigkeiten sowie die Aufnahme von »intrusion software« in das »Wassenaar-Abkommen« für die Exportkontrolle von konventionellen Waffen und doppelverwendungsfähigen (Dual-use-) Gütern und Technologien. Damit obliegt es den gegenwärtig 41 Vertragsstaaten dieses Rüstungsexportkontroll-Abkommens, die Entwicklung von Software zum Stören oder Zerstören von IT-Systemen oder zur Extraktion von Daten sowie die Geheimhaltung der für die Entwicklung derartiger Software erforderlichen Sicherheitslücken über nationale Genehmigungspflichten zu regulieren. Informationen über erfolgte Exporte werden zwischen den Vertragspartnern ausgetauscht und stellen einen ersten Ansatz von Exportbeschränkungen in Bezug auf die Militarisierung des Cyberspace dar.5
Informatiker, die letztlich die jeweiligen Produkte entwickeln, integrieren, vertreiben oder anwenden, sollten sich ihrer sozialen und sicherheitspolitischen Verantwortung bewusst werden und diesen Empfehlungen folgen. Denn mit der fortschreitenden Militarisierung des Cyberspace wird es wahrscheinlicher, dass IT-Technik auch als Waffe eingesetzt wird – mit möglicherweise verheerenden Konsequenzen. Ein ethischer »Code of Conduct« kann hier helfen, die eigene Arbeit ausschließlich für friedliche Anwendungen einzusetzen. In der Ausbildung reicht es nicht, die wissenschaftlichen und technischen Grundlagen der Informatik zu rezipieren, ohne den friedenspolitischen Kontext des Fachgebietes zu hinterfragen. Denn die Entwicklungen im und um das Internet werden vordergründig idealisiert und unreflektiert mit der Hoffnung verbunden, dass ihre Produkte dem Wohl der Menschen dienen. Kontrollen gegen Missbrauch sind nicht vorgesehen. Eine militärische Mitverwendung ist oft sogar impliziert.
»Internet Governance«: Die Netzpolitik ist gefordert
Eine weitere Dimension der genannten Probleme zeichnet sich seit einigen Jahren bei den netzpolitischen Debatten ab. Dabei stehen die Fragen nach der Regulierung und der Fortentwicklung des Internets, nach dessen künftiger technischer Grundlage und nach der Ressourcenverteilung im Fokus der auf nationaler wie auf internationaler Ebene geführten Diskussion.6 Während sich einige Staaten für eine stärkere Einbeziehung internationaler Gremien in die Entscheidungsprozesse einsetzen, favorisieren andere eher nationalstaatliche Ansätze. Diese Debatten berühren unmittelbar die friedliche und demokratische Gestaltung des Cyberspace und können, insbesondere über eine Einbindung der Zivilgesellschaft, auch geeignete Vorschläge für die Diskussion um die Gefahren der Militarisierung dieser Domäne bieten.
Der Cyberspace beruht im Gegensatz zu den physischen Domänen, wie die hohe See oder der Weltraum, vollständig auf von Menschen definierten und kontrollierten technischen Grundlagen. Deren Funktionalität wird durch internationale Gremien, wie beispielsweise der »Internet Engineering Task Force«, definiert und fortentwickelt. Damit kommt der Informatik und dem Engagement der IT-Community als Gestalter von Software und Hardware eine Schlüsselrolle zu. Eine der grundlegenden Fragen betrifft dabei die gezielte Risiko- und Bedrohungsanalyse von IT-Infrastrukturen. Die Vorfälle um Stuxnet haben gezeigt, dass Industriesysteme und die zunehmend vernetzten Computersysteme für ihren Betrieb trotz klassischer Sicherheitskonzepte, wie der Entkoppelung sensitiver Systeme, über das Internet angreifbar sind – und dass darüber im Extremfall ernsthafte physische Schäden verursacht werden können. Für eine gezielte Gefahrenabwehr bedarf es u.a. einer noch zu entwickelnden, empirischen Grundlage für die Bewertung von Gefährdungen, die wir mit der »gewollten Offenheit« heutiger IT-Systeme, mit ihrer hohen Komplexität und mit einer oft vorschnellen Markteinführung eingehen.7 Insbesondere bei kritischen Infrastrukturen muss deren inhärente Verwundbarkeit einbezogen werden, also eine Analyse des möglichen Zerstörungspotentials von Cyberwaffen, um Fehleinschätzungen, Unter- oder Überschätzungen der eigenen Gefährdungen durch Bedrohungen aus dem Cyberspace zu vermeiden.
Angesichts der komplexen weltpolitischen Situation bieten sich gegenwärtig vor allem die gemeinsamen Bemühungen im Kampf gegen Cyberkriminalität und die Entwicklung sicherer IT-Systeme als gemeinsamer Nenner vieler Staaten an, um internationale Kooperationen zu fördern, Kommunikationskanäle zu etablieren und die Vernetzung im Bereich der Cybersecurity voran zu bringen. Ebenso sind Gremien für die internationale IT-Standardisierung, wie die Entwicklung und Verabschiedung von Kryptographie-Mechanismen, geeignete Foren, um die zukünftige friedliche Anwendung des Cyberspace zu fördern und auch die Begrenzung destruktiver Fähigkeiten im Cyberspace »by design« zu etablieren. Nicht zuletzt wird die Einbindung und aktive Mitgestaltung der informatischen und informationstechnischen Wissenschaften, der IT-Fachverbände und der Industrie sowie der Vielzahl zivilgesellschaftlicher Initiativen über die zukünftige Entwicklung der Domäne Cyberspace entscheiden. Nach wie vor bestehen große Differenzen zwischen den spezifischen Fragen der politischen und gesellschaftlichen Entscheidungsträger auf der einen und den Fachkompetenzen der IT-Community auf der anderen Seite, die nur über einen verstärkten Austausch zwischen diesen Akteuren überwunden werden können.
Informatiker müssen auch Ihre Kompetenzen zu Verfügung stellen, um in internationalen Arbeitsgruppen wichtige Fragen zu klären: Was sind Cyberwaffen und wie können Verbotstatbestände vertragskonform definiert werden? Wie groß kann das Zerstörungspotential von Schadsoftware sein und welche Ressourcen und Organisationsmodelle sind nötig, um Zugänge zu Einrichtungen von kritischer Verwundbarkeit zu verschließen, und auch, um ein effektives Krisenmanagement zu betreiben? Wie kann man die Forensik stärken, um eine Täterzuordnung zu gewährleisten?8 Ist Verifikation als unverzichtbares Element der Rüstungskontrolle auch im Cyberspace technisch umsetzbar?
Zu Zeiten des Kalten Krieges halfen Physiker in vertraulichen Track-II-Konferenzen im Rahmen der »Pugwash Conferences on Science and World Affairs« dabei, Rüstungskontrollverträge zwischen den Vereinigten Staaten und der Sowjetunion zu initiieren und die Abrüstung einzuleiten. Dies war möglich, weil sich Naturwissenschaftler der verschiedenen Konfliktparteien sachlich austauschen konnten und vor dem Hintergrund des Wettrüstens Wege aus der Gefahr aufzeigten. Der Aufgabe, ein solches Prozedere für den Cyberspace zu übernehmen, muss sich heute die Informatik stellen und in geeigneter Weise den Dialog mit gesellschaftlichen Initiativen, mit der Friedens- und Konfliktforschung, mit der Politik und mit der Industrie suchen, und zwar national wie international.
Anmerkungen
1) United Nations Institute for Disarmament Research (2013); The Cyber Index – International Security Trends and Realities. Genf.
2) US Department of Defence (2015): The DOD Cyber Strategy. Washington.
3) US President Barack Obama (2012): Presidental Policy Directive/PPD-20 – U.S. Cyber Operations Policy. Washington.
4) Vgl. in diesem Dossier Wolff Heintschel von Heinegg: Völkerrecht im Cyberraum – Das Tallinn-Handbuch und der Tallinn-2-Prozess.
5) Jennifer Granick (2014): Changes to export control arrangement appyl to computer exploits and more. Standford: The Center for Internet and Society.
6) World Telecom Policy Forum soll Gräben in der Internetpolitik zuschütten. heise online, 14.5.2013.
7) Vgl. Susanne Lenz und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (2009): Vulnerabilität Kritischer Infrastrukturen. Bonn.
8) Vgl. in diesem Dossier Sylvia Johnigk und Kai Nothdurft: Attributierung von Cyberangriffen – Das Problem und seine Folgen.
Prof. Dr. Götz Neuneck ist stellvertretender wissenschaftlicher Direktor des Instituts für
Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH). Cybersecurity ist einer seiner
aktuellen Arbeitsschwerpunkte.
Dipl. Inform. Thomas Reinhold hat Informatik und Psychologie studiert. Er
ist Associated Fellow am IFSH. Freiberuflich befasst er sich mit Software- und Hardware-Sicherheit in
Computernetzwerken.
Völkerrecht im Cyberraum
Das Tallinn-Handbuch und der Tallinn-2-Prozess
von Wolff Heintschel von Heinegg
Es ist durchaus bemerkenswert, wie spät sich die Regierungen des Rechtsproblems »Cybersicherheit« bewusst geworden sind. Lange Zeit standen Interkonnektivität, Geschwindigkeit und Wirtschaftlichkeit im Vordergrund. Dass mit dem Ausbau des Cyberraums zugleich erhebliche Verwundbarkeiten geschaffen wurden, blieb ausgeblendet. Die Erkenntnis, dass über die Regulierung der Cyberkriminalität hinaus die Notwendigkeit einer Klärung des auf Cyberoperationen anwendbaren Völkerrechtsrahmens besteht, um auch so die internationale Sicherheit zu festigen, blieb lange Zeit auf einen vergleichsweise kleinen Kreis interessierter Politik- und Völkerrechtswissenschaftler beschränkt. Erst die Cyberangriffe gegen Estland im Jahr 2007, die Cyberoperationen im Kontext des georgisch-russischen Konflikts im Jahr 2008 sowie nicht zuletzt der Stuxnet-Angriff gegen die iranische Urananreicherungsanlage weckten das Interesse an dem auf den Cyberraum anwendbaren Völkerrecht.
Die Mystifizierung des Cyberraums als »fünfte Dimension« (neben Land, Luft, See und Weltraum) hat geraume Zeit den Glauben genährt, das geltende Völkerrecht sei schlicht ungeeignet, einen wirksamen Rechtsrahmen für Cyberoperationen vorzuhalten, es sei denn, die Staaten einigten sich auf neue und speziell für den Cyberraum konzipierte völkerrechtliche Verträge. Insbesondere die Russische Föderation brachte, möglicherweise aus der Erkenntnis einer technologischen Unterlegenheit, wiederholt einen Rüstungskontrollvertrag ins Spiel, durch den die militärische Nutzung des Cyberraums verboten oder weitreichenden Schranken unterworfen werden soll.1 Einige Völkerrechtler unternahmen den Versuch, den Cyberraum mit der hohen See, dem Weltraum oder gar der natürlichen Umwelt gleichzusetzen, um dann analog die entsprechenden völkerrechtlichen Grundsätze und Regeln dieser Teilbereiche des Völkerrechts auf den Cyberraum als solchen sowie auf Operationen im und durch den Cyberraum anzuwenden. Dabei spielte eine nicht unerhebliche Rolle, dass diese Räume im Völkerrecht als gemeinsame Güter (res communis omnium) gelten, die allen Staaten gleichermaßen zugänglich und daher einer Aneignung entzogen sind. Die Staaten ebenso wie internationale Organisationen, wie die NATO und die Europäische Union, machten in ihren Cyber-Sicherheitsstrategien aber vergleichsweise schnell deutlich, dass nach ihrer Auffassung die geltenden völkerrechtlichen Grundsätze und Regeln auf den Cyberraum grundsätzlich anwendbar sind, wenngleich sie die Notwendigkeit einer gelegentlichen Anpassung einräumen.2 Nun wäre es nicht zuletzt vor dem Hintergrund des russischen Beharrens auf ein Rüstungskontroll-Übereinkommen höchst erstaunlich, bestünde unter den Staaten (weitgehende) Einigkeit über die Reichweite des geltenden Völkerrechts oder den konkreten Anpassungsbedarf.
Aus diesem Grunde übernahm auf Einladung des estnischen »Cooperative Cyber Defence Center of Excellence« eine unabhängige internationale Expertengruppe die Aufgabe, das geltende Völkerrecht daraufhin zu untersuchen, ob und inwieweit es auf den Cyberraum anwendbar ist. Das Resultat dieser Arbeit ist das »Tallinn Manual on the International Law Applicable to Cyber Warfare«, das im Jahr 2013 veröffentlicht wurde.3 Mit dem Tallinn-Handbuch ist jedoch lediglich ein erster Schritt getan. Gegenwärtig arbeitet eine weitere Expertengruppe, die mit der ursprünglichen nur teilweise identisch ist, im Rahmen des Tallinn-2-Prozesses an einer Aktualisierung und Ergänzung des Tallinn-Handbuchs; mit der Veröffentlichung ist voraussichtlich im Jahr 2016 zu rechnen.
Das Tallinn-Handbuch
Das Tallinn-Handbuch wurde mit bemerkenswerter Aufmerksamkeit rezipiert. Allerdings zeichneten sich einige der ersten Reaktionen nicht unbedingt durch Sachkenntnis oder Fairness aus. So wurde das Handbuch als »NATO-Dokument« bezeichnet, obgleich es sich bei den Regeln lediglich um das auf Konsens beruhende Ergebnis einer internationalen Expertengruppe handelt. Die Abschnitte über das völkerrechtliche Gewaltverbot und das Selbstverteidigungsrecht wurden als Anerkennung der so genannten Bush-Doktrin diffamiert, obgleich die den Regeln beigefügten Kommentierungen das gesamte Spektrum der diesbezüglich vertretenen Positionen widerspiegeln. Daher kann keine Rede davon sein, die besonderen Charakteristika des Cyberraums seien zu dem Zweck missbraucht worden, einer präemptiven Gewaltanwendung das Wort zu reden. Schließlich wurde behauptet, das Tallinn-Handbuch rechtfertige das gezielte Töten von Hackern. Dabei blieb freilich – bewusst oder unbewusst? – unerwähnt, dass sich der entsprechende Absatz der Kommentierung in dem Kapitel über das im bewaffneten Konflikt anwendbare humanitäre Völkerrecht findet. Dieses besagt, dass Zivilpersonen, die unmittelbar an den Feindseligkeiten teilnehmen, ihren Schutz vor Angriffen verlieren.
Mittlerweile zeichnet sich die Auseinandersetzung mit dem Tallinn-Handbuch aber durch große Sachlichkeit aus, indem es als das angenommen wird, was die Expertengruppe von Beginn an beabsichtigte, nämlich als Grundlage für einen nüchternen internationalen Diskurs über die Geltung und Anwendbarkeit des bestehenden Völkerrechts auf Operationen im und durch den Cyberraum.
Der Fokus des Tallinn-Handbuchs liegt auf dem Friedenssicherungsrecht (ius ad bellum) und dem humanitären Völkerrecht (ius in bello). Darin liegt seine Stärke und zugleich Schwäche.
