Streitkräfte im Cyberkrieg: Was ist offensiv?
Wie alle Streitkräfte muss sich die Bundeswehr mit den zunehmenden Problemen der Digitalisierung auseinandersetzen: Waffensysteme werden immer mehr digitalisiert, vernetzt und damit verwundbarer. Zugleich stellt sich die Frage, welche Möglichkeiten, faktisch und rechtlich, Soldaten haben, beim Schutz der verletzlichen digitalen Infrastruktur des Heimatgebiets wie auf dem digitalen Gefechtsfeld vorzugehen: Wo schlägt Verteidigung in völkerrechtlich problematische Angriffe um?
Der Verteidigungsausschuss widmete diesen Fragen am (heutigen) Montag eine mehrstündige öffentliche Anhörung. Um es kurz zu machen: Viele Fragen blieben offen, von den Sachverständigen kamen an einigen Stellen Bedenken, was die nötigen, gegebenenfalls auch offensiven Fähigkeiten der Bundeswehr angeht.
Eine Übersicht über die Anhörung gibt der Kollege Christian Thiels von tagesschau.de: Der Krieg im Netz.
Aus meiner Sicht nur ein paar Punkte dazu:
•Marcel Dickow von der Stiftung Wissenschaft und Politik (SWP) in Berlin, einem Think tank, der die Bundesregierung berät, wies auf die Abgrenzung zwischen Schutz der eigenen Systeme, also defensivem Vorgehen, und möglichen Offensivfähigkeiten hin. Für eine gegebenenfalls gewünschte Angriffsfähigkeit müssten entsprechende maßgeschneiderte Computerprogramme, so genannter Schadcode, entwickelt werden – und auf die Ausentwicklung solchen Schadcodes sollte die Bundeswehr verzichten, um klar zu machen, dass es ihr nur um Verteidigung gehe. Mit anderen Worten: Verteidigung und Angriff, so Dickows Plädoyer, sind entgegen der landläufigen Meinung sehr wohl zu trennen.
• Ein grundsätzliches Problem ist nach den Worten des Rechtswissenschaftlers Michael Bothe die Einstufung der Reaktion auf einen Angriff auf IT-Netze als Selbstverteidigung. Denn Selbstverteidigung sei die Verteidigung gegen einen gegenwärtigen Angriff – gerade bei Angriffen auf Computersysteme könne es aber lange dauern, bis erkannt werde, was da überhaupt passiere, und bis der Verursacher festgestellt wurde. Schießen auf Verdacht komme aber nicht infrage, nach längerer Frist wiederum könne nicht mehr von Selbstverteidigung die Rede sein. Die Entwicklung von Schutzmechanismen, so Bothes Fazit, sei deshalb wichtiger als die Frage, wann man einen Angreifer selbst angreife. So etwas wie eine vorbeugende Selbstverteidigung könne es ohnehin nicht geben.
• Die Abgrenzung von Defensiv- und Offensivhandeln sei selbst in konkreten Fällen schwierig, sagte Thomas Rid vom Londoner King’s College. Als Beispiel nannte er eine Operation des US-Geheimdienstes NSA gegen ein chinesisches Telekommunikationsunternehmen, bei dem Spionageversuche gegen US-Einrichtungen bis zu IP-Adressen der chinesischen Streitkräfte zurückverfolgt wurden. War das nun eine offensive oder eine defensive Operation der NSA?
• Der Kampf um die Spezialisten für diesen Bereich, schon zur Absicherung der eigenen Netze, wird für den Staat zunehmend schwieriger – weil er auf diesem Gebiet mit den Gehältern der Privatwirtschaft nicht mithalten kann. Die für Rüstung zuständige Staatssekretärin Katrin Suder stellte deshalb die Frage, ob die Bundeswehr nicht auch Karrierechancen ohne die bislang damit zwingend verbundene Führungsverantwortung eröffnen müsse. Also Spezialisten, die aufsteigen können, ohne dass sie auch mal eine Führungsfunktion innehaben. Ebenso wie die Planungen für eigene Ausbildung der Bundeswehr (vielleicht sogar des Staates) für seine eigenen Spezialisten scheinen solche Überlegungen noch ganz am Anfang zu stehen.
Mal sehen, was der Verteidigungsausschuss aus den gesammelten Statements und Antworten der Experten macht (leider waren Kenner aus der NATO oder aus dem Ausland nicht geladen).
Leider liegen nur einige der Statements bislang schriftlich vor, die sind hier zu finden.
Nachtrag: Praktische Ironie am Rande – während vor dem Verteidigungsausschuss ein Telekom-Vertreter über die Sicherheit von Netzen sprach, verweigerte nur 200 Meter entfernt, im Haus der Bundespressekonferenz, der öffentliche WLAN-Hotspot der Telekom den sicheren Mailversand über ein abgesichertes Protokoll: Eine sichere Verbindung mit dem SMTP-Server xxx.de kann nicht mit STARTTLS aufgebaut werden, da der Server diese Funktion nicht angibt. Nach dem Wechsel auf ein anderes WLAN funktionierte es mit derselben Konfiguration problemlos…
Nachtrag 2:
Der Bericht dazu auf der Webseite des Bundestages hier.
Ein Video-Mitschnitt des Statements von Thomas Rid (der entgegen manchen Berichten ein deutscher, kein britischer Wissenschaftler ist):
(Direktlink: https://youtu.be/zVRSdx1VN8Y)
(Und wer sehr viel Zeit hat – das Video der kompletten Anhörung vom Bundestag hier)
(Archivbild: Telefone im Combined Air Operations Center der NATO in Uedem/Niederrhein)
„auf die Ausentwicklung solchen Schadcodes sollte die Bundeswehr verzichten, um klar zu machen, dass es ihr nur um Verteidigung gehe.“
Nach der Logik sollte man auch keine Bomben, Raketen, Gewehre, usw „ausentwickeln“, sondern sich auf Dingos (ohne FLW), Sandsäcke und Rettungszentren konzentrieren.
Herr Dickow hatte ja bereits zu bewaffneten Drohnen interessante Ansichten in der Anhörung am gleichen Ort(http://augengeradeaus.net/2014/06/dronewatch-jetzt-frag-ich-meinen-experten/#comments).
Allgemein ist der Cyber-Hype für unsere Sicherheitsarchitektur eine Qual.
Man sollte die Aufgabe – entgegen der US-/NATO-Sicht – weitgehend dem BND übergeben.
Aber gut der wird ja nun auch an die ganz enge Leine geholt:
https://www.tagesschau.de/inland/bnd-reform-103.html
Also daher wohl auch Selbstblockade auch im Cyber-Raum.
Ich habe leider nur die letzten 15 Minuten gesehen. Sie (Dr. Suder) sprach von einem eigenen, dem BMVg unterstellten OrgBereich. Sie sprach von 21000 (15000 ohne Mannschaften), die bereits jetzt IT im Einsatz bereitstellen. Also wird ein Großteil durch FüUstg gestellt. Sagte sie auch etwas über KdoStrat, OpKom etc.?
Hat sie in den ersten Stunden etwas gesagt, was auf die Zukunft der SKB schließen lässt?
@Funnix
Nein, das war nicht Thema – und das mit dem OrgBereich ist schon länger bekannt:
http://augengeradeaus.net/2015/09/einberufungsbescheid-fuer-captain-cirk/
Danke
@Memoria
Zustimmung. Typisch deutsch-akademische Diskussion. Natürlich braucht die BW auch offensive cyber-capabilities um gegen gegnerische C4ISR kämpfen zu können, cyper-ops und EloKa sind doch nicht mehr zu trennen. Aber dazu brauche ich nicht unbedingt strategische cyber-nukes wie Stuxnet und Co
Schutz ziviler Infrastrukturen etc. ist eine andere Baustelle, da muß die BW nicht unbedingt an die Front.
Vorschag von K.Suder ist sehr begrüßenswert, hier muß man eben mal einige Beamten-Reflexe aus der Birne bekommen, aber das wird noch dauern
Ironie: dann ist die erste Frage, die es da zu klaeren gilt, die nach der Zahl der Stabsdienstposten in den neuen Kommandostrukturen… ;)
Die Aufgliederung in Org-Bereiche hat sich bereits in der Vergangenheit nicht unbedingt als zielfuehrend erwiesen… mehr davon wird nicht unbedingt zielfuehrender…
Memoria | 22. Februar 2016 – 18:16
Wieso Dingo 2 ohne FLW ?
