Vom Kampf in der fünften Dimension
2013
München. Das Gefährdungs- und Schadenspotenzial des Phänomens „Cybercrime“ ist nach Einschätzung des Bundeskriminalamtes (BKA) unverändert hoch. In seinem im September vergangenen Jahres veröffentlichten „Bundeslagebild“ zur Internetkriminalität spricht die Behörde von 59.494 Fällen, die einen Gesamtschaden von rund 71,2 Millionen Euro angerichtet hätten. Nach Einschätzung des BKA wird der Bereich „Cybercrime“ auch in den kommenden Jahren „ein weiter wachsendes Problem darstellen, dem die Sicherheitsbehörden sowohl präventiv als auch repressiv weiterhin entschlossen entgegenwirken müssen“. Die Bundeswehr ist den Attacken im Netz ebenfalls ausgesetzt und hat mit der Einrichtung einer IT-Sicherheitsorganisation im Jahr 1992 frühzeitig auf die Cyber-Bedrohungen reagiert. An der Universität der Bundeswehr München wurde zudem im April ein neues Forschungszentrum zur ganzheitlichen Cyber-Abwehr gegründet.
Die Bedrohungslage ist und bleibt erschreckend: Täglich werden durchschnittlich 13 neue Schwachstellen in Standardprogrammen entdeckt, etwa alle 2 Sekunden wird ein neues Schadprogramm beziehungsweise die Variante eines Schadprogramms in Umlauf gebracht (jeden Tag rund 43.000 Schadprogramme), pro Tag ereignen sich bis zu 5 gezielte Cyber-Angriffe im deutschen Regierungsnetz und bis zu 30 gezielte Cyber-Angriffe gegen NATO-Organisationen, pro Woche werden durchschnittlich 1,1 „erfolgreiche“ Cyber-Attacken pro Großunternehmen in Deutschland registriert (in den USA durchschnittlich 1,8), pro Monat entsteht durch Cyber-Kriminalität weltweit ein Schaden in Höhe von mehr als 9 Milliarden US-Dollar. Die Schattenseiten der Informationstechnik und insbesondere der Internetnutzung sind düster. Aber Schadprogramm ist nicht gleich Schadprogramm, Cybercrime nicht gleich Cyberwarfare…
Vitaly Kamluk, der im weißrussischen Minsk Mathematik und Informatik studierte, ist seit 2008 leitender Antiviren-Experte des Software-Unternehmens Kaspersky Lab. In einem im März veröffentlichten Interview mit der Wochenzeitung Die Zeit weist er auf einen „grundlegenden Unterschied“ hin. Jeden Tag würden Tausende neuer Schadprogramme in Umlauf gebracht, die allermeisten davon seien lediglich neue Versionen älterer Malware. Meist gehe es um Diebstahl. Die Cyber-Kriminellen hätten es auf alles abgesehen, was Geld bringe, erklärt der Programmierer. Mit den neuen gefährlichen Computerviren wie Flame, Stuxnet oder RedOctober hätten diese Aktionen jedoch nichts zu tun. Kamluk: „Mit Attacken, wie wir sie bei RedOctober oder Stuxnet gesehen haben, geht es nicht in erster Linie um Geld, sondern um Spionage und Sabotage. Bei RedOctober wurden jahrelang hochgeheime Dokumente erbeutet, vor allem von Botschaften und Behörden. Mit Stuxnet wurde eine iranische Uran-Aufbereitungsanlage manipuliert.“ Das Wettrüsten im Cyberspace eile voran, Regierungen auf der ganzen Welt arbeiteten im Geheimen an der Entwicklung von Schadprogrammen.
