6. Cyberverteidigung und Cyber-Intelligence
6.1 Cyberverteidigung
6.1.1 Einführung
Man kann auf verschiedenen Ebenen gleichzeitig ansetzen, wie die folgende Übersicht zeigt:
| Ebene | Verfahren |
| User | Regelmäßige Updates, vorsichtiger Umgang mit Dateien, Virenschutz, Spamfilter, |
| sichere Passwörter, 2 Faktor-Authentisierung mit Passwort und einem | |
| Gegenstand, Daten verschlüsseln, Firewalls (Kontrolle des Netzwerkzugriffs) | |
| Forschung: Tastendruckdauer- und stärke sowie Mausbewegungsmuster als nicht | |
| imitierbare individuelle Kennungen | |
| Organisation | Whitelisting, segmentierte Netze, Need to know, Vier Augen-Prinzip für |
| Administratoren | |
| Sicherheitsfirmen | Threat Intelligence, Intrusion Detection, Penetration Testing, Honeypots, Sandbox |
| Analysis, Datenkombination | |
| Kooperationen | Nachrichtendienste (z.B. 5-/9-/14-eyes), Polizei (Europol), ENISA, AK KRITIS, |
| Charter of Trust usw… | |
| Recht | Straf- und Haftungsvorschriften, Sicherheitsstandards |
| Technik | z.B. DDoS-Abwehr: Daten ableiten, Provider einschalten, eigene IP abschalten, |
| fremde IP sperren (geoblocking), Verlangsamung (tarpitting) | |
| Einbahnstraßentechnologien: Campusnetzwerke (Daten raus, aber nicht rein), | |
| Datendioden (rein, aber nicht raus) |
Man kann zuerst bei sich selbst als User, aber auch auf den Ebene der Organisationen ansetzen, bei der Nutzung von Cybersicherheitsfirmen, durch Kooperation von Behörden und Firmen, durch gesetzliche Maßnahmen und im Falle einer Datenüberflutung auch mit rein technischen Mitteln.
Für die Nutzer ist das wichtigste, ihr System immer auf dem neuesten Stand zu halten und Vorsicht gegenüber unklaren Emails walten zu lassen. Bei der Passwortsicherheit sollte ein Passwort nicht zu simpel, aber auch nicht zu kurz sein. Im Zweifel ist das wichtigste, sich nicht von seiner Neugier hinreißen zu lassen, auch wenn dies manchmal schwerfällt. Organisationen können unter anderem das Whitelisting anwenden, d.h. was nicht ausdrücklich von der IT erlaubt wurde, ist auf Firmencomputern verboten, man kann wichtige Netzteile abtrennen, den Zugriff der Mitarbeiter auf das Nötigste beschränken (need to know), Administratoren können sich bei wichtigen Eingriffen gegenseitig überwachen.
Sicherheitsfirmen können Angriffe im Rahmen der Threat Intelligence mit Angriffsmuster-Datenbanken abgleichen, aber auch im Rahmen der Intrusion Detection den Datenverkehr auf ungewöhnliche Vorgänge und statistische Auffälligkeiten abklopfen.
Threat Intelligence Repositories vergleichen eingehende Informationen mit bekannten IP-Adressen, Domainnamen, Webseiten und auch mit Listen bekannter bösartiger Attachments. Dies ermöglicht eine sofortige Erkennung und manchmal sogar die Zuordnung eines eingehenden Angriffs. Neu entdeckte Malware kann mit so genannten Indicators of Compromise IOC integriert werden, d.h. Zahlenfolgen, die die Erkennung der Infektion in einem bestimmten Computer ermöglichen.
Die US-Regierung baut im Moment hochentwickelte Sensorsysteme aus: Das Continuous Diagnostics and Mitigation (CDM)-Programm kann abnormes Verhalten in Echtzeit erkennen und entsprechende Übersichtsberichte an Administratoren erstellen.