Beim »ius ad bellum« steht naturgemäß im Mittelpunkt, ob eine Cyberoperation, die einem Staat zurechenbar ist, eine nach Art. 2 Zf. 4 UN-Charta verbotene Anwendung von Gewalt darstellt oder als bewaffneter Angriff eingeordnet werden kann, der das in Art. 51 UN-Charta anerkannte naturgegebene Selbstverteidigungsrecht auszulösen geeignet ist. In diesem Zusammenhang sei darauf hingewiesen, dass die Experten nicht der Position der USA zu folgen bereit waren, wonach es zwischen einer Gewaltanwendung und einem bewaffneten Angriff keinen Unterschied gibt, so dass jede Gewaltanwendung ungeachtet ihre Schwere und Wirkungen (scale and effects) das Recht zur individuellen oder kollektiven Selbstverteidigung auszulösen geeignet sei. Vielmehr haben sich die Experten der Auffassung des Internationalen Gerichtshofs angeschlossen, wonach es sich bei einem bewaffneten Angriff um die schwerwiegendste Form der Gewaltanwendung handelt und das Selbstverteidigungsrecht nicht bei einer unterhalb dieser Schwelle verbleibenden Gewaltanwendung besteht.
Gleichwohl ist mit dem dem »ius ad bellum« gewidmeten Abschnitt des Tallinn-Handbuchs die Diskussion nicht notwendig abgeschlossen. Nach Auffassung der Experten sind Daten keine Objekte, so dass eine auf den Cyberraum begrenzte Operation, die keine realen Schäden verursacht, nicht als Gewaltanwendung eingeordnet werden kann. Allerdings ist angesichts der selbst geschaffenen Verwundbarkeiten, insbesondere im Bereich der kritischen Infrastruktur, nicht auszuschließen, dass die Staaten in nicht allzu ferner Zukunft Cyberangriffe auf kritische Infrastruktur auch dann als Anwendung von Gewalt oder gar als bewaffneten Angriff einzuordnen bereit sein werden, wenn diese Angriffe keinen Schaden außerhalb des Cyberraums verursachen. In diesem Zusammenhang wird seit geraumer Zeit stets das Szenario eines massiven Cyberangriffs auf die New Yorker Börse angeführt und auf den erheblichen wirtschaftlichen Schaden verwiesen. Nun ist unbestreitbar, dass ein solcher Angriff erhebliche Auswirkungen nicht allein auf die US-amerikanische Volkswirtschaft hätte. Bislang wurden aber rein wirtschaftliche Schäden – zu Recht – nicht als Anwendung von Gewalt angesehen. Andernfalls wäre beispielsweise auch die Überschwemmung einer fremden Volkswirtschaft mit gefälschtem Geld eine Anwendung von Gewalt oder gar ein das Selbstverteidigungsrecht auslösender bewaffneter Angriff.
Nach dem Tallinn-Handbuch – und augenscheinlich auch nach Maßgabe der zahlreichen Cyber-Sicherheitsstrategien – soll es aber ausreichen, dass eine Cyberoperation einen erheblichen realen Schaden verursacht, um als Anwendung von Gewalt eingeordnet werden zu können. In diesem Zusammenhang kommt dem Begriff der »kritischen Infrastruktur« eine entscheidende Bedeutung zu.
Nun ist es unbestreitbar, dass Cyberoperationen, die kritische Infrastruktur (z.B. Energie- oder Trinkwasserversorgung) lahm legen, weitreichende und dauerhafte Schäden verursachen können. Jedoch gerät bei dieser Fokussierung auf die Wirkung zunehmend aus dem Blick, dass bislang das bloße Zufügen eines Schadens, auch eines erheblichen Schadens, nicht als Anwendung von Gewalt im Sinne von Art. 2 Zf. 4 UN-Charta gilt. Vielmehr wird nach wie vor betont, dass diese Vorschrift allein die Anwendung militärischer Gewalt verbietet. Dies bedeutet nicht, dass der durch eine Cyberoperation verursachte Schaden mit dem Völkerrecht vereinbar wäre, sondern lediglich, dass er weder eine verbotene Anwendung militärischer Gewalt noch einen bewaffneten Angriff darstellt, auf den in Ausübung des Selbstverteidigungsrecht auch »kinetisch« reagiert werden dürfte. Selbstverständlich bleibt das völkerrechtliche Schädigungsverbot als Beurteilungsmaßstab anwendbar.
Der dem »ius in bello« gewidmete Abschnitt des Tallinn-Handbuchs, in dem auch das Neutralitätsrecht behandelt wird, hat bislang keine nennenswerte negative Kritik erfahren und dürfte daher die geltende Rechtslage zutreffend widerspiegeln. Freilich ist angesichts der zahlreichen Verwundbarkeiten nicht auszuschließen, dass die Staaten zukünftig eine Interpretation bevorzugen werden, mittels der insbesondere Daten in den Anwendungsbereich des Kriegführungsrechts einbezogen werden.
Dem Tallinn-Handbuch zufolge handelt es sich bei Daten nicht um Objekte. Dies hat weitreichende Konsequenzen, da eine Cyberoperation grundsätzlich nicht als Angriff im Sinne des humanitären Völkerrechts eingeordnet werden kann, auf den der Unterscheidungsgrundsatz anzuwenden wäre. Tatsächlich kann von einem Angriff im Sinne des humanitären Völkerrechts (das vom Friedenssicherungsrecht weiterhin streng zu unterscheiden ist) nur ausgegangen werden, wenn es sich, wie in Art. 48 Abs. 1 des I. Zusatzprotokolls zu den Genfer Abkommen definiert,4 um eine „offensive oder defensive Gewaltanwendung gegen den Gegner“ handelt. Dies setzt zwingend voraus, dass die in Frage stehende Operation eine Verletzung, Tötung, Beschädigung oder Zerstörung zur Folge hat – Folgen, die sich allesamt in der realen Welt manifestieren müssen.
Dem Tallinn-Handbuch liegt bereits ein recht weitreichender Ansatz zu Grunde. Während das bloße Löschen von Daten grundsätzlich nicht als »Angriff« gewertet wird, soll dies aber dann der Fall sein, wenn eine Cyberoperation sich unmittelbar auf die Funktionsfähigkeit eines Objekts dergestalt auswirkt, dass es der Reparatur bedarf, um wieder seiner Bestimmung entsprechend genutzt werden zu können. Damit geht das Tallinn-Handbuch bereits bis an die Grenzen einer zulässigen Auslegung. Gleichwohl wird kritisiert, dass mit dem Ausschluss von Daten aus dem Objektbegriff die Mehrzahl von Cyberoperationen nicht mehr dem Unterscheidungsgrundsatz und seinen Konkretisierungen unterliegen.
Dies trifft durchaus zu, ist aber keineswegs außergewöhnlich, werden doch beispielsweise Informationsoperationen, die auch die psychologische Kriegführung umfassen, nicht als Angriffe angesehen, so dass sie unmittelbar gegen die Zivilbevölkerung oder einzelne Zivilpersonen gerichtet werden können. Es mag sein, dass dieser Befund mit Blick auf Cyberangriffe als unbefriedigend empfunden wird. Wollte man aber im Cyberraum verbleibende Operationen als Angriffe im Sinne des humanitären Völkerrechts einordnen, müssten sich die Staaten darauf einigen, Daten als Objekte anzusehen. Ob sie dazu bereit sind oder sein werden, ist indes zweifelhaft, da sie sich so einer Vielzahl von Handlungsoptionen begeben würden. Daher ist lediglich denkbar, dass bestimmte Daten (z.B. medizinische Datenbanken) einem besonderen Schutzregime unterworfen werden.
Der Tallinn-2-Prozess
Die weiteren Abschnitte des Tallinn-Handbuchs behandeln Fragen der Souveränität, der Jurisdiktion, des völkerrechtlichen Schädigungsverbots sowie der Staatenverantwortlichkeit, einschließlich der Umstände, die die Rechtswidrigkeit eines völkerrechtlich zurechenbaren Handelns ausschließen (z.B. Gegenmaßnahmen, Notstand). Allerdings zeichnen sich die entsprechenden Regeln durch einen weitgehend rudimentären Charakter aus. Darin liegt, wie bereits bemerkt, eine Schwäche des Handbuchs, verbleibt doch in Friedenszeiten die große Mehrzahl der Cyberoperationen unterhalb der Schwelle einer Gewaltanwendung. Daher bleiben Fragen, wie diese Operationen nach dem geltenden Völkerrecht einzuordnen sind, was gegen sie unternommen werden darf und welche Rechtsfolgen sie zeitigen, weitgehend unbeantwortet. Dies betrifft insbesondere solche Cyberoperationen, die keine realen Schäden verursachen.
Es ist daher nur folgerichtig, wenn sich die Gruppe internationaler Experten nunmehr diesen Fragen widmet. Allerdings steht sie dabei vor nicht unerheblichen Herausforderungen, da sie ihre Aufgabe weiterhin dahin versteht, keine rechtspolitischen Forderungen mit Blick auf die zukünftige Rechtslage (lex ferenda) zu formulieren, sondern das heute geltende Völkerrecht, die »lex lata«, daraufhin zu untersuchen, ob und inwieweit sie auf die genannten Cyberoperationen anwendbar ist. Diese Aufgabe kann die Gruppe nur dann überzeugend bewerkstelligen, wenn sie sich in hinreichendem Maße auf den Konsens der Staaten zu stützen vermag. Die Tatsache, dass bestimmte Cyberangriffe gewollt oder ungewollt ans Licht kommen, mag zwar als Beleg einer Staatenpraxis ausreichen, sie eignet sich als solche jedoch in nur eingeschränktem Maße, auch als Nachweis einer korrespondierenden Rechtsüberzeugung zu dienen.
Um nicht mit dem Vorwurf konfrontiert zu werden, entweder lediglich akademische oder aber rein rechtspolitische Ergebnisse produziert zu haben, entschloss sich die Gruppe, ein anderes Verfahren als beim Tallinn-Handbuch anzuwenden. Wenngleich auch im Tallinn-2-Prozess die Regeln auf dem Konsens der Experten beruhen und die Kommentierungen die verschiedenen Interpretationen widerspiegeln müssen, werden die Entwürfe in mehreren Phasen den Regierungen vorgelegt, die eingeladen sind, diese zu kommentieren. So fand beispielsweise im März 2015 ein Treffen mit mehr als 30 Regierungsvertretern statt, die zu den Entwürfen eingehend Stellung nahmen. Mindestens eine weitere Arbeitssitzung ist für Ende des Jahres 2015 geplant. Den Stellungnahmen der Regierungsvertretern kommt keine Bindungswirkung zu. Sie sollen aber bei der Formulierung der Regeln und der Kommentierungen berücksichtigt werden. So ist sichergestellt, dass das Produkt des Tallinn-2-Prozesses einerseits das geltende Völkerrecht gebührend widerspiegelt, andererseits die wissenschaftliche Freiheit der Experten unangetastet bleibt.
Anmerkungen
1) Vgl. dazu Andrey Krutskikh and Anatoly Streltsov: International Law and the Problem of International Information Security. International Affairs, No. 6-2014, S.64-76
2) Die Cyber-Sicherheitsstrategien sind abrufbar unter https://ccdcoe.org/strategies-policies. html.
3) Michael N. Schmitt (general editor) (2013): Tallinn Manual on the International Law Applicable to Cyber Warfare. Cambridge: Cambridge University Press.
4) Zusatzprotokoll zu den Genfer Abkommen vom 12. August 1949 über den Schutz der Opfer internationaler bewaffneter Konflikte (Protokoll I), BGBl. 1990 II, S.1551.
Prof. Dr. iur. Wolff Heintschel von Heinegg ist Inhaber des Lehrstuhls für Öffentliches Recht, insbesondere Völkerrecht, Europarecht und ausländisches Verfassungsrecht, an der Europa-Universität Viadrina, Frankfurt (Oder).
Attributierung von Cyberangriffen
Das Problem und seine Folgen
von Sylvia Johnigk und Kai Nothdurft
Mit fortschreitender digitaler Vernetzung nahezu aller Bereiche des gesellschaftlichen Lebens setzt sich die Zivilgesellschaft einem wachsenden Risiko aus, dass ihr über missbräuchliche Eingriffe in Computer oder Computernetze Schaden zugefügt wird. Die Bandbreite des Missbrauchs reicht von Ausspähung über kriminelle Nutzung gestohlener Daten bis zu Systemmanipulationen mit Folgewirkungen, die weit über den digitalen Raum hinaus gehen und vitale Einrichtungen wie Industrieanlagen oder Versorgungssysteme betreffen können. Eine besondere Bedrohung erwächst aus militärischen Aktivitäten im digitalen Raum. Denn neben den klassischen Operationsbereichen Boden, See, Luft und Weltraum wird längst auch der Cyberspace als weiterer Bereich für militärische Auseinandersetzungen in die militärischen Szenarien einbezogen – mit weit reichenden Folgen. So wertet die offizielle Cybersicherheitsstrategie des US Verteidigungsministeriums mittlerweile auch Cyberangriffe als Bedrohung für die nationale Sicherheit und behält sich explizit vor, auch mit konventionellen Waffen zu reagieren.1 Cyberwarfare wurde damit zu einem Bestandteil der militärischen Doktrin.
Über das Cyberpotential der USA und ihrer engen Verbündeten (Kanada, Großbritannien, Australien und Neuseeland) hat uns Edward Snowden aufgeklärt. Anzeichen sprechen dafür, dass in mehr als 140 Staaten offensive militärische Cyberwarfare-Einheiten aufgebaut werden, offiziell zugegeben haben dies 47. Auch die Deutsche Bundeswehr begann bereits 2009, eine eigene Einheit aufzubauen,2 die den eigenen Aussagen zufolge „eine Anfangsbefähigung zum Wirken in gegnerischen Netzen […] erreicht“ hat.3 Eine verlässliche Einschätzung dieses neuen potentiellen Kriegsschauplatzes wird uns jedoch durch die Undurchschaubarkeit des Cyberspace, der dort durchgeführten Operationen und ihrer Akteure erschwert. Zwar wurden in den vergangenen Jahren zahlreiche Angriffe auf Computersysteme registriert, die aufgrund ihrer Natur und der eingesetzten Mittel staatliche Akteure vermuten lassen. Ein belastbarer Beweis konnte jedoch in keinem Fall geführt werden. Das zentrale Problem ist die außerordentlich schwierige Zuordnung eines registrierten Angriffs im Cyberspace zum Verursacher, die Attributierbarkeit.
Cyberwarfare als neue Form einer elektronischer Kriegsführung im virtuellen Raum unterscheidet sich von konventioneller Kriegsführung in drei Aspekten, die für das Attributierungsproblem von Bedeutung sind:
- Die für Cyberattacken eingesetzte Schadsoftware – gesprochen wird hier auch von Cyberwaffen oder digitale (D-) Waffen – unterliegen bisher kaum Herstellungs- oder Exportrestriktionen.
- Angriffe mit D-Waffen unterscheiden sich nicht oder nur marginal von IT-Angriffen, die auch Kriminelle einsetzen; für deren Entwicklung und Einsatz reicht ein PC mit Internet-Anschluss.
- Der Einsatz von D-Waffen erfolgt in den digitalen Netzen. Er hinterlässt daher nur sehr eingeschränkt physikalisch-materiell nachweisbare Spuren, die belastbare Rückschlüsse auf den Aggressor zulassen.
