Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cyberwar: Grundlagen – Methoden – Beispiele – Teil 14

8.5 Smart Grid

Das intelligente Netz (Smart Grid) ist die digitale Version des konventionellen Stromnetzes, das zur Stromerzeugung an Kraftwerken benötigt wird, um diese Energie an die örtlichen Stationen zu übertragen, wo die Spannung abgesenkt und der Strom an die Verteilungsnetze verteilt wird, um Kunden zu versorgen. Dominante intelligente Netznetzprotokolle sind IEC 104, ein TCP-basiertes Protokoll; dieses und sein serieller Protokollbegleiter IEC 101 werden in Europa und Asien verwendet, während das Distributed Network Protocol 3 (DNP3) typischerweise in US verwendet wird.

Ein spezifisches Risiko des Smart Grids sind Dominoeffekte, da die Spannung des übertragenen Stroms in einem sehr engen Bereich stabil gehalten werden muss. Jede Volatilität, z.B. verursacht durch einen Cyber-Angriff kann große Regionen bis hin zur gesamten Europäischen Union destabilisieren, die die intelligente Netzverteidigung zu einer Priorität der Cyber-Sicherheits-Bemühungen macht.

8.6 Kernkraftwerke

Schon beim großen Stromausfall von 2003 war der Verdacht aufgekommen, dass dieser durch ein Computervirus verursacht worden sein könnte.

Schon im August 2003 konnte der Internetwurm Slammer für einige Stunden in das zum Glück abgeschaltete Atomkraftwerk in David-Besse in Ohio eindringen. Seit 2006 mussten zweimal Atomkraftwerke nach Cyberangriffen abgeschaltet werden. Im April 2009 gelang es Hackern, in die Stromnetzkontrolle der USA vorzudringen, um dort Programme zu hinterlassen, mit denen das System bei Bedarf unterbrochen werden könnte, wobei China, das umgehend dementierte, und Russland verdächtigt wurden.

Im Oktober 2016 sagte der Direktor der Internationalen Atomenergie-Organisation (IAEA) Amano, dass vor zwei bis drei Jahren ein Atomkraftwerk von einem störenden Angriff getroffen wurde, eine Abschaltung wurde aber nicht nötig. Nach dem Cyber-Angriff in Südkorea 2014 (siehe Abschnitt 5 Lazarus-Gruppe) und einem Computervirus im deutschen Kernkraftwerk Grundremmingen im April 2014 (im Büro, nicht im Nuklearbereich). Ende Juni 2017 war das ukrainische Atomkraftwerk Tschernobyl von den Petya-Attacken betroffen.

Im Mai und Juni 2017 war der US-Energiesektor Ziel von Cyberangriffen. DHS und FBI untersuchen dies; unter den Zielen war das Kernkraftwerk Wolf Creek bei Burlington in Kansas, aber seine Operationen waren nicht betroffen. Die Angriffe waren die gleichen wie die Taktik der APT Dragonfly (Energetic Bear/Crouching Yeti/Koala). Zum Angriff wurden gefälschte Lebensläufe für Kontrollingenieur-Jobs, watering hole-Attacken und Man-in-the-Middle-Attacken angewendet.

Das französische Bauunternehmen Ingerop war 2018 von einem Phishing-Angriff unbekannter Akteure betroffen, die 11.000 Dateien, u.a. mit Bezug auf Atommüllanlagen, Gefängnisse und andere kritische Infrastrukturen gestohlen hatten. Eine Spur führte die Ermittler zu einem Server in Dortmund und es könnte sein, dass ‚Hacktivisten‘ beteiligt waren.

Im Juni 2019 wurde bekannt, dass die USA seit mindestens 2012 Aufklärungsprogramme in Steuerungssystemen des russischen Stromnetzes einsetzen. Zusätzlich zur Wolf Creek-Attacke waren nämlich Versuche unternommen worden, die Cooper Nuclear Station des Nebraska Public Power Districts zu infiltrieren, wo die Angreifer die Kommunikationsnetze erreichten, jedoch nicht das Reaktorsystem.

