Magazin, Vol. 3: Digitalisierung
Schreibe einen Kommentar

„Wir werden vermutlich Terrorakte im Cyberraum erleben“

digital-transformation-and-cyber-conflicts

© Max Dauven 0 1 #1

Cyberangriffe: Wenn traditionelle Abwehrmechanismen nicht mehr ausreichen

 

Angriffe auf die U.S.-Präsidentschaftswahl 2016, ukrainische Stromversorger 2015 und die Verschlüsselungssoftware WannaCry 2017 sind nur drei Beispiele, die gezeigt haben, dass Cyberoperationen zunehmend genutzt werden, um über das Internet Wahlen zu beeinflussen, zu spionieren, zu erpressen und zu manipulieren. Für Staaten wird Cybersicherheit damit zu einer elementaren Komponente nationaler und internationaler Sicherheit. Dr. Sven Herpig, Leiter des Transatlantic Cyber Forums an der Stiftung Neue Verantwortung, beleuchtet das Zusammenspiel von Cyberwirkmitteln – Hacking-Werkzeugen – und internationaler Konfliktaustragung.

Herr Dr. Herpig – inwieweit werden internationale Konflikte heute im Internet ausgetragen?

Internationale Konfliktaustragung findet zunehmend im Cyber- und Informationsraum statt. Wenn wir uns die Geschichte anschauen, dann sehen wir, dass die ersten Cyberoperationen in den 1990er Jahren durchgeführt wurden. Dabei ging es zunächst um politische, später zunehmend auch um wirtschaftliche Spionage. Anfang der 2000er Jahre fanden einige disruptive Ereignisse statt, bei denen zum ersten Mal eine Schadsoftware zum Einsatz kam, die nicht der Spionage, sondern der Sabotage von Institutionen und operativen Abläufen dienen sollte. 2007 wurden das estnische Parlament und weitere staatliche Stellen sowie Banken und Medien angegriffen; 2012 richteten sich Cyberangriffe gegen den saudischen Ölkonzern Saudi Aramco. In Estland waren in der Folge die Internetseiten von Parlament und Regierung vorübergehend nicht erreichbar und der Geschäftsverkehr, etwa beim Online-Banking, gestört. Bei Saudi Aramco konnte der Produktionsablauf zwar nicht direkt beeinträchtigt werden, aber die Festplatten von 30.000 Computern wurden gelöscht und unbrauchbar gemacht. Diese beiden Ereignisse leiteten, neben der weit bekannten Stuxnet-Cyberoperation gegen Urananreicherungsanlagen im Iran 2010, den Übergang zur aktuellen Phase ein, in der auch die politische IT-Infrastruktur zunehmend angegriffen wird. Beispiele dafür waren der Angriff auf den deutschen Bundestag 2015, den US-Wahlkampf 2016 und den französischen Wahlkampf 2017. Eine weitere Entwicklung, die wir vermutlich noch erleben werden, ist die Migration von Terrorakten in den Cyberraum. Bisher nutzen Terroristen ihn nur, um miteinander zu kommunizieren und für ihre Sache zu werben. Auch das konventionelle Militär benutzt aktuell noch selten Cyberwirkmittel – aber hier wird die Entwicklung wohl hingehen. Wir sehen also sowohl einen quantitativen als auch einen qualitativen Ausbau von internationaler Konfliktaustragung mit Hacking-Werkzeugen.

Wirtschafts-, politische Spionage und Einflussnahme sind keine neuen, sondern sehr alte Phänomene. Was unterscheidet digitale von analogen internationalen Auseinandersetzungen?

Einer der Hauptunterschiede ist, dass der Großteil dieser Aktionen heute aus der Ferne durchgeführt werden kann. Während ein Spion früher irgendwo eingeschleust, also physisch vor Ort sein musste, kann heutzutage durch das Internet von überall auf der Welt spioniert werden. Hinzukommt, dass die Angriffe durch die größeren Datenmengen, die über die Internetleitung in einem relativ kurzen Zeitraum übertragen werden, heute effektiver sein können. Außerdem werden immer mehr Dokumente und Konversationen digitalisiert, die Angriffsfläche erhöht sich also.

Länder wie Nordkorea oder Iran werden immer wieder genannt, wenn es um weltweit führende Hackergruppen geht, obwohl sie analog eher Lokalmächte sind. Verschieben sich durch diese Eigenschaften des Cyberraums die internationalen Kräfteverhältnisse?

