Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Cyberwar: Grundlagen – Methoden – Beispiele – Teil 1

1. Grundlagen

1.1 Einführung

Der Cyberspace wird wegen der zunehmenden Bedeutung des Internets und der Informationstechnologie inzwischen als fünfte militärische Dimension neben Boden, See, Luftraum und Weltall betrachtet.

Der Cyberwar (Cyberkrieg) ist die kriegerische Auseinandersetzung mit den Mitteln der Informationstechnologie. Dieses Arbeitspapier unternimmt eine aktuelle Bestandsaufnahme und geht auf die theoretischen und praktischen Probleme ein. In der Praxis ist der Cyberwar ein integraler Bestandteil militärischen Handelns, lässt sich jedoch nicht ganz von der Spionage trennen, da das Eindringen in und Aufklären von gegnerischen Systemen wesentlich für das weitere Vorgehen ist.

Nach einem Überblick über Angriffsmethoden, Angreifer (Advanced Persistent Threats), Spionagetools, Cyberwaffen und der Cyberverteidigung liegt ein besonderes Augenmerk auf der Einordnung von Cyberangriffen (Attribution) und der Smart Industry (Industrie 4.0). Anschließend werden die Cyberwar-Strategien der USA, Chinas, Russlands und weiterer führender Akteure besprochen. Weitere Kapitel befassen sich der Künstlichen Intelligenz, der Smart Industry, smarten Systemen und biologischen Anwendungen.

1.2 Hintergrund

Die wachsende Abhängigkeit von Computern und die zunehmende Bedeutung des Internets durch die wachsende Zahl an Nutzern und verfügbaren Informationen sind allgemein bekannt. Hinzu kommt jedoch, dass die immer intensivere Nutzung netzabhängiger Technologien die Anfälligkeit von Staaten für Angriffe in den letzten Jahren gesteigert hat.

Ein erhöhtes Risiko für Cyber-Attacken ergibt sich insbesondere aus:

  • Exponentielles Wachstum von Schwachstellen durch schnellen Anstieg von digitalen Geräten, Anwendungen, Updates, Varianten, Netzwerken und Schnittstellen
  • Computer und Geräte sind keine isolierten Systeme, denn für technische, kommerzielle und Überwachungszwecke müssen digitale Technologien von außen zugänglich bleiben
  • Datenschutz und Privatsphäre erodiert durch freiwillige, unwissentliche oder erzwungene (z.B. durch Nutzungsbedingungen) Datenfreigabe an Dritte
  • Professionelle Suche nach Lücken und Exploits durch Hacker, Hacktivisten, Cyberkriminelle, Sicherheitsfirmen und Forscher, aber auch durch staatliche Behörden oder mit dem Staat verknüpften Gruppen.

Technologien, die die Angriffsfläche für Angriffe erheblich vergrößern, sind

  • Das Next oder New Generation Network NGN, bei dem Fernsehen, Internet und Telefon über das Internetprotokoll (Triple-Play) mit paketweiser Verschickung von Daten arbeiten
  • Das Internet of Things IoT (Internet der Dinge), bei dem Gegenstände Internetadressen erhalten, was in Zukunft ihrer Nachverfolgung, Lokalisation und der Übermittlung von Zustandsmeldungen dienen kann bzw. soll. Im IoT kommunizieren Maschinen und mit Radiofrequency Identification (RFID)-Chips versehene Gegenstände mit Computern und auch miteinander. Eine erhebliche geplante Erweiterung ist auch die Vernetzung von Kraftfahrzeugen zur car-to-car-communication.
  • Die Fernwartung und -steuerung von Industriemaschinen über speicherprogrammierbare Steuerungen, auch als Industrial Control Systems ICS Supervisory Control and Data Acquisition SCADA bezeichnet. SCADA-Systeme ermöglichen die Kommunikation mit Maschinen über das Internet.
  • Die Kombination aus machine-to-machine communication, Internet of Things und SCADA-Systemen ist ein zentrales Element cyber-physischer Systeme CPS, in denen Produktionsprozesse zunehmend durch Netzwerke von Maschinen, Produkten und Materialien gemanagt und ggf. auch modifiziert werden.
  • Andere Erweiterungen des Netzes sind intelligente Haushaltsgeräte und Stromzähler (smart grid) und die Nutzung externer Rechenzentren über das Internet anstelle der Vorhaltung eigener Kapazitäten (cloud computing), siehe Abschnitt 8.8.
  • Die Einführung internetfähiger Mobiltelefone (smartphones), die nun auch die Funktionen von Navigationsgeräten (Global Positioning System GPS-Standortangaben) integrieren und nun im Rahmen des ‘bring your own device (BYOD)’ und des ‘company owned, personally enabled (COPE)’-Konzepts als Schlüsselgerät für die kabellose Koordination multipler Geräte und Maschinen, z.B. in smart homes.
  • Der Trend entwickelt sich von smarter cities mit erweiterter IT-Infrastruktur zu smart cities, wo die gesamte Stadt mit einer vorgeplanten umfassenden IT-Infrastruktur für alle relevanten städtischen Funktionen ausgestattet ist.
  • Die Vernetzung von Waffen und Geräten in der vernetzten Kriegführung schafft bis dahin unbekannte Probleme, z.B. die Absicherung und Stabilisierung fliegender Computernetzwerke in der Luftwaffe.