Einstein 3A arbeitet mit Sensoren an Webzugangspunkten, um Bedrohungen aus dem zu schützenden System herauszuhalten, während das CDM Bedrohungen identifizieren soll, wenn sie schon im System sind.
US-Forscher haben Mustererkennungsalgorithmen zur Cyberabwehr entwickelt, die im Falle eines erkannten Angriffes die Löschung von Datenpaketen des Angreifers erlauben. Zur Vermeidung von Eskalationen ist jedoch keine automatisierte Vergeltung vorgesehen. China erforscht Simulationen von Cyberattacken.
Rob Joyce, Leiter der NSA Tailored Access Operations (TAO)-Gruppe, gab auf einer öffentlichen Präsentation bei einer Konferenz im Januar 2016 Sicherheitsempfehlungen. Zum Eindringen werden auch die winzigsten Lücken genutzt, auch vorübergehende Lücken während der (Fern-)Wartung. Andere interessante Ziele sind Lüftungs- und Heizungssysteme, wenn die Gebäudeinfrastruktur entsprechend vernetzt ist, Cloud Service-Verbindungen, hartkodierte Passwörter, Logdateien von Systemadministratoren, sowie Smartphones und andere Geräte, während Zero day-Lücken in der Praxis nicht so bedeutsam seien. Deshalb enthielten die Sicherheitsempfehlungen das Whitelisting (nur gelistete Software kann genutzt werden), die Nutzung aktualisierter Software, segmentierter Netzwerke (mit Abtrennung wichtiger
Bereiche), Reputationsmanagement zur Wahrnehmung abnormen Nutzerverhaltens und eine genaue Überwachung des Netzwerkverkehrs.
Administratoren können die Systemsicherheit durch Hacker als Penetrationstester prüfen, oder fremde Hacker durch Honigfallen, also scheinbar anfällige Computer anlocken, um ihr Treiben analysieren zu können. Man kann gefundene Schadprogramme in virtuellen Umgebungen, den sogenannten sandboxes laufen lassen, um ihre Funktion zu verstehen und schließlich, was immer häufiger vorkommt, das Wissen kombinieren.
Zu diesem Zweck hat die Deutsche Telekom 200 Honeypot (‘Honigtopf’)-Computer in ihrem Netz installiert, die durchschnittliche Mobiltelefone und Computer simulieren. Diese Computer erfassen jede Aktivität des Angreifers, das Analysesystem wird auch als Sandkasten (sandbox) bezeichnet. Da fortschrittliche Malware in virtuellen Maschinen (Testumgebungen) ruhig bleibt, versuchen fortschrittliche sandboxes echten Computern so gut wie möglich zu ähneln. Jedoch ist Malware ggf. durch das sogenannte code morphing geschützt, das ist eine Verschleierungsmethode, um Software gegen Nachbau durch reverse engineering, Analysen, Modifikationen und Codeknacken (cracking) zu schützen.
Kooperationen können, um nur einige Beispiele zu nennen, z.B. zwischen den Nachrichtendiensten erfolgen, wobei Deutschland bei den USA zu dem erweiterten Kreis der 14-eyes gehört, die Polizei arbeitet sehr gut in Europol auch mit dem FBI zusammen, die Europäer in der Netzwerkagentur ENISA, deutsche Firmen und Behörden im Arbeitskreis Kritische Infrastrukturen und große deutsche Firmen haben sich zusammengeschlossen, um in der Charter of Trust Sicherheitsstandards für die Zulieferer zu etablieren.
Einen bedeutenden Fortschritt stellt die Bildung von weiteren großen Cyber-Allianzen dar, z.B. die Cyber Threat Alliance der Sicherheitsfirmen Fortinet, Intel Security, Palo Alto Networks und Symantec zur Bekämpfung von Ransomware. Eine wachsende Zahl privater Sicherheitsfirmen sammelt Daten und führt Langzeitanalysen zur Identifikation von Angreifern durch. In schwierigen Fällen tendieren die Firmen auch zur Kooperation und zur Kombination ihrer Analysen, z.B. in den großangelegten cyberforensischen Operationen SMN und Blockbuster, Einzelheiten folgen weiter unten.
