Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Cyberwar: Grundlagen – Methoden – Beispiele – Teil 15

9.3 Die Volksrepublik China

9.3.1 Überblick

Sowohl der Zivil- als auch der Militärsektor von China stehen unter der Kontrolle der Kommunistischen Partei Chinas. Chinas Volksbefreiungsarmee PLA wird verdächtigt, große Cybereinheiten an mindestens einem halben Dutzend Standorten zu unterhalten. Der zuständige PLA-Bereich ist das General Staff Department GSD, das aus 4 Abteilungen besteht. Dies besteht aus der Abt. Operationen in der 1. Abteilung, Abt. Intelligence in der 2. Abteilung, Signals Intelligence und Netzwerk-Verteidigung in der 3. Abteilung und elektronische Gegenmaßnahmen und offensive Cyber-Operationen in der 4. Abteilung.

China hat die formale Informationskriegsstrategie „Integrated Network Electronic Warfare“ (INEW) für computer network operations (CNO) für Computernetzwerkangriffe (CNA) und Electronic Warfare (EW) in der 4. Abteilung der GSD eingeführt, während die Computer Network Defense (CND) und die SigInt in der dritten Abteilung verbleibt. China berichtete im Jahr 2011, eine militärische Gruppe von 30 Cyberexperten zu haben, die auch als Blaue Armee bezeichnet wird und ein Cyber-Trainingszentrum in Guangdong. Chinesische APTs wurden früher in Abschnitt 5 vorgestellt.

Ab 2017 verlangt ein neues Cyber-Sicherheitsgesetz für kritische Infrastruktur-Sektoren, dass Hard- und Software eine Sicherheitsüberprüfung durch den Staat durchlaufen, bevor sie von ausländischen Unternehmen geliefert werden. Dazu ist die Datenspeicherung ab jetzt nur auf chinesischen Servern erlaubt. Unterdessen sind die USA der Ansicht, dass das Ministerium für Staatssicherheit 2015 die Koordination von Cyber-Operationen von der PLA übernommen hat. Im Jahr 2018 stand die APT10 im Verdacht, mit dem Ministerium für Staatssicherheit in Verbindung zu stehen.

9.3.2 Strategische Ziele

Die chinesische Strategie besteht darin, zunächst das gegnerische Netzwerk zu treffen, um dann die resultierende ‚operative Blindheit’ des Gegners mit konventionellen Waffen zu überprüfen und ggf. weiter vorzugehen. Natürlich besteht das Risiko, dass der Gegner sein Netz wieder repariert, so dass diese Strategie auf lange Sicht erfolglos sein kann; umso wichtiger ist es, in der Frühphase des Konflikts die Oberhand zu gewinnen und die „elektromagnetische Dominanz“ so lange wie möglich zu behalten. Die Strategie ist natürlich riskant, falls sich der Gegner unerwartet schnell regeneriert oder nicht im gewünschten Ausmaß getroffen werden kann. US-Studien zeigen, dass sich ein solcher Krieg wohl nur über einen sehr begrenzten Zeitraum wirksam führen lässt. Eine Analyse der dem US-Verteidigungsministerium zugehörigen Defense Advanced Research Projects Agency DARPA hat gezeigt, dass aktuelle Computerprogramme für Sicherheitssoftware inzwischen bis zu 10 Millionen Programmzeilen umfassen, also immer komplexer und teurer werden, während Schadsoftware seit vielen Jahren im Schnitt nur 125 Programmzeilen lang ist. Daraus ergibt sich jedoch, dass sich die zukünftige Forschung nicht mehr nur auf Defensivmaßnahmen konzentrieren kann. Die NSA rüstete sich auch zum offensiveren Umgang mit China.

Auch die chinesische Führung hat sich intensiv mit der Materie auseinandergesetzt und baut wie viele andere Staaten Cyberwarkapazitäten auf und aus. Der Cyberwar ist eine relativ kostengünstige Waffe und ermöglicht, zu anderen Staaten weitaus rascher aufzuschließen als durch massive Ausgaben zur Modernisierung konventioneller Waffen („leapfrog strategy“). Das heißt nicht, dass der Cyberwar konventionelle Waffen ersetzen kann oder soll, vielmehr stellt er eine die eigenen Fähigkeiten rasch erweiternde zusätzliche Kampfmethode dar, die sich sehr gut in das Konzept der ‚aktiven Verteidigung’ einbauen lässt, bei dem es um die frühzeitige und gezielte Ausschaltung der möglichen Gegenschlagskapazitäten des Gegners geht.

Außenpolitisch hat China das Problem, von Staaten umgeben zu sein, die China nicht unbedingt positiv gegenüberstehen bzw. mit den USA verbündet sind, wie z.B. Japan, Taiwan und Südkorea, so dass China (noch) nicht ernsthaft in der Lage ist, den USA im Falle eines ernsten Konfliktes (z.B. um Taiwan) nachhaltigen physischen Schaden zuzufügen. Der Cyberwar kennt das Entfernungsproblem nicht und erlaubt eine asymmetrische Kriegführung und seine Vorbereitung bzw. das Training im Zuge der Cyberspionage wirft obendrein viele nutzbringende Informationen ab.

9.4 Russland

9.4.1 Überblick

Die APTs stehen unter Kontrolle der Geheimdienste.

Russland hat vier Dienste als Nachfolger des ehemaligen sowjetischen Geheimdienstes KGB:

  • FSO – Föderaler Schutzdienst, auch für den Schutz des Präsidenten im Kreml
  • FSB – Inlandsgeheimdienst, aber auch zum Teil im Ausland aktiv
  • SWR – Auslandsgeheimdienst, auch für Intelligence Cooperation zuständig
  • GRU oder GU – militärischer Nachrichtendienst

Wie bereits erwähnt, werden diesen Diensten vom Westen (und von Russland dementiert) die APT28 und APT 29 sowie drei Einheiten mit Schwerpunkt auf der Industrie, die Waterbug/Turla-Gruppe, die Sandworm/Quedagh-Gruppe und Energetic Bear/Dragonfly zugeordnet. Die Existenz weiterer APTs wird diskutiert. Die prominenteste Sicherheitsfirma ist Kaspersky Labs, die eine gute Arbeitsbeziehung zum russischen Staat hat, aber energisch bestreitet, im Hintergrund backdoors für den russischen Staat oder ähnliche Maßnahmen zu installieren.

Es wird wenig über die Cyber-Truppen in der russischen Armee veröffentlicht, die seit 2014 von Medienberichten vermutet werden (und mittlerweile als GRU-Mitglieder gelten). Das russische Verteidigungsministerium startete 2012 ein IT-Forschungsprojekt, das auch Mittel und Wege zur Umgehung von Anti-Viren-Software, Firewalls sowie auch von Sicherheitsmaßnahmen in laufenden Systemen erforscht. Zudem wurde ein allrussischer Hackerwettbewerb ins Leben gerufen, um begabte junge Cyberspezialisten rekrutieren zu können.