Wo die Achillesferse digitaler Systeme liegt, zeigt sich deutlicher, wenn wir die Ziele betrachten, auf die IT-Sicherheit ausgerichtet ist. Denn genau gegen diese Ziele richten sich Angriffe. Wir wollen eine Übersicht über diese Ziele geben und erläutern, welche Spuren bei Angriffen darauf typischerweise entstehen und wie diese forensisch untersucht werden können. Wir werden begründen, warum sich diese Angriffe nur schwer eindeutig einem Aggressor zuordnen lassen und wie Spuren auch manipuliert werden können. In einem Ausblick werden Lösungsansätze skizziert, wie das Risiko, das aus dem Attributierungsproblem resultiert, reduziert werden kann.
Ziele der IT-Sicherheit und Angriffe auf diese Ziele
Oberste Ziele für die Sicherheit von Informationen in IT Systemen sind
- Vertraulichkeit – Informationen sind nur für berechtigte Personen oder Prozesse verfügbar.
- Integrität – Informationen können nicht ohne Autorisierung, weder mit Absicht noch versehentlich, modifiziert oder zerstört werden.
- Verfügbarkeit – Alle Informationen, die von berechtigten Benutzern oder Prozessen benötigt werden, stehen uneingeschränkt bereit, wenn sie benötigt werden.
Computerangriffe sind Versuche, diese Ziele zu kompromittieren. Angriffe können sich gegen eines oder mehrere der IT-Sicherheitsziele richten. So kann ein Angriff, der durch unberechtigtes Löschen von Daten die Integrität gefährdet, gleichzeitig die Verfügbarkeit gefährden, wenn damit Teile des Systems unbrauchbar werden.
Beispiele für Computerangriffe sind
- das unberechtigte Beschaffen von Zugangsdaten durch Belauschen bei der Eingabe, »social engineering«, Erpressung oder systematisches Ausprobieren,
- das unberechtigte Auslesen gespeicherter oder das Mitlesen übertragener Daten,
- das Ausspähen von Schwachstellen von Informations- und Telekommunikations- (ITK-) Systemen und, last but not least,
- das Infizieren eines ITK-Systems mit Schadsoftware.
Häufig werden solche Angriffe miteinander kombiniert, um in ein ITK-System einzudringen und es anschließend zu kompromittieren. Dabei kann der Angreifer den größten Nutzen aus einem Angriff ziehen, wenn er die vollständige Kontrolle über das System erlangt.
Angriffe auf Computersysteme erfolgen typischerweise in mehreren Phasen. Sie beginnen mit der Informationsbeschaffung. Oft betreibt der Angreifer als Vorbereitung für einen gezielten Angriff eine Recherche nach verfügbaren Informationen über das Angriffsziel und dessen Umfeld im Internet. Als Quellen können Kommentare in technischen Foren oder Veröffentlichungen in sozialen Netzwerke dienen. Bei öffentlich erreichbaren Systemen, wie Webservern, können mittels technischer Kontaktaufnahme aus den Systemantworten Rückschlüsse über Art und Technik des antwortenden Systems gezogen werden, bei schlecht konfigurierten Systemen zum Beispiel Details zu eingesetzten Programmversionen.
Es kann dann ein Schwachstellenscan folgen. Mit spezialisierten Analyse-Programmen können potentielle Angriffsziele, die öffentlich erreichbar sind, automatisiert nach bekannten Schwachstellen populärer Softwareprodukte abgesucht werden. Auch die Analyse der Sicherheitsaktualisierung der Systeme (Software-Erweiterungen, die erkannte Schwachstellen verriegeln, so genannte Patches) lässt Rückschlüsse zu, welche Schwachstellen ausgenutzt werden können, wenn die entsprechenden Aktualisierungen nicht installiert wurden. Aufwändiger und auch gefährlicher ist die gezielte Suche nach bisher unentdeckten – oder nicht veröffentlichten – Schwachstellen und die Entwicklung spezieller Software zu deren Ausnutzung (so genannte Exploits). Einfacher, aber teurer ist der Einkauf der Information über unveröffentlichte Schwachstellen und der dafür passenden Exploits auf einem mittlerweile florierenden Schwarzmarkt.
Das Eindringen in das System, bei dem der Angreifer zum Beispiel unter Ausnutzung einer Schwachstelle mit einem passenden Exploit seinen eigenen Programmcode auf dem Zielsystem zur Ausführung bringt, stellt den Beginn des offensiven und aktiven technischen Angriffs auf das System dar. Ein andere Möglichkeit besteht darin, einen privilegierten Benutzer – etwa durch Anklicken eines harmlos erscheinenden Links in einer Email – dazu zu verleiten, ein Schadprogramm, das hinter dem Link versteckt ist, selbst zu aktivieren. Durch eine erfolgreich installierte Schadsoftware kann dem Angreifer eine »Hintertür« (ein geheimer Zugangskanal) zu dem Angriffsziel geöffnet werden.4
Ist der Angreifer erfolgreich in das System eingedrungen, kann ein erster Schritt die Privilegienerweiterung sein, das heißt, er versucht, sich Administratorrechte zu verschaffen, um die vollständige Kontrolle über das System zu erlangen. Als einen nächsten Schritt kann er versuchen, sich einen Dauerzugang einzurichten und sich auf diese Weise im angegriffenen System einzunisten. Dies kann er durch die Einrichtung eines eigenes Benutzerkontos bewerkstelligen oder, wenn dies zu auffällig wäre, durch die Installation von Programmen, die ihm bei Bedarf eine an sich für den Zugang von außen verschlossene Tür von innen öffnen, oder er kann gar eine eigene dauerhafte Hintertür einbauen.
Ist es Ziel des Angreifers, Schaden anzurichten, wird er das System dann weiter analysieren und nach verwertbaren, für seine Zwecke relevanten Informationen absuchen. Hat er sich bereits Administratorrechte eingerichtet, kann er dies unbeschränkt tun. Geht es ihm um Manipulation oder Sabotage, kann er die entsprechenden Daten oder Systemkonfigurationen nach Belieben verändern oder löschen.
Im Verwischen seiner Spuren besteht der letzte Schritt. Viele der oben beschriebenen Angriffsschritte hinterlassen auf dem angegriffenen System oder auf ihrem Weg durch das Internet Spuren. So wird z.B. die Anlage eines neuen Benutzerkontos oder die Installation eines neuen Programms in der Regel vom System protokolliert. Besitzt der Angreifer Administratorrechte, ist die einfachste Form der Spurenverwischung das Löschen der Protokolldateien, was allerdings auffallen kann, wenn diese danach leer sind oder fehlen. Subtiler ist es, einzelne Einträge in einer Protokolldatei zu löschen oder diese so zu modifizieren, dass der Eintrag danach unverfänglich wirkt. Das professionelle Verwischen von Spuren, sodass Manipulation auch bei einer intensiven Analyse unbemerkt bleiben, setzt allerdings detaillierte Kenntnisse über die Rekonstruktion von Spuren voraus. Die Kenntnisse können auch gezielt eingesetzt werden, um falsche Spuren zu legen und die Attributierung damit weiter zu erschweren.
Sind Schwachstellen bekannt, kann man sich in der Regel gegen ihre missbräuchliche Ausnutzung absichern, gegebenenfalls durch Aktualisieren der Software, durch besondere Abschottung oder durch Abschaltung des verwundbaren Systems. Für Angriffe in einem geheimdienstlichen oder militärischen Kontext, in dem gerade besonders gesicherte Systeme besonders interessant sein können, reichen Kenntnisse über allgemein bekannte Schwachstellen und das Verfügen über dazu passende Exploits im Allgemeinen aber nicht aus. Eine besondere Rolle spielt daher in geheimdienstlichen oder militärischen Einsatzszenarien die Entwicklung neuer Exploits – so genannter Zeroday-Exploits, verwendbar bis zum Tage der Veröffentlichung einer entsprechenden Aktualisierung der Sicherheitssoftware – für Schwachstellen, die vom Angreifer entdeckt wurden und geheim gehalten werden oder die auf dem Schwarzmarkt eingekauft wurden.5 Die Geheimhaltung von Schwachstellen verhindert, dass der Betreiber des Angriffsziels Gegenmaßnahmen zu seinem Schutz treffen kann. In Kombination mit Schadprogrammen können mit solchen geheimen Exploits militärisch nutzbare D-Waffen konstruiert werden, die nach der Infiltration des angegriffenen Systems den eigentlichen Schaden bewirken, indem sie Daten ausforschen, manipulieren oder Sabotageakte an den vom System gesteuerten Einrichtungen verüben.
Angriffsspuren
Alle beschriebenen Angriffsschritte können Spuren hinterlassen. Ein Angriff hat im Allgemeinen mit einer Recherchephase zur Informationsbeschaffung über das Zielsystem oder über die Zielpersonen begonnen. Die Recherche wird typischerweise über Suchmaschinen erfolgt sein. Bei einer Suchmaschinenanfrage werden Suchbegriffe, IP-Adressen des Anfragenden und weitere Daten gespeichert, an denen der Anfragende wiedererkannt werden kann. Der Angreifer kann auch über die Kontaktierung von Zielpersonen für ihn nützliche Informationen beschafft haben. Beim Kontakt mit Zielpersonen könnte der Angreifer eigene Kontaktdaten wie Telefonnummern, Emailadressen oder Chatbenutzernamen oder einen aufgezeichneten Anruf hinterlassen haben. Für das Attributierungsproblem sind diese Spuren aus der Phase der Informationsgewinnung meist wenig ergiebig, da vorsichtige Angreifer solche Spuren relativ leicht vermeiden können (Surfen über Anonymisierungsserver, Kontaktaufnahme mittels Einmal-Emailadressen oder Wegwerf-Telefonen, so genannten Throw-aways). Zudem fallen diese Spuren in den Zeitraum vor dem eigentlichen Angriff, und sie entstehen außerhalb des angegriffenen Systems. Der Angreifer wird ausreichend Zeit und Möglichkeiten gehabt haben, sie zu beseitigen.
Mehr Erfolg für die Identifizierung oder wenigstens Eingrenzung des Angreifers verspricht daher die Suche nach Spuren aus den weiteren Phasen des Angriffs. Für alle Folgeschritte muss der Angreifer Datenpakete und Befehle an das angegriffene System senden und dessen Antworten empfangen. Diese Datentransporte laufen in der Regel über das Internet. Dort hinterlassen sie auf allen für ihren Transport genutzten Netzwerkabschnitten und Komponenten Spuren in Form von protokollierten Verbindungsdaten, wie IP-Adressen, Zeitpunkt und Datentyp. Sofern die Verbindung nicht verschlüsselt ist, kann auch der Inhalt der Daten aufgezeichnet und ausgewertet werden. Für die Attributierung bleibt allerdings das Problem, dass nicht sicher ist, ob diese Informationen aus allen möglicherweise weltweit verteilten Komponenten der Übertragungskette zur Verfügung gestellt werden und ob diese Daten nicht zuvor manipuliert wurden.
Ein nächster Schritt des Angreifers kann ein Schwachstellenscan sein. Bei einem Schwachstellenscan muss das Programm, das den Scan durchführt, Verbindung mit dem zu scannenden Angriffsziel aufnehmen, zahlreiche Datenpakete senden und die Antworten des Angriffsziels empfangen. Diese Kommunikationsvorgänge können Spuren in Logdateien (Protokolldateien) hinterlassen, sofern das gescannte System so konfiguriert ist, dass es diese Vorgänge aufzeichnet. Da mit dem Internet verbundene Systeme regelmäßig derartigen Scans ausgesetzt sind, werden Logdaten, wenn sie überhaupt aufgezeichnet werden, häufig schon nach kurzer Zeit wieder gelöscht. Spezielle Schutzsysteme können solche Scans abblocken oder als potentiellen Angriffsversuch entdecken und Warnungen generieren. Die erfolgreichen oder abgeblockten Verbindungsversuche werden dann als »Sicherheitsereignisse von hoher Wahrscheinlichkeit« aufgezeichnet. Bei einem Logeintrag für ein Ereignis handelt es sich um einen Datensatz in einer längeren Liste von Ereignissen. Ein solcher Logeintrag enthält typischerweise eine Nummer, die für die Kategorie des Ereignisses steht, Uhrzeit und Datum, an dem das Ereignis aufgezeichnet wurde, eine IP-Adresse, von der aus die Verbindung aufgebaut wurde, und je nach Ereignis weitere Daten. Alle Logdaten sind technisch gesehen Einträge in elektronischen Dateien, die Logdateien. Eine solche Datei kann wie eine normale Textdatei erweitert, gelöscht oder überschrieben werden, wenn man entsprechende Zugriffsrechte darauf besitzt.
Der entscheidende Schritt des Angreifers besteht im Eindringen in das Zielsystem. Erfolgte das Eindringen mit einem gestohlenen oder gehackten Passwort, wurden Zeitpunkt der Anmeldung und das dafür verwendete Benutzerkonto, eventuell auch die IP-Adresse, von der aus das Einloggen erfolgte, registriert und in einer Logdatei aufgezeichnet. Das Starten des Exploits, also des Programms, mit dem die Sicherungen des Zielsystems über eine vorher ausgemachte Schwachstelle ausgehebelt wurden, sowie von diesem aufgerufene Unterprogramme und ausgelöste Lese- oder Schreibzugriffe auf Daten sind ebenfalls Ereignisse, die aufgezeichnet worden sein können. Zu diesen Ereignissen gehören Namen oder Codes der beteiligten Programme, das ausführende Benutzerkonto sowie Zeitpunkt und gegebenenfalls die IP-Adresse des Benutzers. Bei Dateizugriffen werden die Namen der Dateien aufgezeichnet, auf die schreibend (in manchen Fällen auch lesend) zugegriffen wird, sowie meist auch der Zeitpunkt des letzten Zugriffs auf diese Datei und das Benutzerkonto, das den Zugriff ausführte. Zusätzlich zu den Logdateien können auch Spuren dieser Art in temporären Dateien, Zwischenspeichern (Caches) oder im Hauptspeicher entstehen.
Vergleichbare Spuren hinterlassen auch Maßnahmen zur Erweiterung der Privilegien, um die Administratorrechte zu erhalten, denn auch diese Erweiterung erfolgt mittels eines speziellen Programms, zum Beispiel mit einem weiteren Exploit.
Um sich dauerhaft im System einzunisten, kann der Angreifer entweder ein Benutzerkonto einrichten oder ein bestehendes übernehmen. Er kann auch ein eigenes Schadprogramm als »Trojanisches Pferd« installieren, das entweder permanent aktiv ist oder automatisch starten kann. Beides hinterlässt Spuren. Neben dem (allerdings häufig unverdächtigen) Namen des Schadprogramms kann unübliches Verhalten des Gesamtsystems oder des Schadprogramms Verdacht erregen. Wird das Schadprogramm entdeckt, kann es genauer untersucht werden. Dabei können weitere Spuren entdeckt werden, etwa Metadaten, die Rückschlüsse zulassen, wann es kompiliert, d.h. in Maschinensprache übersetzt wurde, mit welcher Compilerversion oder unter Nutzung welcher Programmierwerkzeuge es erstellt wurde, welche Versionen mit welchen Sprach- und Zeiteinstellungen dabei zum Einsatz kamen. Auch aus dem Programmierstil oder aus hinterlassenen Programmkommentaren können Rückschlüsse gezogen werden.