Da die ausgefeiltesten Attacken typischerweise von Gruppen ausgeführt werden, die über mehrere Jahre operieren und nicht etwa als isolierte ‘Hit and run’-Angriffe, werden die Anstrengungen zur Attribution immer effektiver. Auch große Privatunternehmen koordinieren ihre Cyberverteidigung, wie z.B. in der Deutschen Cyber Sicherheitsorganisation DCSO mit VW, BASF, Allianz und Bayer.
6.1.2 Abwehr von DDoS-Angriffen
Die deutsche Sicherheitsbehörde BSI hat generelle Empfehlungen zur Abwehr von DDoS-Attacken herausgegeben. Der attackierte Server kann die Antwortzeit zum angreifenden Computer verlängern, so dass letzterer sehr lang auf die Antworten warten muss. Diese Methode ist auch als Teerfalle oder Teergrube bekannt (tar pitting).
Zudem kann die Zahl der Verbindungen pro IP-Adresse beschränkt werden. Wenn bestimmte Quelladressen blockiert und umgeleitet werden, nennt man dies sinkholing. Durch Blockade von vermuteten Herkunftsregionen der Attacke (Geoblocking) kann die Wirksamkeit der Abwehr weiter erhöht werden, aber mit dem Risiko, auch legitime Anfragen zu blockieren. Blackholing ist die Abschaltung der attackierten IP-Adresse, was sinnvoll sein kann, wenn dadurch Kollateralschäden an anderen Computersystemen des Attackierten verhindert werden können.
Als vorbeugende Maßnahme kann der eingehende Internetverkehr ggf. auf die sichereren Transport Layer Security (TLS)/Secure Sockets Layer (SSL)-Ports beschränkt werden. Zu guter Letzt können ggf. auch DDoS mitigation services eingesetzt werden, d.h. der Internetprovider wird einbezogen, um eingehenden Internetdatenverkehr zu reduzieren oder zu blockieren.
6.1.3 Automatisierte Cyberabwehr
Die dem US-Verteidigungsministerium zugehörige Defense Advanced Research Projects Agency DARPA hat im Rahmen des ‚Plan X’, zu dem auch eine teilweise geheime Tagung am 27.09.2012 gehörte, ein Projekt gestartet, das den gesamten Cyberspace (Computer und andere Digitalgeräte) erfassen und optisch als aktuelle digitale Landkarte darstellen soll. Das Budget der Plan X-Forschung betrug 110 Millionen US-Dollar.
Die DARPA führte am 04.08.2016 die Cyber Grand Challenge in Las Vegas durch, wobei 7 Computer Cyberattacken wahrnahmen und vollautomatisch, d.h. ohne jeden menschlichen Eingriff, darauf reagierten. Dieser Wettbewerb ging über 12 Stunden und 30 Runden. Die Computer und ihre Programmierteams wurden aus hundert Bewerbern ausgewählt.
Eine Maschine namens Mayhem gewann den Wettbewerb, indem sie die meiste Zeit über passiv blieb, während die anderen sich gegenseitig bekämpften. Eine andere Maschine nahm eine Sicherheitslücke wahr, der von ihr hergestellte Patch verlangsamte jedoch die Maschine, so dass die Maschine entschied, den Patch besser wieder zu entfernen.
Die DARPA war mit dem Ergebnis zufrieden, da es ein erster Schritt in Richtung vollautomatischer Abwehr- und Reaktionssysteme war. Da die Zahl der Sicherheitslücken inzwischen immens ist, könnten automatisierte Systeme unbekannte Lücken wahrnehmen und stoppen.
Während es möglich sein mag, die Routineüberwachung an Maschinen zu übertragen, wird die menschliche Aufsicht unverzichtbar bleiben. Andernfalls könnte eine irregeführte (gespoofte) Maschine sich entschließen, das eigene Netzwerk anzugreifen. Oder ein Angreifer könnte die Maschine davon überzeugen, in den inaktiven Zustand überzugehen oder einen Patch zu konstruieren, der das Verteidigungssystem lahmlegt.