Nordkorea und Iran gehören sicherlich zu den Top 15 der Cybernationen. Für diese Staaten findet gerade eine Machtprojektion statt, sie wirken also mächtiger als sie, gemessen an ihren konventionellen Fähigkeiten, eigentlich sind. Die Verschlüsselungssoftware WannaCry – möglicherweise aus Nordkorea – legte im vergangenen Jahr weltweit unter anderem Krankenhäuser, globale Logistikunternehmen und Autohersteller lahm. Es ist ganz klar, dass eine solche weltweite Aktion mit konventionellen, analogen Mitteln nie von Nordkorea aus durchführbar gewesen wäre. Gleiches gilt für den Iran, bei dem in diesem Frühjahr eine Reihe von Cyberoperationen aufgedeckt wurden, die der Staat vermutlich nur sehr schwer mit konventionellen Mitteln hätte durchführen können. Diese Staaten wirken durch den Einsatz von Cyberwirkmitteln also mächtig und werden viel stärker wahrgenommen. Ob diese Operationen aber im Endeffekt größere Auswirkungen als traditionelle Mittel der Kriegsführung haben, hängt davon ab, wie wir Konfliktaustragung verstehen. Wenn wir den Teil betrachten, der sich unterhalb der Schwelle des bewaffneten Konflikts abspielt, dann erreichen Cyberwirkmittel ganz klar eine neue Qualität. Wenn wir aber über diese Schwelle hinausgehen, dann ist noch völlig unklar, ob Cyberwirkmittel alleine tatsächlich einen großen qualitativen Unterschied beim internationalen Kräfteverhältnis ausmachen werden.

 

„Der Cyberraum weist eine völlig andere Beschaffenheit auf als die traditionellen Domänen Land, Luft, See und Weltraum“

 

WannaCry hat eine Debatte ausgelöst, wie sich Staaten noch stärker vor diesen Angriffen schützen könnten. Wieso können wir im Cyberraum nicht auf dieselben Abwehrmechanismen zurückgreifen wie bei traditioneller Gefahrenabwehr?

Das liegt daran, dass der Cyberraum eine völlig andere Beschaffenheit aufweist als die traditionellen Domänen Land, Luft, See und Weltraum. Die Systeme und Software, die im Cyberraum genutzt werden, sind menschengeschaffen; sie können teilweise innerhalb von kurzer Zeit verändert, entfernt oder einfach vom Internet getrennt werden. Der Vergleich passt also nicht. Ein weiterer Punkt sind die aktuell diskutierten Hackbacks, bei denen eine offensive Cyberoperation durchgeführt wird, um eine laufende offensive Cyberoperation des Gegners abzuwehren: Hier wird immer der Vergleich zur Luftabwehr angeführt, die feindliche Flugzeuge abschießt, die in unseren Luftraum eingedrungen sind, um Bomben auf unser Land abzuwerfen. Diese Analogie mag überall funktionieren, aber nicht im Cyberraum. Vielmehr müssen Sie es sich so vorstellen: Jemand schießt eine Rakete von A nach B und Sie stellen einen Raketenwerfer an die Grenze und schießen über eine Mauer zurück, ohne zu wissen, was sie dabei treffen. Das wäre die passendere Analogie.

Was wären also alternative Abwehrmechanismen? Wie sollte Ihrer Meinung nach die Cybersicherheit für Staat, Wirtschaft und Zivilgesellschaft erhöht werden?

Es würde schon helfen, wenn wir uns deutlich mehr auf unsere defensiven Fähigkeiten konzentrieren würden. Die Diskussionshoheit gewinnt in Deutschland momentan derjenige, der am lautesten schreit, dass wir unsere offensiven Wirkungsmittel ausbauen müssen. Das ist meiner Meinung nach eine völlige Fehleinschätzung. Wir können mit mehr Ressourcen in der Defensive viel mehr leisten, und in die müssen wir investieren. Wenn wir jetzt die wenigen Ressourcen, die wir haben, aufsplitten zwischen neuen Behörden, offensiven und defensiven Maßnahmen, dann werden wir an den Punkt kommen, wo beides nicht richtig funktioniert – weder die Offensive noch die Defensive.

Lassen Sie uns noch mal zu den kompromittierten deutschen Regierungsnetzen zurückkommen. Anfang des Jahres wurde bekannt, dass sich die Angreifer seit über einem Jahr in den Systemen des Auswärtigen Amts bewegten. Lange Zeit war unklar, wer dahinter steckt. Warum ist diese Zuordnung im Cyberraum so schwierig?