Das Fahrzeug ist schon auffällig ist das fahrzeug schon da braucht man ein DINGO HD Großraum Fahrzeug wo hinten IT aufgebaut ist und die sind auch Unterwegs
und wenn die Bw in 10 -15 Jahre sind die Kommando Fahrzeug ganz Mobil mit Ständig Wechsel des Standort Entwicklungen laufen schon
den mit Drohen wird die Feindliche Aufklärung unberechenbar da kann man nicht schnell immer wieder aus und einklappen
Solange wir zur Abschreckung auf Nuklearwaffen (bei NATO-Partnern) nicht verzichten können oder wollen, warum sollten dann offensive Cyber-Waffen tabu sein?
Übrigens kann man weder die eine noch andere Befähigung erst zu entwickeln beginnen, wenn man sie schon braucht.
Warum nicht eine Cyber Planning Group neben der Nuklear Planning Group der NATO (wenn man national dazu keine Traute hat).
Hier wie dort braucht man einen politisch kontollierten Mechanismus zur Entscheidung über den tatsächlichen Einsatz.
Auch die Stellungnahme von Prof. em. Dr. Bothe zeigt deutlich wie sehr man sich in Parlamentsbeteiligungsprobleme verstrickt, wenn man offensive Cyber-Aktivitäten der Bw überträgt. Leider wurde nicht diskutiert, insbesondere von der SWP, dass derlei im Rahmen eines mandatierten Einsatzes völlig unproblematisch wäre.
Aber der Weg scheint vorgezeichnet:
Es gibt einen neuen OrgBereich mit vielen mentalen, rechtlichen und strukturellen Hemmnissen – und damit mit sehr begrenzter Effektivität und Einsatzbereitschaft. Gleichzeitig wird der BND durch eine quasi-Parlamentsbeteiligung überreguliert.
Noch schlimmer wird es, wenn, wie bereits vom BMVg angekündigt, die grüne IT in den neuen OrgBereich übertragen wird.
Fazit: Viele Dienstposten und keine Fähigkeiten für das 21. Jahrhundert.
@Alarich:
Das mit dem Dingo ohne FLW sollte nur die Absurdität der SWP-Ideen aufzeigen.
Ähnlich idealistisch wurde bei den bewaffneten Drohnen argumentiert (Rüstungsspirale).
Dabei wird leider übersehen, dass wir nicht gegen den Strom schwimmen können, wenn wir leistungsfähige Sicherheitsbehörden (Nachrichtendienste, Streitkräfte und Polizei) haben wollen.
Der Blick von außen hilft ja zumeist, so auch in diesem Fall.
Der britische Experte Rid bei der Anhörung:
„In den Bereichen IT-Sicherheit und Verschlüsselung hat Deutschland nach Ansicht von Thomas Rid großen Nachholbedarf. Keine deutsche Firma gehöre zu den „global playern“. So sei es beispielsweise eine britische Firma gewesen, die den Verfassungsschutz auf die Cyber-Attacke auf den Bundestag aufmerksam gemacht habe. Rid zeigte sich auch skeptisch, ob die Bundeswehr auf Dauer genügend Fachpersonal an sich binden kann. Streitkräfte seien schon wegen ihrer Personalstruktur dafür wenig geeignet. Dies zeigten auch die Erfahrungen der US-Streitkräfte, sagte Rid.“
http://www.bundestag.de/presse/hib/201602/-/409708
Das sollte einem gerade als Abgeordnetem zu Denken geben.
Aber es war wohl mal wieder eher ein Schaulaufen.
Memoria | 22. Februar 2016 – 23:11
Die Löhne und Auslandeinsätze werden ein Echtes Problem
Es müsste schon eine Ausbildung auf Hohen Nivo sein mit einer hohen Zeitlichen Verpflichtung
Aber das braucht man nicht und das man sollte sparen dann werden alle am ende Abhauhen
@klabautermann:
Die Frage ist doch, was mit „offensive cyber-capabilities“ konkret gemeint ist und wie der Operationsraum abgegrenzt ist.
Klassisches Beispiel für den Interessenkonflikt zwischen Schutz und Angriffsfähigkeit:
Sie erhalten Kenntnis von einer bisher unbekannten schweren Sicherheitslücke in der verbreiteten Software XYZ, die sich prima für Angriffe eignen würde.
Jetzt können Sie
1) die Lücke den XYZ-Entwicklern melden, damit sie gestopft wird.
1b) wie 1, aber in der Zwischenzeit machen Sie (3).
2) die Lücke geheim halten und aufheben, damit Sie sie im Ernstfall nutzen können. Gute Sicherheitslücken wachsen nicht auf Bäumen, die sollte man bevorraten.
3) die Lücke nutzen, um Aufklärung in fremden Systemen zu betreiben, damit Sie im Ernstfall wissen, wo und wie sie am besten angreifen können. Vielleicht hinterlassen Sie auch gleich die eine oder andere Hintertür.Der Übergang ist sowieso fließend.
Bei (2) existiert das Risiko, dass jemand anderes die Lücke unabhängig von Ihnen entdeckt oder dass Ihre Geheimhaltung versagt oder vielleicht haben Sie die Lücke auch irgendwo auf dem Graumarkt gekauft.
Bei (3) existiert zusätzlich das Risiko, dass Sie jemand beobachtet und so die Lücke entdeckt. Auch schwächen Sie die Sicherheit der „aufgeklärten“ Systeme nicht nur gegen Angriffe durch Sie sondern allgemein.
Ein Leser | 22. Februar 2016 – 23:54
Am ende ist das die IT Einheit vor Ort
Die werden mit Mangelten Software K
Die werden Neues System mit Standort um Lösung im Einsatz gebeten
Mit Software die Spinnt im Einsatz
Und Hackerangriffe die das Sicherheit knacken oder die Lücken findet
und Feindliche hartwahre Knacken durch den Kalten Krieg wird das eher steigen wie Drohnen oder Netzwerke
Moin Zusammen,
ziemlich absurd die Diskussion. In meinem MStpkt fällt auch so, ohne ext. Angriffe, schon häufig die Stromversorgung aus. Wenn die Infra (Strom-Wasserversorgung etc.) um einen herum versagt, nützt der dollste Cyberwarrior rein Garnichts.
Wenn man keine cyber-Angriffsfähigkeit entwickelt hat man auch keine wirkliche cyber-Abwehrfähigkeit. Ein wesentlicher Erfolgsaspekt gelungener Cyberabwehr ist zunächst einmal überhaupt die Attacke als solche zu erkennen … und zwar bevor eine solche etwas kaputtgefahren hat oder sich so beteits verteilt hat dass es nicht mehr einzufangen ist.
Teilweise sehr viel schwieriger zu detektieren als Schadcode sind externe Sensormanipulationen (im Bereich der zivilen Struktur – wo man zB das Messverfahren von Drucksensoren so manipuliert, dass die Kompressoren anspringen um vermeintlichen Minderdruck auszugleichen bis einem die Anlage um die Ohren fliegt – oder das gezielte Spoofing zB von GNSS bei UAVs). Worauf ich rauswill: Solche Attacken leben von ihrer Innovation. Ein bestimmter Angriff lässt sich möglicherweise nur einmal durchführen – wie will man sich gegen so etwas vorbereiten bzw. so etwas erkennen, wenn man selbst keine Ahnung hat wie man solche Angriffe produziert?? Genau das sind übrigens akuelle Projekte bzw. Ausschreibungen der DARPA: zB Systeme die Angriffsmuster „erfinden“, auf die man die eigenen Systeme härten kann. Nur: wenn das keine Sandkastenübung sein soll muss man faktisch Offensivfähigkeit entwickeln und wir würden gut dran tun als Ziel auszugeben möglichst advanced zu werden in dieser Fähigkeit, als von vornherein wieder den Moralapostel spielen zu wollen, der glaubt mit Vogel Strauss Taktik gehts auch. Sehen wir aktuell ja in vielen Bereichen wie toll das funktioniert.
@ Rich
+1
Die Bewertung ob eine Handlung „Gut“ oder „Böse“ ist, liegt eben im Augen des Betrachters. Ein Tötungsdelikt in der eigenen Gruppe gilt als verurteilenswerte Handlung, beim Gegner wird es toleriert, in manchen Fällen sogar gewünscht. Deshalb kommen wir hier mit einer Gesinnungsethik nicht weiter sondern brauchen eine Verantwortungsethik in diesem Konfliktfeld.