Beim Ausforschen oder Verändern von Daten entstehen die bereits erwähnten Spuren bei lesenden oder schreibenden Dateizugriffen. Das gilt auch für Maßnahmen des Angreifers zur Beseitigung seiner Spuren. Auch gelöschte Dateien oder Einträge können unter Umständen wiederhergestellt werden, z.B. wenn nur der Eintrag in der Dateiverwaltung, nicht aber die Datei selbst gelöscht wurde oder wenn die Datei noch in einem Backup oder als Spiegeldatei gesichert vorhanden ist. Dies gilt auch dann, wenn der Angreifer seine Spuren durch Löschen der Logdateien zu verwischen versucht und dabei Sicherungen übersehen hat.
Computer-Forensik
Unter Computer-Forensik wird die Methodik der Spurensuche und Analyse von Computern und Daten zur Aufdeckung eines Computermissbrauchs verstanden. Ziel einer forensischen Untersuchung ist es, ein Computersystem aufgrund eines Verdachts nach Spuren abzusuchen und diese zu sichern. Ein Grundproblem dabei ist die Gefahr, dass das untersuchte System durch die Maßnahmen der Forensik selbst verändert wird. Dabei können Spuren modifiziert oder zerstört werden. So könnte der letzte Zugriff auf eine Datei nicht mehr der des Angreifers sondern der des Untersuchenden sein.
Überdies werden erste Untersuchungen häufig nicht von Forensik-Fachleuten durchgeführt, sondern sie erfolgen z.B. im Rahmen des Supports durch Systembetreuer, veranlasst durch Fehler oder auffälliges Verhalten. Oft wird erst dann, wenn sich der Verdacht auf einen Angriff erhärtet und eingeräumt werden muss, dass die Analyse mit internem Knowhow nicht bewältigt werden kann, auf spezialisierte, meist externe Forensiker zurückgegriffen, denn die lassen sich ihr Fachwissen gut bezahlen. Zu diesem Zeitpunkt können viele Spuren bereits vernichtet oder unbrauchbar geworden sein, da sie durch Aktivitäten der Administratoren überschrieben wurden. Zudem können flüchtige Daten in Caches oder im Hauptspeicher als wertvolle Spuren zerstört werden, wenn ein angegriffenes System abgeschaltet wird – was angesichts eines möglicherweise im System noch aktiven Angreifers eine durchaus sinnvolle Vorsichtsmaßnahme sein kann.
Wenn der Angreifer über mehrere Zwischenschritte zu seinem Angriffsziel gelangt ist oder der untersuchte Computer nur eine Zwischenstation war, müssen die Spuren auch auf den übrigen betroffenen Systemen entdeckt und sichergestellt werden, um ein vollständiges Bild zu erhalten. Eine Schwierigkeit kann dabei sein, dass der Forensiker nicht auf alle diesbezüglichen Systeme zugreifen kann, etwa wenn diese sich im Besitz Dritter befinden.
Neben der Suche nach Spuren ist die Sicherung ein wichtiger Schritt in der forensischen Analyse. Sie ist besonders wichtig, wenn die Untersuchung nicht nur zur internen Aufklärung des Angriffs dient, sondern wenn die Spuren in späteren Strafverfahren als Beweise genutzt werden sollen. Dazu wird mit spezieller Hard- und Software eine vollständige Datensicherung der Speicher durchgeführt, bei der Schreib-Zugriffe auf das Original technisch unterbunden werden. Von dieser Sicherung wird nochmals eine Kopie angefertigt und nur diese untersucht, um möglichst wenig Modifikationen an der Ursprungssicherung vorzunehmen und von dieser beliebig viele weitere Kopien anfertigen zu können. Zusätzlich werden die Sicherungen mit kryptographischen Verfahren gegen Manipulation gesichert, indem sie digital signiert werden. Dabei kommen Hash-Funktionen zum Einsatz, die Prüfsummen erzeugen und bei Veränderungen ungültig werden. Bei der Signierung wird auch der Zeitpunkt erfasst, an dem die Signatur erstellt wurde. Dieser Zeitpunkt wird aus der Systemzeit des signierenden Computers ermittelt. Diese Schritte werden bei einer professionell durchgeführten forensischen Analyse nach dem Vier-Augen-Prinzip durchgeführt und dokumentiert, damit ein zweiter Zeuge bestätigen kann, dass die Untersuchung in der dokumentierten Form durchgeführt wurde. Erst jetzt ist eine Modifikation mit hoher Wahrscheinlichkeit nachweisbar, denn sie ist nun kaum noch möglich, ohne die Signaturen ungültig zu machen. Je später diese Sicherung erfolgt, desto mehr Spuren können bereits zerstört, unbrauchbar oder nicht mehr gerichtsfest verwertbar sein.
Beweisfestigkeit von Spuren
Grundsätzlich handelt es sich bei allen Spuren eines Cyberangriffs um Daten. Sie können ohne eine kryptografische Signatur leicht verfälscht werden. Hinzu kommt erschwerend, dass bei professionell durchgeführten Angriffen von vornherein kaum genügend Spuren hinterlassen werden, um eine lückenlose Beweiskette herzuleiten.
IP-Adressen als Spuren sind für eine Attributierung nur eingeschränkt nutzbar, denn die im Internet eingesetzten Protokolle wurden nicht mit dem Designziel, hohe Sicherheit zu gewährleisten, entwickelt. Das Ziel war, Netzwerkverbindungen möglich zu machen. An unbefugten Gebrauch hatte zu jener Zeit noch niemand gedacht. Dies führte dazu, dass das Internet in seinen Basisfunktionen keinerlei Schutzmechanismen für Vertraulichkeit und Integrität besitzt. Diese wurden nachträglich und häufig unzureichend nachgebessert. Selbst diese Verfahren werden noch immer nicht flächendeckend eingesetzt, und sie können, sofern überhaupt vorhanden, von böswilligen Nutzern relativ leicht unterlaufen werden.6
Cyberangriffe können weitgehend anonym über das Internet durchgeführt werden. Ein Angreifer kompromittiert z.B. zunächst ein System eines völlig unbeteiligten Dritten oder kauft den Zugang zu einem bereits kompromittierten System auf dem Schwarzmarkt und führt von dort aus den Angriff durch. Ein derart fremdgesteuerter Computer wird »Bot« genannt, ein Netzwerk solcher Bots ist ein Botnetz. (Auch kaufen einige Angreifer keine Botnetze, sondern betreiben diese gleich selbst.)7 Statt der IP-Adresse des Angreifers taucht als Spur in diesem Fall nur die IP-Adresse des Bot, also die eines ausgenutzten Dritten auf, der in keinerlei Beziehung zum Angreifer stehen muss, außer dass er über das Internet von diesem kompromittiert werden konnte. Dies trifft für einen großen Teil aller Privatgeräte und selbst für eine erstaunlich hohe Zahl von Servern von Unternehmen und Organisationen zu. Ein Botnetz wird zwar über mehrere Command-and-Control-Server gesteuert, die Kommunikation zwischen dem Angreifer und dem Command-and-Control-Server erfolgt bei professionell agierenden Angreifern aber über eine verschlüsselungsbasierte Anonymisierung. Eine auf IP-Adressen basierende Spurenverfolgung gerät spätestens an dieser Stelle in eine Sackgasse
Auch Finanztransaktionen für den Ankauf von Zugängen und Zugangsmitteln sind kaum rückverfolgbar, denn auf dem von Kriminellen dominierten Schwarzmarkt sind anonyme Bezahlverfahren etabliert.
Ein weiteres Problem ist die Manipulierbarkeit von Zeitdaten. In Logdateien und Metadaten enthaltene Zeitinformationen werden durch die Systemuhr des betroffenen Systems generiert. Sie kann von einem Angreifer, der sich Administratorrechte verschafft hat, beliebig konfiguriert werden. So kann die zeitliche Abfolge von Logeinträgen verfälscht werden. Selbst die elektronische Signatur ist von der Systemuhr des signierenden Systems abhängig. Wenn also die Signatur nicht gegen ein vertrauenswürdiges anderes Zeitsystem, etwa einen kryptographischen Zeitstempeldienst im Internet, erfolgt,8 kann im Nachhinein nicht einmal der Zeitpunkt eindeutig bestimmt werden, wann eine forensische Beweissicherung genau erfolgte. Die Nutzung von Zeitstempeldiensten für die Absicherung einer forensischen Beweissicherung ist jedoch noch unüblich. Noch seltener kommen Zeitstempel-Verfahren bei den originären Quellen der Spuren, etwa bei der Generierung von Einträgen in Logdateien, zur Anwendung. Da der Zeitpunkt kritisch für die Beweisführung ist, hängt die Vertrauenswürdigkeit digitaler Spuren davon ab, mit welcher Sicherheit Manipulationen an den Zeitdaten ausgeschlossen werden können.
Gesellschaftliche und politische Folgen
Die Qualität von Spuren hängt nicht nur von Art und Zeitpunkt der Sicherung ab, sondern entscheidend auch von der Kompetenz und Integrität der Forensiker sowie von der Transparenz und Überprüfbarkeit der eingesetzten Methoden, Verfahren und Werkzeuge. Haben Angriffe und deren Untersuchung jedoch einen geheimdienstlichen oder militärischen Hintergrund, stehen Geheimhaltungsinteressen und politische Parteilichkeit der Forderung nach Integrität und Transparenz entgegen und verhindern eine unabhängige, für Dritte nachvollziehbare oder gar öffentliche Untersuchung eines Angriffs.
Daher müssen Anschuldigungen gegen verdächtigte Angreifer wegen des Attributierungsproblems gerade dann besonders kritisch hinterfragt werden, wenn ein geheimdienstlicher oder militärischer Kontext vermutet wird, denn bekanntlich ist das erste Opfer des Krieges die Wahrheit. Da in diesem Fall Geheimdienste und zur Verschwiegenheit verpflichtete staatliche Stellen bei der Beweiserhebung, -sicherung und -veröffentlichung beteiligt sind, kann eine politisch motivierte Verschleierung der forensischen Ergebnisse nicht ausgeschlossen werden, ebenso wenig wie die Manipulation von Spuren. Im Gegensatz zu forensischen Untersuchungen in Strafverfahren, bei denen das Gericht den Forensiker als glaubhaften und neutralen Gutachter betrachtet, sind bei geheimdienstlich oder militärisch motivierten Cyberangriffen Glaubwürdigkeit und Neutralität der untersuchenden Stelle(n) grundsätzlich in Zweifel zu ziehen.
Die Attributierung ist im Fall politischer Konflikte ganz allgemein ein heikles Problem. So wurde beispielsweise von den Vereinten Nationen im Jahre 2013 der Einsatz von Giftgas im syrischen Bürgerkrieg untersucht und nachgewiesen, nicht jedoch eindeutig festgestellt, welche der Konfliktparteien tatsächlich dafür verantwortlich war. Auch die verantwortliche Partei für den Abschuss des Passagierflugzeugs der Malaysia Airlines über der Ukraine im Jahre 2014 wurde bisher nicht ermittelt. Derartige Kriegshandlungen unterscheiden sich jedoch wesentlich von Angriffen auf Computersysteme: Sie hinterlassen Spuren in der materiellen Welt, und sie sind unmittelbar beobachtbar. Computerangriffe jedoch sind zunächst nichts anderes als flüchtige Datenflüsse. Erst durch die Protokollierung hinterlassen sie Spuren. Aber die Protokolldateien können manipuliert werden, ohne dass dies später nachvollziehbar ist. Der Angreifer hingegen benötigt lediglich allgemeine und überall verfügbare technische Ressourcen – und profunde Hackerkenntnisse. Er kann weitgehend anonym und ortsungebunden weltweit agieren, ohne sich je in die Nähe des Tatorts begeben zu müssen. Sein Risiko, entdeckt und überführt zu werden, ist denkbar niedrig. Dies, gepaart mit den potentiellen Wirkungsmöglichkeiten, macht Cyberangriffe ungemein attraktiv. Die wachsende Zahl der nicht aufklärbaren Angriffe auf Computersysteme – die Unternehmen ebenso wie Behörden und Organisationen treffen – verdeutlicht das wachsende Risiko für die Zivilgesellschaft. Und dass wir dem wenig entgegenzusetzen haben, verdanken wir nicht zuletzt dem Attributierungsproblem.
Ausblick
Das Völkerrecht ist auf Cyberwarfare als neue Ausprägung der Konfliktaustragung nicht vorbereitet. Ein Recht auf Gegenwehr ist nicht anwendbar, solange das Attributierungsproblem nicht abschließend gelöst ist. Technisch jedoch wird eine Lösung, die unmittelbar nach einem Angriff eine 100% sichere Aussage liefert, vermutlich nicht erreichbar sein. So bleibt ein Gegenschlag auf einen Cyberangriff, mit welchen Mitteln auch immer, aufgrund lediglich eines Verdachts und im Hinblick auf die Manipulierbarkeit von Indizien vom Grundsatz her inakzeptabel.9 Insbesondere darf ein Cyberangriff unter diesen Voraussetzungen nicht dazu dienen, konventionelle Gegenschläge zu legitimieren, wie dies unter anderem die US-amerikanische Cybersicherheitsstrategie vorsieht. Schon dem Versuch, trotz unklarer Beweislage einen Staat oder eine nichtstaatliche Konfliktpartei für einen Computerangriff verantwortlich zu machen, muss mit Misstrauen begegnet werden.
Notwendig sind defensive und deeskalierende Strategien. Eine Maßnahme für die Deeskalation kann die Bereithaltung eines Teams neutraler Computer-Forensiker sein, das Cyberangriffe – vor allem solche, die aufgrund des Schadens den Charakter offensiver Kriegshandlungen haben – unverzüglich, umfassend und mit höchstmöglicher Transparenz untersucht. Alle Spuren müssen grundsätzlich mit Zeitstempel kryptographisch gegen Manipulation gesichert und zusammen mit den verwendeten Untersuchungsmethoden und -verfahren veröffentlicht werden, um die Ergebnisse einer kritischen Analyse und Bewertung unterziehen zu können.
Als defensive Maßnahme unverzichtbar ist eine umfassende Prävention. Insbesondere müssen kritische Infrastruktursysteme, wie Strom- und Wasserversorgung, Telekommunikation und Transportwesen, effektiver gegen Angriffe aus dem Internet abgesichert werden. Für die Forensik in Fällen unvermeidbarer Angriffe muss die Integrität der Logdaten verbessert werden, indem diese standardmäßig signiert und mit Zeitstempel versehen werden, um nachträgliche Manipulationen zu erschweren. Die allgemeine Sicherheit des Internets muss durch flächendeckende Einführung und über die Standardisierungsgremien verbindlich vorgeschriebene sichere Verschlüsselungs- und Authentisierungsverfahren verbessert werden. Eine allgemeine Offenlegungspflicht von Schwachstellen und eine Förderung unabhängiger und transparenter Sicherheitsforschung würde die Sicherheitsstandards für ITK-Systeme verbessern und den Missbrauch von Schwachstellen für Cyberangriffen erschweren.
Über allem jedoch steht, dass internationale Abkommen für die Ächtung offensiver D-Waffen angestrebt werden müssen.