6.2 Human Intelligence (HumInt)
Die Identifikation der Angreifer ist mit rein digitalen Methoden manchmal unmöglich. Die Anwendung von Spionagemethoden der Human Intelligence kann dazu beitragen, den missing link zu finden.
Die folgenden Methoden sind in der Praxis der Attribution die wichtigsten:
- Cyber-Intelligence
- Intelligence Cooperation zum Informationsaustausch
- Konventionelle Anwendung von Intelligence.
6.2.1 Cyber-Intelligence
Cyber-Intelligence kann auf eine Vielzahl von Methoden zurückgreifen (siehe auchKapitel 2):
Die Vorbereitung des Schlachtfeldes (Preparing the battlefield) gilt als wesentlich für erfolgreiche Strategien, in der Praxis werden vorsorglich Sender (beacons) oder Implantate in ausländischen Computernetzwerken platziert, das ist Computercode, mit dessen Hilfe die Arbeitsweise des Netzwerks untersucht werden kann. Zum Beispiel hatte die NSA Implantate in iranischen Netzwerken versteckt (Nitro Zeus) und wie schon beschrieben in russischen Netzwerken als Warnsignal.
Hack the hackers: Wenn die Angreifer identifiziert sind, kann es sich lohnen, diese ihrerseits zu infiltrieren, um mehr über ihre Arbeitsweise zu erfahren.
Datenanalyse: Große Serverfarmen können auch zur Analyse sehr großer Datenvolumina genutzt werden, man spricht auch von big data. Wie bereits dargelegt, ist das Hauptproblem nicht die Informationsgewinnung, sondern die Speicherung und zielgerichtete Analyse.
Die Speicherung von Metadaten (wer hatte wann mit wem wie lange Kontakt?) wird auch zur Identifikation von Netzwerken verdächtiger Personen genutzt. Zum Beispiel konnten die Beteiligten des Anschlags in Madrid 2004 anhand der Verbindungsdaten als Netzwerk dargestellt werden.
Um das Datenvolumen zu reduzieren, benutzt z.B. der britische GCHQ (Government Communication Headquarters) die massive volume reduction (MVR)-Prozedur, bei der große Dateien wie Musikdateien von vornherein aussortiert werden.
Dann helfen Suchbegriffe (Selektoren) bei der Erkennung relevanter Daten. Zum Beispiel hat der deutsche BND im Jahre 2011 e-mails, SMS und Verbindungen mit mehr als 15000 Suchbegriffen geprüft, aber nur 290 von 2,9 Millionen initialen Checks in 2011 führte zu relevanten Befunden. Mehr als 90% dieser BND-Suchbegriffe sind formale Begriffe wie Telefonnummern, email- oder IP-Adressen von verdächtigen Usern oder Unternehmen.
Ein gezielterer Ansatz ist die Erstellung von User-Profilen. Im März 2012 hat Google bekanntgegeben, dass Profile durch Verknüpfungen von Suchmaschinennutzungen, YouTube, Google plus und gmail erstellt werden642. Ähnliche Prozeduren sind auch von Betreiberfirmen sozialer Netzwerke bekannt, aber Google und andere Firmen wurden 2013 von einem mutmaßlich chinesischen Hackerangriff betroffen bei dem Profile chinesischer Nutzer geprüft und exportiert wurden.
Ein weiterer Ansatz ist die digital dust analysis. Wenn in Russland oder China ein neues US-Botschaftsmitglied angekündigt wird, wird nicht nur die Menge, sondern auch die Verbreitung digitaler Informationen überprüft. Wenn der digitale Fußabdruck des Newcomers zu klein ist, wie Social Media-Beiträge, Handy-Telefonate, Kreditkarten-Zahlungen, dann wird der Diplomat als Undercover-CIA-Offizier markiert.