@ all
Wenn ich meine eigene Infrastruktur (Stromversorgung, Wasser, Industrieprozesse usw.) schützen will, muss ich wissen wie der Angriff auf diese Systeme funktioniert. Damit ich weiß wie der Angriff funktioniert, muss ich ihn entwickeln. Wenn ich die Angriffsmechanismen entwickelt habe, dann kann ich mir die ethische Frage stellen, führe ich den Angriff wirklich aus oder lasse ich es besser, aber vorher auf die Entwicklung eines Angriffsverfahrens zu verzichten ist blauäugig und man muss es leider so deutlich sagen, es ist naiv (also kindlich dumm).
Die Diskussion über Cyber-Abwehr und Cyber-Angriffe erinnert mich an den Wettstreit von Panzerplatte und Geschützentwicklung vor 150 Jahren oder an die Entwicklung von Eloka-Verfahren und Abwehrverfahren gegen die Elektronische Kampfführung (ECCM) vor 50 Jahren. Heutzutage als hochentwickelte Industrienation auf die Entwicklung von Cyber-Angriffsverfahren zu verzichten ist die typische Gutmenschenmentalität nach dem Motto „was du nicht willst, dass man dir tut, das füg auch keinem Anderen zu“.
Dieser Grundsatz ist im zwischenmenschlichen Umgang schon erstrebenswert, aber was machen wir wenn sich die Gegenseite nicht an diesen Grundsatz hält (was ja offensichtlich der Fall ist, bei der täglichen Anzahl von Angriffen auf deutsche und weltweite IT-Netze) ?
„Soziale Verteidigung“, wie die Friedensapostel es im Kalten Krieg nannten ?
Da auch Pen-Testing (a) ja irgendwie immer auch einen Angriffsvektor braucht, ist die stumpfe Unterscheidung in Angriff und Verteidigung tatsächlich etwas schwierig. Allerdings hat das auch wenig mit dem zu tun, was in mehreren vergangenen SiPo-Veranstaltungen die Augen der versammelten Generale und Obristen hat feucht Leuchten lassen – denn das war eher die Vorstellung, mit „Cyber-Waffen“ a la Stuxnet (b) den Gegner ohne einen Schuss abzugeben, in die Knie zu zwingen.
Stuxnet, Duqu und Co. sind aber n ganz anderes Kaliber, als das eben erwähnte Pen-Testing. Um sowas zu entwickeln, müsste man lange im Vorfeld schon so invasiv (z.t. geheimdienstlich und physisch vor Ort) vorgehen, dass ich glaube, dass unsere Dienste (geschweige denn die Bw) da schnell an die gesetzlichen Grenzen kommen dürften. Wenn Herr Dieckow von der SWP der Bw nun den Rat gibt, keine offensiven Kapazitäten aufzubauen, dürfte sich das weniger auf a) als vielmehr auf b) beziehen.
Und ich befürworte das, aus vielerlei Gründen, ausdrücklich.
Ist aber auch mittelfristig irrelevant. Denn Frau Suder hat ja den Finger in die Wunde gelegt: Jedwede Fähigkeit, ob nun offensiv oder defensiv, benötigt zunächst mal Personal. Und da hapert es bei der IT-Sicherheit nicht nur bei der Bw.
Richtige Fachleute (sofern die überhaupt mit Behörden reden, da ist in den entsprechenden Kreisen in Deutschland ne spezielle Ethik am Werke, die sich aus der Geschichte speist und an deren Herausbildung die Dienste ganz gehörig Mitschuld tragen…) ködert man auch nicht mit der Laufbahn des gehobenen Dienstes, die haben in der freien Wildbahn nicht nur andere Gehälter, sondern vor allem auch ein anderes, deutlich attraktiveres Arbeitsumfeld.
Da sowohl bei den Laufbahnen als auch beim Arbeitsumfeld auch mittelfristig (und nicht nur bei der Bw) aber keine Änderung in Sicht ist, ist hier real bereits Schluss mit den bellizistischen Cyberträumen.
Zudem ist das Mindset der Entscheider gerade in diesem Bereich in DEU dermaßen unzureichend, dass man manchmal weinen möchte. Um zu beurteilen, wie (wenig) wichtig tatsächlich IT-Sicherheit, Schutz von KRITIS usw. so genommen wird, schaue man sich nur mal die hochnotpeinliche Personalie bei der Neubesetzung des Chefpostens im BSI an. Wenn DAS das Hochwertpersonal ist, mit dem wir uns in dem Bereich künftig aufstellen wollen, brauchen wir uns über irgendwelche nebulösen Angriffsvektoren, Cyberwaffen und Co. überhaupt keine Gedanken zu machen.
War Deutschland nicht bereits im Jahr 2008 ein Mitunterzeichner des Memorandum of Understanding über die Gründung des Cooperative Cyber Defence Centre of Excellence in Tallin? Warum nutzt man dann nicht desse mutmaßliche Kompetenzen in diesem Bereich bei der Aufstellung eigener Cyber Defence-Kräfte?
@ADLAS-Die
„Dienstes, die haben in der freien Wildbahn nicht nur andere Gehälter, sondern vor allem auch ein anderes, deutlich attraktiveres Arbeitsumfeld“
Wo kämen wir da hin, wenn der Spezialist (ohne Papier zB Diplom) in der Bw in angenehmem Arbeitsumfeld im Grundbetrieb mehr Alimentation als der Herr Oberst bekommt nur weil er seine Tätigkeit beherrscht :-)
…..und muss da jeder Uniform tragen?
Wissen wir was unsere Soldaten so als Hobby drauf haben?
Nutzten wir unsere SaZ (oft Autodidakten am PC) und deren Fähigkeiten?
Viele bilden wir aus, als Administratoren in Zweit- und Drittverwendung und lassen sie dann ziehen, weil die Erstverwendung nicht benötigt wird!
Warum schnallt das in Köln und Berlin keiner?
„Wissen wir was unsere Soldaten so als Hobby drauf haben?
Nutzten wir unsere SaZ (oft Autodidakten am PC) und deren Fähigkeiten?“
Mit Verlaub, aber Leute, die IT „als Hobby drauf haben“ und die Autodidakten dürften für das, was der Bw da offenbar vorschwebt, kaum die Fähigkeiten bieten. Die wirklichen IT-Cracks, die ich so kenne, haben zwar alle so angefangen, aber ohne ein einschlägiges Studium der Informatik und/oder Mathematik fehlt den meisten – Ausnahmen mag es immer geben – der Durchblick, wenn es komplizierter wird.
Oder anders formuliert: Admins, die Server zum laufen kriegen und ne DDoS-Attacke erkennen und ggf. abwehren können, bekommt man durchaus auch jetzt schon ausgebildet. Das ist Handwerk.
Schadsoftware (sowas in der Komplexität wie Stuxnet) tief zu analysieren oder ggf. zu programmieren ist aber ne ganz andere Liga. Denn derlei Fähigkeiten erwirbt man als SaZ (in der Regel) nicht mal so nebenbei und als Hobby. Was dabei rauskommt, wenn man bei der vorhandenen Personalqualität auf „in-house“ setzt, kann man ja bei der unseligen Bundestrojaner-Geschichte, dem Hack der Zoll-GPS-Trackingserver, dem Bundestagshack u.ä. sehen. Und da handelte es sich zumeist noch nicht mal um die „andere Liga“, sondern um schlichtes (und schlecht verrichtetes) Handwerk.
@ADLAS-Doe und @Rich
Sie haben das sehr gut „auf den Punkt“ gebracht. Wir haben da in Deutschland ein unglaubliches mind-set-Problem – insbesondere in den öffentlich-rechtlichen Köpfen..
German Cyber-Angst. Wenn ich schon lese: „den Operationsraum abgrenzen“, dann bekomme ich Schreikrämpfe. Gute analoge Panzer-Taktik und -Verfahren gegen ca. 50.000 chinesische Cyber-Warriors ?
@Rich „Wenn man keine cyber-Angriffsfähigkeit entwickelt hat man auch keine wirkliche cyber-Abwehrfähigkeit.“:
Ja und Nein.
Selbstverständlich kann man kein System absichern, ohne sich in Angreifer hineinversetzen zu können und somit auch Angriffe zu beherrschen. Und selbstverständlich gehört es dazu, dass man Penetrationstests macht, also zum Test Angriffe auf die eigenen Systeme fährt. Und klar arbeitet man da andauernd mit und an „Angriffstools“ (siehe die Diskussionen über den Hackerpararaph).
Es gibt aber Sachen, die man nicht machen muss.