Aus all dem resultiert eine deutlich gestiegene Verwundbarkeit und informationstechnische Abhängigkeit kritischer Infrastrukturen (KRITIS). Auf der anderen Seite ist die Durchführung eines Angriffs erheblich vereinfacht.

  • Dank des Netzes können die Angriffe nun auch aus großer Entfernung erfolgen. Sie erfordern ein gewisses technisches Knowhow, aber wesentlich weniger materiellen und logistischen Aufwand als konventionelle Angriffe
  • Dadurch sind auch asymmetrische Angriffe von kleinen Gruppen auf große Ziele wesentlich leichter möglich
  • Sowohl die Erkennung eines Angriffes als auch die Identifizierung der Angreifer ist bei guter Vorbereitung des Angriffs wesentlich schwieriger als bei konventionellen Angriffen (sog. Attributionsproblem), so dass auch die Abschreckung durch Bestrafung oder Gegenwehr erschwert wird.

Auch gibt es einen signifikanten Trend zu immer aggressiveren und größeren Angriffen, wie im Abschnitt 2.3.1.1 dargestellt.

Die Autoren sind sich nicht einig, wann der erste Cyberwar stattgefunden hat, aber die ersten Aktivitäten, die man in diesem Kontext diskutierte, begannen schon im Jahr 1998 mit der Operation Moonlight Maze.

1.3 Cyberwar Definition

Der Begriff Cyberwar (auch: cyber war, cyber warfare, Cyber-Krieg, Krieg der Computer, Computerkrieg) ist aus den Begriffen War und Cyberspace zusammengesetzt und bezeichnet die kriegerische Auseinandersetzung mit den Mitteln der Informationstechnologie. Abgesehen von den praktischen Schwierigkeiten einer Definition des Cyberwar hat es auch politische und rechtliche Bedenken gegen eine offizielle Definition gegeben, denn eine Handlung, die die Kriterien einer solchen Definition erfüllt, könnte einen erheblichen politischen und militärischen Handlungsdruck auslösen.

Da Krieg im klassischen Sinne die Auseinandersetzung zwischen 2 Staaten ist, wird zuweilen bezweifelt, ob es überhaupt schon Cyberwars gegeben hat und ob Cyberwar als eigenständige Konfliktform überhaupt denkbar ist. Jedoch gehen die meisten Autoren davon aus, dass groß angelegte und komplexe Cyberangriffe wegen der benötigten Ressourcen und der möglichen Folgen nicht ohne Rückendeckung staatlicher Organisationen stattfinden, so dass eine Reihe von Vorfällen, bei denen sich der Urheber nicht klären ließ, in der Literatur dem Cyberwar zugeordnet werden.

Der erste Chef des US Cyber Command Cybercom, General Keith Alexander, sah die Notwendigkeit einer erweiterten Definition, die klarstellt, dass es auch um den Schutz der eigenen Systeme und der Handlungsfreiheit (freedom of action) geht. Dabei wurde deutlich, dass der Cyberwar nicht als eigenständige Maßnahme, sondern als integraler und unterstützender Bestandteil allgemeiner militärischer Operationen angesehen wird und dass dieser nicht nur wie oben beschrieben offensive, sondern auch defensive Komponenten enthält. Ein Vergleich der Cyberwar-Konzepte mehrerer NATO-Staaten mit Russland und China zeigt auch unterschiedliche Auffassungen zu der Frage, ob der Cyberwar nur die militärische, oder auch die zivile und wirtschaftliche Seite mit einbeziehen soll. Die USA haben dennoch eine genauere und pragmatische Cyberwar-Definition erarbeitet.

2007 hatte das strategische Kommando USSTRATCOM den network warfare (Krieg im Netz) noch als „den Einsatz von Computernetzwerken mit der Absicht, dem Gegner die effektive Nutzung seiner Computer, Informationssysteme und Netzwerke zu verwehren“ definiert. Diese Überlegungen spiegeln sich in der aktuellen Cyberwar-Definition der US Army wider:

„Cyberwar ist jener Teil der Operationen im Cyberspace, durch die die Wirkungen der verfügbaren Cyberkapazitäten über die defensiven Grenzen des eigenen Netzwerkes hinaus ausgedehnt werden, um den Gegner aufzuspüren, ihn abzuschrecken, ihn zu blockieren und um ihn zu schlagen. Der Cyberwar zielt auf Computer, Telekommunikationsnetzwerke und eingebaute Prozessoren in technischen Geräten, den Systemen und der Infrastruktur.“

Diese Definition stellt klar, dass der Cyberwar nicht auf das Internet beschränkt ist, sondern die gesamte Digitaltechnologie umfasst. Die Cyber-Kriegs-Konzepte der USA und Chinas stimmten von Anfang an dahingehend überein, dass der Einsatz von Computern im militärischen Bereich nur ein Teil anderer militärischer Aktivitäten ist. Die Debatte über die Frage, ob ein Krieg durch Computerangriffe allein entschieden werden kann, ist rein theoretischer Natur, für die militärische Praxis wurde diese Option niemals in Betracht gezogen.