Im Jahr 2015 hat die russische Armee Science Squadrons (Wissenschaftsschwadronen) gegründet. Jedes Geschwader ist mit 60-70 Soldaten geplant. Die Besetzung erfolgt von führenden Universitäten wie Moskau, St.Petersburg, Nowosibirsk, Rostow und Fernost. Zu den Tätigkeitsbereichen gehören unter anderem Luftfahrt, Lasertechnik, Softwareforschung und Biotechnologie. Das Militärwissenschaftliche Komitee der Streitkräfte hat die Kontrolle, die dem National Defense Management Center NDMC angehört, das auch den fähigsten militärischen Supercomputer beherbergt, der auf Petaflop-Level arbeitet. Die Ergebnisse werden meist klassifiziert, aber es wurde berichtet, dass in der IT-Sicherheit bereits 45 neue Softwareprogramme entwickelt wurden.

Westliche Analysten glauben auch aus den jüngsten Inhaftierungen verschiedener Russen (Yahoo Hack, Michailow Vorfall, US-Wahlen), dass Russland einen deutlichen Vorteil im Cyber-Bereich haben würde, weil es Cyber-Kriminelle als Deckung bei Cyber-Attacken engagieren würde. Nach Angaben des Vereinigten Königreichs und anderer NATO-Nachrichtendienste umfasst das Cyberpotential von Russland eine Million Programmierer und 40 Ringe aus Cyber-Kriminellen.

Wie im nächsten Kapitel gezeigt, schließt der Cyber-Krieg aus russischer Perspektive auch den Informationskrieg mit ein, siehe auch Abschnitt 2.2.6 in Bezug auf die angenommene Rolle der Cyber-Trolle und der Social Bots. Aus russischer Sicht versuchen westliche Staaten, den Informationsfluss zu beherrschen und Russland und andere Akteure zu untergraben.

Russland hat seine Cyber-Sicherheit in diesem Jahrzehnt deutlich gestärkt. Russland nutzt das Überwachungssystem SORM für die Überwachung des Datenverkehrs. Im Jahr 2016 wurde ein neues Sicherheitsgesetz veröffentlicht. Ab Mitte Juli 2018 müssen alle Inhalte von Telefongesprächen, sozialen Netzwerken und Messenger Services für 6 Monate mit einem legalen Zugang für den internen Geheimdienst FSB von den Anbietern gespeichert werden.

Die russischen Behörden (FSB und Bundesdienst für Technische und Exportkontrolle FSTEC) fragen Anbieter seit 2014 zunehmend nach dem Quellcode, um sicherzustellen, dass sich keine Backdoors und andere Sicherheits-Lücken in der Software befinden. Cisco, IBM und SAP kooperierten, während Symantec die Zusammenarbeit eingestellt hat. Die Überprüfung des Quellcodes erfolgt nur in Räumen, in denen Code nicht kopiert oder verändert werden kann.

9.4.2 Das Cyberwarkonzept Russlands

Definitionen

2012 wurde ein Artikel veröffentlicht, der die offizielle russische Position darlegt und an eine Präsentation bei einer Sicherheitskonferenz in Berlin im November 2011 anknüpft.

Die Cyberwar-Definition beruht auf den Vereinbarungen der Shanghaier Organisation für Zusammenarbeit (SOZ)/Shanghai Cooperation Organization (SCO) von 2008, die eine weitgefasste Definition enthält: “Cyberspace warfare ist ein Wettstreit zwischen zwei oder mehreren Ländern im Informations- und anderen Sektoren, um die politischen, ökonomischen und sozialen Systeme des Gegners zu stören, sowie mit massenpsychologischen Mitteln die Bevölkerung so zu beeinflussen, dass die Gesellschaft destabilisiert wird und um den anderen Staat zu zwingen, Entscheidungen zu treffen, die dessen Gegner begünstigen.” Diese Definition passt zu der Doktrin zur Informationssicherheit, die Präsident Putin im Jahr 2000 erließ und integriert Aspekte des Cyberwars im engeren Sinne, des Informationskrieges und der psychologischen Kriegsführung. Diese Definition ist also sehr viel breiter angelegt als zum Beispiel die US-Definition, die sich auf die militärischen Aspekte konzentriert. Konsequenterweise ist auch die Definition von Cyberwaffen breit angelegt: “Cyberwaffen sind Informationstechnologien, – fähigkeiten und Methoden, die im Cyberspace warfare angewendet werden.” Russland betont die defensive Ausrichtung der Doktrin, die Notwendigkeit einer Cyber-Konvention der UN sowie einer internationalen Zusammenarbeit, um die Proliferation von Cyberwaffen zu stoppen.

Hintergrund

Die Wahl der Definition ist sowohl von theoretischen Überlegungen als auch durch historische Erfahrungen beeinflusst.

Der oben definierte Cyberspace warfare ist ein Teil modernen geostrategischen Handels. Die Kontrolle des Informationsflusses und die Beeinflussung seiner Inhalte zur Unterstützung der eigenen Position sind nun Instrumente der soft power in internationalen Beziehungen. Fehlende Kontrolle kann auch zur Destabilisierung und Destruktion führen.

Auch die historische Erfahrung wird eine Rolle spielen. Verschiedene Autoren vertreten die Auffassung, dass das Eindringen von Informationen vom Westen zum Kollaps der Sowjetunion und der sozialistischen Staatenwelt beigetragen hat.

Strategische Implikationen

Nach dem obigen Konzept ist es entscheidend, den Informationsfluss im eigenen Territorium kontrollieren zu können. Dies erfordert einen gesetzlichen Rahmen mit den Nationalstaaten als zentrale Akteure und technische Maßnahmen zur Kontrolle des Informationsflusses.

In Übereinstimmung mit den o.g. Definitionen und Konzepten sandten die SOZ/SCO-Mitgliedsstaaten Russland, China, Tadschikistan und Usbekistan ein offizielles Schreiben an die Vereinten Nationen (12.09.2011) mit einem Entwurf für einen International Code of Conduct for Information Security, in dem die Rolle und die Rechte des souveränen Nationalstaates betont werden (Präambel/Sektion d) und dessen Recht, den Umgang mit Informationen gesetzlich zu regeln (Sektion f). Technisch gesehen ist es machbar, bestimmte Webseiten zu blocken und/oder die user zu nationalen Substituten für Suchmaschinen, Twitter und andere Dienste zu verweisen. Für große Staaten sind solche Insellösungen jedoch eine Herausforderung und ggf. schwierig zu kontrollieren.

9.4.3 Die WCIT 2012

Im Jahre 1988 wurden Internationale Telekommunikationsrichtlinien, die International Telecommunication Regulations (ITR) von der International Telecommunication Union (ITU) verabschiedet, die verschiedene getrennte Vorgängerrichtlinien für Telegraphie, Telefon und Radio zusammenfassten. Mit Blick auf die erheblichen technischen Veränderungen seit 1988 wurde vom 03.-14.12.2012 die World Conference on International Telecommunications (WCIT) in Dubai abgehalten, um die Schaffung angepasster neuer ITRs zu erörtern.