Nach 2010 wurden 18 bis 20 CIA-Quellen in China getötet oder eingesperrt. Die verschlüsselte Kommunikation zu CIA-Agenten wurde möglicherweise geknackt, dies konkurriert jedoch mit anderen Theorien wie Leaks durch einen Verräter oder Fehler (zu oft auf den gleichen Reiserouten, Essen in Restaurants mit Abhörgeräten und ‚Kellnern‘, die vom chinesischen Geheimdienst beschäftigt werden). Inzwischen wurde ein mittlerweile in Hongkong lebender ehemaliger CIA-Mitarbeiter namens Lee verhaftet, bei dem schon 2013 Informationen über chinesische CIA-Mitarbeiter vom FBI gefunden worden waren, man sich jedoch wohl erst jetzt hinreichend sicher war, um ihn 2018 bei einer Einreise in die USA zu verhaften. Lees Fall war der dritte, an dem US-Agenten in weniger als einem Jahr in China beteiligt waren und hat gestanden.
6.2.2 Nachrichtendienstliche Kooperation
Die Berichterstattung in den Medien vermittelte den Eindruck, dass sich die nachrichtendienstliche Kooperation auf Computer und die Erfassung und Auswertung von allen Formen der Telekommunikation (Signals Intelligence SigInt) konzentriert. Die Zusammenarbeit wurde jedoch während des zweiten Weltkrieges begonnen und dann im Zuge des kalten Krieges und der Terrorbekämpfung, die schon Jahrzehnte vor den Anschlägen des 11.September 2001 (9/11) begann, erweitert. Deshalb umfasst die Zusammenarbeit auch die Bearbeitung von Informationen, die von und durch Menschen gewonnen wurden (human intelligence HumInt), der Auswertung von Bildern (imaging intelligence ImInt) und von frei zugänglichen Informationen (open source intelligence OsInt).
Theoretisch ist Spionage zwar nicht legal, somit die Präsenz von Agenten ebenfalls, das Gewohnheitsvölkerrecht erkennt jedoch das Recht souveräner Staaten auf Spionage an, so dass die Zusammenarbeit möglich ist.
Das System der nachrichtendienstlichen Zusammenarbeit besteht aus drei Ebenen, der Zusammenarbeit der Dienste innerhalb eines Landes (intelligence community), der weitverbreiteten bilateralen Zusammenarbeit und der multinationalen Zusammenarbeit. Viele Staaten haben mehrere Dienste, die äußere und innere sowie zivile und militärische Angelegenheiten abdecken. Es gibt nicht endende Diskussionen über die optimale Zahl und Größe von Diensten: ein einheitlicher Dienst mag zu schwer zu kontrollieren sein, außerdem wäre der Schaden im Falle einer Infiltration enorm, und schließlich kann auch die interne Kommunikation zu kompliziert sein, so dass ggf. auch zu späte Reaktionen und blinde Flecken in der Bedrohungsanalyse entstehen können. Kleinere Organisationen können Spezialisierungsvorteile aufweisen, sind aber mit dem Risiko überlappender Aktivitäten und Verantwortlichkeiten behaftet, zudem kann es zu Konkurrenzdenken und Kommunikationsdefiziten zwischen den Einrichtungen kommen. Die Standardlösung sind mehrere Dienste mit einer koordinierenden Ebene. Die größte Intelligence Community befindet sich in den USA (1981 formal etabliert), die seit 2004 (als Reaktion auf 9/11) vom Director of National Intelligence DNI koordiniert wird, sein office wird auch als ODNI bezeichnet, davon sind die 8 militärischen Dienste in der Dachorganisation Defense Intelligence Agency DIA zusammengefasst.