Ähnlich beurteilt Dr. Sandro Gaycken die Lage. Der Forscher der Freien Universität Berlin ist Experte für Cyberwar und Hochsicherheitsinfrastrukturen. Er berät unter anderem auch die Bundeswehr und das Verteidigungsministerium zu Fragen der Cyber-Sicherheit und Cyber-Abwehr. Den Computerwurm Stuxnet hält Gaycken für einen „echten Saboteur und keinen Spion“. In seinem im November 2010 veröffentlichen Zeit-Beitrag „Stuxnet: Wer war’s? Und wozu?“ vertritt Gaycken die Meinung: „Nimmt man alle Indizien und Erkenntnisse zusammen, dann ist ein globaler Cyber-Waffen-Test die plausibelste Erklärung für Stuxnet. In jedem Fall beweist der Wurm die Verwundbarkeit einer auf IT-Netzen und -Infrastrukturen beruhenden Welt. Die nächste Generation dieser Sabotagegeräte kann wahrscheinlich Industrien und Infrastrukturen ganzer Länder lahmlegen. Darauf ist niemand vorbereitet.“
Das Schadprogramm Stuxnet hat gezeigt, dass nicht nur das Internet sondern auch industrielle Infrastrukturen, die als vom offenen Internet abgetrennt galten, von gezielten IT-Angriffen nicht mehr ausgenommen sind. Cornelia Rogall-Grothe, Staatssekretärin im Bundesministerium des Innern und seit Februar 2010 Beauftragte der Bundesregierung für Informationstechnik, äußerte sich am 13. Juni vergangenen Jahres zur Cyber-Sicherheit in Deutschland. Bei einer Fachkonferenz des Deutschen Städte- und Gemeindebundes sagte sie: „Stuxnet hat uns vor Augen geführt, dass die Sammlung von Informationen zur Abschätzung der Bedrohung eine erhebliche Zeit in Anspruch genommen hat. Informationen, die notwendig sind, um Schäden zu verhindern beziehungsweise Schäden zu minimieren.“ Dies habe Bundeskanzlerin Angela Merkel deshalb zum Anlass genommen, das Bundesinnenministerium mit der Entwicklung einer Cyber-Sicherheitsstrategie zu betrauen.
Rogall-Grothe: „Kritische Infrastrukturen – wie zum Beispiel der Energie-, der Telekommunikations- oder der Finanzsektor – sind vor IT-Angriffen besonders zu schützen, weil Beeinträchtigungen ihrer IT-gestützten Prozesse die Lebensgrundlagen und den wirtschaftlichen Wohlstand in Deutschland erheblich gefährden könnten.“ Zu den kritischen Infrastrukturen gehören auch die öffentlichen Verwaltungen von Bund, Ländern und Kommunen.
Zur Verbesserung der IT-Sicherheit für die Bundesverwaltung existiert bereits seit 2007 der „Umsetzungsplan Bund“. Der seit April 2010 tätige IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern und Kommunen in der Informationstechnologie und erarbeitet gemeinsame Standards (wie Sicherheitsstandards für eGovernment-Anwendungen). Im Februar 2011 verabschiedete die Bundesregierung schließlich eine Cyber-Sicherheitsstrategie für Deutschland.
Kernpunkte dieser Sicherheitsstrategie sind der verstärkte Schutz kritischer Infrastrukturen vor IT-Angriffen, der Schutz der IT-Systeme in Deutschland, das 2011 von Bundesinnenminister Hans-Peter Friedrich eröffnete nationale Cyber-Abwehrzentrum und das ebenfalls 2011 ins Leben gerufene Gremium „Nationaler Cyber-Sicherheitsrat“.