Aufgrund des weitgefassten Telekommunikationsbegriffes der ITU-Konstitution (“jede Übertragung, Emission oder Empfang von Zeichen, Signalen, Schriften, Bildern, Musik oder jedweder Art von Information per Kabel, Radio, optischen oder elektromagnetischen Systemen”), der Auffassung, dass die verschiedenen Technologien in Wirklichkeit nicht voneinander getrennt werden können und der bereits bestehenden Rolle in Cyberangelegenheiten (wie der Untersuchung von Flame), vertrat die ITU die Auffassung, dass sie durchaus die zuständige Organisation für die Regulation des Internets und der Informations- und Kommunikationstechnologie (IKT), d.h. für die gesamte digitale Technologie sein kann.

Eine Gruppe von Staaten unter Führung von Russland, China, einigen arabischen und anderen Staaten vertraten dann auch die Auffassung, dass in Zukunft die ITU die zuständige Organisation für die Regulation des Internets sein sollte. Während die öffentliche Berichterstattung auf das Internet fixiert war, sollte laut Vertragstextentwurf dieser Staaten die gesamte IKT erfasst werden. Außerdem wurde argumentiert, dass das Internet alle Menschen auf der Erde betrifft und daher auch von einer UN-Organisation, der ITU, reguliert werden sollte.

Die USA, die EU, Australien und andere Staaten argumentierten, dass das gegenwärtige multi-stakeholder-Modell der Internet Governance, also die Einbeziehung verschiedenster Akteure in sich selbst verwaltenden Organisationen wie der Internet Corporation for Assigned Names and Numbers (ICANN), der Internet Society (ISOC), der Internet Engineering Task Force (IETF) und anderen unbedingt beibehalten werden sollte, da es sich als fair, flexibel und innovativ erwiesen hat. Dieses Modell war auch in der Lage, die rapide Expansion des Internets über den Globus zu erfolgreich zu bewältigen. Zudem wurde betont, dass abgesehen von der ICANN, die noch durch ein Memorandum of Understanding mit dem US-Handelsministerium (US Department of Commerce) verbunden ist, die USA die Organisationen nicht kontrollieren. Dieselben Staaten äußerten auch Bedenken, dass eine alleinige Kontrolle des Internets durch Staaten (im Rahmen der ITU) sich negativ auf die Informationsfreiheit und auf die Innovationskraft auswirken würde, weshalb sich diese Staaten jeder Formulierung, die der ITU Einfluss auf das Internet geben würde, widersetzten.

Schließlich wurde ein rechtlich unverbindlicher Annex durch eine umstrittene Abstimmung angenommen, die u.a. festhält, dass der “Generalsekretär [der ITU] angewiesen wird, weitere Schritte zu unternehmen, dass die ITU eine aktive und konstruktive Rolle in der Entwicklung des Breitbandes und dem Multistakeholder Modell des Internets gemäß Paragraph 35 der Tunis Agenda spielen kann”. Außerdem wurden neue ITRs angenommen, aber ein Konsens konnte nicht erreicht werden. Infolgedessen haben die Vereinigten Staaten, die EU-Staaten, Australien und viele weitere Staaten die neue ITRs nicht unterschrieben.

Die Härte der Auseinandersetzung zwischen zwei großen Staatenblöcken hinterließ bei einigen Beobachtern den Eindruck eines digitalen kalten Krieges.

Neben den oben diskutierten Aspekten hat die Internet-Governance auch noch Bedeutung für die Cyberfähigkeiten. Kürzlich analysierte die US Air Force das Problem und schlussfolgerte: “Fehlende Aufmerksamkeit für die Verwundbarkeit, die aus der Internet Governance und dem friedlichen Wettbewerb resultieren kann, könnte unseren Gegnern einen strategischen Vorteil in Cyber-Konflikten verschaffen. Unsere eigenen Cyberattacken werden auch komplizierter, wenn Netzwerke, die nicht mit den Protokollen und Standards von US-Organisationen entwickelt wurden, von unseren Konkurrenten zum Einsatz gebracht werden”. […] Die Vereinigten Staaten genießen zur Zeit eine technische Dominanz durch die Position als Entwickler und Kernanbieter von Internet-Services, die durch die ICANN und das top-level Domain Name System ermöglicht werden“.

9.5 Israel

Israel ist einer der führenden Cyber-Akteure. Basierend auf ehemaligen Offizieren der Militär-Cyber-Einheit Unit 8200 und einer dynamischen akademischen Umgebung wie der Universität Tel Aviv gibt es eine schnell wachsende Szene von Cybersecurity-Firmen wie Cellebrite und NSO-Group, die z.B. ihre Fähigkeiten bei der Smartphone-Intrusion und Entschlüsselung bereits demonstriert haben.

So dienten z.B. die Gründer der Sicherheitsfirmen CheckPoint und CyberArk in der Unit 8200.

Israelischen Medien zufolge hat die Armee des Landes eine neue militärische Kategorie geschaffen, den ‘attacker’ (Angreifer), der den Gegner über große Distanzen bekämpft, z.B. durch Drohnen oder Cyberoperationen, während sich die Kategorie des ‘fighter’ (Kämpfers) auf Soldaten bezieht, die physisch im Kampfgeschehen zugegen sind. Außerdem wurde die Ausbildung von Cyber-Verteidigern (cyber defenders) begonnen und der erste Kurs wurde 2012 abgeschlossen. Zur Vorbereitung wird eine intensivierte Cyberausbildung an Schulen angeboten, zudem werden sogenannte ‘cyber days’ zur Einführung in das ethische (white hat) Hacken durch die Armee angeboten und Hacker-Wettbewerbe.

Israel hat die National Authority for Cyber Defense für den Schutz von Zivilisten gegen Cyberangriffe eingerichtet, während sich eine Spezialeinheit um die nachrichtendienstlichen Belange kümmert.

In Beersheba in der Negevwüste entsteht eine ‘Cyberhauptstadt’, in der sowohl Privatfirmen wie auch militärische Einheiten angesiedelt sein werden, einschließlich 35.000 Soldaten. Dies schließt auch den militärischen Nachrichtendienst und die Cyber-Eliteeinheit 8200 mit ein.

9.6 Die Bundesrepublik Deutschland

9.6.1 Überblick

Der zivile Sektor besteht aus:

Bundesministerium des Innern BMI mit

  • Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schutz der IT-Infrastruktur
  • „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITIS) für Entschlüsselung (BSI sind die code maker, Zitis die code breaker)
  • Die Agentur für  Innovation  in  der  Cybersicherheit  startete  als  zivil-

militärische Zusammenarbeit zwischen den Ministerien des Innern BMI und des Verteidigungsministeriums BMVg im August 2020.

Militärischer Sektor:

  • Cyberinformationsraumkommando CIR mit Kommando Strategische Aufklärung KSA und dessen Einheiten für die Elektronische Kampfführung (EloKa), Computer- und Netzwerkoperationen (CNO) und die Satelliten (mit

der Geoinformation GeoBw).

Nachrichtendienste:

  • Bundesnachrichtendienst BND als Auslandsgeheimdienst mit der Abteilung T4 für Cyberoperationen
  • Bundesamt für Verfassungsschutz BfV als Inlandsgeheimdienst
  • Militärischer Abschirmdienst MAD für den Schutz der Bundeswehr Sicherheitspartner sind u.a.:
  • Secunet für die Sichere Netzwerkarchitektur SINA
  • Rohde and Schwarz für Kryptologie
  • Genua (gehört der Bundesdruckerei) für VPN und firewalls

Eine staatsnahe Forschungseinrichtung ist das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE.