In einem Satz formuliert: Man muss keine Geheimnisse haben.
Alles was man an Kenntnissen, Werkzeugen und Verfahren hat, kann man veröffentlichen (ggf mit einer kurzen Wartezeit, während eine Lücke geschlossen wird).
Keine Setzen auf (meist unzuverlässige) security by obscurity und kein Zurückhalten von Informationen, um sie ggf. später für einen Angriff nutzen zu können.
IT-Sicherheit ist geteilte Sicherheit.
(Sicherheit durch Vergeltungsfähigkeit braucht Attribuierbarkeit, die in der Regel kaum bis garnicht gegeben ist)
@ADLAS-Doe
Die Neubesetzung beim BSI hatte ich har nicht mitbekommen. Danke für den Hinweis.
Worauf ich ausdrücklich hinweisen möchte ist, dass es mir nicht nur um Penetration Tests geht. Gerade Attacken, die sehr komplex ablaufen – u.U. durch sehr geschickte Manipulation von Sensorik um dem Steuerungssystem eine falsche Situation vorzugaukeln um es in einen Ausnahmezustand zu fahren ohen dass der Operator noch eingreifen kann – sind wie gesagt extrem schwer zu erkennen, weil es sich nicht um eine „Fehlfunktion“ des Systems oder einen „hack“ im eigentlichen Sinn handelt. Um „anomaly-detection“ zu betreiben muß das Detektionssystem möglichst viele mögliche Szenarien gesehen haben um von diesen Szenarien aus generalisieren zu können. D.h. man muss solche Szenarien auch selbst erzeugen können – und um das realistisch zu tun brauchts eben auch realistische offensive capability. Wo die Reise hingeht sieht man etwa am DARPA BRASS program wobei das „… project aims to build software that can evolve on its own“ – und wenn man ein bisschen sieht wer da mitspielt und seine porposals einwirft ist auch klar, dass es nicht nur um maintenance freiere Software geht, sondern auch darum etwa durch KI Ansätzte taktische autonomie von Software zu erreichen, die für Attacken eingesetzt werden können (vgl. auch die DARPA Cyber Grand Challenge oder ds EASE ) oder auch verteidigungsstrategien „erlernen“ (etwa das EASE Projekt der NSA).
Ein Wort zum „Personal“ – interessanterweise sind die Leute die dort unterwegs sind keine „hoody“ tragenden Bastler, sondern meist promovierte Mathematiker, Physiker und thoeretische Informatiker. Wenige, die ich aus der Ecke kenne, hätten Probleme mit einer Uniform oder sehen sich unbedingt auf dem „Millionärstrip“. Womit die Probleme haben ist konzeptlos heute das und morgen das tun zu müssen und mit Projekten die nach 3/4 Strecke abgebrochen werden, weil es politisch grad nicht opportun ist … dann Schamfrist von 1-2 Jahren, dann fängt man von vorn an.
@klabautermann „Wenn ich schon lese: „den Operationsraum abgrenzen“, dann bekomme ich Schreikrämpfe.“
:-) Dann bitte ich Entschuldigung. Ich hatte dabei ein anderes Bild im Kopf als Sie.
Sich zu überlegen, wo und wie man seine Finger reinstecken darf/will, ist im Bereich „Cyber“ (das ist übrigens das Wort wo ich Schreikrämpfe bekomme) aber genauso relevant wie in anderen Bereichen.
@Ein Leser
http://arstechnica.co.uk/security/2016/02/the-nsas-skynet-program-may-be-killing-thousands-of-innocent-people/
Das ist das Problem. Wir diskutieren in Deutschland eigentlich die Bedrohung von (Vor)Gestern anhand von Kriterien/Kategorien aus dem analogen Zeitalter wie „offensiv“ und „defensiv“. Und da draussen laufen gigantische Programme, in denen man die Kategorisierung und Identifizierung sowie Klassifizierung/Differenzierung von „Gut“ und „Böse“ para-KI-Programmen überlässt, die selbst von den Entwicklern schon nicht mehr zu 100% verstanden/beherrscht werden. Sich zu überlegen, „wo und wie man seine Finger reinstecken darf/will“ hat ja nur Sinn, wenn man zumindest eine Ahnung davon hat, welche „WOs und WIEs“ es überhaupt gibt….und dazu muß man eben „sich selbst schlau machen“ und aktiv forschen, lernen, entwickeln, testen als Staat, der nicht nur politisch, sondern auch technisch die Verantwortung für Sec&Saf seiner Bürger trägt.
@Ein Leser
„… Alles was man an Kenntnissen, Werkzeugen und Verfahren hat, kann man veröffentlichen (ggf mit einer kurzen Wartezeit, während eine Lücke geschlossen wird).
Keine Setzen auf (meist unzuverlässige) security by obscurity und kein Zurückhalten von Informationen, um sie ggf. später für einen Angriff nutzen zu können … “
Und genau da widerspreche ich ganz klar: Das Geheimnis – oder besser die asymetrische Informationslage – ist ein ganz wesentlicher Bestandteil des Schutzes. Systeme sind nie 100% sicher. Deshalb ist das einzige was sie tun können, dem Angreifer eine Nasenlänge voraus zu sein und um dies bewerkstelligen zu können, müssen Sie selbst die Fähigkeit eines Angreifers haben. Wir reden ja hier nicht von Virenscannern. Stellen Sie sich mal vor Sie würden operative Details Ihrer Schutzmechanismen veröffentlichen … das ist gradezu eine Einladung welchen Pfad ein Angreifer nicht ausprobieren muss. Damit senken sie die Kosten des Angriffs und erhöhen seine Wahrscheinlichkeit.
Ich verstehe auch nicht warum ein Großteil der Bevölkerung so ein großes Problem mit „Geheimnis“ hat. Grundsätzlich ist es für den Pluralismus schädlich wenn jeder von jedem alles weiss, da dies zum Konformismus führt – das ist systemisch unstrittig.
Dass Sie Institutionen haben, wie etwa Polizei oder Armee, denen der Schutz des Staates anvertraut ist, denen man deshalb eine gewisse Sonderrolle zugesteht und denen man auch den vertraulichen Umgang mit Information zutrauen darf (jeder der hier eine clearance hat unterwirft sich erhöhter Strafbarkeit wenn er vertrauliche Dinge ausposaunt) sollte doch eigentlich normal sein. Dass man genau hinsehen und prüfen muss, wenn es um die mögliche Einschränkung von Bürgerrechten geht (etwa Vorratsdatenspeicherung etc.) ist klar; auch dass dort behördliche Befugnisse ganz klar definiert und begrenzt werden müssen. Aber dieses a-priori Mißtrauen gegenüber – speziell Deutschen – Staatsorganen (ich verbringe einen Großteil meiner beruflichen Zeit in UK, da wäre es eher angebracht) ist fast schon tragik-komisch.
Georg | 23. Februar 2016 – 8:53
@ all das unterschreibe ich, aber meine sehr verehrten Herren, in den Streitkräften haben wir nicht mal genügend BW-50, Sandsäcke, S-Draht, Waffen, Personal etc. um eine normale Krisenvorsorge zu betreiben.Wir besitzen nicht mal einen mobilen Stromgenerator um eine nichtexistierende elektr. betriebene Feuerlöschpumpe auf der Pier für unser brennendes Boot oder Schiff zu betreiben.
Ich meine wir sollten vielleicht eher mal wieder bei den Anfängen anpacken, bevor wir uns in Hoheitsgebieten/ Bereichen aktiv bewegen wollen wo uns der Rang schon vor Jahren/zehnten abgelaufen wurde.