Das nationale Cyber-Abwehrzentrum im ehemaligen Zentrum für Chiffrierwesen des Bundesnachrichtendienstes in Bonn-Mehlem versteht sich vor allem als Informationsdrehscheibe und Kommunikationsplattform. Bei der Bewältigung von IT-Krisen hat das Zentrum die zentrale Aufgabe der „Prävention, Information und Frühwarnung“, so Minister Friedrich. Die Federführung in dieser Einrichtung hat das Bundesamt für Sicherheit in der Informationspolitik. Experten entsenden auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und das Bundesamt für Verfassungsschutz. Zeitweise verstärkt wird das Team des Cyber-Abwehrzentrums auch von Mitarbeitern des Bundeskriminalamtes, des Zollkriminalamtes, der Bundespolizei, des Bundesnachrichtendienstes und der Bundeswehr. Alle Mitarbeiter bleiben allerdings in ihren jeweiligen Behörden eingebunden. Zur Hauptaufgabe der Abwehrtruppe erklärte der Bundesinnenminister: „Wir müssen Schutzempfehlungen zur Cyber-Sicherheit herausgeben, bevor ein Angriff erfolgt. Machtstrukturen im Bereich der organisierten Kriminalität und des Terrorismus vernetzen sich ebenfalls und bereiten Cyber-Angriffe vor.“
Kritiker bemängelten unmittelbar nach Eröffnung der Einrichtung, mit seinen nur zehn festen Mitarbeitern könne das nationale Cyber-Abwehrzentrum die gestellten Aufgaben unmöglich erfüllen. Andreas Schwarzkopf etwa, Politik-Redakteur der Frankfurter Rundschau, meinte in einem Kommentar: „Der Name ,Cyber-Abwehrzentrum‘ verspricht mehr, als das Projekt halten kann.“ Ähnlich sah es auch Matthias Lambrecht in seinem Beitrag „Hilfloses Kriegsgeschrei gegen Attacken aus dem Netz“ in der Financial Times Deutschland. Er schrieb im Juni 2011: „Das Zentrum ist trotz seines martialisch klingenden Namens kaum dafür gerüstet, Bürger, Unternehmen oder Regierungseinrichtungen vor Angriffen aus dem Internet zu schützen. Tatsächlich sind die zwei Handvoll Beamten, die dafür aus verschiedenen Behörden … zusammengezogen wurden, im günstigsten Fall ein funktionierender Beobachtungsposten.“
Das Gremium „Nationaler Cyber-Sicherheitsrat“ arbeitet unter Vorsitz der Beauftragten für die Informationstechnik der Bundesregierung ressortübergreifend auf Staatssekretär-Ebene zusammen. Vertreten sind das Bundeskanzleramt sowie das Auswärtige Amt, das Bundesministerium des Innern, das Bundesministerium der Verteidigung, das Bundesministerium für Wirtschaft und Technologie, das Bundesministerium der Justiz, das Bundesministerium der Finanzen, das Bundesministerium für Bildung und Forschung sowie Vertreter der Länder. Anlassbezogen wird der Kreis um weitere Ressorts erweitert. Wirtschaftsvertreter werden als assoziierte Mitglieder eingeladen, Vertreter der Wissenschaft werden bei Bedarf hinzugezogen.
Der Cyber-Sicherheitsrat als wichtiger Baustein der Cyber-Sicherheitsstrategie für Deutschland koordiniert die präventiven Instrumente und die zwischen Staat und Wirtschaft übergreifenden Politikansätze für Cyber-Sicherheit. Die Arbeit des nationalen Cyber-Sicherheitsrates ergänzt und verzahnt die Aufgaben mit der IT-Steuerung „Bund“ und dem IT-Planungsrat im Bereich der Cyber-Sicherheit auf einer politisch-strategischen Ebene.
Aktuell hat der Cyber-Sicherheitsrat seinen Fokus auf die Koordinierung des Vorgehens bei der Absicherung der kritischen Infrastrukturen in Deutschland gegen IT-Beeinträchtigungen gerichtet. Weitere Themen sind neue Technologien und damit zusammenhängende Sicherheitsherausforderungen. Ein dritter Schwerpunkt ist die Position Deutschlands in internationalen Gremien zu Cyber-Fragen. Diese internationale Dimension der Cyber-Sicherheit nimmt enorm an Bedeutung zu. Alle Staaten hängen am Internet, derzeit sind mehr als 2,4 Milliarden Menschen online – insbesondere in den Schwellenländern Südamerikas, Afrikas und Asiens warten Millionen Menschen auf weiteren Zugang.
Die Zuständigkeit der Bundeswehr im Bereich der Cyber-Abwehr ist – neben den bereits erwähnten Kooperationen – auf den Schutz der eigenen militärischen IT-Systeme begrenzt. Oberst Gerd Weiß, Leiter der Fachgruppe „IT-Sicherheit/Cyber-Defence“ im Zentrum für Informationstechnik der Bundeswehr, erläuterte im November vergangenen Jahres bei einer AFCEA-Fachveranstaltung in Bonn Maßnahmen und Erfahrungen der Truppe im Bereich „Cyber Defence“ (AFCEA: Anwenderforum für Fernmeldetechnik, Computer, Elektronik und Automatisierung). Das IT-Zentrum untersteht dem Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw). Die Fachgruppe „IT-Sicherheit/Cyber-Defence“, auch als „Geschäftsbereich 100“ bezeichnet, untergliedert sich in die Bereiche „Computer Emergency Response Team Bundeswehr“ (CERTBw), „Schlüsselmittel und -verfahren“ sowie „Abstrahlprüfzentrum“.