9.6.2 Hintergrund und Details

Das Bundesamt für Sicherheit in der Informationstechnik BSI ist seit 1991 als Behörde des Bundesministeriums des Inneren BMI für alle Aspekte der IT-Sicherheit zuständig, insbesondere alle Arten der Abhörsicherheit und der Abwehr von Computerattacken für staatliche Einrichtungen. Das BSI fördert hierzu entsprechende Technologien. Es ist historisch aus der Abteilung für Chiffrierwesen des Bundesnachrichtendienstes BND hervorgegangen. Mit dem Aufkommen des Internets und dem nahenden Ende des kalten Krieges setzte sich die Auffassung durch, dass man eine Behörde benötigt, die die IT-Strukturen der Bundesrepublik schützt und der modernen Technik gerecht wird. So entstand 1989 im BND erst das ZSI (Z=Zentralstelle), aus dem dann 1991 das BSI wurde. Das neue BSI-Gesetz BSIG von 2009 hat die zentrale Stellung der Behörde im Paragraphen 5 „Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes“ nochmals gestärkt.

Die Aufgaben der Behörde sind unter anderem:

  • Mitarbeit im Arbeitskreis KRITIS zum Schutz Kritischer Infrastrukturen vor Angriffen
  • Schutz der Regierungskommunikation, u.a. durch Kryptohandys für die Regierung, aber auch im Informationsverbund Bonn-Berlin IVBB und dem Informationsverbund Bundesverwaltung IVBV, der vom BSI seit 2009 regelmäßig auf Schadsoftware gescannt wird
  • Schutz von Behörden beim elektronischen Dokumentenverkehr, der durch das eGovernment immer mehr zunimmt
  • Schutz der NATO-Kommunikation unter anderem durch Verschlüsselungs-Technologien, wie dem System Elcrodat 6.2
  • Mitarbeit an der SINA (Sichere Internetzwerk-Architektur) –Technologie
  • Arbeit auf dem Gebiet der Kommunikationssicherheit (Comsec), zu der auch die Gebäudeabschirmung gehört

Arbeit an stabilen und resistenten Computertechniken wie der Hochverfügbarkeit oder der Mikrokerntechnologie, bei der Rechnerbereiche intern noch mal gegeneinander abgeschottet werden usw.

  • Als Teil der am 23.02.2011 publizierten Nationalen Cyber-Sicherheitsstrategie für Deutschland hat ein Nationales Cyber Abwehrzentrum mit 10 Beamten im BSI seine Arbeit aufgenommen. Die Arbeit des neuen Cyber-Abwehrzentrums wurde bislang jedoch durch Abstimmungsprobleme zwischen den Mitgliedsbehörden (Regierung, Nachrichtendienste, Polizei usw.) beeinträchtigt.
  • Zudem wurde ein Nationaler Cyber-Sicherheitsrat ins Leben gerufen, dem u.a. die Staatssekretäre der großen Bundesministerien angehören.

Im Jahr 2016 wurde eine neue Entschlüsselungsbehörde, anfangs mit 60, später mit 400 Mitarbeitern unter dem Namen Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) etabliert. Diese wird die Bundespolizei, das BKA und den Verfassungsschutz mit Codeknacken unterstützen. Der BND wird nicht beteiligt sein.

Die neue Nationale Cyber-Sicherheitsstrategie für Deutschland von 2016 sieht zudem die Schaffung eines nationalen CERT mit sog. Quick Reaction Forces vor, die beim BKA, dem BSI und dem BfV angesiedelt sein werden; auch bekannt als ‘Cyberfeuerwehr’.

Im nachrichtendienstlichen Sektor gibt es das Bundesamt und die Landesämter für Verfassungsschutz BfV/LfV für die zivilen Angelegenheiten, während sich der Militärische Abschirmdienst MAD um den Schutz der Bundeswehr einschließlich des Schutzes der Computer und Abwehr von Cyberangriffen kümmert. Der Bundesnachrichtendienst BND ist für das Ausland zuständig. Das Bundesamt für Sicherheit in der Informationstechnik BSI darf im Rahmen der gesetzlichen Möglichkeiten die Geheimdienste technisch unterstützen.

Sicherheitsleistungen für den Bund werden in der Regel aus Rahmenverträgen des

BSI  und  des  Beschaffungsamtes  geschöpft,  dazu  gehörten  auch  Verträge  mit

Symantec, die nun von Trend Micro weiter betreut werden.

Im militärischen Sektor gab es zwischenzeitlich das Zentrum für Nachrichtenwesen in der Bundeswehr ZnBW, das sich zu einem militärischen Auslandsgeheimdienst zu entwickeln begann, aber dann zwischen dem BND und dem 2002 gegründeten Kommando Strategische Aufklärung KSA (KdoStratAufkl) aufgeteilt wurde. Das KSA, das seit 2008 den Kern des Militärischen Nachrichtenwesens der Bundeswehr (MilNWBw) bildet, hatte 2010 eine Stärke von ca. 6.000 Mann und ist zuständig für die

  • für die Elektronische Kampfführung (EloKa), d.h. die Störung feindlicher Kommunikation und
  • seit 2007 gehört dem KSA auch die Einheit Computer- und Netzwerkoperationen CNO an, die auch für den Cyberwar zuständig ist, h. den Kampf im Internet gegen mögliche Angreifer und seit 2012 einsatzbereit ist
  • und für die Aufklärungssatelliten des Typus Synthetic Aperture Radar (SAR-Lupe) und die Kommunikationssatelliten COMSATBW1 und 2.

Auf dem IT-Sektor arbeitet die Bundeswehr an einer grundlegenden Modernisierung ihres IT-Netzes, dem Projekt Herkules, das vom mit Siemens und IBM gehaltenen Joint Venture BWI IT betrieben wird. Das Herkules-Projekt hat die IT-Infrastruktur deutlich vereinfacht, indem die Zahl der Softwareprogramme von 6000 auf weniger als 300 reduziert werden konnte; dennoch bleibt die Struktur immer noch komplex.

Im Ergebnis sieht die aktuelle Cyberstruktur der Bundeswehr nun wie folgt aus:

Die 60 Spezialisten des Computer Emergency Response Team der Bundeswehr (CERTBw) sind für die Überwachung der IT-Infrastruktur zuständig, die 2015 200.000 Computer umfasste. Die Empfehlungen werden dann von 50 Spezialisten des Betriebszentrums IT -Systeme der Bundeswehr (BITS) geprüft und ggf. umgesetzt. Die militärgeheimdienstlichen Fragen werden vom MAD betreut; die Offensivkapazitäten sind im KSA als CNO angesiedelt (siehe oben).

Die Aktivtäten im Cyber- und Informationsraum wurden gebündelt im Cyberinformationsraumkommando CIR’.