Die zweite Ebene wird durch ein Geflecht von bilateralen Kooperationen gebildet, z.B. Deutschland verfügt über Kontakte zu mehr als 100 Staaten. Je nach Intensität und Qualität der politischen Beziehungen kann es sogar offizielle Repräsentanten (Legalresidenturen) geben, daneben ist es durchaus üblich, als (mehr oder weniger geduldete) Alternative Nachrichtendienstmitarbeiter als diplomatisches Personal in Botschaften bzw. Konsulate zu entsenden. Dies ist notwendig, um beide Länder betreffende nachrichtendienstliche Vorgänge und Belange zu erkennen, zu besprechen und ggf. auch zu bereinigen.
Die höchste Ebene der Zusammenarbeit ist die multilaterale Kooperation, denn selbst der größte Dienst verfügt nicht über die personellen, technischen oder finanziellen Ressourcen, um den Globus vollständig abzudecken. Der Informationsaustauch verläuft typischerweise wie folgt:
- Do ut des – Geben und nehmen, geschenkt wird nichts
- Need to know – nur das, was man wissen muss, bekommt man gesagt, auch um die Folgen durch undichte Stellen zu reduzieren
- Third party rule – Eine erhaltene Information darf nicht ohne Genehmigung an Dritte weitergegeben werden
Assessed intelligence – es werden keine Rohdaten von Originalquellen weitergegeben, sondern nur bearbeitete Berichte, dies dient dem Schutz von Quellen und Ermittlungsmethoden.
Aufgrund dieser Austauschregeln können kleinere Gruppen einfacher zu einer vertieften Zusammenarbeit gelangen als größere. Die USA hatten bereits nach dem
- Weltkrieg die inzwischen offiziell bestätigte 5-eyes Kooperation mit Großbritannien, Kanada, Australien und Neuseeland eingerichtet und als Reaktion auf 9/11 die (offiziell nicht bestätigte, sondern im November 2013 von der Zeitung The Guardian und anderen655 berichteten) erweiterten Kooperationen 9-eyes mit Dänemark, Frankreich, den Niederlanden und Norwegen und 14-eyes mit Belgien, Italien, Spanien, Schweden und Deutschland.
Bei näherer Betrachtung spiegelt dies nicht nur eine Präferenzordnung, sondern auch eine geographische Logik wider. Die 9-eyes-Partner befinden sich an der östlichen und südlichen Flanke des Vereinigten Königreichs, während die 14-eyes-Gruppe die umliegenden Nachbarn der 9-eyes-Staaten sind und zusammen einen territorialen Block bilden. Dies ermöglicht die Schaffung einer europäischen Plattform und die Sicherung der Überwachung und der physischen Präsenz in diesen Ländern.
In der Europäischen Union begann die Zusammenarbeit mit der Bildung kleiner Arbeitsgruppen zur Terrorismusbekämpfung in den Siebziger Jahren und wurde danach schrittweise ausgebaut. Das Situation Center SitCen (welches seit 2010 dem Standing Committee on operational cooperation on internal security COSI untersteht) wertet die Informationen aus, die von Organisationen der Mitgliedsstaaten, Arbeitsgruppen zur Terrorbekämpfung usw. geliefert werden. Mittlerweile ist das SitCen Teil des Europäischen Auswärtigen Dienstes EAD (European External Action Service EEAS) und wird nun Intelligence Center (INTCEN) genannt, welches nach dem aktuellsten Organigramm vom 01.02.2019 in die 4 Einheiten Intcen 1-4 für Analysis, OSINT, Situation Room und Consular crisis management gegliedert ist. Das EAD hat zudem einen Sicherheitsdienst für die eigene Sicherheit. Das militärische Nachrichtenwesen wird im Militärstab der EU (EU Military Staff EUMS) koordiniert. Europäische Nachrichtendienste kooperieren auch seit 1972 im CdB (Club de Berne).
Afrika hat inzwischen die multinationale Kooperation Committee of Intelligence and Security Services of Africa CISSA als Teil der Afrikanischen Union eingerichtet (siehe auch Kapitel 8).