Die Existenz einer IT-Sicherheitsorganisation in den deutschen Streitkräften reicht zurück bis in das Jahr 1992. Damals führte die Bundeswehr unter anderem IT-Sicherheitsbeauftragte in allen Dienststellen, auf allen Führungsebenen und für alle IT-Projekte ein, entwickelte IT-Sicherheitskonzepte für die Dienststellen und gab die Zentrale Dienstvorschrift „IT-Sicherheit“ heraus. 2002 wurde CERTBw eingerichtet, die „Feuerwehr der Bundeswehr für den Cyber-Raum“.
CERTBw, aufgestellt für rein defensive Aufgaben, hat sich inzwischen im Bereich der IT-Sicherheit zu einer festen Größe entwickelt und gehört im nationalen und internationalen Umfeld der Cyber-Security-Community zu den wichtigen Akteuren. In den Jahren 2003 bis 2008 nahm CERTBw an etlichen multinationalen Cyber-Defence-Übungen teil. Seit 2009 ist man bei der jährlichen NATO-Übung „Cyber Coalition“ vertreten. Experten aus dem Euskirchener CERTBw übten auch bei „LÜKEX 2011“, „Combined Endeavour 2012“ und „Locked Shields 2012“.
Brigadegeneral Klaus Veit, Vizepräsident des BAAINBw und Stellvertretender IT-Sicherheitsbeauftragter der Bundeswehr, erinnerte bei seinem Vortrag zum zehnjährigen Bestehen des CERTBw im Dezember 2012 im Cityforum Euskirchen an die enorme Bedeutung der IT-Sicherheit auch im militärischen Bereich. Mit der Aufstellung dieser Einrichtung habe die Bundeswehr sehr früh die Notwendigkeit eines koordinierten Vorgehens bei der Reaktion auf IT-Sicherheitsvorkommnisse erkannt. „In den zehn Jahren seines Bestehens hat das CERTBw bereits vielfach seine Leistungsfähigkeit unter Beweis gestellt“, sagte Veit. Nun sei aber auch „eine weitere Stärkung der Fähigkeiten zur Erlangung von Cyber-Sicherheit wichtig, da die Bedrohung ständig wächst“. Dies werde auch in den Verteidigungspolitischen Richtlinien deutlich, die unter dem Punkt „Risiken und Bedrohung“ nach dem Internationalen Terrorismus bereits an zweiter Stelle auf die Gefahren durch Cyber-Angriffe hinweise.
Derzeit verfügt das CERTBw über rund 40 IT-Fachleute (Soldaten und Zivilbedienstete). Das Team ist vor allem in den Bereichen „Incident Response und Management“ (Umgang mit IT-Sicherheitsvorkommnissen), „Netzwerk-Monitoring“ (Netzwerküberwachung), „Netzwerkanalyse/Schwachstellenanalyse/Computerforensik“ (Untersuchung der IT nach einem Zwischenfall) sowie „Schadsoftware-Analyse und Warn- und Informationsdienst für IT-Sicherheit“ tätig. Darüber hinaus ist das CERTBw in den Einsatzgebieten der Bundeswehr präsent, wo es mit technischen Netzwerküberwachungssensoren und dem Einsatz von Schwachstellen-Analyseteams für die IT-Sicherheit der Einsatzkontingente sorgen soll.