8.7 Die Cybersicherheit von Autos und Flugzeugen

Die Digitalisierung von Autos macht schnelle Fortschritte, z.B. für Fahrassistenzsysteme, Motordiagnostik, Informations-, Navigations- und Unterhaltungssysteme, Sicherheits- und Kamerasysteme. Das wichtigste Angriffsziel ist das controlled area network (CAN), ein serielles Bussystem zur Vernetzung von Steuergeräten.

2016 werden 80 Prozent aller neu zugelassenen Autos in Deutschland einen Internetanschluss haben. Ab 2018 müssen neu zugelassene Fahrzeuge in der EU das E-call-System haben, bei dem das Auto dann automatisch Notrufe bei Unfällen tätigen kann. Das System kann jedoch auch das Fahrverhalten durch Datensammlungen verfolgen.

Daneben gibt es auch den Trend, die IT-Infrastruktur fest in das Auto zu integrieren, wie momentan geplant bei Audi mit dem System Google Android. Forscher haben vier Gruppen von Sicherheitsproblemen ausgemacht, nämlich die Verbindung des Autos zu auswärtigen Servern (Car to X connection), die Sicherheit der Unterhaltungselektronik im Auto, die Wegfahrsperre und die internen Schnittstellen der Komponenten im Auto.

Es gibt zunehmend Berichte über Autohacks, Nach einem erfolgreichen Eindringversuch von chinesischen Studenten (Tesla-Vorfall) wurde betont, dass solche Hacks eine direkte physische Verbindung zu den Systemen des Autos erfordern und nicht aus der Distanz erfolgen können. Bis heute fanden alle Hacks in Forschungsumgebungen statt, typischerweise durch ethische Hacker, die die betroffenen Unternehmen informierten, so dass alle Sicherheitslücken rechtzeitig geschlossen werden konnten. Jedoch gelang Mitte 2015 der erste Autohack aus der Distanz, wobei ein Cherokee Jeep-Modell aus 15 Kilometern Entfernung angegriffen werden konnte.

Smartphone Apps werden zunehmend physische Autoschlüssel ersetzen und werden es z.B. ermöglichen, das Auto mit anderen zu teilen. Das keyless-System erlaubt es, mit dem Smartphone über Bluetooth die Autotüren zu öffnen und den Motor zu starten, aber solche Signale können von Angreifern mit Hilfe eines Repeater-Gerätes leicht abgefangen und reproduziert werden.

Das Automodell Tesla S wurde Ende 2015 mit Autopiloten-Funktionen für partiell autonomes Fahren ausgestattet, darüber hinaus können ab jetzt kabellose Updates via WLAN als firmware over the air (FOTA) erfolgen, was die Anfälligkeit für Hackerangriffe erhöht, aber auch rasche Sicherheitsupdates ermöglicht. Ein Tesla-Modell kollidierte am 07.05.2016 mit einem weißen LKW-Anhänger, der von den Sensoren des Autopiloten nicht erkannt worden war, der Fahrer hatte aber auch nicht reagiert. Mittlerweile zeigte eine Untersuchung, dass der Fahrer Warnungen des Autopiloten ignorierte.

In Zukunft werden Autos zusätzliche Features haben. Eine Studie des Automobilverbandes FIA zeigte, dass die BMW-Modelle 320 und i3 das Fahrverhalten, die Handykontakte, die Navigatorziele, die Nutzung von Sitzen, Standort- und Parkpositionen erfasst haben. Mercedes kommentierte, dass ihre Autos den Fahrstil, den Fahrerkalender und seine Musikpräferenzen kennen würden. Im öffentlichen Verkehr können E-Tickets jedoch auch ein Bewegungsprofil des Nutzers erstellen.

