5.5. Cyberpeace statt Cyberwar – eine Initiative (Sylvia Johnigk)

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung

1. Motivation – Warum Cyberpeace?
2. Cyberwarfare-Realität?
3. Bekannte Cyberwarfare-Attacken
4. Forum InformatikerInnen
5. Kritik des FIfF
6. Was tun?
Weiterführende Links

Einleitung

Vielfach unbemerkt sind wir ZeugInnen eines seit einigen Jahren stattfindenden Wettrüstens im Cyberspace. Immer mehr Staaten bauen militärische Cyberwarfare-Einheiten auf, die aus IT SpezialistInnen bestehen und dem Zweck dienen, IT Systeme abzusichern oder Systeme von „Feinden“ anzugreifen.

Die Aufrüstung mit offensiven Cyberwaffen erhöht aber das Risiko für die Zivilgesellschaft. Im Zuge der Vernetzung und Digitalisierung der Welt steigen die Abhängigkeit und Verletzlichkeit von IT. Im digitalen Raum lösen sich nationale Grenzen, Verantwortlichkeiten und Zuständigkeiten auf. Jede/r kann Gegner oder Feind sein, jede/r kann Partner oder Betroffene/r sein. Konflikte lassen sich dadurch nur noch schwer eingrenzen – und mittels nationaler Strategien lösen.

Daher braucht es Antworten in einer friedenspolitischen Deeskalation. IT Sicherheitsrisiken können durch Dezentralisierung von kritischen Infrastrukturen, Verringerung von Abhängigkeiten und allgemeiner Verfügbarkeit von defensiver Technologie, z.B. durch Transparenz und freie Lizenzen, reduziert werden.

1. Motivation – Warum Cyberpeace?

Jede/r kann Opfer werden, Staat, Unternehmen oder BürgerIn – gezielt, als Zufallstreffer oder als Kollateralschaden. Endgeräte, die im Internet kommunizieren, waren vor zehn Jahren fast ausschließlich PCs und Notebooks. Heute kommunizieren zusätzlich Smartphones, Tablets, SmartTVs und erste Smarthouses.

Die Gesellschaft als Ganzes ist hochgradig abhängig von Elektrizität, Wasserversorgung, Transportunternehmen, etc. Diese Industrieanlagen sind via SCADA (Supervisory Control and Data Acquisition) im Internet mehr oder weniger absichtlich erreichbar und können von überall angesprochen werden. So sind selbst diejenigen betroffen, die nur mittelbar das Internet nutzen.

„Cyberwaffen“ sind frei verfügbar. Angriffswerkzeuge findet man im Internet, zu Hause oder in der Arbeit. Jedes Endgerät, das mit dem Internet verbunden ist, kann erreicht und geschädigt werden. Cyberwaffen sind billiger als konventionelle Waffen. Die Hemmschwelle, solche Waffen einzusetzen ist niedriger, da potentielle Schäden abstrakt sind. Wissen und Handhabung können „leicht“ angeeignet werden.

Die Standardisierung von Hard- und Software erleichtert und effektiviert Angriffe (anfällige Monokulturen). Komponenten in IT-Produkten kommen von verschiedenen Lieferanten und sind kaum kontrollier- oder nachvollziehbar. Mit der Komplexität der Systeme und Anwendungen wächst die Häufigkeit von Schwachstellen, Fehlkonfigurationen und nicht deterministischem Verhalten.

2. Cyberwarfare-Realität?

Es gibt in rund 140 Staaten Initiativen für den Auf- oder Ausbau militärischer Cybereinheiten, die meisten davon mit offensivem Charakter. Cyberwarfare erscheint aus militärischer Sicht verführerisch:

• Keine Gefährdung der eigenen Soldaten,
• Rückverfolgung zum Aggressor nicht eindeutig möglich, Herkunft und Identität kann verfälscht bzw. nicht zweifelsfrei geklärt werden
• Low hanging fruits: weiche, zivile Ziele schwächen Gegner
• Angriff ist wesentlich einfacher als Verteidigung
• Die Bundeswehr mischt seit 2009 mit und ist seit 2012 nach eigenen Angaben angriffsbereit[1].