Das neue Kommando führt nun das Kommando Strategische Aufklärung KSA mit den bereits oben genannten Untereinheiten für die elektronische Kampfführung EloKa, die Netzwerkoperationen (CNO) und die Satelliten (mit dem gesamten Geoinformationswesen GeoBw). Dieser Transfer wird dem CIR mehr als 13.700 Soldaten zuführen. Die CNO-Kapazitäten werden ausgebaut, um Cyberangriffsübungen ausführen zu können, als sog. Red teaming.

Die Fähigkeiten zum Hackback sollen ausgebaut werden, geplant ist eine Aufstockung von 100 auf 300 Mitarbeiter. Eine neue Bedrohung laut BMVg sind vor allem Quantencomputer, da alle Akteure Quantenprojekte laufen lassen.

Im Jahr 2015 berichtete die Bundeswehr über 71 Millionen unautorisierte oder bösartige Zugriffsversuche, davon hatten 8,5 Millionen die Gefahrenstufe ‚hoch‘. Während Auslandseinsätzen wurden 150.000 Attacken, davon 98.000 mit hoher Gefahrenstufe beobachtet. Insgesamt konnten 7.200 Malwareprogramme entdeckt und entfernt werden. Durchschnittlich werden in der Truppe 1,1 Millionen e-Mails pro Tag verschickt.

Zur Überprüfung der Abwehrkapazitäten fand vom 30.11.-01.12.2011 die länderübergreifende Übung Lükex 2011 statt, bei der ein vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem BSI entwickeltes umfassendes Angriffsszenario auf kritische Infrastrukturen getestet wurde.

Der Bundesnachrichtendienst BND hat 2013 eine Cyberabteilung eingerichtet. Aus Sicht des BND stellen China und Russland diesbezüglich besonders wichtige Staaten dar, wobei die Russen anders als die Chinesen die staatlichen Hacker von privaten Firmen aus agieren lassen. Der BND plant auch die Entwicklung von Cyberkapazitäten, um die Server von Cyberangreifern abschalten zu können. Der BND hat die Strategische Initiative Technik (SIT) initiiert, um die Fähigkeit zur Echtzeitüberwachung von Metadaten zu verstärken und weitere Maßnahmen. Zudem ist die aktive Unterstützung der Cyberabwehr geplant, indem die vom Dienst gewonnenen Informationen der Vorbereitung auf Attacken helfen soll. Zudem wird der BND bis 2022 eigene Spionagesatelliten bekommen. Der BND soll bis 2022 zwei Satelliten mit dem System Geheimes Elektro-Optisches Reconaissance System Germany (Georg) erhalten. Bisher sind BND und Bundeswehr mit Verbindungsbeamten bei der National Geospatial Agency (NGA) vertreten, von der sie zuweilen Luftbilder erhalten.

Die Agentur für Innovation in der Cybersicherheit startete als zivil-militärische Zusammenarbeit zwischen den Ministerien des Innern BMI und des Verteidigungsministeriums BMVg im August 2020 mit einem geplanten Personal von 100 Mitarbeitern und Forschung in diesem Bereich unterstützen. Dabei handelt es sich nicht um eine Behörde, sondern um eine staatliche Agentur, die gemeinsam vom BMI und BMVg geleitet wird. Der ursprüngliche Name war „disruptive Innovationen“, was die Erforschung der Cyberwaffen betont hätte, aber dieser wurde dann nicht verwendet.

9.6.3 Die Doxing-Attacke von 2018/2019

Bei der Doxing– oder auch Doxxing-Angriffsmethode wird die Privatsphäre von Opfern durch Publikation privater Dokumente gezielt verletzt (abgleitet von docs =documents).

Am Abend des 03.01.2019 wurde bekannt, dass ein da noch unidentifizierter Angreifer, der ein 20 Jahre alter Schüler aus Hessen war, als Twitter-User mit dem Covernamen G0d (wohl eine Referenz zu dem Onlinespiel Minecraft) alias Orbit/Troja/Power/Orbiter mit dem Account @_orbit private Daten von insgesamt 994 deutschen Politikern und Prominenten ins Netz gestellt hatte.

Die ersten Aktivitäten begannen schon am 19.07.2017 und am 24. November 2018 gab der User bekannt, dass er einen Adventskalender mit privaten Daten (wie geheime Telefonnummern, Zeugnisse und andere persönliche Daten, aber auch parteiinterne Papiere und Kopien von Pässen und Diplomatenpässen, aus der Zeit von 2011-2018) erstellt hatte.

Vom 01.-24. Dezember 2018 wurden dann tatsächlich nach und nach Daten freigegeben, wobei dies u.a. auch Kanzlerin Merkel und Bundespräsident Steinmeier betraf. Die Aktion erregte trotz ca. 17.000 Followern (die evtl. zum Teil aus der Zeit vor der Account-Übernahme durch G0d stammten) zunächst kein öffentliches Aufsehen.

Der User G0d war in der Hackerszene schon seit Jahren bekannt, der u.a. You-Tube-accounts gehackt hat. Er hackte und übernahm 2015 den Account von Yannick Kromer alias Dezztroyz, um die Daten zu verbreiten und hackte dann den Account des bekannten YouTubers Simon Unge, was für verstärkte Publizität sorgte.

Der Doxing-Angriff wurde durch eine Kombination aus gesammelten öffentlich verfügbaren Daten und konventionellem Passwort-Hacken möglich.

Um die Daten gegen Löschen zu schützen, wurden sie auf bis zu 7 asiatischen und russischen Servern gelagert, zudem wurden die links über verschiedene, wohl auch zum Angreifer gehörende Accounts geschickt (u.a. r00taccess, Nullr0uter, nigzyo usw…).

Ein Abgeordneter bemerkte im Dezember 2018 abnorme Aktivitäten in seiner Kommunikation und informierte die Sicherheitsbehörde BSI, die versuchte, mit dem MIRT-Team Abhilfe zu schaffen, wobei das BSI zu der Zeit noch nicht wusste, dass es sich um einen Teil eines größeren Angriffs handelte.

Nachdem auch der SPD-Politiker Martin Schulz betroffen war, wurde schließlich am 04.01.2019 eine Krisensitzung des Nationalen Cyber-Abwehrzentrums einberufen. Es wurden intensive Ermittlungen unter Leitung der polizeilichen Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) aufgenommen und angeblich auch Amerika, d.h. die NSA um Hilfe gebeten.

Die Behörden fanden keinen Hinweis auf einen Einbruch in das Regierungsnetz und es wurde ein Einzeltäter vermutet.

Die Attribution gelang rascher als erwartet. Ein erster Hinweis war ein zu seinem Twitter-Account gehörendes Photo, das wohl tatsächlich den Angreifer selbst als jungen Teenager zeigte.

Der Angreifer nutzte für seine Telegram–Botschaften einen Zugang, der mit seiner echten Handy-Telefonnummer von der Deutschen Telekom verlinkt war. Zudem zeigte ein Screenshot eines gehackten Amazon-Accounts versehentlich auch seine Windows 10-Umgebung mit zahlreichen Icons der von ihm genutzten Programme und Erweiterungen (wie Perfect Privacy, Ghostery und ABP) und die genaue Login-Zeit mit Datum und Uhrzeit, was Amazon erlaubt, zu prüfen, welcher Computer (welche IP-Adresse) zu diesem Zeitpunkt mit dem Account kommunizierte.