Zunächst einmal halte ich die Zuordnung nicht für den relevantesten Punkt bei so einer Operation. Natürlich ist es gut zu wissen, wer es war, um weitere Angriffe zu vermeiden und Sanktionen zu verhängen. Aber viel wichtiger ist die Frage, wie es dazu gekommen ist und wie wir uns in Zukunft defensiv besser schützen können. Es hat verschiedene Gründe, wieso die Zuordnung eines Angriffs so schwierig ist. Zum einen können viele technische „Fingerabdrücke“ eines Angriffs – das heißt von wo er durchgeführt wird, mit welchen Mitteln et cetera – gefälscht werden. Natürlich wissen wir, dass bestimmte Gruppen mit bestimmten Werkzeugen, also Codeelementen, operieren, die sie immer wieder nutzen, ebenso wie bestimmte IT-Infrastrukturen. Aber sie können natürlich auch von einem dritten Akteur imitiert werden. Die Amerikaner haben zum Beispiel in der Vergangenheit systematisch untersucht, wie verschiedene Angreifergruppen vorgehen, um diese Vorgehensweisen dann teilweise zu kopieren und zu verschleiern, wer sie eigentlich sind. Das heißt, um eine wirklich technisch einwandfreie forensische Untersuchung durchzuführen, braucht es viel Geduld, gute Leute und unter Umständen die Unterstützung verschiedener Geheimdienste. Das kostet viel Zeit und zahlreiche Ressourcen. Und selbst wenn wir herausfinden, dass der Angriff von einem Rechner B ausging, der in einem Land Z steht, dann wissen wir immer noch nicht, wer diesen Rechner genau benutzt hat. Wir wissen noch nicht mal, ob eine Gruppe, die gegebenenfalls dahintersteckt, von dem jeweiligen Staat unterstützt, geduldet oder von irgendjemand anderem bezahlt wurde. Wir haben in der Vergangenheit gesehen, dass manche Hackergruppen sowohl wirtschaftliche als auch politische Interessen haben. Das heißt, dass sie zum Beispiel fremde Rechner verschlüsseln und gegen Lösegeld wieder freigeben, aber gleichzeitig alle Daten nach bestimmten Schlagwörtern wie zum Beispiel „NATO“ abscannen und diese Dokumente dann extrahieren. Bei solchen Verschmelzungen wird es sehr schwierig, einen Angriff exakt zuzuordnen.

Welche Möglichkeiten der Identifikation bleiben schlussendlich?

Insgesamt gibt es zwei Wege, mit denen man relativ eindeutig nachweisen kann, woher Angriffe kommen: Zum einen gibt es Fälle, in denen Geheimdienste komplette Netzwerke unterwandert haben. Beim Angriff auf Sony Pictures wurde zum Beispiel spekuliert, dass die Amerikaner den Angriff so gut nachweisen konnten, weil sie die nordkoreanische Infrastruktur unterwandert hatten und dadurch eben auch diese Angriffe sehen und aus erster Hand nachvollziehen konnten. Zum anderen gibt es natürlich noch den bereits erwähnten Punkt, dass größere Gruppen oft die gleichen Vorgehensweisen, Codeschnipsel und Infrastrukturen verwenden. Und wenn es einem dann gelingt, einzelne Individuen klar einem Geheimdienst zuzuordnen, wie es zum Beispiel dem niederländischen Inlandsgeheimdienst bei den russischen Angriffen auf die US-Wahl gelungen ist, dann kann man danach natürlich untersuchen, welchen anderen Operationen diese in ihrer Vorgehensweise stark ähnelt.

Welche Auswirkungen hat denn diese erschwerte Zuordnung auf die politischen internationalen Beziehungen?

Wenn Cyberoperationen nicht klar zuzuordnen sind, gibt das dem Verteidiger immer auch die Möglichkeit, nicht oder im Verborgenen zu reagieren. Das ist zum Beispiel von Vorteil, wenn die Regierung das vermeintliche Angreiferland nicht öffentlich an den Pranger stellen möchte, beispielsweise wegen übergeordneten politischen Interessen oder wichtigen internationalen Beziehungen.

Welche Handlungsempfehlungen würden Sie vor diesem Hintergrund der deutschen Bundesregierung geben?

Zum einen müssen wir das strategische Verständnis dafür fördern, was diese Angriffe bedeuten, wo wir uns positionieren und wie wir darauf reagieren wollen. Zum anderen müssen wir mehr Ressourcen bereitstellen, um Cybersicherheit in Deutschland herzustellen. Wir müssen aber auch sicherstellen, dass unsere Cybersicherheitsarchitektur nicht auseinanderfasert. Dass wir also am Ende nicht zehn Behörden haben, die alle irgendetwas mit Cyber machen, sondern dass wir vor allem in der Defensive einen zentralen Ansprechpartner haben. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik, das zivil und defensiv aufgestellt ist und als zentrale Stelle für alle Cybersicherheitsmaßnahmen da ist. Wenn wir weiterhin Behörden gründen oder Behörden neue Kompetenzen im Cyberbereich geben, dann doppelt sich die bestehende Struktur und wir nutzen unsere Ressourcen nicht sinnvoll. Das macht uns im Endeffekt verwundbarer statt sicherer. Hier würde ich der Bundesregierung davon abraten, diesen Ansatz weiterzuverfolgen. Vor allem angesichts der wachsenden Zahl von Akteuren, die dieses neue, relativ günstige Mittel weltweit anwendet. Wenn wir da den falschen strategischen Fokus setzen, verlieren wir diesen Wettlauf.

Interview: Tabea Breternitz

 

 

Cybersecurity

 

 

 

 

Dr. Sven Herpig leitet das Transatlantic Cyber Forum am Berliner Think Tank Stiftung Neue Verantwortung, wo er zu Standards staatlichen Hackens, dem Schutz politischer IT-Infrastruktur im Wahlkampf und in Wahlen, staatlichem IT-Schwachstellenmanagement und EU Cyber-Diplomacy arbeitet. Er ist zudem Lehrbeauftragter der Universität Bonn. Zuvor war er Mitarbeiter des Stabs IT-Sicherheit im Auswärtigen Amt sowie stellvertretender Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.