In den letzten Jahren wurde immer häufiger der Begriff Cyberwar benutzt, obwohl es sich bislang noch nicht um kriegerische Handlungen im Sinne der Genfer Konventionen gehandelt hat. Vergleichbare Cyberangriffe können aber zukünftig einen Krieg auslösen oder kombiniert mit anderen Waffen in einem Krieg eingesetzt werden. Völkerrechtlich ist Cyberwarfare bisher nur unzureichend geregelt.

Somit lassen sich die zwischenstaatlichen Attacken der letzten Jahre nur schwer einordnen. Noch schwieriger wird es, wenn die Ausmaße der Schäden erheblicher werden und ein Staat den Wechsel zu konventionellen Waffen vollzieht.

3. Bekannte Cyberwarfare-Attacken

• Bei Titan Rain handelte es sich um Angriffsserien auf US-amerikanische Computersysteme u.a. auf Rüstungskonzerne und auf die NASA. Diese und weitere Hacking-Attacken auf US Systeme wurden angeblich nach China zurückverfolgt.
• 2007 fand eine DDos (Distributed Denial of Service) Attacke auf die estnischen Regierungswebseiten statt. Vermutlich handelte es sich um eine politisch motivierte Attacke, basierend auf einem Streit über den Umgang mit einem Denkmal russischer Soldaten.
• 2008 gab es in Georgien (Südossetien) verschiedenste Attacken: Webdefacement, Dos Attacken gegen georgische Regierungsseiten und Medien, um während der kriegerischen Auseinandersetzungen die Informationsverbreitung nachhaltig zu unterbinden.
• 2010: Stuxnet ist eine Malware zur gezielten Sabotage von Zentrifugen in der Urananreicherungsanlage in Natanz (Iran). Die geschätzten Entwicklungskosten liegen im siebenstelligen Dollarbereich, es wurden mehrere Zeroday Exploits entwickelt und mehrere Personenjahre Entwicklungs- und Testaufwand aufgebracht. Nach einem Bericht der NYT 2012 war Stuxnet Teil einer mehrjährigen amerikanisch-israelischen Cyberattacke (Operation „Olympic games“).
• 2010/2012: Flame, eine klassische Spionagesoftware, späht die befallenen Rechner/Nutzer aus und sammelt Daten. Der Trojaner ist lokal auf den Nahen Osten ausgerichtet und besitzt eine raffinierte Löschfunktion, so dass er nach getaner Arbeit nicht mehr auffindbar ist.
• 2011: Duqu basiert (wahrscheinlich) auf dem Stuxnet-Code, er hat keine lokalen Präferenzen, eine Angriffs-/Schadkomponente fehlt. Er späht die befallenen Rechner lediglich aus.
• 2012: der Trojaner Gauss, späht im staatlichen Auftrag Bankdaten aus, vor allem in Israel und Libanon, basiert auf Flame, wurde mutmaßlich von den USA und Israel entwickelt.

Dies ist nur eine kleine Auswahl bekannt gewordener Angriffe, die in Zukunft allerdings vermutlich zunehmen werden, wenn ein Umdenken ausbleibt.

4. Forum InformatikerInnen

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF e.V.) ist ein Zusammenschluss von Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen.

Im 1984 gegründeten FIfF engagieren sich Menschen für eine Technikentwicklung, die die Menschenwürde achtet und die dazu beiträgt, Demokratie, Grundrechte und Frieden zu schützen und weiterzuentwickeln. Sie treten im Rahmen ihrer Berufsethik für ein friedliches Miteinander aller Menschen ein und wollen damit freundschaftliche Beziehungen aller Staaten untereinander fördern.

Die Mitglieder wirken in vielen technischen und nichttechnischen Bereichen der Gesellschaft. Zu ihren Aufgaben zählen Öffentlichkeitsarbeit, Beratung und das Erarbeiten fachlicher Studien. Das FIfF gibt vierteljährlich die Zeitschrift FIfF-Kommunikation heraus und arbeitet mit anderen Bürgerrechtsorganisationen zusammen.