Die zurzeit in der Bundeswehr praktizierten Cyber-Defence-Maßnahmen gehen manchen Experten immer noch nicht weit genug. So warnte Kapitän zur See Frank Behrens vor längerer Zeit bereits in seiner damaligen Funktion als Gruppenleiter „Führungsunterstützung und IT“ in der Abteilung „Marinerüstung und Logistik“ des Rostocker Marineamtes: „Die Bedrohung der globalen und nationalen IT hat spätestens mit der Freisetzung so hochperformanter Schadsoftware wie Conficker und Stuxnet eine Dimension erreicht, die die zerstörerische Wirkung kinetischer Waffen erreicht und eine drastische Kurskorrektur in der IT-Sicherheit erforderlich macht.“
In einem Beitrag für die Zeitschrift MarineForum fordert Behrens, es sei an der Zeit, der „Cyber Defence“ bei der Bundeswehr „den Ritterschlag zu erteilen und sie aus ihrem Nischendasein heraus zur Warfare Area zu erheben, ein Schritt, der unter anderem in den USA spätestens seit der Errichtung des US-Cyber Command unter einem Vier-Sterne-General längst erfolgt ist – der Cyberspace ist jetzt anerkannte fünfte Dimension der Kriegführung neben Land, Air, Sea und Space“. Die Truppe, so schreibt der Marineoffizier weiter, brauche dringend den „Cyber-Krieger“, der als Experte Seite an Seite mit den anderen Waffengattungen stehe. „In allen Handlungs- und Führungsebenen, von der Kompanieebene bis zur ministeriellen Leitung.“
Die Bundeswehr trennt grundsätzlich ihre Fähigkeiten zur Abwehr von Cyber-Attacken von den „Fähigkeiten zur Wirkung in gegnerischen Netzwerken“. Aber sie ist auf beiden Feldern aktiv. In einer Antwort der Bundesregierung vom 12. September 2011 auf eine Anfrage der Fraktion Bündnis 90/Die Grünen zur Cyber-Strategie unter militärischen und verteidigungspolitischen Aspekten heißt es: „Die Bundeswehr erwirbt Fähigkeiten, um im Rahmen ihres verfassungsgemäßen Auftrages auch im Cyber-Raum wirken zu können.“ Das Wirkmittel der Streitkräfte trägt die Bezeichnung „Computer-Netzwerk-Operationen“ (CNO).
Über die Bestrebungen der Bundeswehr, eigene Fähigkeiten zum offensiven Cyber-Einsatz in fremden Netzen zu entwickeln, ist mehrfach in der deutschsprachigen Presse berichtet worden. Klassiker dabei ist der Spiegel-Beitrag „Bundeswehr baut geheime Cyberwar-Truppe auf“ vom 7. Februar 2009. Nach Recherchen des Magazins sollen in jenem Jahr „76 Mitarbeiter der im Aufbau befindlichen ,Abteilung Informations- und Computernetzwerkoperationen‘ streng abgeschottet in der Tomburg-Kaserne in Rheinbach nahe Bonn“ für den „elektronischen Ernstfall“ trainiert haben. Die „Hacker in Uniform“ seien vor allem aus den Fachbereichen für Informatik an den Bundeswehruniversitäten rekrutiert worden, so der Spiegel damals. „Sie beschäftigen sich mit den neuesten Methoden, in fremde Netzwerke einzudringen, sie auszukundschaften, sie zu manipulieren oder zu zerstören – digitale Angriffe auf fremde Server und Netze inklusive.“
Gut drei Jahre später zitierte die Financial Times Deutschland aus einem sechsseitigen Papier des Parlamentarischen Staatssekretärs beim Bundesminister der Verteidigung Thomas Kossendey an den Verteidigungsausschuss. Dieser „Bericht zum Themenkomplex Cyber-Warfare“ vom 13. April 2012 bestätigt in einem Absatz Vermutungen: „Die Bundeswehr stellt derzeit beim Kommando Strategische Aufklärung die Abteilung ,Computer-Netzwerk-Operationen‘ auf. Eine Anfangsbefähigung zum Wirken in gegnerischen Netzen wurde erreicht. Für die Ausbildung beziehungsweise zur Erprobung von Verfahren besteht die Möglichkeit zur Durchführung von Simulationen in einer geschlossenen Laborumgebung.“
In einer geschlossenen Laborumgebung arbeitet auch Gabi Dreo Rodosek. Die Professorin der Universität der Bundeswehr München hat am Institut für Technische Informatik ein Forschungsnetz mit mehr als 50 Servern aufgebaut. Hier testet sie entwickelte IT-Sicherheitskonzepte auf ihre Tragfähigkeit. Der Bedarf an diesen Konzepten hat in den letzten Jahren massiv zugenommen, erklärt die Wissenschaftlerin. Ihrer Ansicht nach ist „Cyberwar“ der Krieg der Zukunft. „Bevor in einem Konflikt der erste Schuss fällt, werden Hacker versuchen die Waffen- und Radarsysteme, die Kommunikationsmittel aber auch die Energieversorgung des Gegners auszuschalten.“
Dreo Rodosek berät unter anderem die Bundeswehr sowie deutsche Sicherheitsbehörden und Unternehmen bei der Netzsicherheit. Die Bündelung und der weitere Aufbau von Expertise im Bereich Cyber Defence an dieser Bundeswehr-Universität gelang vor kurzem mit der Gründung des neuen Forschungszentrums CODE. Wir berichteten darüber in unserem Beitrag „Ganzheitlicher Ansatz in der Cyber-Abwehr“.