Trotz der Vorgänge hat der Angreifer weiterhin e-mails ausgetauscht, er teilte u.a. dem YouTuber Jan Schürlein mit einer verschlüsselten Nachricht am 05.01.2019 mit, dass er alle Hardware des Vorganges zerstört hätte. Am 06.01.2019 wurde Jan Schürlein, der im Kontakt zu dem Hacker stand, in Heilbronn polizeilich vernommen. Am selben Tag noch konnte der Angreifer verhaftet werden, der dann am 07.01.2019 ein volles Geständnis ablegte. Es ergaben sich keine Hinweise auf ausländische Akteure, der Angreifer gab an, über einige Personen verärgert gewesen zu sein.

Die Bundesregierung hat umgehend eine Stärkung des BSI durch eine Aufstockung von 800 auf 1.300 Mitarbeiter und des Nationalen Cyber-Abwehrzentrums durch Koordinationsbefugnisse und eigene Auswertekapazitäten beschlossen.

9.7 Großbritannien

Das Vereinigte Königreich hat massive Investitionen im Rahmen der Cyberstrategien unternommen, die aktuelle National Cyber Security Strategy 2016 sagt, dass bis 2021 1,9 Milliarden £ investiert werden.

Aktuelle Struktur:

  • National Cyber Security Centre (NCSC) als Behörde für die Cybersicherheit, die Weitergabe von Informationen, Bekämpfung systemischer Schwachstellen und Führung bei zentralen Angelegenheiten der nationalen Cybersicherheit. Das militärische Cyber Security Operations Centre wird eng mit dem NCSC zusammenarbeiten.
  • Die National Cybercrime Agency NCA ist für die Bekämpfung der Cyberkriminalität zuständig.

Die Defence Intelligence (DI) als Teil des Verteidigungsministeriums Ministry of Defence (MOD) hat militärnachrichtendienstliche Funktionen und wird der Ort der neuen Cyberwareinheit sein. Die DI ist nicht Teil der anderen Geheimdienste (MI6, Government Communication Headquarters GCHQ und MI5); wobei das GCHQ für Cyber Intelligence zuständig ist.

9.8 Frankreich

Ausgangspunkt war die Überprüfung der Strategie für Verteidigung und nationale Sicherheit im Jahr 2017.

Zivile und militärische Einrichtungen werden klar getrennt.

Die Nationale Agentur für Cybersicherheit ANSSI koordiniert die Cybersicherheit des Staates.

Frankreich errichtete 2017 seine erste Cyberwar-Einheit, diese begann ihre Arbeit im Januar 2017. Das neue Commandement de Cyberdefense (Comcyber oder Cocyber) umfasst mehr als 3.200 Soldaten der Armee, Marine und Luftwaffe, nachdem es schon Cyberdefenseabteilungen seit 2011 gab.

Comcyber ist für Cyber-Operationen, Aufklärung und Verteidigung zuständig mit Ausnahme des DGSE, d.h. dem Auslandsnachrichtendienst, der weiterhin autonom ist und Berichten zufolge bei Bedarf offensiv gegen Cyberangriffe vorgeht.

Die russische APT Turla griff 12 Beamte an, um die Ölversorgungskette der Marine in den Jahren 2017 und 2018 zu enthüllen, die Franzosen bevorzugen jedoch die diskrete Klärung von Vorfällen statt öffentlicher Anklagen.

9.9 Weitere Akteure

Iran ist ebenfalls ein aktiver Akteur. Ein aktuelles Beispiel ist die Errichtung des Hohen Cyberrats (Shoray-e Aali-e Fazaye Majazi), der nun die Aktivitäten aller im Cyberspace tätigen Einrichtungen koordiniert. Zuvor wurde 2010 als Reaktion auf die Stuxnet-Attacke das Cyber Defense Command zum Schutz kritischer Infrastrukturen errichtet.

Die Cyberaktivitäten des Iran finden sich im Abschnitt 5.

Die Zentralisierungsdebatte wird auch in Indien geführt. Hier sind die Ministerien Cybersicherheitsfragen durch Gründung von Cyberagenturen gelöst, was jedoch in ca. 30 Agenturen mit überlappenden oder unzureichend definierten Verantwortlichkeiten endete. Aus diesem Grunde wurde in einer aktuellen Analyse der indischen Marine eine Restrukturierung mit verbesserter Kommunikation unter der Führung neu zu errichtender zentraler Cyberbehörden empfohlen.

9.10 Die Cyberpolitik der Europäischen Union

Im Unterschied zu den USA und China besteht die Europäische Union EU aus 28 Nationalstaaten. Sicherheitslücken in nationalen Computersystemen sind jedoch hochsensitive Informationen; ein Austausch mit anderen offenbart die Schwachstellen, daher überwiegt zwischen den Nationalstaaten trotz allem noch das Misstrauen.

Dies hat mit einem Sicherheitsproblem zu tun. Obwohl die Informationstechnologie und die Cyberattacken globale Angelegenheiten sind, fördert die IT-Sicherheit paradoxerweise nationale Lösungen.

In den meisten Staaten gibt es inzwischen Computersicherheitsteams, die bei sicherheitsrelevanten Vorfällen Warnungen herausgeben und Gegenmaßnahmen erarbeiten. Derartige Teams werden als Computer Emergency Response Team (CERT) bzw. als Computer Security Incident Response Team (CSIRT) bezeichnet. Die europäische European Government CERT Group EGC hatte aber immer noch nur 12 Mitglieder (Finnland, Frankreich, Deutschland, Niederlande, Norwegen, Ungarn, Spanien, Schweden, England, Schweiz, Österreich, Dänemark, Großbritannien mit 2 CERTs). Ab 2012 wurde ein CERT-EU-Team für die Sicherheit der IT-Infrastruktur dauerhaft eingerichtet.

Andererseits sind Cyberattacken ein globales Problem, so dass die Nationalstaaten von einem verbesserten Informationsaustausch profitieren würden, so dass die EU das zentrale Problem der europäischen Cyberpolitik 2010 wie folgt zusammenfasst: „Die Wirkung einer besseren Zusammenarbeit wäre sofort spürbar, doch sind

zunächst kontinuierliche Bewusstseinsbildung und Vertrauensaufbau erforderlich.“

Die Hoffnungen der EU ruhen nun ganz auf ihrer Agentur ENISA (Europäische Agentur für Netzwerksicherheit, European Network and Information Security Agency), die 2004 mit der Verordnung 460/2004 mit 33 Mio. Euro Budget und 50 Angestellten errichtet wurde und 2005 die Arbeit aufnahm. Die Agentur befindet sich in Heraklion auf Kreta am äußersten südlichen Rand der EU, was nicht gerade als zweckmäßig gilt.

Die ENISA arbeitete seit 2004 u.a. an Übersichtsstudien zur Netzwerksicherheit und an verbesserten Verschlüsselungsmethoden; die Kryptographie-Forschung gehört auch zu den Aktivitäten des laufenden Forschungsrahmenprogramms der EU.