Manchmal wird auch diskutiert, ob Computer wirklich ein Teil eines Krieges sein könnten, da Computerangriffe Menschen nicht töten konnten, aber in der militärischen Praxis ist diese Debatte irreführend. Computer sind einfach technische Werkzeuge wie z.B. Radarsysteme. Radarsysteme töten die Feinde nicht direkt und in der Tat retten sie viele Leben im zivilen Luftverkehr, aber niemand würde daran zweifeln, dass Radarsysteme auch ein Teil anderer militärischer Aktivitäten sind. Die Russen schließen in ihrer Cyberwar-Definition den Informationskrieg mit ein, wobei die Verbreitung von Meinungen und Informationen im Netz politischen und gesellschaftlichen Zwecken dient und nicht wie der eigentliche Cyberwar militärisch-technischen Zielen, siehe auch Kapitel 2.2.6.

1.4 Cyberwar und Spionage

Es ist wichtig, sich den Unterschied zwischen Spionage und Cyberwar nochmal genauer anzuschauen. Hacker versuchen mit Schadsoftware, englisch Malware in ein digitales Gerät wie Computer oder z.B. auch Smartphones einzudringen, um dann Aktionen zur Spionage, Manipulation, Sabotage, Diebstahl/Erpressung und Missbrauch auszuführen. Hacker müssen nicht nur in die Computer/Geräte rein, sondern die Informationen dann auch wieder raus, zum sogenannten Command and Control-Server. Diese Zweigleisigkeit ermöglicht oft erst die Entdeckung einer Infektion und auch die Rückverfolgung des Angreifers.

Um einen Computer oder System beschädigen zu können, muss man also erstmal drin sein. Es gibt umfangreiche Spionageaktivitäten und wenig Cyberwar, aber man muss sich aber im Klaren darüber sein, dass der Cyberwar oft nur einen zusätzlichen Mausklick erfordern würde. So gesehen ist es einerseits verständlich, warum Sicherheitskreise die Gefahr eines Cyberwars für hoch halten und entsprechende Maßnahmen fordern, während anderen die Sache aufgebauscht vorkommt, weil man noch keinen großen Cyberwar beobachten konnte. Die Grenzen zwischen Spionage und Cyberwar sind fließend, da das eine das andere voraussetzt, was sich auch in der oft ungenauen Berichterstattung widerspiegelt. Eine in der CIA geführte Diskussion zur Digitalisierung der Spionage kam laut US-Medien zu dem Schluss, dass digitale Spionage letztlich die bisherige Arbeit nur ergänzen, aber keinesfalls den Agenten vor Ort ersetzen kann.

1.5 Terminologie

Allgemein werden Angriffe auf Computer, Informationen, Netzwerke und computerabhängige Systeme auch als Cyberattacken bezeichnet. Cyberattacken können auch privater, kommerzieller oder krimineller Natur sein, wobei bei allen Angriffen dieselben technischen Methoden zum Einsatz kommen, was die Identifikation des Urhebers und des Angriffsmotivs mitunter schwierig bis unmöglich macht. Hat die Attacke einen terroristischen Hintergrund, spricht man vom Cyberterrorismus, zielt der Angriff auf die Gewinnung von Informationen ab, spricht man von Cyberspionage. Natürlich sind auch Cyberterrorismus und Cyberspionage illegal, zumeist wird der Begriff der Cyberkriminalität aber nur für konventionelle Straftaten wie den Diebstahl von Geld über den Zugriff auf fremde Onlinebankingdaten verwendet.

Im Unterschied zum Cyberwar erfolgt die Cyberspionage in der Regel passiv, d.h. es findet keine Sabotage oder Zerstörung des angegriffenen Systems statt, da dies ja auch den Informationsfluss an den Angreifer unterbrechen und den Angriff aufdecken würde. Großangelegte Spionageangriffe können jedoch auch zu Computer- und Netzwerkstörungen führen und werden dann mitunter in der Literatur ebenfalls dem Cyberwar zugerechnet. Die Vernetzung von Computern in einer besonders geschützten Internetumgebung bildet zusammen mit der Verbesserung von Verschlüsslungen zum Schutz der Kommunikation, generellen Verbesserungen der Mustererkennung und dem Global Positioning System (GPS) die technische Grundlage für eine Vielzahl technischer und strategischer Neuerungen, die in den USA unter dem Begriff Revolution in Military Affairs (RMA) zusammengefasst werden.