Anmerkungen
1) US. Department of Defense (2011): Strategy for Operating in Cyberspace.
2) Spionage- und Hackerabwehr – Bundeswehr baut geheime Cyberwar-Truppe auf. SPIEGEL ONLINE, 7.2.2009.
3) Thomas Wiegold: Cyberwar – Bundeswehr meldet „Anfangsbefähigung zum Wirken“. augengeradeaus.net, 5. Juni 2012.
4) Der Begriff »Tür« ist hier symbolisch für eine technische oder organisatorische Zugangsmöglichkeit gemeint, die es dem Angreifer erlaubt, in das angegriffenen Computersystem einzudringen.
5) Die französische IT-Sicherheitsfirma Vupen ist ein Unternehmen, dessen Geschäftsmodell darin besteht, Zeroday-Exploits an Regierungen zu verkaufen.
6) Die Protokolle IP und TCP/IP als technische Basis des Internets besitzen keinerlei Absicherung gegen gefälschte Quelleninformationen in den Paketen.
7) Die National Security Agency (NSA) der USA kontrollierte z.B. 2011 über 69.000 fremde Systeme, nutzte aber nur 8.448 davon aktiv für Angriffe. Siehe: US-Geheimdiensthacker infizierten Zehntausende Computer. heise.de, 31.8.2013.
8) Der Internetstandard RFC3161 beschreibt sichere Zeitstempelverfahren; siehe ietf.org/rfc/rfc3161.txt.
9) Vgl. in diesem Dossier Wolff Heintschel von Heinegg: Völkerrecht im Cyberraum – Das Tallinn-Handbuch und der Tallinn-2-Prozess.
Dipl. Inform. Sylvia Johnigk studierte Informatik an der TU
Berlin. Sie arbeitete fünf Jahre in der Forschung über
Informationssicherheit und acht Jahre bei einem Finanzdienstleister als IT
Security Consultant. Seit 2009 ist sie selbständig und leitet eine kleine
Firma für die Beratung von Unternehmen im Informationssicherheitsmanagement,
Schwerpunkt Mitarbeitersensiblisierung.
Dipl. Inform. Kai Nothdurft
studierte Informatik an der Universität Bremen und beschäftigte sich
schwerpunktmäßig mit Datenschutz und IT-Sicherheit. Nach dem Studium
arbeitete er fünf Jahre als Freiberufler im Schulungs- und
Consulting-Bereich. Seit 1999 arbeitet er als IT-Sicherheitsbeauftragter für
ein großes deutsches Versicherungsunternehmen.
Aufrüstung im Cyberspace
Staatliche Hacker und zivile IT-Sicherheit im Ungleichgewicht
von Ingo Ruhmann
Im April 2015 machte der Digitalverband Bitkom bei der Vorstellung aktueller Daten zur Sicherheit von Informationstechnologie (IT) deutlich, welche Dimension Cyberangriffe auf Unternehmen in Deutschland inzwischen erreicht haben. In den Vorjahren standen die Schäden durch Angriffe und Ausfälle im Mittelpunkt; nun erläuterte der Verband Daten zu Cyberattacken, deren Ziel Wirtschaftsspionage, Computersabotage oder Datendiebstahl ist. Einer repräsentativen Umfrage des Verbandes bei Unternehmensverantwortlichen zufolge gab die Hälfte der Unternehmen an, Cyberspionage und Cybersabotageangriffen ausgesetzt gewesen zu sein, deren Folgekosten Bitkom auf 51 Mrd. Euro pro Jahr schätzt.1
Bemerkenswert dabei ist, dass nur drei Prozent der Befragten Geheimdienste als Verursacher von Angriffen nannten, obgleich sich fast 20 Prozent der Angriffe keinem Verursacher zuordnen ließen. Es wäre allerdings auch überraschend, wenn es einer nennenswerten Zahl von Unternehmen gelungen sein sollte, Geheimdienste als Cyberangreifer zu identifizieren. Die Enthüllungen Edward Snowdens weckten zwar die Sensibilität für Computerspionage und -sabotage in den Unternehmen und schufen ein Bewusstsein für die darin liegenden Risiken, jedoch werden diese Angriffsformen von Militärs und Geheimdiensten in einer ganz anderen Klasse betrieben, als dies bisher vorstellbar war. Es brauchte einige Zeit, bis die Erkenntnis über gezielte geheimdienstliche Wirtschaftsspionage und Computersabotage durchgedrungen war.
Nach den Enthüllungen von Edward Snowden im Jahr 2013 dauerte es fast zwei Jahre, bis die Rolle der U.S. National Security Agency (NSA) als zentraler Cyberwarfare-Akteur in den Medien reflektiert wurde. Trotz der seit den 1990er Jahren regelmäßig auftauchenden Berichte über Cyberoperationen der NSA war zuvor kein systematischer Zusammenhang erkennbar, und so wurden die Aktivitäten der NSA lediglich als »Telekommunikationsüberwachung« eingeordnet. Allerdings stand die NSA schon 2007 bei Anhörungen im US-Kongress und in den Medien in der Kritik, weil sie in den Jahren 2005-2007 annähernd zwei Milliarden US$ für die Projekte »Turmoil« und »Turbulence« aufgewandt hatte. Diese beiden teuren Systeme sollten der massiven Datensammlung, Manipulation und Kontrolle von Internet-Knotenpunkten sowie der Computersabotage durch die selektive Modifikation von Datenpaketen dienen, funktionierten zu diesem Zeitpunkt jedoch nicht wie geplant.2 Aus der Beschreibung und der Klassifikation dieser Systeme ließ sich unschwer ersehen, dass es sich um Werkzeuge zur Cybersabotage handelte, dennoch wurden sie nur als Spionagewerkzeuge eingestuft.
Bekannt war auch bereits, dass die zersplitterten Zuständigkeiten für Information Warfare in den USA 2008 bei der NSA zusammengeführt worden waren. Der offen verfügbaren, derzeit gültigen Direktive über Aufgaben und Zuständigkeiten der NSA zufolge ist diese definiert als eine »Kampfunterstützungseinheit« des Verteidigungsministeriums; der Leiter der NSA ist zugleich Oberkommandierender des U.S. Cyber Command.3
Auch über Zweck und Urheber der 2010 entdeckten Stuxnet-Schadsoftware konnte anfangs nur anhand von Indizien gemutmaßt werden. Erst 2012 wurde ein Bericht publiziert, nach dem die gegen die iranische Urananreicherung gerichtete Software von Diensten aus den USA und Israel verbreitet worden sei.4 Vergleichende Codeanalysen von Stuxnet und anderen Schadsoftware-Paketen führten anschließend zur Identifikation mehrerer Familien von Trojanern und zu Hinweisen, wonach fast ein halbes Dutzend Schadsoftware-Pakete mit großer Wahrscheinlichkeit von denselben staatlichen Urhebern wie Stuxnet stammen.5 Die direkt und indirekt der NSA zugeschriebenen Schadsoftware- und Manipulationssysteme hatten in ihren Zielgebieten im Nahen Osten dieselbe Verbreitung erreicht, wie zu dieser Zeit von »gewöhnlichen Cyberkriminellen« verbreitete Schadsoftware.6 Weitere bekannt gewordene Vorfälle zeigen, dass andere und ähnlich spezifisch eingesetzte Schadsoftware auch Quellen aus weiteren Ländern zuzuordnen sein dürfte.
Erst die durch Edward Snowden ermöglichten Einblicke erlauben nun ein zutreffenderes Bild der IT-Sicherheitslage und der Akteure in den USA, in Europa und in Drittstaaten. So wurde erkennbar, dass die fast zehn Jahre zuvor entwickelten Systeme Turmoil und Turbulence nur ein kleiner Teil des Werkzeugkastens der NSA sind. Moderner und in der Leistung viel breiter als die zwei genannten Systeme ist XKeyScore. XKeyScore wurde medial bekannt als ein Werkzeug der NSA für die umfassende Erhebung, Analyse und Strukturierung von Inhalten und Metadaten aller Arten von Kommunikationsvorgängen – von E-Mails über Chats bis zu Videokonferenzen. Die deutschsprachigen Medien mussten ihren Lesern jedoch erst erklären, welche Erkenntnisse die Dienste aus der automatisierten Metadatenanalyse in Kommunikationsnetzen ziehen können und welche wertvollen Informationen sich allein aus Google-Suchanfragen gewinnen lassen. Wenn Google beispielsweise den Lauschern alle individuell abgefragten Suchbegriffe zusammen mit der Anschlusskennung des Suchenden liefert, lässt sich mit einigen weiteren, auch in der Werbewirtschaft genutzten Werkzeugen sogar dessen Identität ermitteln.
Dabei wies bereits ein Bericht für das EU-Parlament zu XKeyScore im September 2013 auf dessen Funktionalität als automatisiertes Angriffswerkzeug hin.7 XKeyScore ermöglicht nicht nur die Suche nach verschlüsselter Datenkommunikation in großen Zielgebieten, sondern entschlüsselt diese Kommunikation, sofern bestimmte gängige Verschlüsselungsverfahren verwendet wurden, analysiert gleichzeitig die kommunizierenden IT-Systeme automatisch auf nutzbare Schwachstellen und schleust dort bei Bedarf – ebenfalls automatisiert – Schadcodes ein.8 Für die Schwachstellenanalyse wird auf abgefangene Software-Absturzberichte der Zielsysteme sowie unter anderem auf eine Schwachstellendatenbank zurückgegriffen, deren Ursprünge bis in die 1980er Jahre zurück reicht.9
Sofern die überwachten IT-Systeme den automatisierten Angriff abwehren, kommt die NSA-Abteilung für »Tailored Access Operations« (TAO) zum Einsatz.10 Dort arbeiten weit über 600 Hacker an maßgeschneiderten Werkzeugen, um in jedes vernetzte IT-System einzudringen. Sollte ein Computer nicht an das Internet angebunden sein, beordert TAO eigene Fachleute oder Agenten vor Ort, um sich physischen Zugriff zu dem gewünschten Computersystem zu verschaffen und dieses zu hacken.
XKeyScore und andere Systeme wie Turbulence sind keine Überwachungssysteme, sondern integrierte Systeme zur automatisierten Aufklärung über IT-Systeme und darauf aufbauenden Angriffen. Genau wie in der konventionellen Kriegsführung wird hier die Überwachung und Aufklärung dazu genutzt, potentielle Angriffsziele auszuspähen, um anschließend Angriffe auszuführen und den bewirkten Schaden auszunutzen. Mit den Systemen wurde der militärische Zyklus von Aufklärung, operativer Entscheidung, Ausführung und anschließender Schadenbewertung zu einem Systemverbund integriert. Den heute bekannten Dokumenten zufolge müssen die Werkzeuge der NSA und ihrer Verbündeten – allen voran der britische Abhör-Geheimdienst GCHQ – als integrierte digitale Waffensysteme gewertet werden, denn sie dienen nicht nur dem Kommando, der Kontrolle und der Aufklärung, sondern umfassen auch Mittel für den digitalen Angriff. Kurz: Sie wurden für den Information Warfare entwickelt. Mit ihnen wird heute in unseren Netzen regelmäßig operiert.11
Bekannt gewordene Ziele des Information Warfare sind neben staatlichen Einrichtungen in verschiedenen Ländern auch Organisationen, wie die Vereinten Nationen oder die EU-Kommission, sowie politisch exponierte Personen, wie die deutsche Bundeskanzlerin und die brasilianische Staatspräsidentin. Angriffe des GCHQ auf Systemadministratoren der belgischen Telekommunikationsgesellschaft BELGACOM hatten zum Ziel, Schadsoftware in die Systeme der BELGACOM und deren Kunden, u.a. die EU-Kommission, einzuschleusen.12 Gekapert wurden mit Schadsoftware infizierte und für Angriffe missbrauchte Computernetzwerke – Botnetze – nichts ahnender Nutzer.13 Dies dokumentiert, dass jede Person, die sich in den Netzen bewegt, Operationsziel der NSA und ihrer Verbündeten werden kann. Die Erkenntnis, dass sich diese Art des Information Warfare gleichermaßen gegen Freund und Feind richtet, zählt bereits seit Jahren zum Kenntnisstand auch deutscher IT-Sicherheitsinstitutionen, wie beispielsweise dem Computer Emergency Response Team für Bundesbehörden (CERT). So beantwortet das CERT der Bundeswehr die Frage „Wer bedroht uns eigentlich?“ schon vor Jahren nicht nur mit dem vormals üblichen Hinweis auf Hacker, sondern verweist auch auf „Traditionelle Geheimdienste (Freund und Feind)“ und „Andere Nachrichtendienste“.14
Staatliche Akteure als Risikofaktoren der IT-Sicherheit
Auch heute wird die Ausrichtung der Ausspähung auf Information Warfare in ihren Konsequenzen in der Öffentlichkeit kaum wahrgenommen, obwohl sie nicht nur an bekannt gewordenen Ereignissen messbar ist, sondern auch bereits aus der Struktur der NSA-Systeme erkennbar wird. Ebensowenig wird die Bedeutung der NSA im Verhältnis zu anderen Cyberangreifern richtig eingeordnet. Es lässt sich heute gut dokumentieren, dass die NSA die ressourcenstärkste Hackertruppe der Welt ist und die Möglichkeiten aller anderen bei weitem in den Schatten stellt.15
Es muss darauf hingewiesen werden, dass diese Einschätzung dank der Enthüllungen durch Edward Snowden das Ergebnis einer ungewöhnlich guten Quellenlage ist. Weniger gut ist die Quellenlage bezüglich der Nachrichtendienste und Militärs anderer Staaten. Jedoch kann davon ausgegangen werden, dass diese in vergleichbarer Weise operieren. Vorfälle wie die Manipulationen von IT-Systemen vor dem militärischen Konflikt zwischen Russland und Georgien, Angriffe auf die IT-Infrastruktur Estlands, das Abschöpfen von Daten aus den IT-Systemen von Sony mit vermutlich politischem Hintergrund sowie die zeitweilige Übernahme der IT-Systeme des TV-Senders TV 5 Monde im Frühjahr 2015 unterstreichen, dass die Nutzung von Manipulations- und Sabotagewerkzeugen mittlerweile zum Alltag bei der Austragung von Konflikten nahezu jeder Art gehört.
Die verfügbaren Quellen machen deutlich, dass staatliche Stellen heute die Urheber eines signifikanten Teils der in Umlauf befindlichen Schadsoftware sind. Es ist Schadsoftware aus staatlichen Quellen, die mit exorbitantem Aufwand entwickelt wird, um damit auch in gut geschützte Systeme eindringen und sich einer Identifikation und Beseitigung entziehen zu können. Stuxnet ist ein Beispiel für eine Schadsoftware aus staatlichen Quellen, mit der die Schwelle zur Verursachung physischer Schäden überschritten wurde.
Zu beobachten ist folglich eine markante Verschärfung und Eskalation der Bedingungen, unter denen IT-Sicherheit heute gewährleistet werden muss. IT-Sicherheitsverantwortliche in den Unternehmen sehen sich mit ihren begrenzten Ressourcen Angreifern gegenüber, die über nahezu unbegrenzte Mittel, über hochklassige Kompetenzen und obendrein auch noch über die Möglichkeit verfügen, Hersteller zu Systemanpassungen zu zwingen, die die IT-Sicherheit unterminieren.