Eins noch, IT-Sicherheit fängt schon beim Downloaden einer App auf dem Schmartfone an. Das sollte mal jemand den Junx und Mädelz erklären.
wisch und weg
@Rich: „Ein Wort zum „Personal“ – interessanterweise sind die Leute die dort unterwegs sind keine „hoody“ tragenden Bastler, sondern meist promovierte Mathematiker, Physiker und thoeretische Informatiker.“
Das mag für die USA stimmen, in DEU habe ich das bislang anders erlebt – das liegt aber auch an der völlig anderen Herangehensweise bei der Nachwuchsgenerierung (siehe etwa Finanzierung Studium, frühzeitiges herantreten an Lehrstühle etc…) und einer anderen Kultur in den entsprechenden Bereichen. Hier haben wir noch nicht mal angefangen, was zu ändern. Und bis sich etwaige Änderungen deutlich auswirken, würde das nochmal ne Weile dauern…
„Und genau da widerspreche ich ganz klar: Das Geheimnis – oder besser die asymetrische Informationslage – ist ein ganz wesentlicher Bestandteil des Schutzes.“
Wenn ich @Ein Leser richtig deute, geht es ja nicht darum, aller Welt zu erzählen, wie man seine Systeme schützt. Es geht vielmehr darum, Sicherheitslücken nicht geheim zu halten und zu nutzen, sondern zu veröffentlichen (ggf. eben auch zunächst mal nur dem Hersteller der Software) um patches zu ermöglichen und diese eben nicht für Hintertüren zu nutzen/zu bevorraten. Derzeit ist offenbar das Gegenteil der Fall – und macht Deutschlands IT-Sektor nicht sicherer. (Passend dazu hat Fefe heute auf ein Interview mit Michael Hayden hingewiesen, der sich auch zu Backdoors etc. äußert…).
http://www.usatoday.com/story/news/2016/02/21/ex-nsa-chief-backs-apple-iphone-back-doors/80660024/
Und Geheimnisse sind schön und gut und manchmal auch richtig wichtig. Wenn das aber zur Folge hat, dass das BSI seiner originären Aufgabe, dem Schutz der Bürger (von mir aus auch der Industrie) nicht mehr nachkommt, weil es „Rücksicht“ auf die Interessen einiger Behörden und Dienste nehmen muss, dann ist das m.A.n. ein Problem. Auch hier gilt: Einmal verlorenes Vertrauen holt man sich so schnell nicht mehr zurück. Wenn man aber nicht mal mehr dem BSI vertrauen kann – an wen wendet sich z.B. der Otto-Normal-Mittelständler dann?
https://netzpolitik.org/2015/trojaner-leitfaden-wir-veroeffentlichen-die-it-empfehlungen-die-das-bsi-aus-ruecksicht-auf-das-bka-geheim-hielt/
„Aber dieses a-priori Mißtrauen gegenüber – speziell Deutschen – Staatsorganen (ich verbringe einen Großteil meiner beruflichen Zeit in UK, da wäre es eher angebracht) ist fast schon tragik-komisch.“
Naja, selbst als jemand, der den hiesigen Diensten und Behörden grundsätzlich erstmal wohlgesonnen gegenüber tritt, darf man angesichts des (nur zufällig öffentlich gewordenen – und da ist sie wieder, die Frage der Geheimnisse…) track-records der vergangenen Zeit eine gewisse a-priori-Skepsis durchaus pflegen.
Aber nochmal: Solange auch in sicherheitsrelevanten Bereichen auch 2016 weiterhin Windows und für die verschlüsselte Kommunikation LoNo genutzt wird und so IT-Totgeburten wie De-Mail trotz nachgewiesener Lebensunfähigkeit nicht etwa eingestampft, sondern per Gesetz „sicher“ gemacht werden, sollten wir über „offensive“ Cyberfähigkeiten nicht mal nachdenken…
@Rich
Das sehe ich komplett anders:
1. Wenn man Zero-Day Exploits herstellt/ findet /kauft (das ist mit Ofensiv gemeint, nicht Pen-Testing: Pen-Testing ist ja „nur“ das abklopfen der Systeme nach bekannten Lücken = Defensiv) und die Lücken, welche ausgenutzt werden an die Hersteller meldet, muss man nicht zwangsläufig SEINE Infrastruktur bekannt geben.
Bsp: Ich finde im Windows OS eine Lücke und melde diese an MS. Deshalb muss ic noch lange nicht der ganzen Welt dies mitteilen. MS veröffentlicht dann zeitnah (Wunschdenken ;-)) einen Fix/Hotfix -> Alle Systeme die geupdatte werden sind jetzt hinsichtlich dieser Lücke sicher.
Dadurch senken sich nicht die Kosten eines Angriffs! Wenn Sie natürlich veröffentlichen:
„Wir nutzen OS Version+Revision, folgende Firewall mit Version + Config ,… “
dann reduzieren Sie die Kosten tatsächlich. Dies ist hier aber nicht gefordert und auch unnötig!
2. Zu Ihrem Punkt, dass Mißtrauen gegenüber staatlichen Organen insbesondere was Datenschutz und verantwortungsvoller Umgang mit digitalen Daten angeht, ist, wenn man sich die Geschichte der letzten Jahre anschaut, mehr als gerechtfertigt.
Schauen Sie sich mal die Einschränkungen und Vorgaben des BVerfG bzgl. Bundestrojaner an und was später!!! entwickelt wurde.! Es wurde gegen ALLE Punkte verstoßen. Ganz abgesehen davon, dass der Trojaner dilettantisch implementiert war , keine signierte Protokollierung der Aktionen bei Nutzung des Tools, der Trojaner selbst erzeugt neue ungesicherte Lücken auf dem Zielrechner….
Oder der schöne Fall des LKA-Beamten, der einfach alle polizeilichen Daten in seinem Wohnort regelmäßig abfragte!!! Brave New World!
Natürlich brauchen Sicherheitsbehörden besondere Werkzeuge und Befugnisse. Aber eben auch implementierte Regeln und Kontrollen, welche den mißbräuchlichen Einsatz, sowie schlicht ungesetzliche Maßnahmen (siehe BVerfG & Bundestrojaner) verhindern.
@STO:
Deswegen hat die Ministerin das hippe Thema „Cyber“ aufgegriffen:
Modern, unblutig und lenkt davon ab, dass man für all die Versprechungen zuvor (Attraktivität, Modernisierung, Vollausstattung) kein Geld hat. Also – ganz beratermässig – neue Kästchen mit angeblich tollem Inhalt.
Ja und das SEA ist imernoch nicht da.
Fragen sie mal beim Heer wie man all die schicken neuen Gefechtsstände mit Strom versorgt…
F.U.B.A.R.
Zur Zeit schwerpunktmäßig aus der (Kraftstrom-)Steckdose. Leider. :(
@ADLAS-Doe
“ Verlaub, aber Leute, die IT „als Hobby drauf haben“ und die Autodidakten dürften für das, was der Bw da offenbar vorschwebt, kaum die Fähigkeiten bieten. Die wirklichen IT-Cracks, die ich so kenne, haben zwar alle so angefangen….“
Da haben sie mich gründlich missverstanden!
Natürlich bin ich nicht der Meinung, dass die das alles können und selbstverständlich muss man auch die ausbilden, aber wir haben sie und sie wollen bleiben.
Wenn sie anderweitig genügend Pers bekommen, dann können wir es uns leisten auf dieses Klientel zu verzichten.
@ STO
Wenn man 25 Jahre lang nur abgerüstet hat, dann kommt eben auch bei Bundeswehr der Strom nur noch aus Steckdose !
Dann braucht man sich keine Gedanken über ein Atomkraftwerk machen und auch nicht wo man im Felde ein Stromerzeugungsaggregat herbekommt.
Wir alle wissen ja, wie man gegensteuern könnte wenn man denn wollte. Es gab mal den Spruch „Angst essen Seele auf“. Bezogen auf die Bw kann man eher sagen, die „Sozialhaushalte fressen die Bw auf“.
Cyber hier, Cyber da….man man man hier cybert es mal wieder!
Cyber defensiv – cyber offensiv, was für ein Blödsinn. Wie hier schon von beiden Seiten des Arguments erwähnt wurde ist die Distinktion nicht wirklich klar – vor allem nicht im herkömmlichen militärischen Sinne. Daraus leiten dann die Anhänger einer militärischen Interpretation dann allerdings ab, das man deswegen ja beides machen muss.
So jetzt muss man zuerst mal das Rad ein bisschen zurückdrehen. Hier wurde ja auch schon erwähnt das mit Thomas Rid auch ein ausgenommener Experte (zumindest auf der politisch-theoretischen Seite) seine Meinung zum Besten gegeben hat. Und ich kann allen wirklich nur wärmstens Empfehlen seine Arbeiten zu lesen. Ins besondere sein paper bzw. das daraus resultierende Buch „Cyber War will not take place“. Das Grundargument ist das man bei cyber cyber im Sicherheitskontext zwischen einigen Anwendungen unterscheiden muss. Da sind Spionage, Sabotage und Subversion die großen drei Kategorien die sich auftun. Die ‚klassische‘ militärische Anwendung ist am ehesten innerhalb der Sabotage, in der man tatsächlichen physischen Schaden zufügen will. Es gibt natürlich auch noch anderen Formen der Sabotage wenn es um IT geht (DDoS z.B.), aber im militärischen Sinne geht es dann doch eher darum das man physische Effekte hat (ein überlastetes Stromnetz bricht zusammen, gegnerisches Radar fällt aus – auf die implizite Unterscheidung zwischen grüner und weißer IT gehe ich unten ein).