Dazu gehört neben bereits etablierten Anwendungen

  • wie dem Radarflugzeugsystem Airborne Early Warning and Control System (AWACS), das der großräumigen Radarüberwachung aus der Luft dient,
  • der Einsatz der vernetzten Kriegführung (Network based warfare NBW), bei der die C4ISR (Command, Control, Computers, Communications, Information for intelligence, surveillance, and reconnaissance) im Zentrum steht, d.h. die Vernetzung aller Führungs-, Informations- und Überwachungssysteme zur Gewinnung eines genauen Lagebildes und zur Verbesserung der Entscheidungsfindung und Führungsfähigkeit
  • der Einsatz von Lenkwaffen wie smart bombs (intelligente Bomben)
  • der Einsatz unbemannter Systeme wie der Drohnen (Unmanned Aerial Vehicles UAV) oder auch Bombenentschärfer (PackBots)
  • und die integrierte Kriegführung.

Die Drohnen dienen nicht mehr nur der Aufklärung, sondern können auch zur Terroristenbekämpfung eingesetzt werden, wie z.B. schon in Afghanistan und Pakistan erfolgreich geschehen. Drohnen eignen sich generell für alle Arten von Operationen, die „dull, dirty, dangerous or difficult“ sind. Der operative Erfolg der Drohnen hat die Nachfrage entsprechend steigen lassen.

Bei der integrierten Kriegführung werden zivile Ziele und Organisationen in die Planung und Durchführung des Krieges mit eingebunden und die Informationsführung während des Krieges systematisch geplant und ausgeführt. Die gezielte Einbettung der Medien in den politisch-militärischen Kontext soll den Informationsfluss und die -politik in einer für den Einsatz günstigen Weise lenken. Dieser ganzheitliche Ansatz wird auch als Effects based operations EBO bezeichnet und zielt auf die Erringung der Informationsüberlegenheit ab, die in Krieg und Frieden auf alle Akteure, also auch auf die Freunde eine Einflussnahme ermöglichen soll.

Mittlerweile hat das US-Verteidigungsministerium die Inhalte und Ziele der informationellen Kriegsführung (Information Operations IO) genauer klassifiziert. Ziel der IO ist die Erlangung und Optimierung von 5 Kernfähigkeiten (core capabilities), nämlich

  • der erfolgreichen psychologischen Kriegsführung (psychological operations PSYOP) zur Erringung der Informationsüberlegenheit, wobei man noch die Gegenspionage (Counterintelligence CI), Gegenpropaganda und öffentliche Information (Public Affairs PA) abgrenzen kann
  • der Irreführung des Gegners (military deception MILDEC), z.B. der gegnerischen Luftabwehr wie während des Irakkrieges
  • der Sicherung der eigenen Operationen (Operation Security OPSEC), z.B. durch Verhindern des versehentlichen Ins-Netz-Stellens militärisch verwertbarer Informationen
  • dem Cyberwar im engeren Sinne als computer network operations (CNO), der sich in drei Gruppen gliedern lässt: Angriffe auf Computer, Informationen, Netzwerke und computerabhängige Systeme (computer network attacks CNA) bezeichnet, die Entwendung von Informationen als computer network exploitation (CNE) und die Schutzmaßnahmen gegen beides als computer network defence (CND)
  • die klassische elektronische Kampfführung (electronic warfare EW) mit Hilfe der Schädigung des Gegners durch Störsignale und ähnliche Maßnahmen.

1.6 Cyberwar und Völkerrecht

Der Begriff des Gegners (‘adversary’) in der o.g. Definition wird in der Literatur sowohl auf staatliche als auch auf nicht-staatliche Akteure bezogen. Ein nicht-staatlicher Akteur bzw. dessen Attacken können durchaus auch eine militärische Antwort erfordern, wenn polizeiliche oder nachrichtendienstliche Mittel allein nicht ausreichen. Selbst wenn Krieg völkerrechtlich ein Konflikt zwischen Staaten ist, muss sich ein Cyberwar-Konzept auch mit Angriffen nicht-staatlicher Akteure auseinandersetzen. Dies führt zu der entscheidenden Frage, ab wann man von einem Krieg sprechen kann. Letzten Endes ist die Entscheidung zum Krieg ähnlich wie in konventionellen Auseinandersetzungen eine strategische und politische Entscheidung, die nicht schon vorab definiert werden kann. Dies gilt auch für die Art der Gegenmaßnahme, denn man kann einen Cyberangriff im Prinzip auch mit politischen Sanktionen oder konventionell vergelten, Automatismen sind wegen des Eskalationspotentials nicht unproblematisch.

Man darf auch das Attributionsproblem, d.h. die korrekte Zuordnung eines Angriffs zu einem bestimmten Angreifer, nicht außer Acht lassen, denn man kann nicht auf einen bloßen Verdacht hin in eine bestimmte Richtung vergelten. Um die resultierenden Unsicherheiten und um eine unkontrollierte Eskalation von Cyberkonflikten zu vermeiden, hat die US-Regierung im Frühjahr 2012 eine Initiative zur Errichtung von Cyber-Hotlines (in Analogie zu den ‘roten Telefonen’ des kalten Krieges) mit Russland und China gestartet.