Ähnliche Probleme tauchen in Zivilflugzeugen auf, in denen interne Netzwerke von der Unterhaltungssystemen für Passagiere manchmal nur durch eine Firewall getrennt sind. Zudem nimmt die interne Vernetzung der Bordsysteme ständig zu, so dass das Risiko für eine komplette Übernahme durch Hacker steigt. Kürzlich wurde berichtet, dass ein US-Experte in der Lage war, in das Unterhaltungssystem für Passagiere einzudringen und in einem Fall in der Lage war, auch in die Kontrollsysteme des Flugzeugs zu gelangen. Auf einer höheren Ebene weist auch das US-Luftverkehrskontrollsystem Schwächen auf, insbesondere bei der Abgrenzung der Systeme, insbesondere auch der Schlüsselsysteme gegenüber weniger sicheren Systemen. Das US-Government Accountability Office hat Empfehlungen zur Behebung dieser Probleme herausgegeben.

Die Deutsche Flugsicherung DFS baut ein Kontrollzentrum in Leipzig auf, von dem aus der Flughafen Saarbrücken ab 2019 als Remote Tower Control (RTC) ferngesteuert wird; ein Trend, der sich nach langer Pretestphase in Europa zu etablieren beginnt.

8.8 Cloud Computing

Ein neues Sicherheitsproblem stellt die rasche Ausbreitung des Cloud Computings dar, bei dem Daten auf externen Computern gespeichert werden, die sich ggf. in einem ausländischen Rechtsraum befinden.

Die Auslagerung von Daten und Anwendungen an Anbieter mit großen Zentralrechnern hat verschiedene Vorteile:

  • Zum einen können die Programme und Computer der jeweiligen User stets auf dem neuesten und sichersten Stand gehalten werden, Updates werden sofort im ganzen System umgesetzt.
  • Die Einrichtung neuer Computer und Standorte gestaltet sich unproblematisch, Organisationen werden so erheblich flexibler.
  • Es muss deutlich weniger eigene IT-Infrastruktur vorgehalten werden.

Es gibt aber auch einige Sicherheitsaspekte zu beachten:

  • Der Cloud-Anbieter hat die physische Kontrolle der Daten, so dass hohe Anforderungen an Vertrauenswürdigkeit und technische Zuverlässigkeit gestellt werden.
  • Der Cloud-Provider muss in der Lage sein, die Daten gegen Angriffe zu verteidigen.
  • Zudem können je nach Ort und Rechtslage auch Dritte legalen Zugriff auf die Daten erlangen.

Im Jahr 2019 gab es weltweit ca. insgesamt 3000-4000 Anbieter (Cloud Service Provider), die führenden Provider, die sogenannten Hyperscaler, sind sämtlich US-Firmen: Amazon Webservices AWS, Microsoft Azure, Google Cloud Platform, IBM SoftLayer, Oracle Cloud, Salesforce und VMware.

Der US Cloud Act ermöglicht seit 2018 unter bestimmten Umständen den Zugriff auf Daten aus Übersee, z. B. wenn dies zur Aufklärung von Verbrechen in den USA erforderlich ist.

Risiken der Cloud bestehen u.a. darin, dass sich die Daten nicht nur auf fremden Rechnern befinden, sondern auch in fremden Rechtsräumen, wo sie zumindest dem Grundsatz nach auch politischen Einflüssen ausgesetzt sind. Der Cloud computing-Anbieter selbst stellt eine für die auslagernde Firma schwer kontrollierbare zusätzliche Eintrittspforte für Angriffe dar. Außerdem können Cloud-Anbieter ggf. die Daten einsehen, um sie zu scannen und zu analysieren, ggf. können sie unter bestimmten Umständen den Zugang sperren.

Eine verbreitete Lösung sind Multicloud-Lösungen, durch die die Firmen ihre Abhängigkeit verringern. Weitere Methoden zur Erhöhung der Firmensicherheit betreffen die Wahl der Serverstandorte, Datenaufteilung und Verschlüsselung.

Neben der oben genannten APT10 Cloud Hopper, der ein Eindringen in eine Cloud den Zugriff auf die Cloudnutzer eröffnet, fand sich im Rahmen der Fuzzing-Forschung die SpectreNG-Lücke in Chips, durch die es möglich ist, von dem Segment eines einzelnen Cloud-Nutzers, der sogenannten virtuellen Maschine, in die Cloud selbst vorzudringen.