Wenn man sich den Bereich der IT Angriffe anschaut in der es wirklich nachhaltige physische Effekte gab dann ist das bisher nur Stuxnet. Und Stuxnet wurde wohl mit unglaublichen finanziellen und man-power Aufwand hergestellt bei dem es eben auch auf nachrichtendienstliche Aufklärung vor Ort ankam. Damit war diese ‚Waffe‘ auch keine Waffe im herkömmlichen Sinne, sondern ein Schuss den man nur auf ein einziges, sehr bestimmtes Ziel abgeben kann. Deswegen so Rid wird es auch nie Cyber War geben, weil man aller Voraussicht nie ‚Waffen‘ entwickeln können wird die wirklich generell anwendbar sind im Kontext eines Angriffes der die Netzwerkinfrastruktur ‚verlässt‘ (also in diesem Fall Zentrifugen im Vergleich zu Sabotage im Sinne eines DDos Angriffs bei dem man das Netzwerk lahmlegt aber das Netzwerk bzw. angehängte Geräte nicht wirklich verlässt).
Subversion und Spionage sind andere Kategorien für die sich IT Angriffe immer besser eignen werden als für militärische Zwecke. Bei Spionage ist sowieso jedes Szenario etwas anders als das vorherige, aber im militärischen Kontext möchte man Waffen haben die generell Einsatzbereit sind (Nicht eine Missile die nur für Gebäude x gilt, aber wenn ich Gebäude y angreifen will schon nicht mehr geht).
Jetzt wird hier regelmäßig im Kontext von Waffensystemen (Großgerät als auch alles kleine) darüber diskutiert, gerechtfertigt oder nicht, dass sowieso alles irgendwie nicht taugt, bzw. meistens weniger das Gerät per se, als die Infrastruktur, politischer Will etc. Wenn man also davon ausgehen muss dass man Probleme hätte auf ‚herkömmliche‘ militärische Art und Weise ein Kraftwerk lahmzulegen dann frag ich mich allen Ernstes wie man hier verlautbaren kann das man natürlich zwingen auch offensiv tätig sein dürfen muss.
Der andere Grund warum das wenig Sinn macht wurde schon von anderen aufgelistet. Die klassische Defensiv-Offensiv Dichotomie funktioniert im IT Bereich halt einfach nicht. Wenn ich in meinen Waffen, Personal, Strategie oder Taktik (oder allen) einen offensiven Vorteil hab, dann heißt dass nicht das ich nicht zwingendermaßen auch irgendwo einen korrespondierenden Nachteil hab. In der IT, wenn man einen Angriffsvektor hat der auf einen Sicherheitslücke zurückgeht in der ich keinen menschliche Komponente brauche (im Sinne von social engineering, i.e. ich bringe den Anwender selbst dazu etwas auszuführen ohne dass er es weiß), dann ist auf Grund der Situation in der IT Infrastruktur dies auch automatisch ein defensiver Nachteil für mich.
So hier muss man jetzt nochmal kurz zwischen weißer und grüner IT unterscheiden. Die Bundeswehr verwendet selber weiße IT (das ist im Prinzip alles mehr oder minder herkömmliche and PCs, Servern etc.) aber das wird natürlich noch viel deutlicher wenn man Deutschland als zu verteidigendes Objekt hernimmt wo es noch viel mehr gibt (privat als auch wirtschaftlich, medizinisch, Infrastruktur etc.). Die grüne IT ist natürlich auf das militärische und damit auf die Bundeswehr beschränkt (z.B. Radar, Kommunikationssysteme, Waffensysteme etc.). Bei einer Lücke die man in grüner IT findet und selbst stopfen könnte (ohne Hersteller) hätte man natürlich einen Vorteil gegenüber anderen Streitkräften die die selben Systeme benutzen, aber nicht die Lücken kennen. Aber unter Berücksichtigung der Tatsache das vieles im eigenen Land produziert wird bzw. sowieso nur innerhalb der Bündnisstaaten verkauft wird, ist das ein zweifelhafter Vorteil.
Wenn man auf die weiße IT zurückkommt, dann wird der Vorteil noch zweifelhafter. Denn die weiße IT der Bundeswehr, i.e. im militärischen Bereich unterscheidet sich nicht signifikant von der im zivilen Bereich. Ich hatte oben absichtlich darauf hingewiesen dass die Bundeswehr natürlich dazu da ist Deutschland (impliziter weiße damit auch alle zivilen IT Systeme – auf das BSI komme ich noch in diesem Zusammenhang) zu verteidigen. Wenn man eine Sicherheitslücke für einen evtl. offensiven Vorteil zurückhält schwächt man seine Defensive automatisch (und hier kann man auch Defensive gegen Spionage mit einbeziehen).
Deswegen hallte ich diese ganze Offensiv – Defensiv Diskussion für absoluten Blödsinn. Man sollte das BSI stärken und sich mal wirklich systematisch daran machen kritische Infrastruktur zu untersuchen und sichern. Und in diesem Bereich kann man auch die Leute die hier zum Teil wahrscheinlich mit den Kapuzenpulliträgern gemeint sind, z.B. die Herren und Damen die sich im CCC engagieren – da kann dann die Preußische Büroklammer de Maiziere seine Notfallnummer haben, zur Kooperation bewegen.
Hier muss ich auch nochmal etwas Richtung Pen testen klarstellen. Pen testen würde natürlich auch gegen Stuxnet etwas bringen. Wenn man ihn erst mal hat natürlich nicht mehr, aber da hat man auch mit weniger ausgefeilten Schadprogrammen schon Probleme. Aber es geht ja darum dass man überhaupt erstmal keinen Angriffsvektor aufs System zulässt mit dem sich ein Stuxnet einnistet bzw. man einfach Zugang zum System bekommt. Auch Stuxnet hat Sicherheitslücken benutzt um ersteinmal reinzukommen (soweit man weiß wohl über USB Sticks und die Verbreitung dieser ist auch schon wieder eine eher nachrichtendienstliche Operation). Pen testen würde also sehr wohl etwas bringen! Und in diesem Zusammenhang sei auch nocheinmal gesagt, dass die beste Sicherheit – gerade in der weißen IT – eben aus dem Teilen von Informationen mit Herstellern und gegebenenfalls der Öffentlichkeit resultiert. Sowohl die Bundeswehr als auch das BSI haben einen Sicherheitsauftrag und der eventuelle Nutzen einer geheimgehaltenen Lücke dürften dem Nutzen der Sicherheit von Systemen landesweit deutlich unterlegen. Zu der Umprogrammierung des BSI, mit der Ernennung des nicht ohne Grundes als Cyberclown verspotteten neuen Chefs, weg von einer ‚defensiven‘ Institution wurde auch schon von anderen eigentlich alles gesagt.
Was im weitesten Sinne das offensive angeht so würde ich das beim BND belassen und vor allem auf das Szenario Nachrichtengewinnung zu begrenzen. Diese Ereignisse sind ja auch schon in der Vergangenheit den entsprechenden anderen Behörden zu Gute gekommen.
Bitte bitte bitte hört mir mit dem Cyber-Sche** auf (Ich meine jetzt nicht andere Kommentatoren, wobei ich selbigen dringend von dem Begriff under Denkweiße des ’neuen‘ cyber cyber abraten würde) und diesen wahnwitzigen Versuchen IT Sicherheit eine militärische Sichtweiße bzw. Komponente überzustülpen. Alle Belange im Bereich IT Sicherheit die fürs militärische relevant werden unterscheiden sich in keinster Weiße von ‚herkömmlicher‘ IT Sicherheit (wie gesagt die grüne IT Sicherheit ist doch ein bisschen anders)
@Georg
Kurz und prägnant auf den Punkt gebracht !