Die ENISA wird unter anderem mit folgenden Maßnahmen systematisch zum

Zentrum der europäischen Cyberpolitik ausgebaut:

  • die ENISA soll nach den neuen EU-Plänen gegen Cyberwar die Zusammenarbeit zwischen nationalen/staatlichen Notfallteams (CERT) stärken, u.a. durch die Förderung und Ausweitung bestehender Kooperationsmechanismen wie der ECG-Gruppe
  • Die ENISA hat 2009 eine vergleichende Analyse der EU- und EFTA-Staaten veröffentlicht, in der u.a. die sehr unterschiedlich geregelten Zuständigkeiten im Bereich der Netzwerksicherheit, der unzureichende Aufbau von CERTs und deren mangelnde Kooperation sowie unzureichende Prozeduren bei der Berichterstattung sicherheitsrelevanter Ereignisse (incident reporting) festgestellt wurden. Es wurden Empfehlungen für verbesserte Prozesse und zu einer verstärkten Kooperation unter Federführung der ENISA gegeben.
  • Im Einklang mit dem Plan zum Schutz kritischer Infrastrukturen von 2009 richtete die ENISA die 2010 die erste europäische Übung Cyber Europe 2010 aus, an der 22 Länder mit 70 Organisationen aktiv und 8 weitere Länder als Beobachter beteiligt waren und insgesamt 320 Stresstests durchgeführt wurden. Jedoch zeigten sich auch bei dieser Übung die uneinheitlich geregelten Zuständigkeiten innerhalb der EU und die mangelnden Strukturen kleinerer Staaten. Nach der Auswertung sollen in die nächste Übung auch privatwirtschaftliche Akteure miteinbezogen werden.
  • Mittlerweile hat im November 2011 auch eine gemeinsame Übung der EU und der USA, Cyber Atlantic 2011, stattgefunden.

Zudem will die Kommission eine europäische öffentlich-private Partnerschaft für Robustheit (EÖPPR) für eine verbesserte Sicherheit und Robustheit einrichten und ein Europäisches Informations- und Warnsystem (EISAS) schaffen, das sich an Bürger und kleine und mittelständische Unternehmen (KMU) richten soll.

Begleitend sollen EU-einheitliche Kriterien für kritische Informationsinfrastrukturen in Europa festgelegt werden.

Ein rechtlicher Rahmen zur Förderung der Netzwerk- und Informationssicherheit (NIS) wurde Anfang 2013 vorgestellt. Dabei wurde festgestellt, dass es auf EU-Ebene immer noch keinen effektiven Mechanismus für die Kooperation und den gemeinsamen Austausch vertraulicher Informationen für NIS-Zwischenfälle zwischen den Mitgliedstaaten geben würde. Deshalb sollte jeder Mitgliedstaat eine zuständige Stelle (competent authority CA) für NIS etablieren und ein Kommunikationsnetzwerk mit den CAs der anderen Mitgliedstaaten einrichten, um frühzeitige Warnungen und wichtige Information weitergeben zu können. Auch die Zusammenarbeit mit privaten Einrichtungen sollte verstärkt werden.

Das neu gegründete European Cybercrime Centre E3C wird mit der ENISA und der europäischen Verteidigungsagentur (European Defense Agency EDA) verstärkt in NIS-Fragen zusammenarbeiten.

Am 03.09.2014 wurde offiziell die Errichtung einer neuen, bei Europol angesiedelten Joint Cybercrime Task Force J-CAT bekannt gegeben, in der Europol, die European Cybercrime Taskforce, das FBI und die British National Crime Agency NCA zusammenarbeiten.

Die EU plant seit 2017, die ENISA zu einer umfassenden Cyber- und Datensicherheitsbehörde auszubauen, die auch für Zertifizierungen und Übungen zuständig sein wird. Die EU plante ein Cybersicherheitszertifikat für Geräte, die im Internet der Dinge eingesetzt werden sollen.

Im Juli 2020 verhängte der Europäische Rat erstmals Sanktionen gegen Cyber-Angreifer, hier sechs Personen und drei Organisationen, wegen des versuchten Cyber-Angriffs gegen die OPCW (Organisation für das Verbot chemischer Waffen) durch zwei GRU-Mitglieder (der jedoch vom niederländischen Militärgeheimdienst MIVD unterbrochen werden konnte) gegen zwei Mitglieder der Lazarus-Gruppe für ‚WannaCry‘ und ‚NotPetya‘ und zwei APT10-Mitglieder für die ‚Operation Cloud Hopper‘. Zu den verhängten Sanktionen gehören ein Reiseverbot und ein Einfrieren von Vermögenswerten.

9.11 Die Cyberabwehr der NATO

Die in Mons bei Brüssel angesiedelte NATO Communication and Information Systems Services Agency NCSA betreut umfassend die Informations- und Kommunikationssysteme der NATO und bildet im Rahmen des 2002 verabschiedeten NATO Cyber Defense Programms die vorderste Verteidigungslinie der NATO zum Schutz ihrer eigenen IT-Infrastruktur.

Innerhalb des NCSA ist das für Kommunikations- und Computersicherheit zuständige NATO Information Security Technical Centre (NITC) angesiedelt, das sich wiederum in das Nato Computer Incident Response Capability Technical Centre (NCIRC) für die Behandlung von sicherheitsrelevanten Vorfallen (incidents) und das NATO Information Security Operations Centre für die zentrale Betreuung und das Management des NATO-Computernetzwerks gliedert.

Angelegenheiten der Cyberabwehr werden vom im April 2014 so benannten Cyber Defense Committee gehandhabt.

Die Smart Defense Initiative enthält 3 Elemente der Cyberabwehr, dies sind

  • Malware Information Sharing Platform MISP (Informationsaustausch)
  • Multinational Cyber Defense Capability Development MNCD2 (Entwicklung von Defensivfähigkeiten) and
  • Multinational Cyber Defense Education and Training MNCDET (Ausbildung und Training)

Die NATO Communications and Information Systems School NCISS wird nach Portugal verlegt. Die Cyberabwehraktivitäten werden auch von der NATO School in Oberammergau unterstützt, während sich das NATO Defense College in Rom mit strategischen Überlegungen befasst. Das Cyberabwehrtraining der NATO schließt auch die Sicherheit und Forensik von Smartphones mit ein.

Eine Dokumentensammlung von nationalen Cyberstrategien für viele NATO- und Nicht-NATO-Staaten mit weiterführenden Links ist verfügbar unter ccdcoe.org/strategies-policies.html

Seit dem Angriff auf Estland 2007 widmet die NATO auch dem Schutz der Mitgliedsstaaten vor Cyber-Angriffen vermehrte Aufmerksamkeit.

Im Mai 2008 wurde das der NATO im Bereich Cyberwar zuarbeitende Cooperative Cyber Defence Centre of Excellence (CCD CoE, estnisch: K5 oder Küberkaitse Kompetentsikeskus) in Tallinn, Estland, ins Leben gerufen, das in den ersten Jahren von Estland, Litauen, Lettland, Italien, Spanien, der Slowakei und Deutschland unterstützt wurde und zunächst 30 Mitarbeiter umfasste. Weitere Staaten kamen später hinzu: Ungarn 2010, Polen und die USA 2011, Tschechien, Großbritannien und Frankreich in 2014, die Türkei, Griechenland und Finnland in 2015. Das CCD CoE ist seit Januar 2018 verantwortlich für die Planung und Koordination von Aus- und Weiterbildungslösungen in der Cybersicherheit für das gesamte Bündnis.