Die UN-Organisation International Telecommunications Union (ITU) wurde bei den World Summits on the Information Society 2003 und 2005 beauftragt, ihren Mitgliedern als neutrale Organisation der Cybersicherheit zu dienen. So leitete die ITU die Untersuchung der 2012 entdeckten Computerinfektionen mit der Spionagesoftware Flame.

Seit Jahren wird eine globale Cyber-Konvention diskutiert, aber da der Cyberspace die einzige vom Menschen künstlich erzeugte Domäne ist, würde eine Konvention nicht nur die Aktivitäten innerhalb einer natürlich gegebenen Domäne regulieren, sondern könnte sich auch auf die Struktur der Domäne selbst auswirken oder diese gar bestimmen. Jedoch wurde von den Vereinten Nationen im Juli 2015 eine Art Cyber-Konvention angenommen, der Report of the United Nations Group of Governmental Experts (UN GGE) on Developments in the Field of Information and Telecommunications (ICT). Der Report enthält Empfehlungen zur Guten Cyberpraxis, aber auch einige Verbote. Die Staaten sollten zusammenarbeiten, um die Sicherheit und Stabilität der Nutzung der Informations- und Kommunikationstechnologie zu gewährleisten und schädlichen Handlungen vorbeugen und zu diesem Zwecke einen Informationsaustausch mit allen relevanten Informationen betreiben. Auf der anderen Seite sollten die Staaten schädliche Aktivitäten weder unterstützen noch durchführen, die Verbreitung schädlicher Anwendungen verhindern und die Privatsphäre und die Menschenrechte im Internet respektieren.

Diese Dokument wurde von der amerikanischen Cyberdiplomatie unterstützt, weil aus amerikanischer Sicht die meisten Cybervorfälle unter der völkerrechtlichen Schwelle einer Gewaltanwendung liegen, so dass kein Gegenschlag zur Selbstverteidigung zulässig ist; aus diesem Grunde sollten sich Staaten in Friedenszeiten gewissen grundlegenden Selbstbeschränkungen unterwerfen.

Das NATO Cyber Defense Centre of Excellence (CCD CoE) hat 2013 das Tallinn Manual on the International Law applicable to Cyber Warfare vorgelegt, das von einer internationalen Expertengruppe erstellt wurde und sowohl das Völkerrecht des jus ad bellum (Recht zur Anwendung von Gewalt) wie das ius in bello (Völkerrecht im Rahmen bewaffneter Auseinandersetzungen) behandelt.

Insgesamt befinden sich die vorgeschlagenen Regeln für den Cyberkrieg im Einklang mit den Regeln zur konventionellen Kriegsführung und der Cyberwar wird wie jede andere militärische Auseinandersetzung behandelt (use of force, rule 11). Gemäß Regel (rule) 41, “means of cyber warfare are cyber weapons and their associated cyber system, and methods of cyber warfare are the cyber tactic, techniques, and procedures by which hostilities are conducted (Übersetzung: Mittel des Cyberwars sind Cyberwaffen und das zugehörige Cybersystem und Methoden des Cyberwars sind die Cybertaktik, -techniken und -prozeduren, mit denen die Feindseligkeiten ausgetragen werden)”. Das Schlüsselelement ist jedoch die Cyberattacke, die definiert wird als “a cyber operation, whether offensive or defensive, that is reasonably expected to cause injury or death to persons or damage or destruction of objects (Übersetzung: eine defensive oder offensive Cyberoperation, bei der mit einem Personenschaden oder Toten oder der Beschädigung oder Zerstörung von Objekten gerechnet werden muss”) (rule 30). Cyberwar-Aktivitäten können auch mit anderen militärischen Mitteln beantwortet werden (verhältnismäßige Gegenantwort, rule 5.13). Die Regeln gelten jedoch nicht für die reine Cyberspionage (rule 6.4) und Angriffe müssen einem Staat eindeutig zugeordnet werden können (rule 6.6). Nicht-staatliche Akteure können jedoch unter diese Regeln fallen, falls der Staat über sie effektive Weisungsbefugnis und Kontrolle hat (rules 6.10, 6.11). Laut einer Mitteilung des CCD CoE im Februar 2016 waren die Arbeiten zu einem Update als Tallinn Manual 2.0 bereits im Gange. Die NATO betrachtet den Cyberspace nun auch formell als Ort militärischer Handlungen.

1.7 Die Geostrategie des Cyberspace

Inzwischen haben sich die Strukturen im Cyberspace verfestigt und professionalisiert. Es werden immer mehr spezialisierte Cybereinheiten errichtet, sei es auf nachrichtendienstlicher Ebene oder im militärischen Bereich. Damit einhergehend richtet sich der Blick vermehrt auf die Sicherung der eigenen nationalen IT-Infrastruktur, was mit einem wachsenden Risiko der Fragmentierung des Internets einhergeht.