1+mit*
@tt.kreischwurst
Ausführlicher und nachvollziehbarer Kommentar, der schlicht und einfach Beachtung und somit eine Reaktion verdient hat: grundsätzliche Zustimmung. However, genau wie offensiv/defensiv sind auch farbliche „Sortierungen“ (weiße, grüne, rote, schwarze IT) letztendlich nur Hilfskonstrukte für das sub-geniale, durchschnittliche Gehirn, um sich der Materie „Kybernetik und Sicherheit“ zu nähern. Analog, digital, Scheißegal….hängt nämlich alles zusammen in diesen vernetzten man-maschine-structures, diesem Netz der Dinge, das da auf uns zurollt. Und der Witz der Technologiegeschichte ist, dass man dieses Feld der „Kybernetik und Sicherheit“ eigentlich nur einigermaßen erfolgreich „bearbeiten“ kann, wenn man expert brainware einsetzt: also keine Betriebswirte mit Parteibuch, Abmahnanwälte oder Flugzeug-Operateure mit FüAk, sondern qualifizierte Informatiker, Mathematiker etc, und die Büroklammern und Co dann auch tatsächlich auf diese Leute hören ! Wo beginnt denn „IT-Sicherheit“ ? Beim DESIGN, bei der Konstruktion des Sytems. Oder beim Kauf. Und wenn ich eben in weiten Bereichen auf den Kauf von MOTS/COTS angewiesen bin, dann kaufe ich nur das Zeug ein, bei dem ich auch Zugriff auf die Dokumentaion bis auf die bits&bytes-Ebene erhalte und über Experten verfüge, die diese Dokumentation auch LESEN und verstehen können. Und das gilt eben auch für proprietäre „IT“ wie z.Bsp. ein FüWes auf der Basis von COTS-Betriebssystemen. Aber wenn ich einem Source-Code-Engineer nur maximal A15 biete, aber nur wenn er auch das silberne Seefahrerabzeichen an Bord erworben hat, dann schaut man eben wie ein Schwein ins Uhrwerk, wenn ABD mal wieder einen Zwangs-Upgrade auf den Tisch legt. Ergo: Man muß nicht vom (Front)Ende her denken, dann verrennt man sich wie Frau Merkel im Groupthink-Labyrint, sondern man muß end-to-end denken….und das bitte institutionell und strukturell.
„Cyber War will not take place“ ist völlig richtig. Er wird im Sinne klassischer Kriegsführung in der Tat nicht stattfinden. Er läuft schon längst im Sinne der 4th generation warfare und wir sind da mitten drin, auch wenn Frau Merkel meint, wir müßten uns nicht in dieses Neuland begeben. Wieviele Wikileaks braucht die Dame noch über ihre abgehörten Telefonate ?
@klabautermann:
Natürlich ist Defensiv-Offensiv nur ein konzeptionelles Hilfskonstrukt, aber mein Kernpunkt ist halt dass es in dem Fall IT Sicherheit aka Cyber eben einfach nicht hilfreich ist.
Ansonsten stimme ich ihnen weitestgehend zu – man wird so was natürlich nicht aufbauen können wenn man nicht die richtigen Strukturen und Leute hat, ob bei der Bundeswehr, BSI oder sonstwo. Anreize spielen da natürlich auch eine Rolle und die richtige Strukturen zu haben ist ja schon einmal ein wichtiger Anreiz und ich würde sogar behaupten wichtiger als Gehalt/Besoldung. Man braucht sich bloß einmal anschauen warum viele im IT Bereich (gerade jüngere) große Konzerne eher scheuen bzw. innerhalb dieser Konzerne dann manchmal schon fremdkörperartig daherkommen (ich erinnere mich an das Photo eines Anschreibt innerhalb einer größeren deutschen Industriefirma in der die IT Abteilung gebeten worden ist für den anstehenden Besuch der Geschäftsführung doch bitte Hosen und Schuhe und nicht shorts und Flipflops zu tragen).
Wenn man sowas bei der Bundeswehr machen würde, dann müsste man meiner Meinung nach tendenziell ein Umfeld schaffen dass man sonst eher von Spezialkräften her kennt (auch tendenziell nicht nur die deutschen Spezialkräfte). Also eigenes Beschaffungswesen, ein esprit de corps der sich aus der Einheit heraus (und dem ‚anders sein‘) ergibt und am aller wichtigsten Freiheiten die es sonst nicht gibt. Um auf die freie Wirtschaft zurückzukommen, da räumt man diesen Leuten und Abteilungen auch Freiheiten ein und gerade in den ganz großen,hierarchischen Unternehmen à la Autobauer ist es jetzt das große Ding manche Elemente der Start Up Kultur zu kopieren um die Produktivität, Kreativität und Innovation zu fördern (Produktivität vielleicht am ehesten im Hinblick auf die beiden nachfolgenden Aspekte).
Wo ich nicht zustimme ist das man zwar sagen kann cyber war will not take place aber dann mit 4th generation warfare zu argumentieren (oder hybrid warfare oder was es da konzeptionell benutzt wird). Ich finde die militärische Perspektive einfach wenig hilfreich in diesem Bereich. Mich erinnert das auch an die Ausweitung sicherheitspolitischer Überlegungen auf andere Felder durch ein mehr oder minder militärisches Prisma wie z.B. bei Food Security, Economic Security etc. Wenn plötzlich der Chairman der Joint Chiefs of Staff (Mullen damals wenn ich mich nicht täusche) davon redet das Verschuldung ein top security threat ist und dann beginnt international economics (finance, trade) mit militärischen Gefahrendenken zu vermengen, biegen sich bei mir die Fußnägel hoch. Food security hat natürlich mehr Bezug zum militärischen (Versorgung), aber da ist es auch diese Herangehensweise als ob das ein völlig neues Thema sei das man jetzt super militärisch behandeln müsste.
In sofern ist food security ein guter Vergleich zu It Security/cyber cyber, da beide Themen, meiner Meinung nach, besser bedient wären wenn man einfach bei der ‚konventionellen‘ bzw. ‚traditionellen‘ Betrachtungsweise bleibt die man schon lange hatte hinsichtlich Gefahren und Gefahrenabwehr in diesen Bereichen. Agrarwissenschaftler, Agroökonomen et al hatten schon lange Versorgungssicherheit auf dem Radar bevor irgendein Stabsoffizier das Thema als das neue Ding für sich entdeckt hat (bzw. so was kommt natürlich auch oft von politischer Seite her). Das selbe bei IT. Da gab es schon Sicherheitsüberlegung über Software, Netzwerke, Geräte etc. lange bevor man jemanden in Uniform von den Vorteilen von elektronischer Datenverarbeitung überzeugt hatte. Deswegen glaube ich nicht dass man beides vermengen muss. Food Security als auch Cyber Security können in einem wie auch immer gearteten Konflikt von Bedeutung werden, aber deswegen heißt das loch lange nicht das sie (primär) militärisch betrachtet werden müssen.
Ich weiß nicht ob ich den Unterschied der sich für mich ergibt jetzt im geschriebenen Wort gut rübergebracht habe, aber für mich ist IT Sicherheit einfach ein Feld in dem ich militärische Betrachtungsweisen einfach nicht nur nicht hilfreich sondern potentiell hinderlich sehe wenn es um die tatsächliche Sicherheit von IT Systemen im Lande (ob Bundeswehr, Infrastruktur oder zivil) geht.
@tt.kreischwurst:
In einigen Punkten bin ich bei Ihnen, z.B. das ein ausbrechen eines Cyber-„Kriegs“ eher unwahrscheinlich ist. Meine Empfehlung als Lektüre ist Sandro Gaycken „Cyberwar“ (auf Deutsch). Schön geschrieben und m.M,. nach auch für Computer-„Laien“ nachvollziehbar.
Andere Punkte teile ich nicht bzw. sind schlicht.
Z.B. Stuxnet hätte man mit Pen-Testing verhindern können ist so ein Fall.
Stuxnet nutze meherer Zero-Day-Exploits aus, sprich es waren nicht veröffentlichte Angriffsvektoren. Mit klassischen Pen-Testing Tools ala Metasploit, sprich Datenbanken mit bekannten Exploits, werden sie dies nicht aufdecken können. Es blieben Werkzeuge wie Fuzzing (also automatisches Testen von Komponenten in dem man modifizierte Falsche Daten sendet). Fuzzing ist aber nur bedingt effektiv, insbedondere ohne vorher Gehirnschmalz reinzustecken ist es ineffizient.
Natürlich gibt es Bereiche der IT, welche sich rein defensiv absichern lassen. Unter defensiv verstehe ich Tools wie Metasploit auf die eigene Sanbox Nachstellung der IT-Infrastruktur loslassen. Klar ist auch, es gibt rein offensive Bereiche, sprich man baut einen Angriff für eine bestimmte Hardware/Software-Kombination z.B. um einen bestimmten Radar Typ oder sagen wir die MIG35 mit einem Kill-Switch zu versehen.