Neben den verschiedenen Sicherheitsaspekten gibt es auch Unsicherheiten über Rechte und Verantwortlichkeiten bei grenzüberschreitenden Problemstellungen, so dass eine Anpassung der europäischen Rechtslage an die Erfordernisse des Cloud Computing diskutiert wird.

In der neuen Cloud Computing Strategie hat die EU drei vorrangige Probleme zur weiteren Bearbeitung identifiziert, nämlich die Fragmentierung des Marktes, der Vertragsgestaltung und die nicht einheitlichen nationalen Standards.

Cloud-Services werden auch von den Nachrichtendiensten genutzt. Amazon Web Services (AWS) hatte aufgrund eines Vertrages mit der CIA im Wert von 600 Millionen Dollar 2014 eine Top-Secret Region eingerichtet, in der entsprechend klassifiziertes Material gespeichert wird. Ende 2017 richtete AWS nun auch eine Secret Region ein, bei der Software und Daten mit der jeweiligen Geheimhaltungsstufe cloudbasiert zur Verfügung stehen. Die Cloudservices AWS und Microsoft Azure wurden von der US-Regierung als geeignet zertifiziert.

8.9 Satelliten-Hacking

Eine andere Waffe, die weitgehend unbekannt ist, ist Satelliten-Hacking. Es wird wenig veröffentlicht, aber man kann sagen, dass die direkte Übernahme von Satelliten im Weltraum umständlich ist und nur geringe Auswirkungen hat, während das Hacken von Weltraumkontrollzentren auf der Erde zu einer erheblichen Zunahme der Satelliten-Hacking-Aktivitäten geführt hat. Satellitenhacks von US-Satelliten wurden bereits seit einem Jahrzehnt gemeldet und China wurde bereits seit längerer Zeit von der US-China Economic and Security Review Commission verdächtigt. Im Juni 2018 meldete Symantec erfolgreiche Vorstöße gegen Satelliten- und Verteidigungsunternehmen durch eine neue APT namens Thrip, der seit 2013 aktiv ist. Diese APT weist möglicherweise Überschneidungen mit der APT40 (Temp.Periscope/Temp.Jumper/Bronze Mohawk/Leviathan) auf.

Das Deutsche Raumfahrtzentrum DLR wurde im April 2014 gehackt, vermutlich zur Technologiespionage.

Während in der Vergangenheit die Menschen dachten, dass zukünftige Kriege auf der Erde im Weltraum entschieden werden würden, scheint es jetzt, dass zukünftige Kriege im Weltraum weiter auf der Erde entschieden werden könnten: Das Hacken von Weltraumkontrollzentren könnte zur Sabotage verwendet werden, d.h. durch Senden falscher Manövrierbefehle an Satelliten, was zu Beschädigung, Kollisionen oder Verlust führen kann. Wie aus der Praxis von Cyberkonflikten in kritischen Infrastrukturen hervorgeht, verzichten große Cybermächte jedoch auf die Sabotage anderer Großmächte, da sie wissen, dass ihre eigene Infrastruktur auch für Vergeltungsmaßnahmen anfällig wäre.

Aufgrund der geringen empfangenen Signalstärke von Satellitenübertragungen sind

Satelliten auch anfällig für Störungen durch landgestützte Sender, z.B. um GPS-

Navigationssatelliten zu stören.

9 Die führenden Akteure im Cyberspace

9.1 Grundlagen

Grundsätzlich ist die Sicherheitsarchitektur in drei Bereiche aufgeteilt, den zivilen Bereich, der den Schutz von kritischen Infrastrukturen organisiert, den nachrichtendienstlichen, der für die Analyse der Kommunikation und Datenströme (Signals Intelligence SigInt) zuständig ist und den militärischen Bereich. In militärischen Bereichen sind auch zumindest jene Offensivkapazitäten auf dem Gebiet des Cyberwars angesiedelt, die offiziell zugegeben werden.