Umso wichtiger ist es daher, den Schutz und die Sicherheit ziviler IT-Systeme zu stärken. Nötig wäre, neue Werkzeuge zu entwickeln und die Aufrüstung geheimdienstlich-militärischer Einheiten für den Information Warfare zu begrenzen. Die Snowden-Enthüllungen und die Reaktionen darauf offenbaren nun, dass bei der Ressourcenverteilung zwischen »Angreifern« und »Verteidigern« genau das Gegenteil der Fall ist. Die für die Ausspähung, Sammlung und Analyse von Daten sowie die Sabotage von IT-Systemen aufgewandten Mittel lassen sich in ihrer Wirkung nur in grober Näherung den Mitteln zur Cyberabwehr und Strafverfolgung gegenüberstellen. Dennoch wirft eine Analyse der verifizierbaren Ressourcen aufseiten von »Angreifern« und »Verteidigern« einige markante Schlaglichter auf die derzeitige Situation.
Die NSA beantragte für das Finanzjahr 2013 allein für die Entwicklung von Schadsoftware ein Budget in Höhe von 625 Mio. US$. Der höchste Budgetposten waren jedoch zehn Mrd. US$ für das „gemeinsame kryptologische Programm“, für „bahnbrechende kryptoanalytische Fähigkeiten […], den Internetverkehr auszuwerten“ und zum Brechen von Verschlüsselung.16 In der Summe betrug der Etatansatz für 2013 für Datenanalyse und Cyberangriffe über zwölf Mrd. US$.
Dies lässt sich zumindest ansatzweise mit Daten zu den zivilen Pendants vergleichen, den Ressourcen für die »Verteidigung«. Das für die Bekämpfung von schwerwiegenden Computerdelikten vorwiegend zuständige FBI hatte für 2014 einen Gesamtetat von 8,3 Mrd. US$ zur Verfügung. Den Medien gegenüber erklärte das FBI, man hoffe, bis 2015 landesweit in den USA 750 Agenten für die Aufklärung von Computerdelikten verfügbar zu haben; dazu seien 152 Neueinstellungen beabsichtigt.17 Der gesamten dem US-Justizministerium zugeordneten Strafverfolgung von Computerdelikten stand 2014 ein Budget von 722 Mio. US$ zur Verfügung18 – einschließlich der Mittel für den Schutz ihrer eigenen IT-Systeme.
Auch in Deutschland lassen sich Daten ermitteln, die zwar nicht den gleichen Zeitraum umfassen, mit denen sich aber die Ressourcenlage zumindest grob umreißen lässt.
- Die im Kommando Strategische Aufklärung (KSA) zusammengefasste militärische »Angreiferseite« verfügt für Aufklärung, Elektronische Kampfführung und die mit 76 Mitarbeitern gestartete Gruppe »Computer Netzwerk Operationen«19 insgesamt über 5.500 Soldaten und 500 zivile MitarbeiterInnen.20
- Das für zivile und militärische IT-Sicherheitsfragen sowie für Ver- und Entschlüsselungssysteme zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt derzeit insgesamt ca. 600 Mitarbeiter; zehn arbeiten in dem im BSI angesiedelten Nationalen Cyber-Abwehrzentrum.21
- Laut Gewerkschaft der Polizei arbeiten in Polizeien und Landeskriminalämtern ca. 360 MitarbeiterInnen im Bereich Computerdelikte.
- Im »Gemeinsamen Terrorabwehrzentrum« (GTAZ) sind 40 Bundes- und Landesbehörden vertreten. Die Mitwirkenden im GTAZ – vonseiten des Bundes 198 MitarbeiterInnen, 31 von Länderseite – arbeiten daher in Doppelfunktion.22 Im Gemeinsamen Internet-Zentrum (GIZ) arbeiteten 51 MitarbeiterInnen.23
- Im Bereich der zivilen Strafverfolgung sowie im Austausch zwischen Nachrichtendiensten und Strafverfolgern über Computerdelikte und terroristische Aktivitäten im Internet arbeiten bundesweit zwischen 900 und 1.000 Ermittler und IT-Fachleute. Diese Zahl schließt Personen mit gemischten, d.h. zivilen und nachrichtendienstlichen Zuständigkeiten ein, jedoch nicht Personen mit Doppelaufgaben.
Zu den Zahlen über Personalstärken gibt es trotz der nur punktuell möglichen Vergleiche aufschlussreiche finanzielle Daten.
- Der Bundesnachrichtendienst (BND) beantragte Ende 2014 ein Budget von rund 300 Mio. Euro für den Ankauf von Kenntnissen über IT-Sicherheitslücken, die sich potenziell für Cyberattacken nutzen lassen, und für die Aufstockung von diesbezüglichem Personal.
- Im Entwurf des IT-Sicherheitsgesetzes sind für das Bundesamt für Verfassungsschutz (BfV) und das Bundeskriminalamt (BKA) ebensoviele neue Stellen vorgesehen wie für das Bundesamt für Sicherheit in der Informationstechnik (BSI).
- Die Bundesregierung präsentierte 2015 das neue IT-Sicherheitsforschungsprogramm, in dem vorgesehen ist, die IT-Sicherheitsforschung jährlich mit 30 Mio. Euro zu fördern.
Bei oberflächlicher Lektüre mag es vielleicht noch gleichgewichtig erscheinen, dass die Zahl der Cyberermittler im FBI etwa gleich groß ist wie die der Hacker in der TAO-Gruppe der NSA (wobei allerdings unberücksichtigt bleibt, dass das TAO nur eine kleine Gruppe in einer von vier Abteilungen der NSA darstellt). Es mag auch noch hinnehmbar erscheinen, dass in den USA für die Aufklärung von Cyberdelikten allen zivilen nationalen Strafverfolgungsbehörden gemeinsam etwa so viele Mittel gewidmet sind wie für ein einziges der NSA-Programme zur Entwicklung von Schadsoftware (nicht eingerechnet der mit Milliardenaufwand betriebene Fortentwicklung bereits existierender NSA-Systeme wie XKeyScore oder Trailblazer). Jedoch macht die Gegenüberstellung der verfügbaren Daten über finanzielle und personelle Ressourcen in den USA und Deutschland trotz der lückenhaften Datenlage deutlich, dass der »Angreiferseite« im Vergleich zu den »Verteidigern« der IT-Sicherheit die sechs- bis zehnfachen Ressourcen für Cyberattacken und für die Kompromittierung der IT-Sicherheit zur Verfügung stehen. Die Folgen sind eindeutig. Die bisherige Abwehr von Bedrohungen der IT-Sicherheit war auf jugendliche Hacker ohne besondere Ressourcen und auf professionelle Cyberkriminelle mit relativ überschaubaren Mitteln ausgerichtet. Wenn man es bei den Cyberangreifern aber mit Militärs und Geheimdiensten zu tun hat, die nahezu jeden Aufwand treiben und Cyberattacken tendenziell als Alternative zu konventionellen Militärschlägen sehen, müssen sich die Verantwortlichen damit auseinander setzen, dass IT-Sicherheit so nicht zu gewährleisten ist.
So schlaglichtartig dieser Vergleich auch sein mag, dokumentieren die Daten doch mit hinreichender Genauigkeit ein unerwartet klares Ungleichgewicht zugunsten der Cyberangreifer. Die Daten belegen eine klare Prioritätensetzung der Regierungen in den USA und in Deutschland. Indizien deuten darauf hin, dass dies auch für viele andere Staaten gilt. Die Daten machen auch die im Vergleich geringe Bedeutung deutlich, die von staatlicher Seite auf die Stärkung der IT-Sicherheit, die zivile Strafverfolgung und die Analyse von IT-Sicherheitsvorfällen gelegt wird.
Aus der Untersuchung der Ressourcen für Militärs und Geheimdienste für Cyberangriffe ziehen wir die Konsequenz, dass nur ein radikales Umsteuern helfen kann, unsere IT-Infrastruktur der umfassenden Kompromittierung durch geheimdienstliche Aktivitäten zu entziehen. Die Erkenntnisse aus der Analyse sowohl der Ressourcen als auch der Zugangswege sind für IT-Sicherheitsverantwortliche beunruhigend und ernst. Wir müssen beginnen, sicherheitskritische Systeme durch neue, sicherere Systeme zu ersetzen. Das Thema Information Warfare, die allgegenwärtige Durchführung von Cyberangriffen nach dem Schema der NSA und anderer Geheimdienste, lässt sich jedoch nicht allein auf der technischen Ebene, d.h. der Analyse von IT-Sicherheitsvorfällen und dem Einsatz spezieller Gegenmaßnahmen, abhandeln. Es muss vielmehr in eine systemische Sicherung der IT investiert werden, nicht in neue Angriffsstrategien und -werkzeuge. Dies aber erfordert politische Maßnahmen.
Cyberattacken mit militärischen Mitteln und Zielen sind Kriegshandlungen. Die angemessene Antwort darauf ist die Entwicklung von Lösungen zur Rüstungskontrolle und Abrüstung. Die bisherigen Ansätze zur Rüstungskontrolle im Bereich Information Warfare zielten vorwiegend auf technische Maßnahmen, wie etwa die Exportkontrolle spezifischer Dual-use-Güter, wenn diese als Cyber-Angriffswaffen klassifiziert worden sind. Demgegenüber geben die mittlerweile in ihrem exorbitanten Volumen bekannt gewordenen staatlichen Budgets der militärischen und geheimdienstlichen Einrichtungen für Information Warfare Anlass, an die Ansätze in den Abrüstungsverhandlungen zu Zeiten des Kalten Krieges zu erinnern. Sie zielten auf eine zahlenmäßige Begrenzung von Rüstungseinrichtungen. Zwar kann es auf der Ebene des Information Warfare nicht um ein Konzept zur Kontrolle von »militärischem Gerät« gehen, wohl aber um die Begrenzung von Truppenstärke und -ausrüstung. Denn zur Entwicklung, Ausübung und Kontrolle von Information Warfare werden Spezialisten benötigt, die sich benennen und zahlenmäßig begrenzen ließen, um die Handlungsspielräume von Cyberangreifern einzuengen.
Die NSA-Dokumente liefern reichlich Fakten, die uns die Risiken des Information Warfare vor Augen führen. Sie liefern aber auch Ansatzpunkte, auf deren Basis neu über Abrüstungsansätze nachgedacht werden kann. So können die umfassenderen Kenntnisse über Arbeitsweisen und Analysemethoden der Geheimdienste dafür genutzt werden, ihre Aktivitäten auf dem Gebiet des Information Warfare zu begrenzen, und auch, um eine Begrenzung zu verifizieren. Die Gefahren für die IT-Infrastruktur der Zivilgesellschaft sind ein guter Grund, auch solche Ansätze zu verfolgen.24
Anmerkungen
1) Digitale Angriffe auf jedes zweite Unternehmen. BITKOM-Pressemitteilung vom 16.4.2015.
2)
Siobhan
Gorman: Costly NSA initiative has a shaky takeoff.
Vexing snags for cyberspace tool »Turbulence«.
Baltimore Sun, Feb. 11, 2007.
Turmoil und Turbulence werden im Übrigen in den
NSA-Dokumenten zu XKeyScore zu einem Vergleich der
Systemleistung heran gezogen, so auf S.8 der von der
britischen
Tageszeitung Guardian dokumentiertem NSA-Präsentation
»XKEYSCORE« vom 25. Februar 2008.
3) Mission Statement des U.S. Cyber Command.
4) David E. Sanger: Obama Order Sped Up Wave of Cyberattacks Against Iran. New York Times, June 1, 2012, S. A1.
5) Alexaner Gostev: Kaspersky Security Bulletin 2012 – Cyber Weapons.
6) Als Vergleich aus der gleichen Zeit und bei sehr ähnlicher Zahl von Installationen bieten sich Microsoft-Daten zur Schadsoftware-Beseitigung aus Deutschland an. Danach verursachten 2009 die drei meist verbreiteten Trojaner hier 400.000 Infektionen.
7) European Parliament: The US surveillance programmes and their impact on EU citizens’ fundamental rights. PE 474.405, Brüssel, September 2013, S.14.
8) Konrad Lischka und Christian Stöcker: NSA-System XKeyscore – Die Infrastruktur der totalen Überwachung. SPIEGEL ONLINE, 31.07.2013.
9) Wm. F. Winters: AFIWC – putting intelligence at your fingertips. intercom – Journal of the Air Force C4 Community, Februar 2003, S.6-7. Ute Bernhardt und Ingo Ruhmann: Der digitale Feldherrnhügel. Military Systems – Informationstechnik für Führung und Kontrolle. Wissenschaft und Frieden, Dossier Nr. 24, Februar 1997.
10) Vgl. die Analyse in Ingo Ruhmann: NSA, IT-Sicherheit und die Folgen – Eine Schadensanalyse. Datenschutz und Sicherheit, Nr. 1/2014, S.40-46.
11) Für eine umfassende Aufarbeitung der gesamten Entwicklung wird verwiesen auf Ingo Ruhmann und Ute Bernhardt: Information Warfare und Informationsgesellschaft. Zivile und sicherheitspolitische Kosten des Informationskriegs. Wissenschaft und Frieden, Dossier Nr. 74, Februar 2014, S.1-16.
12) Ryan Gallgher: Operation Socialist – The inside Story of How British Spies Hacked Belgium’s Largest Telco. The Intercept; 13. Dec. 2014.
13) Kevin Poulsen: NSA Has Been Hijacking the Botnets of Other Hackers. Wired, 13.12.2014. Darlene Storm: NSA secretly uses scapegoats, data mules and innocent victims’ PCs for botnets. Computerworld, Jan 19, 2015.
14) Vgl. z.B. bereits vier Jahre vor Snowden die S.3 des Folienvortrages von CERT Bw-Verantwortlichen Oberstleutnant Norbert Wildstacke: Cyber Defence – Schutzlos in einer vernetzten Welt? Das CERT Bundeswehr. 16.2.2009 auf der AFCEA 2009.
15) Detailliert dazu Ingo Ruhmann: NSA, IT-Sicherheit und die Folgen – Eine Schadensanalyse. a.a.O.
16) Zitiert nach Barton Gellman and Greg Miller: U.S. spy network’s successes, failures and objectives detailed in »black budget« summary. Washington Post, 29.08.2013. Im Detail siehe Office of the Director of National Intelligence: FY 2013 Congressional Budget Justification. Volume I: National Intelligence Program Summary.
17) Joe Mandak: FBI cybersquad in Pittsburgh to add agents. USA Today, 17.08.2014.
18) Jack Moore: Here’s Why Cybersecurity Remains a Challenge for the Justice Department. NextGov Newsletter, 2.12.2014.
19) Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan van Aken, Andrej Hunko, Christine Buchholz, weiterer Abgeordneter und der Fraktion DIE LINKE: Elektronische Kampfführung der Bundeswehr. Deutscher Bundestag, Drucksache 18/3963 vom 6.2.2015.
20) Das KSA verfügte zu Beginn über 6.300 Soldaten und 700 zivile Mitarbeiter. Nach Umstrukturierungen 2007 und 2013 belief sich die Personalstärke noch auf insgesamt 6.000. Zu den Aufgaben des KSA siehe Alexander Szandar: Strategische Aufklärung: Bundeswehr belauscht die Welt. SPIEGEL ONLINE, 1.9.2008.
21) Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Petra Pau, Jan Korte, Dr. Petra Sitte, weiterer Abgeordneter und der Fraktion DIE LINKE. Die Strategie der Bundesregierung zur Bekämpfung der Internetkriminalität – Das Nationale Cyber-Abwehrzentrum. Bundestag Drucksache 17/5694 vom 2.5.2011, Frage 4.
22) Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Wolfgang Wieland, Volker Beck (Köln), Jerzy Montag, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN. Das Gemeinsame Terrorismusabwehrzentrum – Sachstand 2008. Bundestag Drucksache 16/10007 vom 18.7.2008, Frage 1.
23) Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Petra Pau u. a. und der Fraktion DIE LINKE. Die Strategie der Bundesregierung zur Bekämpfung der Internet-Kriminalität – Gemeinsames Internetzentrum. Bundestag Drucksache 17/5557 vom 14.4.2011, Frage 1.
24) Siehe dazu in diesem Dossier Stefan Hügel: Cyberpeace – Digitale Grundrechte und friedliche Nutzung des Internets.
Dipl. inform. Ingo Ruhmann ist wissenschaftlicher Referent und Lehrbeauftragter an der FH Brandenburg. Er ist ehemaliges Vorstandsmitglied des FIfF und arbeitet zu den Themen Datenschutz und IT-Sicherheit sowie Informatik und Militär. Die Online-Version dieses Textes auf wissenschaft-und-frieden.de enthält, soweit verfügbar, die URLs zu den oben angeführten Quellen.
Informationstechnologie (IT) und Kommunikationsinfrastrukturen – allgemein als Cyberspace bezeichnet – waren von Anfang an im Fokus militärischer Einrichtungen und Geheimdienste. Das Internet wurde ursprünglich vom US-Militär etabliert: Es entstand aus dem »Arpanet« der Advanced Research Project Agency (ARPA) des US-Verteidigungsministeriums.
Nachdem das Internet zunächst primär eine militärische Infrastruktur bot, entwickelte es sich zu einem Netz, das erst für wissenschaftliche, später zunehmend auch für kommerzielle und private Zwecke genutzt wurde und wird. Dadurch wurde es zu einem Werkzeug für Völkerverständigung, weltweite Information und Kommunikation. Gleichzeitig ist es heute eine technische Basis, von deren Nutzung Gesellschaft und Wirtschaft zunehmend abhängig werden. Als Medium hat es aber auch Bedrohungspotenzial: Seine Nutzung kann durch sein immenses Potenzial für die Überwachung und seine vielfältigen Optionen für militärische Operationen, staatlich gefördert, sowohl den inneren als auch den äußeren Frieden gefährden.
Überwachung
Anonyme, unbeobachtete Kommunikation ist ein Grundrecht, in Deutschland als Post- und Fernmeldegeheimnis kodifiziert in Artikel 10 des Grundgesetzes. Die unbeobachtete Kommunikation war dennoch schon vor Offenlegung der Dokumente US-amerikanischer Geheimdienste durch Edward Snowden, nämlich zu Zeiten »analoger« Briefpost und telefonischer Kommunikation, nur eine Illusion. Der Historiker Josef Foschepoth veröffentlichte 2012 eine Studie,1 in der er anhand von Originaldokumenten nachzeichnete, wie die Kommunikation nicht nur in der DDR, sondern auch in der Bundesrepublik Deutschland überwacht wurde –im Kalten Krieg ebenso wie nach der Vereinigung der beiden Staaten 1990. Als Rechtfertigung diente zunächst Besatzungsrecht. Später, 1968, wurde durch das noch heute gültige G10-Gesetz das Kommunikationsgeheimnis verfassungsrechtlich eingeschränkt und auch die rechtliche Handhabe ausgeschlossen. Anstatt den Rechtsweg – ein zentrales Element des Rechtsstaats – offen zu halten, wurde die Überprüfung der Rechtmäßigkeit von Überwachungsmaßnahmen an die parlamentarische G10-Kommission übertragen. An deren Effektivität muss man jedoch, schon angesichts ihrer begrenzten Kapazität und der großen Zahl der Überwachungsfälle, zweifeln.
Weitere Überwachungsprogramme wurden im Laufe der Jahre bekannt. Das prominenteste war wohl Echelon, ein Programm zur Ausspähung der Satellitenkommunikation, die damals unter anderem vom US-Stützpunkt im deutschen Bad Aibling aus durchgeführt wurde. Die öffentliche Kritik daran verstummte in Folge der Anschläge vom 11. September 2001. Spätestens die Berichte über Echelon sollten uns allen die Entschlossenheit (nicht nur) US-amerikanischer Behörden zur grundrechtswidrigen Ausspähung klar gemacht haben.
Die Dokumente, die über Edward Snowden seit 2013 an die Öffentlichkeit gelangten, stellen allerdings alles in den Schatten, was bisher an Information zu staatlichen Überwachungsprogrammen zur Verfügung stand.2 Durch sie wurden endgültig das Ausmaß und der weltweite Charakter der Überwachung klar. Überwachung findet nämlich keineswegs nur passiv statt: Sie erfordert die Infiltrierung von Computersystemen mit Schadsoftware und damit ihre Kompromittierung, und sie ist allein dadurch bereits ein Cyberangriff. Ebenso werden bekannte Schwachstellen geheim gehalten, um sie für Spähangriffe zu nutzen. Auch damit werden Infrastrukturen gefährdet, da Schwachstellen potenziell von jedem Angreifer ausgeschöpft werden können.
Cyberwarfare
Gleichzeitig ist die Vernetzung von Kommunikationsinfrastrukturen auch die Basis für den Cyberwar im eigentlichen Sinn. Sie kann militärisch genutzt werden, um Kriege zu führen und Gegnern militärisch zu schaden, indem Schadsoftware in deren Systeme eingeschleust wird. Auch Drohnenangriffe, durch die Menschen getötet werden, die für »Terroristen« gehalten werden (oder die sich zufällig in der Nähe solcher Personen aufhalten), nutzen, aus den USA gelenkt und über Ramstein in Deutschland vermittelt, diese Kommunikationsinfrastrukturen.3 Das Internet dient damit heute als Basistechnologie für militärische Aktionen: Es steht unter der Überwachung durch Geheimdienste und militärische Organisationen, um Informationen für Cyber- und konventionelle militärische Aktionen zu sammeln, und es wird genutzt, um die Infrastruktur vermuteter Feinde zu kompromittieren.
Frieden braucht ein Gegenmodell
Die daraus für die Zivilgesellschaft resultierenden Risiken und Gefahren zwingen zu politischem Handeln. Ein Gegenmodell zur militärischen Nutzung der Netze muss geschaffen und durchgesetzt werden. Die Zivilgesellschaft muss fordern, dass jede Art des Cyberwarfare, der Kriegführung im Cyberspace, geächtet wird. Sie muss die garantierte Integrität des Internets einfordern, und sie muss einfordern, dass das Internet friedlich verwendet und gegen militärischen Missbrauch geschützt wird. Zusätzlich muss jegliche Überwachung der Zivilgesellschaft, die die Menschenrechte verletzt, verboten werden. Die Gesellschaft muss sich gegen eine Sicherheitsdoktrin wehren, die jeden einzelnen Menschen unter den Generalverdacht des Terrorismus stellt. Kurz: Sie muss sich für Cyberpeace stark machen.
Ein Rahmen für Cyberpeace
Die folgenden vier Abschnitte umreißen einen Rahmen für Cyberpeace, der aus folgenden Elementen besteht:
- Wiederherstellung des Vertrauens, das von der weltweiten, spätestens seit 2013 bekannten Geheimdienstüberwachung stark beeinträchtigt, wenn nicht gar zerstört wurde. Eine der wichtigsten Ressourcen der politischen, sozialen und wirtschaftlichen Zusammenarbeit darf nicht verschwinden!
- Ächtung offensiver Aktionen im Cyberspace und die Förderung gewaltfreier Mittel der Konfliktlösung, indem durch gegenseitige Vereinbarungen und Kontrollen sichergestellt wird, dass Staaten nicht bereit stehen und nicht in der Lage sind, offensive Schläge gegen lebenswichtige Infrastruktur des jeweiligen Gegners auszuführen.
- Sicherung lebenswichtiger Infrastrukturen mit technischen Mitteln – Aufbau von Sicherheitsvorkehrungen, die Aggressoren daran hindern, Computernetzwerke und Computersysteme zu infiltrieren. Diese Infrastrukturen sind von entscheidender Bedeutung für die Sicherstellung grundlegender Dienstleistungen und Ressourcen, wie Wasser- und Energieversorgung, Gesundheitsvorsorge und Kommunikation.
- Erhaltung der politischen Kontrolle, Demokratie und Sicherheit durch Cyberpeace-Initiativen auf Regierungsebene, durch demokratische Kontrolle der Internet- und Cybersicherheitsstrategien und durch eine entmilitarisierte politische Sprache.
Dies ist der Rahmen für zivilgesellschaftliche Forderungen zum Cyberpeace, für eine friedliche Nutzung des Internets und aller Informations- und Kommunikationsinfrastrukturen.
Vertrauen wiederherstellen
Unsere Gesellschaft basiert auf Vertrauen. Das stellte der Soziologe Niklas Luhmann in seinem Buch »Vertrauen« bereits im Jahr 1968 fest, lange bevor das Internet begann, unser gesamtes Leben zu beeinflussen.4 Luhmann weist darauf hin, dass Vertrauen die Grundlage bildet, um die soziale Komplexität unserer gesellschaftlichen Umwelt auf ein für uns fassbares Maß zu reduzieren. Nur so können wir all jene Entscheidungen treffen, die das alltägliche Leben uns abverlangt. Ohne Vertrauen wäre die Zahl der zu treffenden Entscheidungen überwältigend; wir wären nicht in der Lage, den Alltag zu bewältigen. Sicherheitsexperte Bruce Schneier illustriert dies an einem überzeugenden Beispiel:
„Heute klingelte ein Fremder an meiner Tür und sagte, er wolle die Verstopfung im Ablussrohr meines Bades beseitigen. Ich ließ ihn ihn mein Haus, ohne seine Identität zu überprüfen, und er hat nicht nur mein Abflussrohr repariert, sondern sogar seine Schuhe ausgezogen, um keinen Schmutz zu hinerlassen. Als er fertig war, bezahlte ich ihn mit einem Scheck. Er steckte ihn einfach in die Tasche. Er machte keinerlei Versuch, in meinem Haus etwas zu entwenden, und auch ich versuchte nicht, ihm etwas zu stehlen. Keiner von uns war diesbezüglich besorgt. Meine Frau war die ganze Zeit zu Hause, aber es kam mir gar nicht in den Sinn, er könnte ein sexueller Rivale sein und ich sollte ihn deshalb besser umbringen.“5
Die Nutzung von Internetdiensten erfordert ebenfalls Vertrauen – und wir sind häufig bereit, dieses Vertrauen zu gewähren, z.B. wenn wir Web-Dienste nutzen, häufig ohne ausreichende Prüfung ihrer Vertrauenswürdigkeit. Wir verlassen uns einfach auf unsere Intuition. Wir rufen Web-Seiten ohne Verschlüsselung auf und vertrauen darauf, dass niemand unsere Kommunikation mithören wird. Auch unsere E-Mails verschlüsseln wir nicht – es wird schon niemand mitlesen, und wenn doch, was soll schon passieren?
Die jüngsten Veröffentlichungen sollten uns eines Besseren belehrt haben. Edward Snowden und JournalistInnen wie Glenn Greenwald und Laura Poitras schufen in der Bevölkerung das Bewusstsein für die weltweite Überwachung der gesamten Kommunikation durch Geheimdienste.6 Derzeit befasst sich ein Untersuchungsausschuss des Deutschen Bundestages mit der verfassungswidrigen Überwachung durch den Bundesnachrichtendienst (BND). Gleichzeitig klagen Staaten und Firmen wegen strafbarer Spionage, formell gegen Unbekannt, de facto richten sich diese Klagen gegen deutsche Behörden.
Vertrauen kann nicht mittels politischer Forderungen durchgesetzt werden, es entsteht und verschwindet aufgrund tatsächlichen Handelns. Umso mehr ist politisches Handeln notwendig, um Vertrauen wiederherzustellen; es ist die Voraussetzung für den Erfolg weiterer Schritte auf dem Weg zum Cyberpeace.
Gewaltfreie Konfliktlösung statt offensiver militärischer Aktionen
Wirklicher Frieden ist nur möglich, wenn alle Parteien darauf verzichten, aufzurüsten und sich gegenseitig anzugreifen. Da einseitige Maßnahmen der Abrüstung zum Risiko unzureichender Verteidigungskapazitäten im Ernstfall führen können, müssen bilaterale oder multilaterale Vereinbarungen geschlossen werden. Diese Vereinbarungen sollten auf eine strukturelle Unfähigkeit zum Angriff und auf die Beschränkung der militärischen Kapazitäten auf die Verteidigung abzielen. Strenge Regeln müssen vereinbart werden, um die Menschen zu schützen, wenn trotz der Fokussierung der Militärstrategien auf die Verteidigung ein Konflikt entsteht. Die Regeln dafür leiten wir aus den folgenden Anforderungen ab:
Keine offensiven oder präventiven Schläge im Cyberspace
Jeder Staat hat das Recht, sich gegen Angriffe zu verteidigen, gegen Cyberattacken genauso wie gegen konventionelle Angriffe. Jede Art von offensiven Angriffen hingegen ist abzulehnen, einschließlich Präventivschlägen, um einem erwarteten (nicht unmittelbar bevorstehenden) Angriff durch einen potenziellen Gegner zuvorzukommen. Wir fordern alle Staaten auf, öffentlich zu erklären, dass sie auf präventive Cyberangriffe und auf jede Art des offensiven Einsatzes von Cyberwaffen verzichten. Niemals dürfen wirtschaftliche Interessen, wie die Verletzung der Rechte an geistigem Eigentum, ein legitimer Grund für Cyberattacken sein.
Ausschließlich defensive Sicherheitsstrategie
Da Staaten das Recht haben, sich gegen Angriffe zu verteidigen, nicht aber das Recht, selbst andere Staaten anzugreifen, müssen sie auf eine eindeutig defensive Cyberstrategie verpflichtet werden. Sie dürfen effektive Techniken zum Schutz von IT-Systemen nutzen, um sich gegen Angriffe zu verteidigen, und müssen gleichzeitig öffentlich verbindlich erklären, keine Cyberwaffen für offensive Zwecke zu entwickeln oder zu verwenden.
Abrüstung
Cyberwaffen sind eine Bedrohung der Sicherheit für die gesamte Bevölkerung, da sie lebenswichtige, so genannte kritische Infrastrukturen gefährden können. Die Auswirkungen von Cyberwaffen, die sich auf zum Teil bekannte aber unveröffentlichte Schwachstellen abstützen, sind nicht auf das eigentliche Zielsystem eines Angriffs beschränkt. Stattdessen können sie sich auf alle Systeme mit den spezifischen Schwachstellen auswirken, die für diesen Angriff genutzt werden. Alle Staaten müssen deswegen Cyberwaffen als Bedrohung des Friedens und der Sicherheit anerkennen. Cyberabrüstung muss durch internationale Abkommen abgesichert werden. Gleichzeitig muss es möglich bleiben, Werkzeuge zur Abwehr von Angriffen und so genannte Hackertools für defensive Zwecke, wie dem Testen eigener Sicherheitsmaßnahmen, zu behalten und zu nutzen.