Bisher fanden als NATO Cyber Defence-Übungen Digital Storm und Cyber Coalition statt, wobei das CCD CoE diese Übungen gemeinsam mit dem NCIRC und anderen NATO-Einrichtungen organisierte. Die Cyber Coalition (CC)– Übung findet nun regelmäßig statt. Locked Shields ist eine jährliche Echtzeit-Cyberübung, die seit 2012 vom CCDCoE organisiert wird, als Nachfolge der Übung Baltic Cyber Shield 2010.

Im November 2010 wurde auf dem Gipfel in Lissabon eine neue NATO-Strategie beschlossen mit dem Ziel, die Aktivitäten im Cyberwarbereich zu intensivieren und zu koordinieren („bringing all NATO bodies under centralized cyber protection“).

Die NATO und das deutsche Bundesministerium der Verteidigung diskutieren die hybride Kriegsführung (hybrid warfare) als neue Herausforderung. In dieser wird physische Gewalt durch Spezialkräfte und durch unter anderer Flagge operierende Kräfte in Verbindung mit umfassenden Cyberaktivitäten angewendet, d.h. Informationskrieg und psychologische Kriegsführung über das Internet und Social Media einerseits und Cyberattacken auf der anderen Seite. Im Ergebnis muss die Sicherheitspolitik mit einem besonderen Augenmerk auf die Resilienz der eigenen Systeme intensiv durchdacht werden. Im November 2014 führte die NATO eine sehr große Cyberübung in Tartu (Estland) durch, an der mehr als 670 Soldaten und Zivilisten von Einrichtungen aus 28 Ländern teilnahmen.

Analysten des BND gehen davon aus, dass Cyberaktivitäten in bewaffneten Konflikten vor allem am Anfang des Konfliktes eine wichtige Rolle spielen. Während diese Schlussfolgerung durch die bisherigen Erfahrungen mit großen Cyberattacken gerechtfertigt erscheint, sollte jedoch bedacht werden, dass die potentiellen Schwachstellen wie auch die Schadprogramme rasch zunehmen. So muss man davon ausgehen, dass in längeren Konflikten Schwachstellen nicht nur einmalig als Überraschungseffekt genutzt werden, sondern die Angreifer nach Abnutzung der ersten Schwachstelle in einem System anschließend eine weitere nutzen werden usw. Im Zeitalter von USB-Sticks und im Hinterland operierenden Kräften werden Internetblockaden und Kill Switches keinen zuverlässigen Schutz mehr bieten.

Die Bundesregierung berichtete in der ersten Jahreshälfte 2015 über 4.500 Malwareinfektionen; im Durchschnitt vergingen bis zur Entdeckung sieben Monate und bis zur Entfernung ein weiterer Monat. Die Vorbereitung des Schlachtfeldes (Preparing the battlefield) gilt als wesentlich für erfolgreiche Strategien, in der Praxis werden vorsorglich Sender (beacons) oder Implantate in ausländischen Computernetzwerken platziert, das ist Computercode, mit dessen Hilfe die Arbeitsweise des Netzwerks untersucht werden kann.

Ein NATO-Staat hat einen Kampfjet zerlegt, um sämtliche Komponenten gegen Cyberattacken zu härten und baute den Jet anschließend wieder zusammen, aber die Kosten der Maßnahme führten zu der Überlegung, dass die Komponentensicherheit stattdessen von den Lieferanten garantiert werden sollte. Das würde jedoch bedeuten, sich auf die Sicherheitsanstrengungen zahlreicher Anbieter verlassen zu müssen, d.h. es ist schwierig, die Cybersicherheit zu delegieren.

Mögliche Präventionsmaßnahmen könnten z.B. stichprobenartige Entnahmen von „normal“ funktionierenden Computern/smarten Geräten mit eingehender Untersuchung sein, aber auch worst-case Übungen, bei denen geprüft wird, inwieweit sich Kommunikation und Operationen im Falle eines umfassenden Computersystemausfalls aufrecht erhalten lassen (EMP-Szenario).

9.12 Die Cyberpolitik der Afrikanischen Union

Im Mai 1996 startete die Economic Commission for Africa (ECA) der Vereinten Nationen die African Information Society Initiative (AISI), in der die Entwicklung von Nationalen Informations- und Kommunikationstechnologieplänen (National Information Communication [NICI] policies and plans) angeregt wurde.

Seither wurde die IT-Infrastruktur Afrikas erheblich ausgebaut, u.a. durch neue Breitband-Unterseekabel wie auch durch einen intensiven Wettbewerb zwischen europäischen und chinesischen Telekommunikationsanbietern (insbesondere Huawei and ZTE).

2009 vereinbarten die Mitgliedsstaaten der Afrikanischen Union (AU) die Entwicklung einer Konvention zur Cyber-Gesetzgebung im Rahmen der AISI-Initiative, von der ein erster Entwurf im Jahr 2011 vorgelegt wurde. Die Konvention befasst sich mit dem elektronischen Handel, Datenschutz und – verarbeitung und Cyberkriminalität im Allgemeinen, enthält aber keine speziellen Regelungen zum Cyberwar.

Zudem werden auch Kooperationen der Cyber-Gesetzgebung im Rahmen der regionalen Wirtschaftsgemeinschaften wie der ostafrikanischen East African Community EAC, der südafrikanischen South African Development Community SADC und der westafrikanischen Economic Community of West African States ECOWAS diskutiert.

Ein wichtiger Aspekt in vielen Dokumenten ist die Forderung nach verstärkter inner-afrikanischer Kooperation und einem verbesserten Sicherheits-bewusstsein.

Südafrika hat bereits mit der Entwicklung einer Nationalen Cybersicherheitspolitik begonnen, die Arbeiten am National Cyber Security Policy Framework begannen 2010 und wurden vom Kabinett im März 2012 verabschiedet. Ein vorrangiges Ziel war die Koordination aller mit Cybersicherheit befassten Stellen.

In Afrika wächst die Bedeutung von Smartphones rapide, weil dies die Überbrückung von Lücken in der digitalen Infrastruktur ermöglicht, was Afrika für die oben gezeigten Sicherheitslücken besonders anfällig macht.

Im Hauptquartier der Afrikanischen Union, das mit Hilfe Chinas in Addis Abeba gebaut wurde, wurden regelmäßige Hackerangriffe festgestellt, die von 2012 bis 2017 aus Shanghai gekommen sein sollen. China dementierte dies energisch, dennoch wurden die chinesischen IT-Techniker ersetzt.

Klaus Saalbach: Cyberwar: Grundlagen – Methoden – Beispiele

https://repositorium.ub.uni-osnabrueck.de/handle/urn:nbn:de:gbv:700-202009303598

http://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenangaben und Fussnoten entfernt.

Kategorie: Cybersecurity
© Swiss Infosec AG 2024