Medienberichten zufolge wird die Zahl der Staaten, die versuchen, Cyberwarkapazitäten aufbauen, auf mehr als 100 geschätzt. Nach US-Schätzungen versuchen ca. 140 ausländische Nachrichtendienste in Computer der Regierung oder von US-Firmen einzudringen.

Es geht hier aber nicht um eine Neuauflage eines Ostwestkonfliktes. So fühlen sich beispielsweise die Inder von der Entwicklung insgesamt sehr bedroht.

9.2 Die Vereinigten Staaten von Amerika

9.2.1 Überblick

Nachrichtendienste:

Die größte Intelligence Community befindet sich in den USA (1981 formal etabliert), die seit 2004 (als Reaktion auf 9/11) vom Director of National Intelligence DNI koordiniert wird, mit seinem als ODNI bezeichneten Büro, davon sind die 8 militärischen Dienste in der Dachorganisation Defense Intelligence Agency DIA zusammengefasst.

Innerhalb der Intelligence Community stehen im Cyberbereich vor allem 4 Dienste im Vordergrund:

Die National Security Agency NSA als SigInt Agency, die mit dem US Cyber Command Cybercom unter gemeinsamer Leitung steht. Die meist zitierte NSA-Einheit ist die Tailored Access Operations (TAO) group, eine Elite-Hackereinheit, die sich um den Zugang zu gegnerischen Systemen kümmert. Medienberichte vermuten eine Verbindung zur sog. Equation Group, was offiziell aber bisher nicht bestätigt wurde, siehe Abschnitt 5.

Nicht militärische Dienste sind

  • die Central Intelligence Agency (CIA),
  • das Department of Homeland Security DHS (Heimatschutzministerium) und das
  • Federal Bureau of Investigation FBI, die Bundespolizei.

Die Central Intelligence Agency (CIA) hat die geplante Errichtung eines neuen Direktorats “Digitale Innovation” bekannt gegeben. Weitere Reformen zielen auf die Schaffung von 10 integrierten Zentren, in denen analytische und operative Fähigkeiten zusammengeführt werden sollen. Medienberichte vermuten eine Verbindung zur sog. Longhorn Group, was offiziell aber bisher nicht bestätigt wurde, siehe Abschnitt 5.

Militärischer Bereich:

Die militärische Cybereinheit ist das US Cyber Command Cybercom., das dem strategischen Kommando US STRATCOM unterstellt ist, welches wiederum übergeordnet für die Planung und Ausführung von Operationen im Cyberspace zuständig ist.

Cybercom ist jetzt die Dachorganisation der vorher gegründeten Cybereinheiten der Navy, Army und Air force, die zwischen 1996 and 1998 errichtet wurden. Das US Cybercom schützt die Websites mit der vom US-Militär genutzten Domain ‚.mil’, während das Heimatschutzministerium Department of Homeland Security DHS weiterhin für die zivile Regierungsdomain ‚.gov’ zuständig ist. Die US-CERTs arbeiten mit dem DHS zusammen.

Für militärische Forschungen auch im Cybersektor hat das US-Verteidigungsministerium US Department of Defense DoD die Agentur Advanced Research Projects Agency DARPA.

Technische Aspekte:

Man kann im militärischen Sektor drei Bereiche abgrenzen, nämlich:

  • das mit dem normalen Internet verbundene Non-classified Internet Protocol Router Network NIPRNET
  • das mit gewissen Sicherungen für kritische Infrastrukturen und militärnahe Einrichtungen arbeitende Secret Internet Protocol Router Network SIPRNET und als militärisches Hochsicherheitsnetz das Joint Worldwide Intelligence Communication System JWICS.

Sicherheitspartner:

Die Plattform für die Zusammenarbeit zwischen Staat und Privatwirtschaft ist seit 2005 die Intelligence and National Security Alliance (Insa), die früher als Sasa (Security Affairs Support Association) bekannt war.

Die NSA begann mit der Privatisierung von 1999-2005, die Vertragsfirmen ließen sich nur eine Meile vom Hauptquartier der NSA in einem Gewerbegebiet nieder. Die gesamte interne IT der NSA wurde an die Firma CSC ausgelagert.