Keine konventionelle Reaktion auf Cyberattacken
Wir halten es nicht für akzeptabel, auf Cyberangriffe mit konventionellen Waffen zu reagieren. Dies würde eine Eskalation der Gewalt verursachen, die schnell nicht mehr kontrollierbar wäre. Zudem kann der Angreifer nicht ohne Weiteres festgestellt werden (Attributionsproblem), so dass ein hohes Risiko eines Angriffs auf unschuldige Opfer besteht.7
»Genfer Konvention« im Cyberspace
Kritische Infrastruktureinrichtungen sind aus militärischer Sicht in einem Krieg attraktive Ziele, da ihr Versagen einen Gegner erheblich schwächen kann. Allerdings wirkt sich ein Versagen der Infrastruktur in erster Linie auf die Zivilgesellschaft aus, wenn Angriffe auf lebenserhaltende Einrichtungen, wie Wasser-, Energie- oder Gesundheitsversorgung, geführt werden. Diese lebenswichtige Infrastruktur für die Zivilbevölkerung darf niemals zum Ziel von Cyberangriffen werden, auch nicht als »Kollateralschaden«. Eine Verletzung dieses Prinzips muss als Kriegsverbrechen eingestuft und geahndet werden. Alle Staaten und ihre Regierungen sind aufgefordert, sich auf völkerrechtlich vereinbarte, gemeinsame Grundsätze zu verpflichten. Das »Tallinn-Manual«8 könnte ein Anfang sein, wäre aber zu überarbeiten, um die Ächtung der Anwendung von Gewalt deutlich zum Ausdruck zu bringen; beispielsweise wird das Tallinn-Manual von einigen NATO-Staaten so interpretiert, dass eine von uns abgelehnte konventionelle Antwort auf Cyberangriffe erlaubt wäre.9
Sichern lebenswichtiger Infrastruktur
Obwohl alle Parteien in einem Konflikt auf die Nutzung militärischer Gewalt verzichten und gewaltfreie Mittel der Konfliktlösung anwenden sollten, müssen wir uns bewusst sein, dass auch defensive militärische Kapazität aufgebaut werden muss. Es wird auch künftig Fälle geben, in denen ein militärischer Cyberangriff stattfindet und eine kurzfristige gewaltfreie Konfliktlösung nicht möglich ist. Hier muss in Ausnahmefällen eine angemessene Abwehr möglich sein. Zusätzlich müssen Cyberangriffe nichtmilitärischen Ursprungs, wie Cyberkriminalität und Cyberterrorismus, einkalkuliert werden. Behörden und Wirtschaftsunternehmen müssen ausreichende Sicherheitsvorkehrungen treffen und diese ständig im Hinblick auf die Entwicklung der Kapazität der Angreifer aktualisieren. Die Palette der Angreifer reicht von »Script-Kiddies«, Hackern, Kriminellen bis zu Geheimdiensten mit praktisch unbegrenzter Kapazität für Angriffe. Die Motivation reicht von der Bestätigung des eigenen Könnens über politische bis zu wirtschaftlichen und militärischen Zielen.
Die folgenden Anforderungen sind aus unserer Sicht Voraussetzungen, um einen sicheren Systembetrieb zu ermöglichen, können ihn aber nicht garantieren:
Veröffentlichen von Schwachstellen
Cyberangriffe basieren in der Regel auf unbekannten Schwachstellen der angegriffenen Systeme. Schwachstellen werden für alle Arten von Cyberangriffen ausgenutzt: solche, die die Infrastruktur des Feindes stören oder zerstören wollen, und solche, die einen Krieg vorbereiten sollen – zu diesen zählt beispielsweise die Überwachung durch Geheimdienstbehörden. Zu diesem Zweck können die Angreifer bestehende Schwachstellen geheim halten oder neue Schwachstellen erzeugen, um sie dann für künftige Angriffe zu nutzen. Gleichzeitig können nicht veröffentlichte Schwachstellen auch für kriminelle Zwecke missbraucht werden. Deswegen fordern wir die vollständige Offenlegung der Schwachstellen innerhalb eines angemessenen Zeitraums. Wir erwarten, dass gemeldete Schwachstellen zügig behoben werden. Damit würde für Sicherheit gesorgt, das öffentliche Bewusstsein erhöht und das Vertrauen in defensive Sicherheitsstrategien verbessert. Insbesondere öffentliche Stellen müssen die Integrität von Informationssystemen bewahren. Dies folgt aus dem Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Schutz kritischer Infrastrukturen
Derzeit sind kritische Infrastrukturen oft leicht aus dem Internet zu erreichen, wenn sie mit öffentlich zugänglichen Diensten verbunden sind. In einigen Fällen mag es sinnvoll sein, Dienstleistungen für die Öffentlichkeit an das Internet anzubinden, um ihre Erreichbarkeit und Qualität zu verbessern. Dennoch ist davon auszugehen, dass Schwachstellen häufig unvermeidbar sind und durch Angreifer genutzt werden können. Deswegen muss die Sicherheit kritischer Infrastruktur laufend kompetent und transparent durch Prüfungen und Tests validiert werden. Die Betreiber müssen verpflichtet werden, ihre kritischen Infrastrukturen effektiv vor Cyberangriffen zu schützen. Dafür müssen sie dazu verpflichtet werden, Systeme sicher zu implementieren und zu betreiben. Sie dürfen sich zur Gewährleistung der Sicherheit nicht auf staatliche Behörden oder gar das Militär verlassen. Wo immer sinnvoll möglich, müssen kritische Infrastrukturen, wie beispielsweise Atomkraftwerke, streng vom öffentlichen Internet getrennt werden.
Cybersicherheitszentren etablieren
Es werden öffentliche Einrichtungen benötigt, die den Bedrohungen aus dem Cyberspace wirksam begegnen und für die Umsetzung, Bereitstellung und laufende Verbesserung geeigneter Instrumente zur Erhöhung der Cybersicherheit sorgen. Sie müssen klare Zuständigkeiten haben – auch in Abgrenzung zu weiteren Behörden, insbesondere dem Bundesamt für Sicherheit in der Informationstechnik (BSI) –, angemessen mit Personal und Ressourcen ausgestattet werden und so organisiert sein, dass die grundlegenden Bürger- und Menschenrechte gewahrt werden, vor allem durch die strikte Trennung polizeilicher, militärischer und geheimdienstlicher Funktionen. Die Cybersicherheitszentren müssen auf diese Weise in der Lage sein, Bedrohungen wirksam zu begegnen. Sie müssen sich konsequent auf den Frieden hin orientieren und transparent arbeiten.
Fördern (junger) IT-Experten
Es gibt heute einen Mangel an IT-Experten und an Wissen für einen wirksamen Schutz vor Cyberangriffen in Europa. Dieses Problem wird verschärft, wenn IT-Experten daran arbeiten, die Sicherheit von IT-Systemen zu beeinträchtigen, anstatt sie zu verbessern. Deswegen muss eine berufliche Ethik in der IT gefördert und in der Ausbildung vermittelt werden, die die Entwicklung von Instrumenten zu destruktiven Zwecken konsequent ablehnt. Die Qualität von IT-Produkten muss insbesondere im Hinblick auf die Sicherheit erheblich verbessert werden, um ihre Verwundbarkeit zu reduzieren. Regierungsbehörden und Wirtschaftsunternehmen sollten in qualifizierten Nachwuchs für IT im Allgemeinen und für IT-Sicherheit im Besonderen investieren. Die akademische Ausbildung muss erweitert werden und auch die ethischen und politischen Aspekte der Technologie und Technikfolgenabschätzung abdecken.
Fördern freier und quelloffener Software
Im Gegensatz zu proprietärer Software ermöglicht freie und quelloffene Software (Free and Open Source Software) unabhängige Inspektionen und Bewertungen. Dies verringert die Wahrscheinlichkeit unentdeckter Hintertüren (Backdoors) erheblich. Im Prinzip ist die gesamte kompetente Community in der Lage, solche Bewertungen durchzuführen. Darum muss quelloffene Software gefördert und gerade auch in Regierungsbehörden eingesetzt werden, insbesondere für kritische Infrastrukturen. Regierungsbehörden sollten auch unabhängige Bewertungen und Inspektionen fördern. Dennoch müssen wir uns bewusst sein, dass freie und quelloffene Software nicht die Lösung für all unsere Herausforderungen an die Sicherheit darstellt, wenn Schwachstellen nicht adäquat behoben werden. Bewertungen müssen in der Praxis durch kompetente Reviewer durchgeführt und mit ausreichenden Mitteln finanziert werden, um den dafür notwendigen Aufwand leisten zu können. Sie sind durch eine realistische Risikokommunikation zu begleiten.
Demokratische politische Kontrolle
Die Umsetzung der zuvor genannten Anforderungen benötigt ausreichende Aufmerksamkeit auf politischer Ebene. Organisatorische und legislative Maßnahmen sind zu treffen, die Vertraulichkeit, Integrität und Verfügbarkeit fördern, demokratische Kontrolle, Bürgerrechte und Meinungsfreiheit verbessern und nicht zuletzt für eine angemessene politische Sprache sorgen.
Cyberpeace-Initiative auf Regierungsebene
Aus unserer Sicht ist der Cyberspace eine wichtige Grundlage für die Zukunft der Menschheit. Die Gefährdung der Integrität kritischer Infrastrukturen gefährdet unser aller Zukunft. Eine Cyberpeace-Initiative muss gestartet werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikationsinfrastruktur sicherzustellen. Friedensforschung und die Entwicklung von Strategien zur Friedenssicherung im Cyberspace müssen gefördert werden.
Demokratische Kontrolle des Internets und von Cybersicherheitsstrategien
Heute werden Cyberstrategien unter Geheimhaltung entwickelt und umgesetzt. Jedoch lässt sich nur mit transparenten Cybersicherheitsstrategien Vertrauen bilden und einem Wettrüsten im Cyberspace entgegenwirken. Demokratische Kontrolle und die Trennung polizeilicher, militärischer und geheimdienstlicher Funktionen sind dabei unbedingt erforderlich. An der Entwicklung und Umsetzung von Cybersicherheitsstrategien muss grundsätzlich das Parlament beteiligt werden; seine Zustimmung muss Voraussetzung dafür sein. Cybersicherheitsstrategien müssen ein Ergebnis demokratischer legislativer Entscheidungsprozesse sein.
Onlineprotest ist kein Verbrechen
Information und Kommunikation über das Internet ist heute gängige Praxis. Die Ausübung von Grundrechten, beispielsweise der Redefreiheit, darf niemals als ein Verbrechen angesehen werden. Vor allem darf es nicht als Rechtfertigung für militärische Aktionen oder kriegerische Akte dienen. Ein Beispiel dafür sind Verbraucherproteste gegen Onlinedienste. Das Recht zum zivilen Ungehorsam und zum Protest muss auch im Cyberspace respektiert werden.
Klar definierte und entmilitarisierte politische Sprache
Politik und Medien verwenden häufig eine unklare Sprache, die tatsächliche Sachverhalte verschleiert und gleichzeitig die Eskalation von Konflikten verursachen kann. Beispielsweise kann die Verwendung des Begriffs »Cyberkrieg« zu der Annahme führen, dass im konkreten Fall nur militärische Lösungen möglich sind. Es muss eine klare sprachliche Trennung zu der viel häufiger stattfindenden Computerkriminalität erfolgen, die mit etablierten Mitteln des Strafrechts, nicht militärisch, bekämpft werden kann und muss. Dies muss in der politischen Sprache zum Ausdruck kommen.
Wir betrachten diese vier Felder – Vertrauen, gewaltfreie Konfliktlösung, Sicherung lebenswichtiger Infrastrukturen und demokratische politische Kontrolle – als Elemente eines geeigneten Rahmens, um Cyberpeace, die ausschließlich friedliche Nutzung des Cyberspace, zu erreichen. Wir sind davon überzeugt, dass dieser Rahmen und die Anforderungen uns dabei helfen werden, die politischen Entscheidungen zu treffen, die nötig sind, um die militärische Kolonisierung des Cyberspace zu verhindern und den Frieden so wie die Menschen- und Bürgerrechte im Cyberspace zu fördern.
Die Cyberpeace-Kampagne des FIfF
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FIfF) hat das Thema aktiv aufgegriffen und die Kampagne »Cyberpeace« gestartet (cyberpeace.fiff.de). Die Kampagne soll anhand des in diesem Beitrag beschriebenen Rahmens die Gefahren adressieren, die sich aus einer Politik der Cyberkriegführung ergeben, und die Kolonisierung der Kommunikationsinfrastrukturen durch das Militär sowie die Überwachung der gesamten Bevölkerung zurückdrängen. Das Internet und alle Informations- und Kommunikationsinfrastrukturen müssen ausschließlich friedlich genutzt werden dürfen, und sie müssen gegen militärischen Missbrauch geschützt werden. Eine sichere Kommunikation unter Wahrung und Förderung der Grundrechte muss gewährleistet sein.
Dank
Der Rahmen und die Forderungen zum Cyberpeace wurden im Kampagnenteam des FIfF gemeinsam erarbeitet.10 Die Kampagne wird durch die Stiftung Bridge finanziell gefördert. Wir danken der Stiftung für ihre Unterstützung.
Anmerkungen
1) Josef Foschepoth (2012): Überwachtes Deutschland – Post- und Telefonüberwachung in der alten Bundesrepublik. Göttingen, Bristol: Vandenhoeck & Ruprecht.
2) Glenn Greenwald (2014): Die globale Überwachung – Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen. München: Droemer.
3) Jeremy Scahill: Germany is the Tell-Tale Heart of America"s Drone War. The Intercept, 17.4.2015.
4) Niklas Luhmann (1968): Vertrauen. Stuttgart: Lucius & Lucius, 4. Auflage 2000.
5) Bruce Schneier (2012): Liars & Outliers – Enabling the Trust that Society needs to Thrive. Indianapolis: John Wiley & Sons.
6) Glenn Greenwald (2014), op.cit.
7) Vgl. dazu in diesem Dossier Sylvia Johnigk und Kai Nothdurft (2015): Das Problem der Attributierung von Cyberangriffen und seine Folgen.
8) Michael N. Schmitt (2013): Tallinn-Manual on the International Law applicable to Cyber Warfare. Cambridge: Cambridge University Press
9) Vgl. dazu in diesem Dossier Wolff Heintschel von Heinegg (2015): Völkerrecht im Cyberraum – Das Tallinn-Handbuch und der Tallinn-2-Prozess.
10) FIfF e.V. (2014): Forderungen zum Cyberpeace. FIfF-Kommunikation 4/2014, S.62-65.
Dipl. Inform. Stefan Hügel ist Vorsitzender des FIfF e.V. – Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung – und Sprecher der Cyberpeace-Kampagne. Beruflich arbeitet er als Berater für IT-Governance, IT-Prozesse, Informationssicherheits- und Risikomanagement.