Nachdem lange Zeit die Vorstellung des Cyberspace als virtueller Welt dominierte, setzt sich in Sicherheitskreisen ein immer physischeres Verständnis durch: wer die Geräte und die Leitungen kontrolliert, der kontrolliert auch die darin befindlichen Daten.

1.7.1 Die physische Kontrolle über die Datenflüsse

Die langfristigen Strategien zielen darauf ab, trotz der weltweiten Vernetzung die physische Kontrolle über die Datenflüsse zu sichern bzw. wieder zurückzuerlangen. Tatsächlich hat sich die Vorstellung, man könnte seine Bevölkerung und die Gegner langfristig virtuell kontrollieren, in der Praxis aus drei Gründen als problematisch erwiesen:

  • War früher der Zugang zu Informationen oft vertikal-hierarchisch gegliedert, hat die Vernetzung dazu geführt, dass aggressive Hacker selbst Präsidenten angreifen und ihre Informationen freigeben können. Leaks werden immer häufiger und schwerwiegender.
  • Virtuelle Überwachung ermöglicht eine nie dagewesene Kontrolle der eigenen Bevölkerung. Dies gilt auch für gegnerische Angreifer, wie bei dem sogenannten ‘OPM-Breach’, bei dem Hacker die Personalakten und digitale Fingerabdrücke sicherheitsüberprüfter Amerikaner kopierten.
  • Drittens kann virtuelle Kontrolle nur bei technischer Überlegenheit zur Machtgewinnung und –sicherung beitragen, denn wenn der Vorsprung schmilzt, ist es praktisch unmöglich, sich gegnerische Angreifer noch vom Leibe zu halten.

Die physische Datenkontrolle soll auf verschiedene Weise (wieder)-erlangt werden, nämlich durch

  • physischen Systemzugang
  • Bildung von Cyberinseln
  • und Herausdrängen von ausländischen Firmen aus der eigenen Sicherheitsarchitektur.

Langfristige Kontrolle gewährt einem stets der physische Systemzugang, z.B. Zugang zu Servern, zu Internetknoten, das Anzapfen von Tiefseekabeln usw. oder leitet mit strategisch platzierten Knotenrechnern den Datenverkehr um mit dem sogenannten Border Gateway Protocol hijack. US-Studien haben gezeigt, dass der gesamte Datenverkehr von Staaten auf diese Weise schon wochenlang umgeleitet und kopiert wurde, im Prinzip aber auch vernichtet werden könnte.

Zunehmend verlangen Staaten, dass Server von international agierenden Providern im eigenen Land aufgestellt werden, so dass die Behörden direkten Zugriff auf das System haben können. Noch weitergehend verlangen einige Staaten, dass bestimmte Daten nur noch national gelagert werden und das Land nicht verlassen dürfen. Das mag gegen Spionage nicht wirklich helfen, aber es steigert die Angriffsrisiken und -kosten des Angreifers.

Frühere Versuche der physischen Kontrolle durch Abtrennung von Teilsystemen vom Netz konnten den gegnerischen Zugriff jedoch meistens nicht verhindern, sondern nur verzögern.

Trotz der Zunahme des Hackens aus sicherer Entfernung sind physisch präsente Abhör- und Datensammeleinrichtungen in Zielnähe immer noch das Rückgrat einer nachhaltigen und erfolgreichen nachrichtendienstlichen Tätigkeit.

  • Bildung von Cyberinseln

Zugriffssperren auf Inhalte ausländischer Provider, in Verbindung mit Blockaden von Virtual Private Network VPN-Tunneln ermöglichen die Schaffung von nationalen Netzen bzw. Cyberinseln.

Eine ‘weiche’ Inselbildung ist das Anbieten nationaler Services und Plattformen, wodurch die Attraktivität für die eigene Bevölkerung gesteigert und gleichzeitig sprachliche und ggf. auch technische Eingangshürden für Ausländer geschaffen werden.

Einen Sonderfall stellt Russland dar, dessen Netz sich in Sowjetzeiten eigenständig entwickelte und heute auch als Runet bekannt ist. Die lange Abstinenz des Westens ergab eine bis heute anhaltende Dominanz russischer Anbieter. Aus dem ursprünglichen sowjetischen Internetsystem Relkom entwickelte sich der russische Teil des Internets. Schon früh entwickelte sich die Suchmaschine Yandex (Yet another index) und das Soziale Netzwerk VKontakte, die beide nach wie vor den Markt beherrschen.

Die Blockade des Internetzugangs und/oder die Verlangsamung der Netzwerkgeschwindigkeit sind häufige Maßnahmen der Nationalstaaten zur Kontrolle politischer Spannungen. Im Jahr 2015 wurde dies in 75 Fällen durchgeführt, 2016 bereits in 106 Fällen.