Die US-Geheimdienste haben seit langem Kooperationen mit Firmen, die Dienstleistungen oder Unternehmer zur Unterstützung der staatlichen Organisationen anbieten. Im Jahr 2013 waren die 4 Hauptanbieter Booz Allen Hamilton BAH, CSC, SAIC/Leidos und L-3 Communications.

Rüstungsunternehmen mit großen IT-Service-Einheiten sind z.B. Lockheed Martin, Northrop Grumman, General Dynamics und Raytheon.

Neuere Zahlen von 2016 zeigen, dass nur 5 Firmen (Leidos, BAH; CSRA, SAIC und CACI International) 80% der 45.000 externen US-Nachrichtendienstler beschäftigen, insgesamt haben die Dienste 183.000 Mitarbeiter. Im militärischen Nachrichtendienst Defense Intelligence Agency (DIA) sind 35% der Mitarbeiter Externe, in der National Reconaissance Organization (NRO) sogar 95%.

Die CIA hat die Firma In-Q-Tel für die Unterstützung von Firmen im IT-Sektor, 2013 waren es 60 Firmen. Ein bekanntes Beispiel ist das Joint Venture Recorded Future. Die CIA hat im September 2020 ihr eigenes CIA Federal Lab eingerichtet; dieses umfasst unter anderem die Forschungsbereiche künstliche Intelligenz, Biowissenschaften, virtuelle und erweiterte Realität, Quantencomputer sowie fortschrittliche Materialien und Fertigung. Wie in den vorherigen Kapiteln gezeigt, haben die US eine starke Cybersicherheitsfirmen-Szene.

9.2.2 Capacity building (Kapazitätenauf- und ausbau)

Die USA haben ihre Cyberwarkapazitäten über zwei Jahrzehnte systematisch aufgebaut und koordiniert.

1988 errichtete das US-Verteidigungsministerium (Department of Defense DoD) als Reaktion auf die erste Computerwurminfektion von 60.000 Unix-Computern mit dem Morris-Wurm ein Notfallteam für Computerzwischenfälle (Computer Emergency Response Team CERT) an der Carnegie-Mellon University.

1992 wurde das erste defensiv ausgerichtete Programm zur informationellen Kriegführung ins Leben gerufen, das Defensive Information Warfare Program, dem 1995 ein konkretisierender Management Plan folgte.

Ab 1996 richteten die drei Teilstreitkräfte Luftwaffe, Marine und Heer eigene Zentren zur informationellen Kriegführung (Air Force: Air Force Information Warfare Center I.W.C., Navy: Fleet Information Warfare Center F.I.W.C., Army: Land Information Warfare Activity L.I.W.A.), so dass das Pentagon 1998 als Koordinationsplattform die Joint Task Force for Computer Network Defense einrichtete.

Mit der wachsenden Bedeutung der Materie folgten eigene Cyber Commands auf der Ebene der Teilstreitkräfte, so dass die USA als logischen Endpunkt der Entwicklung 2010 ein eigenes zentrales Cyber Command (US CYBERCOM) errichtet haben, das Ende Mai 2010 mit ca. 1000 Beschäftigten die Arbeit aufnahm und dem Direktor der National Security Agency NSA unterstellt ist, und ist räumlich bei der NSA angesiedelt.

2014 wurde das Kommando über die NSA und CYBERCOM von Vice Admiral Michael Rogers übernommen, einem Kryptologie-Spezialisten der zehnten Flotte. Rogers betonte die wachsende Bedeutung und Häufigkeit von Cyberattacken und berichtete in diesem Zusammenhang über ein Eindringen von Hackern in ungesicherte Marine-Netzwerke im Jahre 2013 zu Spionagezwecken. 2018 übernahm Army General Paul Nakasone das Kommando.

Zur Verbesserung der Effizienz verknüpft die NSA 2016 die defensiv und offensiv ausgerichteten Abteilungen IAD/SID. Das Information Assurance Directorate (IAD) versucht, Sicherheitslücken zu finden und zu schließen, während das Signal Intelligence Directorate (SID) Sicherheitslücken für Cyberoperationen einsetzt.