6.2.3 Konventionelle Anwendung von Intelligence
Ereignisse von 2016 veranschaulichen die Relevanz der konventionellen Spionage für die Zuordnung. Wie bereits erwähnt, waren die Spannungen zwischen Russland und den USA bereits im Gange, da die russische Sicherheitsfirma Kaspersky Sinkholing gegen die vermutlich US-amerikanische Equation Group eingesetzt hat, die ihrerseits Kaspersky mit der anspruchsvollen Spionage-Malware Duqu 2.0 infiziert hat.
Im August 2016 gab eine bis dahin unbekannte Gruppe namens Shadow Brokers an, Cyberwaffen der Equation Group in ihrem Besitz zu haben und veröffentlichten Material.
Der Michailow-Vorfall: Ende August 2016 wurde ein erfolgreiches Eindringen in Onlinewahlsysteme von Illinois und Arizona berichtet, in Illinois wurden Daten von 200.000 Wählern kopiert. Die Medien spekulierten darüber, dass dies Teil einer russischen Kampagne sei, definitive Beweise wurden bisher aber nicht gefunden. Aber dann wurde festgestellt, dass eine Firma namens King Server sechs Server für diesen Angriff von einer Firma namens Chronopay mietete. Der russische Besitzer von Chronopay wurde bereits von Sergej Michailow, einem Mitglied der russischen Intelligence Cyber-Unit CIB des Nachrichtendienstes FSB untersucht, der (nach Berichten z.B. aus der Zeitung Kommersant) die US-Behörden über diese Angelegenheit informierte. Russia Today bestätigte, dass es einen Fall Michailow gibt, ohne die Einzelheiten des Informationslecks zu bestätigen und stellte klar, dass der Fall zusammen mit anderen Vorgängen noch von den russischen Behörden untersucht wird. Auch ein Cybersecurity-Experte namens Ruslan Stojanow von Kaspersky Labs war beteiligt. Während Details unklar sind, berichteten russische Zeitungen über eine Affäre mit unberechtigter Offenlegung von bis zu hundert IP-Adressen des russischen Verteidigungsministeriums gegen die Zahlung eines hohen Geldbetrags vermutlich durch einen ausländischen Geheimdienst. Allerdings war Kaspersky Labs als Organisation nicht beteiligt.
Der Surkov-Vorfall: Mitte Oktober 2016 gab US-Vizepräsident Joe Biden bekannt, dass die USA ernsthaft eine Cyber-Vergeltung gegen Russland aufgrund ihrer vermuteten Beteiligung am DNC-Hack und anderen Dingen erwägen würden. Ein paar Tage später, d.h. noch vor den Präsidentenwahlen in den USA, präsentierte eine ukrainische Gruppe namens CyberHunta den Hack der E-Mail-Box des Büros des wichtigen russischen Präsidentenberaters Vladislav Surkov. Zumindest Teile des Materials konnten als echt verifiziert werden, d.h. als nicht fabriziert. Allerdings bezweifelten US-Medien, dass eine solche Top-Level-Operation von einer ukrainischen Gruppe ohne eine entsprechende Hacking-Vorgeschichte durchgeführt werden könnte, sondern dass dies stattdessen eine Warnung der US-Nachrichtendienste war.
Der US Intelligence Community Report on Cyber incident Attribution von 2017, der im Einklang mit der vorherigen Bewertung der Operationen von APT28/Fancy Bears und APT29/Cozy Bears als Operation Grizzly Steppe stand, betonte stark die politische Motivation von Russland als Argument für die Zuordnung der Angriffe zu Russland.
Dies wurde in den Medien als begrenzte Beweislage kritisiert, aber die Vorfälle mit Michailow und Surkov deuten darauf hin, dass sich möglicherweise mehr hinter den Kulissen abspielte als nur eine digitale Zuordnung und Analyse politischer Motivationen.
Klaus Saalbach: Cyberwar: Grundlagen – Methoden – Beispiele
https://repositorium.ub.uni-osnabrueck.de/handle/urn:nbn:de:gbv:700-202009303598
http://creativecommons.org/licenses/by/3.0/de/
Zur einfacheren Lesbarkeit wurden die Quellenangaben und Fussnoten entfernt.