  • Herausdrängen von ausländischen Firmen aus der eigenen Sicherheitsarchitektur

Staaten achten zunehmend darauf, dass sich keine ausländischen Anbieter in ihre kritische Infrastruktur einkaufen können und so in den Verteidigungsperimeter des jeweiligen Staates gelangen. Auch gelangen ausländische Sicherheitsfirmen zunehmend in das Visier von Ermittlern.

1.7.2 Die Kontrolle kritischer Komponenten

1.7.2.1 Rohstoffe

China besaß 2010 einen 97%igen Marktanteil an seltenen Erden (speziellen Industriemetallen wie Niob, Germanium, Indium, Palladium, Kobalt und Tantal), die für die IT- und Elektronik-Industrie unersetzlich sind und die bisher nicht hinreichend wirtschaftlich recycelt können, und China schränkte vor dem Hintergrund eines wachsenden Eigenbedarfs bei gleichzeitig schwindenden bekannten Vorräten zunehmend das Exportvolumen ein. Der hohe Marktanteil kam durch die zunächst konkurrenzlos billigen Lieferungen aus China zustande, weshalb andere Marktteilnehmer aufgaben; die Exploration außerhalb Chinas wurde unter Hochdruck wieder aufgenommen und hat zu sinkenden Preisen geführt.

Die USA haben im Jahr 2019 35 Rohstoffe als kritisch identifiziert, aber weisen bei 14 dieser Rohstoffe keine eigene Produktion auf. Bei den seltenen Erden hat China im Jahr 2019 71% Marktanteil und 37% der Reserven, wobei Vietnam und Brasilien mit je 18% Reserven zukünftige Ausweichförderstaaten darstellen könnten.

1.7.2.2 Die Verflechtung USA – China

Sowohl die USA als auch China sind wichtige Cyber-Mächte: China ist der wichtigste Produzent von physischer Elektronik in Computern und Smartphones, selbst US-Firmen lagern ihre Produktion oft nach China aus. Das ist sinnvoll, da China der Haupteigentümer von computerrelevanten Metallen ist. Daher produziert China 75 Prozent der Mobiltelefone und 90 Prozent aller PCs weltweit, da selbst US-Unternehmen diesen Produktionsschritt nach China auslagern.

Auf der anderen Seite dominieren die USA das Infrastrukturniveau der zentralen Server und der Tiefseekabel. In der physischen Welt ist das Internet immer noch an ein physisches Netzwerk mit einem signifikanten Zentralisierungsgrad gebunden. Das US-amerikanische Unternehmen Equinix steuert laut Firmenwebseite mit eigenen IXPs und Co-Location von Client-Computern in ihren Rechenzentren rund 90% (!) der Datenübertragung des Internets.

1.7.2.3 Der Huawei-Konflikt

Die USA und Indien haben 2010 den großen chinesischen Netzausrüster Huawei und dessen Wettbewerber ZTE beschuldigt, Spionagesoftware in ihren Produkten installiert zu haben, Huawei konnte jedoch zumindest die indische Regierung durch Offenlegung des Quellcodes und Zusicherung von Inspektionen von der Sicherheit seiner Produkte überzeugen. Die US-Behörden wiesen Huawei wegen Sicherheitsbedenken an, ihre Anteile an der Cloud computing Firma 3Leaf zu verkaufen.

Wie in den Vorjahren wurden Sicherheitsbedenken gegen das chinesische Unternehmen Huawei im Jahr 2018 von westlichen Ländern geäußert, da dieses mittlerweile einer der größten globalen Smartphone-Hersteller und auch einer der größten Infrastrukturanbieter, insbesondere von Funkmasten für Smartphones und anderen Datenverkehr ist. In Deutschland lieferten sie fast 50 Prozent aller Funkmasten, während Huawei-Komponenten im deutschen Regierungsnetz trotz Protesten bereits verboten waren. Während die deutsche IT-Sicherheitsorganisation BSI in der technischen Analyse bisher nichts fand, ist die Technik sehr komplex, was eine Verunsicherung hinterlässt.

Die Huawei-Problematik eskalierte aus zwei Gründen: Die nächste Internet-Kommunikationsgeneration 5G kommt, die erstmals eine breite Umsetzung des Internets der Dinge und intelligenter Home- und Smart City-Lösungen, insbesondere durch deutlich höhere Datenströme, Echtzeitübertragung, massiv reduzierte Latenzzeiten (Übertragungsverzögerungen) unter 1 Millisekunde und einem reduzierten Energiebedarf für die Übertragung pro Bit ermöglichen wird. Der andere Punkt war die Verhaftung der Finanzchefin von Huawei in Kanada wegen vermuteter Verstöße gegen die US-Sanktionen gegen den Iran am 01. Dezember 2018.