Auf der militärischen Ebene umfasst der Aufbau ein systematisches Training. Die US Navy trainiert zur Zeit 24.000 Personen im Jahr in ihrem Information Dominance Center und die US Air Force hat einen Kurs in der Nellis Air Force Base in Nevada eingerichtet (erste Absolventen im Juni 2012), in dem trainiert wird, wie man elektronische Eindringlinge erkennt, Netzwerke verteidigt und Cyberattacken ausführt.

Die Entwicklung geht nun in Richtung formalisierter Offizierslaufbahnen wie seit April 2010 die des ‚US Air Force 17 deltas officer’ (17D officer), die eine Spezialisierung für Kommunikationsoffiziere darstellt. Ebenfalls wurde ein undergraduate cyber training (UCT) eingerichtet, in dem Grundlagenwissen vermittelt wird und die Fähigkeit, gleichzeitig sein Netzwerk zu verteidigen und dennoch handlungsfähig zu bleiben.

Infolgedessen wächst das militärische IT-Personal; der Cyberspace Operations and Support Staff der US Air Force umfasste zum Beispiel im Mai 2012 63828 Personen, davon 4095 Offiziere.

Ab 2012 begann US-Verteidigungsministerium mit der Einrichtung der Cyber Mission Force (CMF), die insgesamt 6200 Militärs, Zivilisten und Vertragsmitarbeiter umfassen sollen. Diese sind dann in 133 Teams organisiert, die ihrerseits in drei Gruppen geordnet sind. Cyber Protection Forces werden für die Abwehr im Allgemeinen und National Mission Forces für die Abwehr massiver Cyberattacken auf die Vereinigten Staaten zuständig sein, während Combat Mission Forces Kampfhandlungen (Combatant Command operations) mit Cyberoperationen unterstützen werden Cyber Protection Forces und Combat Mission Forces werden den Combatant Commands zugeordnet, während die National Mission Forces dem zentralen Cyberkommando US CYBERCOM unterstellt sind.

9.2.3 Strategien und Konzepte

Das Primärziel aller Akteure ist die Erringung der elektromagnetischen Dominanz und insbesondere der Überlegenheit im Cyberspace, d.h. der Beherrschung des Cyberspace im Konfliktfall. Da die gegnerischen Systeme jedoch wiederhergestellt werden können, beschränkt sich die Zielsetzung in der Praxis auf die Sicherstellung der eigenen Handlungsfreiheit (freedom of action) und die Beschränkung der Handlungsfreiheit des Feindes, wobei beides im Verbund mit konventionellen Operationen steht.

Die USA betonen jedoch den defensiven Charakter ihrer Cyberwarstrategie, die auf der Cyber-Triade aus resilience (Hochverfügbarkeit von Computersystemen auch während eines Angriffs), attribution (möglichst rasche und sichere Identifikation des Angreifers) und deterrence (Abschreckung potentieller Angreifer durch die Fähigkeit zum Gegenschlag) beruht. Mittlerweile wurde die Comprehensive National Cybersecurity Initiative (CNCI) gestartet, bei der u.a. verstärkte Kooperation, Stärkung des Problembewusstseins und Weiterbildung zur Erhöhung der Sicherheit beitragen sollen. Während die Nationale Sicherheitsstrategie (National Strategy to Secure Cyberspace) die defensiven Elemente betont, konzentriert sich die militärische Cyberstrategie (National Military Strategy for Cyberspace Operations (NMS-CO) mehr auf die operativen Aspekte.

Die Frage, inwieweit eine offensivere Ausrichtung notwendig ist, wurde im Umfeld der 2011 publizierten Strategiepapiere diskutiert, die insgesamt weiter defensiv ausgerichtet waren.