„Schon heute“, so sagt Brigadegeneral a.D. Friedrich Wilhelm Kriesel, „ist der virtuelle Raum des Cyberwar der entscheidende Ort für Kampfhandlungen, wir haben es nur noch nicht realisiert – obwohl wir die Gefährdeten sind. Cyberwar ist im Kern keine militärische Frage, sondern ein Problem von gesamtstaatlicher Relevanz.“ Der frühere Kommandeur des Kommandos Strategische Aufklärung der Bundeswehr in Grafschaft-Gelsdorf ist ein absoluter Kenner der Materie. Zu seinen militärischen Aufgaben gehörte unter anderem der Aufbau der bereits beschriebenen Bundeswehr-Fähigkeit „Computer-Netzwerk-Operationen“.
In seiner Analyse zum Thema „Cyberwar“, erschienen 2011, urteilt der Diplom-Informatiker: „Cyberwar (geht) weit über die militärischen Aspekte von Kriegführung hinaus und betrifft alle Lebensfunktionen eines entwickelten Staates. Die Verteidigung gegen virtuelle Kriegführung ist deshalb eine gesamtstaatliche und nicht eine vorrangig militärische Aufgabe. Patentrezepte für die Immunisierung gegen Cyberwar, wie ,Stecker rausziehen‘, helfen – wie so oft – nicht weiter. Es ist daher essenziell, dass wir uns zunächst eingestehen, auf die Risiken virtueller Angriffe nur sehr unvollkommen vorbereitet zu sein. Dies betrifft zuvorderst unseren gesamten Denkapparat und in der Folge unsere Normen, Rechtsmechanismen und administrativen Abläufe.“
Zu unserem Bildangebot:
1. Barksdale Air Force Base im US-Bundesstaat Louisiana – hier war einige Zeit lang das provisorische Hauptquartier des Cyber-Kommandos der Luftwaffe untergebracht. Die Aufnahme entstand vor dem großen Lagedisplay der Einheit.
(Foto: Lance Cheung/U.S. Air Force)
2. Statistik rund um die Internetnutzung: die in dieser Grafik verarbeiteten Zahlen beziehen sich alle auf den Stichtag 30. Juni 2012 und dürften inzwischen in allen Bereichen höher liegen.
(Quelle: Internet World Stats/Pingdom, Infografik mediakompakt)
3. Cybercrime – Bundeslagebild 2011: eine Bestandsaufnahme des Bundeskriminalamtes vom September 2012 dokumentiert „…weniger Fälle, höherer Schaden, gleichbleibende Gefährdung“.
(Quelle BKA, Infografik mediakompakt)
4. Arbeiten in Barksdale an einer Antiviren-Software für die Einheiten der US-Luftwaffe.
(Foto: Cecilio Ricardo/U.S. Air Force)
5. Das Global Cyberspace Integration Center (GCIC) auf der Langley-Luftwaffenbasis im US-Bundesstaat Virginia: hier werden unter anderem Hard- und Softwareprodukte vor ihrer Auslieferung an die Truppe auf IT-Sicherheit hin überprüft.
(Foto: Amelia Donnell/U.S. Air Force)
„Kampf in der fünften Dimension“ – klingt eher wie ein Kinofilm…