In Großbritannien arbeitet Huawei mit dem eigens eingerichteten behördlichen Huawei Cyber Security Evaluation Centre (HCSEC) zusammen. Während die Zusammenarbeit zwischen Huawei und HCSEC seitens des HCSEC 2019 insgesamt als positiv und transparent bewertet wurde, ist die Anzahl der Schwachstellen in ihren Systemen auf mehrere hundert angestiegen (Punkt 3.11), und selbst bekannte Schwachstellen wurden aufgrund einer raschen Produktentwicklung und -aktualisierung erneut ausgenutzt. Die HCSEC schlug Änderungen von Software bis hin zu Chips vor (Punkt 3.16). Das Problem lag also in einer (zu) schnellen Produktentwicklung.

Die Sanktionen der USA gegen Huawei 2019 sollen den wachsenden Einfluss von Huawei zurückdrängen, so dass die USA auch anderen Ländern raten, Produkte nicht mehr in sicherheitsrelevanten Bereichen einzubauen. Huawei ist inzwischen der weltweit führende Mobilfunkausrüster bei der Infrastruktur mit über 30% Marktanteil und hat Apple bei den Smartphones überholt. Huawei hat 92 Zulieferer, davon 33 aus den USA, hierzu gehört das Android-System von Google, Qualcomm-Chips und Microsoft-Anwendungen. Weitere Handelsbeschränkungen zwischen den USA und Huawei wurden im Jahr 2020 eingeführt, die auf die Produktionsfähigkeit von Huawei abzielten.

1.7.2.4 Clean Network versus 3-5-2

Bereits seit Jahren nutzen die USA und China eine zunehmend getrennte Internetumgebung. Während die USA von den „Big Five“ (Google, Apple, Microsoft, Amazon und Facebook) dominiert werden, verfügt China über die Messenger-Plattform WeChat (im Besitz von Tencent), die Suchmaschine Baidu, das Twitter-Äquivalent Sina Weibo und die Videoanwendungen Tiktok/Duoyin (beide im Besitz von Bytedance) und Kuaishou. Jetzt arbeiten beide Staaten an der vollständigen Trennung ihrer Internetinfrastruktur, die das Risiko einer Trennung des Internets in zwei verschiedene Technologiewelten birgt.

Im Rahmen des 3-5-2-Projekts von Ende 2019 hat Peking allen Regierungsstellen und öffentlichen Einrichtungen befohlen, ausländische Computerausrüstung und – software innerhalb von drei Jahren zu entfernen, wobei 30% im ersten, 50% im zweiten und 20% im dritten Jahr entfernt sollten, was den Namen 3-5-2 erklärt.

Auf der anderen Seite haben die USA im Jahr 2020 das Clean Network-Programm eingerichtet, mit dem chinesische IT-Komponenten aus der IT-Infrastruktur in den fünf Bereichen Clean Carrier, Clean Apps, Clean Store, Clean Cable und Clean 5G Path entfernt werden sollen.

1.7.3 Der Trend zur Zentralisierung

In der Sicherheitsarchitektur herrscht ein Trend zur Zentralisierung vor, um die Koordination zu verbessern, aber auch, um Angriffspunkte durch zu kleinteilige oder zu komplexe Netzwerkarchitekturen und um Schnittstellen zu verringern.

Eine vereinfachte Netzwerkstruktur und Zentralisierung wäre durch den Einsatz des cloud computings denkbar, bei dem sich die Daten und Programme nicht mehr auf den Festplatten der Computer befinden, sondern die Arbeit nach dem Login auf Computern von großen Rechenzentren erledigt wird. Dadurch würde nicht nur die Komplexität der Netzwerke, sondern auch die Zahl möglicher Angriffspunkte erheblich reduziert. Dabei muss man jedoch bedenken, dass diese zentralen Rechenzentren selbst Angriffspunkte von Cyberattacken, aber auch Gegenstand klassischer Spionage und konventioneller physischer Angriffe sein können.

Generell ist hier eine Trendwende zu beobachten, denn das Internet bzw. der Vorgänger ARPANET wurden installiert, um die Erfolgswahrscheinlichkeit eines physischen Angriffs durch Dezentralisierung zu reduzieren. Insgesamt liegt also ein strategisches Optimierungsproblem vor, bei dem die Vorteile der Dezentralisierung (Schutz vor physischen Angriffen) gegen die der Zentralisierung (Schutz vor virtuellen Angriffen) abgewogen werden müssen.

Während die Frage der technischen Zentralisierung ein Optimierungsproblem darstellt, besteht doch weitgehende Einigkeit über die Notwendigkeit einer administrativen Zentralisierung und Koordinierung der nationalen Cyberaktivitäten.

In der Regel beginnen die Staaten die Verwaltung von Cyber-Angelegenheiten mit der Einrichtung von Cyber-Behörden. In einem zweiten Schritt werden neue Fragen mit der Einrichtung weiterer Behörden angesprochen, die dann zu überlappenden oder unklaren Verantwortlichkeiten führen. Der letzte Schritt ist dann Umstrukturierung und Zentralisierung.

Klaus Saalbach; 2020

https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598

https://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

Kategorie: Cybersecurity
© Swiss Infosec AG 2024