Das Weiße Haus hatte in seiner International Cyberspace Strategy im Mai 2011 betont, dass es sich für die Einhaltung internationaler Normen und Standards im Internet einsetzen will, um die Funktion und Informationsfreiheit im Internet zu sichern. Das US-Verteidigungsministerium hatte dann in Juli 2011 die neue Cybersicherheitsstrategie veröffentlicht, die die Notwendigkeit der Kooperation zwischen den Behörden wie auch der verstärkten Zusammenarbeit mit der Rüstungsindustrie betont.

Es wurde berichtet, dass die Presidential Policy Directive PPD 20 von Oktober 2012 nun die Bedingungen definiert, unter denen Angriffe auf ausländische Server erlaubt sind. Die Arbeiten im defensiven Sektor gehen jedoch unvermindert weiter.

Im April 2015 publizierte das US-Verteidigungsministerium (Department of Defence DoD) die neue DOD Cyber Strategy. Das DoD hat fünf strategische Ziele definiert, nämlich den Aufbau von Kapazitäten, die Verteidigung und Risikominimierung für die eigenen Systeme, den Fokus auf die USA und ihre vitalen Interessen, die Verfügbarkeit von Optionen im Cyberspace, um Konflikte zu kontrollieren und angemessen behandeln zu können und die Schaffung internationaler Allianzen und Partnerschaften. Die DOD Cyber Strategy von 2018 bestätigt die bisherige Linie.

Angesichts der wachsenden Probleme z.B. durch zunehmende Infiltration von kritischen Infrastrukturen, hat Präsident Obama am 12.02.2013 eine Executive Order erlassen, um einen Rahmen für die Zusammenarbeit der für den Schutz kritischer Infrastrukturen zuständigen Behörden und Einrichtungen zu schaffen, mit dem die Identifikation, Kontrolle, Eindämmung und Kommunikation von Cyberrisiken erreicht werden soll.

Am 11. Mai 2017 unterzeichnete Präsident Trump eine Executive Order, um die Cyber-Sicherheit von föderalen Netzwerken und kritischen Infrastrukturen zu stärken, und die die Behörden dazu anhält, mit privaten Unternehmen zur Verteidigung und Risikominderung zusammenzuarbeiten.

9.2.4 Cyber-Übungen

Eine erste große Übung, mit die USA ihre Abwehrbereitschaft getestet hat, war das sogenannte elektronische Pearl Harbour der US-Navy aus dem Jahre 2002, bei der erstmals ein Großangriff auf kritische Infrastrukturen simuliert wurde. Seither wird der Begriff des ‚elektronischen Pearl Harbour’ häufig als Metapher für drohende Gefahren im Cyberspace verwendet.

Im März 2007 wurde durch die Idaho National Laboratories (INL) der Aurora Generator test durchgeführt, bei dem die Sabotage von Stromgeneratoren durch eine Cyberattacke überprüft wurde. Es gelang tatsächlich, den Stromgenerator durch Schadprogramme lahmzulegen.

Das US Department of Homeland Security DHS hat inzwischen einen eigenen Wettbewerb zur Rekrutierung talentierter junger Hacker durchgeführt, die Virginia Governors Cup Cyber Challenge.

Regelmäßige Übungen sind die Cyber Storm Exercises, die unter der Leitung des DHS stattfanden, bei denen ebenfalls Großangriffe auf die IT-Infrastruktur der USA getestet wurden. Für die DHS-Übung von 2010 wurden Codes für das Border Gateway Protocol BGP entwickelt, die den Datenverkehr im Internet unterbrechen können. Dies geschieht, indem man die Routen- und Transportinformation entfernt, die man für die Weiterleitung von Daten zwischen zwei Providern braucht. Die Codes sollten in der Übung in Kalifornien getestet werden, man nahm aber aus Furcht vor ungeplanten Ausfällen davon Abstand. Solche Werkzeuge zur Internet-Abschaltungen werden auch als “kill switches” bezeichnet.

Klaus Saalbach: Cyberwar: Grundlagen – Methoden – Beispiele

https://repositorium.ub.uni-osnabrueck.de/handle/urn:nbn:de:gbv:700-202009303598

http://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenangaben und Fussnoten entfernt.


© Swiss Infosec AG 2024