5. Kritik des FIfF

• Durch Cyberwarfare wurde eine neue und gefährliche Rüstungsspirale in Gang gesetzt. Wer Cyberwaffen entwickelt und damit angreift, legitimiert den Einsatz auf der Gegenseite!
• Bei Gegnern, die technisch nicht mithalten, wird die Tendenz zum asymmetrischen Krieg verstärkt. Der Hightech Einsatz provoziert eine Gegenwehr durch Attentate und Guerilla Krieg.
• Die militärischen Sicherheitsinteressen bedrohen auch die Freiheit des Internets und der Gesellschaft. Entwicklung von Sicherheits- und Überwachungstechnologie wird staatlich forciert, Sicherheitsgesetze und Überwachung werden verschärft, anonyme und freie Kommunikation eingeschränkt und die Erforschung und Offenlegung von Sicherheitsschwachstellen behindert.
• Wir leben in einer entgrenzten Welt. Einzelne Unternehmen arbeiten global und über nationale Ländergrenzen hinaus dennoch in einem Intranet zusammen. Netzwerke und Systeme von internationalen Konzernen werden durch AdministratorInnen in Schwellenländern betreut. Produkte werden an Zulieferstandorten in mehreren Ländern entwickelt und global eingesetzt. Infrastrukturen (Strom, Gas, Öl) werden über nationale Grenzen hinaus produziert, verteilt und konsumiert. Standards werden international entworfen und umgesetzt.
• Diesen internationalen Herausforderungen für die IT Sicherheit werden häufig rein national ausgerichtete Maßnahmen wie das Nationale Cyberabwehrzentrum [2], der Cybersicherheitsrat [3] oder die Allianz für Cybersicherheit [4] entgegen gesetzt.
• Cyberattacken sind nur möglich, wenn Schwachstellen geheim gehalten werden. Schwachstellen, die nicht bekannt sind, können nicht gefixt werden, und sind somit auch vom Gegner ausnutzbar. Besonders prekär: Hat ein nationales Cyberabwehrzentrum eine Cyberwaffe, die auf Schwachstellen basierend entworfen wurde, muss diese Schwachstelle vor Verbündeten geheim gehalten werden, da zu viele Mitwisser die Wahrscheinlichkeit steigern, dass die Schwachstelle bekannt wird und die Cyberwaffe dadurch unbrauchbar wird. Selbst die eigene Zivilbevölkerung oder heimische Wirtschaft kann nicht über das Risiko informiert werden.
• Die US Cybersecurity-Doktrin wurde 2011 veröffentlicht (genauer: nur der defensive Teil davon). Problematisch ist die vage Definition eines Angriffs, der demnach die nationale Sicherheit gefährdet: (D)Dos Attacken, Sabotage von militärischen und zivilen Systemen insbesondere kritischen Infrastrukturen, Manipulation und Diebstahl von Informationen, Wirtschaftsspionage, Diebstahl geistigen Eigentums, Hacktivismus.
• Cybercrime und Cyberwarfare werden zu wenig differenziert, weswegen potentiell jeder Cyberangriff als Bedrohungen der nationalen Sicherheit der USA interpretiert werden kann.
• Da sich die USA aufgrund ihrer Defizite bei der Abwehr vorbehalten, auf Cyberangriffe auch konventionell zu reagieren, kann die Unschärfe in der Angriffsdefinition dazu führen, dass mit niedriger Eintrittsschwelle IT-Sicherheitsprobleme in einen physischen Krieg eskalieren.
• Wir halten es für einen Fehler, Aktionen von Einzeltätern und Scriptkiddies als Kriegsgrund zu bewerten. Kriminell motivierte Cyberangriffe finden massenweise täglich statt, ein Krieg wäre damit der Normalzustand. Ein so weit definierter Cyberangriff dürfte nicht zum Bündnisfall für die NATO werden.

6. Was tun?

Das FIfF formuliert folgende Forderungen, die laufend ergänzt und ausgearbeitet werden sollen[5]:

• Verzicht auf Erstschlag und Offensive im Cyberspace: Staaten sollen öffentlich darauf verzichten, Cyberwaffen präventiv zum Angriff einzusetzen.
• Rein defensive Sicherheitsstrategie: Staaten sollen sich verpflichten, keine Offensivwaffen für den Cyberwar zu entwickeln oder gar einzusetzen.
• Digitale Genfer Konvention: Für die Zivilbevölkerung lebenswichtige Infrastrukturen wie Strom-, Wasser-, Gesundheitsversorgung, etc. dürfen nicht angegriffen werden. Eine Verletzung dieses Grundsatzes soll als Kriegsverbrechen gelten.
• Anerkennung eines Grundrechts auf zivilen Ungehorsam und Onlineprotestformen im Internet: Derartige Aktionen dürfen nicht kriminalisiert werden, geschweige denn als Kriegsgrund herhalten.
• Wirtschaftliche Interessen, wie ein Verstoß gegen Intellectual Properties, sind kein legitimer Kriegsgrund.
• Konventionelle Waffen dürfen nicht als Antwort auf eine Cyberattacke eingesetzt werden.
• Staatliche Stellen, Unternehmen und BürgerInnen müssen zur Offenlegung von Schwachstellen verpflichtet werden (ableitbar aus dem Grundrecht auf Integrität, das der Staat schützen muss).
• BetreiberInnen kritischer Infrastrukturen müssen verpflichtet werden, sich selbst zu schützen, bzw. IT-Systeme sicher zu gestalten, zu implementieren und zu betreiben, anstatt nach dem Staat oder gar dem Militär zu rufen.
• Kompetente, transparente Prüfungen und Tests müssen Voraussetzung für eine Betriebserlaubnis sein.
• Gefordert wird eine Entnetzung und Dezentralisierung kritischer Infrastrukturen (wie z.B. DE-CIX).
• Abrüstung der politischen Sprache: Klare Trennung von Cyberwar, Cyberterror, Cybercrime, ethical Hacking, politischen Protestformen.
• Demokratische Kontrolle, Gewaltenteilung, Parlamentsvorbehalt für Cybersicherheitsstrategien und deren Umsetzung.

Weiterführende Links

Aljazeera (2011) Sentinal Drohne durch iranischen Cyberangriff sabotiert? https://www.aljazeera.com/news/asia/2011/12/20111241599102532.html (Letzer Aufruf 13.4.2013)

David Singer (2012) New York Times zu Stuxnet: Obama Order Sped Up Wave of Cyberattacks Against https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1&hp&pagewanted=all (Letzer Aufruf 13.4.2013)

Die Beauftragte der Bundesregierung für Informationstechnik (2011) Cybersicherheitsrat https://www.cio.bund.de/DE/Politische-Aufgaben/Cyber-Sicherheitsrat/cyber_sicherheitsrat_node.htm (Letzer Aufruf 13.4.2013)

Economist (2010) Iranische Cybereinheiten https://www.economist.com/node/16481504?story_id=16481504&source=features_box1 (Letzer Aufruf 13.4.2013)

Heise.de (2011) Nato Libyen https://www.heise.de/newsticker/meldung/Bericht-US-Regierung-erwog-Cyberwar-gegen-Libyen-1362698.html (Letzer Aufruf 13.4.2013)

Heise.de (2012) Super-Spion Flame trug Microsoft-Signatur https://www.heise.de/newsticker/meldung/Super-Spion-Flame-trug-Microsoft-Signatur-1590335.html (Letzer Aufruf 13.4.2013)

Heise.de (2012) Supertrojaner Flame gibt Geheimnisse preis https://www.heise.de/newsticker/meldung/Spionagetrojaner-Flame-gibt-Geheimnisse-preis-1709709.html (Letzer Aufruf 13.4.2013)

Heise.de (2012) Der kleine Bruder des Spronagetrojaners Flame https://www.heise.de/newsticker/meldung/miniFlame-Der-kleine-Bruder-des-Spionagetrojaners-Flame-1731263.html (Letzer Aufruf 13.4.2013)

Heise.de (2012) Saudui Aramco: Cyber-Krieg im Nahen Osten https://www.heise.de/tp/artikel/37/37594/1.html5 (Letzer Aufruf 13.4.2013)

Johnigk, Nothdurft (2012) FIfF-Ko 1/2012 Cyberwarfare Sylvia Johnigk und Kai Nothdurft https://program.sigint.ccc.de/system/attachments/10/original/FK-1-2012_Cyberwar_v2-1.pdf?1332865716 (Letzer Aufruf 13.4.2013)

NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia (CCDCOE) Centre https://www.ccdcoe.org/ (Letzer Aufruf 13.4.2013)

Sandro Gaycken (2011) re:publica XI April 2011 https://archiv.re-publica.de/2011/12/04/cyberwar-und-seine-folgen-fur-die-informationsgesellschaft/ (Letzer Aufruf 13.4.2013)

Sneier on Security (2008) Equity Issue Dilemma https://www.schneier.com/blog/archives/2008/05/dualuse_technol_1.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2011) China, blaue Armee https://www.spiegel.de/netzwelt/web/blaue-armee-elite-hacker-fuehren-cyberwar-fuer-china-a-765081.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2009) Bundeswehr baut geheime Cyberwar Truppe auf https://www.spiegel.de/netzwelt/tech/spionage-und-hackerabwehr-bundeswehr-baut-geheime-cyberwar-truppe-auf-a-606096.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2011) Aktivitäten aus China https://www.spiegel.de/netzwelt/web/online-spionage-us-geheimdienst-will-chinesische-hacker-identifiziert-haben-a-803396.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2012) Bundeswehr meldet sich bereit zum Cyberwar https://www.spiegel.de/netzwelt/netzpolitik/cyberwar-die-bundeswehr-kann-nun-auch-cyberkrieg-a-836991.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2012) Bomben gegen Cyberkrieger https://www.spiegel.de/netzwelt/netzpolitik/cyberkrieg-bomben-gegen-cyberkrieger-a-861002.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2012) Interview mit Droege IRK: Ist Cyberwar ein Krieg? https://www.spiegel.de/netzwelt/netzpolitik/ist-ein-cyberkrieg-ein-krieg-a-841096.html (Letzer Aufruf 13.4.2013)

Spiegel Online (2012) Der Wurm als Waffe https://www.spiegel.de/netzwelt/netzpolitik/experten-suchen-nach-kriegsrecht-fuer-den-cyberwar-a-836566.html (Letzer Aufruf 13.4.2013)

Sueddeutsche.de (2011) Wie gefährlich ist der Stuxnet-Bruder? https://www.sueddeutsche.de/digital/computervirus-duqu-entdeckt-wie-gefaehrlich-ist-der-stuxnet-bruder-1.1168324 (Letzer Aufruf 13.4.2013)

Sueddeutsche.de (2012) Ein Gegenschlag ist nicht legal https://www.sueddeutsche.de/digital/cyberwar-und-voelkerrecht-ein-gegenschlag-ist-nicht-legal-1.1430089 (Letzer Aufruf 13.4.2013)

Sueddeutsche.de (2012) Der Cyberkrieg kann jeden treffen https://www.sueddeutsche.de/digital/sicherheit-im-internet-der-cyber-krieg-kann-jeden-treffen-1.146684 (Letzer Aufruf 13.4.2013)

Telepolis (2011) Malware Befall Nevada Drohensteuerung https://www.heise.de/tp/blogs/8/150592 (Letzer Aufruf 13.4.2013)

The Jerusalem Post (2011) Israel Cyberdefense Einheit https://www.jpost.com/Defense/Article.aspx?id=221116

US Militärdoktrin des Department of Defense (2010) Strategy for operating in Cyberspace https://www.defense.gov/news/d20110714cyber.pdf (Letzer Aufruf 13.4.2013)

Wikipedia – Großbrittanien: GCHQ https://en.wikipedia.org/wiki/GCHQ (Letzer Aufruf 13.4.2013)

Wikipedia – Nationales Cyberabwehrzentrum der BRD (NCAZ) https://de.wikipedia.org/wiki/Cyberabwehrzentrum (Letzer Aufruf 13.4.2013)

Wikipedia – Israel Gaza Konflikt https://en.wikipedia.org/wiki/Media_and_the_Gaza_War (Letzer Aufruf 13.4.2013)

Wikipedia – United States Cyber Command USCYBERCOM https://en.wikipedia.org/wiki/USCYBERCOM (Letzer Aufruf 13.4.2013)

Wikipedia – Verdacht auf Angriff aus Russland auf Estland https://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia (Letzer Aufruf 13.4.2013)

Wikipedia – Cyberattacke auf Georgien https://en.wikipedia.org/wiki/Cyberattacks_during_the_2008_South_Ossetia_war (Letzer Aufruf 13.4.2013)

Wikipedia – Titan Rain https://en.wikipedia.org/wiki/Titan_Rain (Letzer Aufruf 13.4.2013)