Andere Bereich sind nur mit einer Mischung aus beidem Möglich, wenn Sie neue Vektoren in MS Windows finden möchten, müssen Sie diese natürlich erst (offensiv) entwickeln um Sie hinterher zu schließen (defensiv).
Dass die BW die Zuständigkeit zur Verteidigung nationaler IT Infrastrukturen übernimmt halte ich übrigens für völlig aus der Luft gegriffen. Das kann sie schlichtweg nicht. Auch das BSI kann dies nicht leisten.
Die BW kann allenfalls seine eigene IT Infrastruktur härten. Sprich Firewalls, Honeypots, Backups, PenTests usw.
Grundsätzlich sind die genutzten Consumer PCs angreifbar. Schon die x86/x64 Prozessorarchitektur ist ein Sicherheitsdebakel (Stichwort Ausführbarer Stack). Wenn man wirklich so etwas absichern möchte, wird man eigene Chips entwerfen, um Validierungstools und Schnittstellen erweitern müssen und auch die Programmierwerkzeuge entwicklen müssen (Wer sagt mir, dass der Compiler nicht schon verseucht ist, bzw. beim compilen der Compilersource nicht der Code geändet wird). Der Aufwand dürfte für die BW zu hoch sein.
„Alle Belange im Bereich IT Sicherheit die fürs militärische relevant werden unterscheiden sich in keinster Weiße von ‚herkömmlicher‘ IT Sicherheit“
Auch das stimmt nicht, natürlich haben Miltärs Interesse am Meinungsbildungsprozess teilzuhaben, z.B. mit automatisierten Profilen, welche in Foren posten, Stimmung machen, Desinformation verbreiten, aber auch Information und Aufklärung betreiben, wo es im eigenen Interesse ist. (Battle for Hearts and Minds quasi). Das ist in klassischen IT jetzt nicht so der Fokus.
Zusätzlich kommen natürlich sämtliche Infrastruktur hinzu Krankenhäuser; Wasseraufbereitung, Energie,… aber halt auch IT welche im Militär eingesetzt wird.
Selbst das finden von Bugs, wie Exception beim Teilen durch Null sind schön zu wissen.
@tt.kreischwurst
Da kann ich Ihnen nur zustimmen. Neben food-security gibts ja noch die energy-security usw. Der US MIK benötigte Mitte der 90er ganz dringend „neue Betätigungsfelder“ und hat sich da viel „einfallen“ lassen. Und dieses „Grasen über den Zaun“ hat mittlerweile eine konzeptionelle Verrauschung in den meisten Köpfen erzeugt, die schon fast kafkaesk ist.
Ich denke mal, wir sind da so ziemlich einer Meinung.
So und nu mach ich eine Kneip-Kur zur Alzheimer-Prävention, da lerne ich alle 15 Minuten ein frisches Flens kennen ;-)
@Sven: Sie bringen schon ein paar wichtige und berechtigte Punkte an wo ich präziser hätte sein müssen.
Also was pen testen und Stuxnet angeht haben sie an sich natürlich recht, aber es kommt dann halt darauf an wie man pen testet. In der freien Wirtschaft ist sowas eine Frage des Geldes wo man von gewissen organisatorischen ISO Zertifizierungen (wie gut sind die organisatorischen Strukturen um Sicherheit zu gewährleisten) bis hin zu advanced persistent threat Szenarios alles bekommen kann. Es ist halt die Frage ob man für letzteres Geld ausgeben will. Aber an dem Ende des Spektrums kauft man sich dann durch aus Leute ein die eben nicht nur bekannte Attacken abarbeiten sondern wie (verschiedenste) Angreifer denken. Das ist ein ganz wichtiger Punkt weil natürlich verschiedene Angreifer verschiedene Ziele und dem entsprechend andere Angriffsvektoren haben.
Es ist also vielleicht eine semantische Geschichte, aber ich glaube das man auch pen testen kann in sofern als das man sich selbst (im Rollenspiel) in Angreifer hineindenkt und auch explizit nicht bekannte Vektoren ausprobiert (bzw. diese Vektoren findet). Hätte man Stuxnet so verhindern können? Vielleicht, man hätte es auf jeden Fall schwerer gemacht hätte man eine offene Suche gestartet, aber auch in diesem Fall war der menschliche Anwender natürlich das größte Problem (soweit man weiß), da das Schafprogramm natürlich die zeros überhaupt erst nutzen konnte nachdem man es per USB reingebracht hat. Hätten die den USB nicht reingesteckt…wobei man da auch wieder nicht weiß in wiefern das Unvorsicht war oder einfach eine nachrichtendienstliche Operation die das sichergestellt hat.
Mein Kernpunkt ist jedoch der, dass man, zumindest meiner Meinung nach, nicht zwingend offensive Fähigkeiten braucht um defensiv arbeiten zu können. Man muss die Denkweise und auch die tools haben (bzw. die Fähigkeit sich eigene zu schreiben), aber deswegen brauch ich noch lange nicht die Bereitschaft das morgen selbst zu machen. Um auf IT Sicherheit in der freien Wirtschaft zurückzukommen. Die haben auch die selben tools (Sie nannten z.B. metasploit) und kaufen sich dann auch schon mal einen Trojaner ein wenn man das zu testzweckend braucht, bzw können so was auch selber schreiben (wenn Zeit und Geld da sind), aber deswegen brauchen sie das nicht selber machen. Es reicht dass die sich selbst überlegen können was ein Angreifer will (das ist im freien Wirtschaftsszenario natürlich anders als in einem Konflikt). Aber so lange man das kann reicht das. Der Logik nach man kann keine Defensive ohne Offensive machen, müssten Google, Apple et al. Abteilungen haben die regelmäßig andere (Unternehmen) angreift nur um mit der Erfahrung ihre eigene Sicherheit zu gewährleisten. Es reicht wenn man so denkt und die nötigen tools hat um sich selbst zu testen. Und wie schon ausgeführt untergräbt man halt bei einer übermäßigen Gewichtung des Offensiven die Defensive. Da hat man im IT Sicherheitsbereich leider einen ziemlich direkten Trade-off.
Wie ich angedeutet hatte ist das bei grüner IT natürlich anders (Radar abschalten etc.). Da hat man diesen Trade-Off nicht so deutlich weil sich die IT-Systeme zum Teil stark von herkömmlicher IT unterscheiden (wohlgemerkt die Bundeswehr benutzt auch weiße IT). Da hat man noch eher die Möglichkeit Offensiv in IT exploits zu denken ohne dass man gleichzeitig seine eigene IT Sicherheit untergräbt. Bei weißer IT ist das eher das Gegenteil. Was das private Heimnetzwerk und Firmennetzwerke angeht sowieso, aber auch Krankenhäuser, Kraftwerke etc. unterscheiden sich oft überraschend wenig (einige Industrielle Kontrollunits benutzen z.B. eine abgeänderten Windows Version). Und bei der Sicherheit geht es natürlich nicht um Absolute, sondern darum die Hürde möglichst hoch zu legen damit man wirklich nur durch außerordentlichen Aufwand ‚durchkommt‘.
Der Aufwand ist natürlich abschreckend – um auf Rid zurückzukommen – in sofern als dass man natürlich nicht für jedes Ziel aufs neue x Mannstunden und x Millionen verbraten will. Und das kann man generell mit ganz ‚traditioneller‘ IT Sicherheit. Die Systeme checken, härten und kontinuierlich warten. Den Faktor Mensch muss man natürlich auch im Auge behalten, aber wie oben schon gesagt dass ist auch gleichzeitig das größte Problem. Aber ich wollte vor allem zum Ausdruck bringen, dass man um IT Sicherheit für die BW oder Landesverteidigung zu machen eben nicht plötzlich auf GI Joe machen muss.
Die weiße IT der Bundeswehr ist da eh nicht viel anders als die ‚herkömmliche‘ IT wie man sie auch in Firmen und in Infrastruktur findet (wie gesagt Industrielle ECUs sind natürlich was anderes aber die hängen dann oft genug (ja leider!) im Netz mit herkömmlicheren Rechnern). Die grüne IT ist da mitunter doch schon deutlich anders, aber auch da würde ich eher versuchen zu härten als zu exploiten.
Sie sagen auch richtigerweise dass man den Faden ewig weiter spinnen kann. Sicherstellung der Hardwarekette etc. und überhaupt die gängigsten Software tools (und hier rede ich noch gar nicht vom OS). Deswegen wie gesagt no low hanging fruit, Hürden so hoch wie möglich und wirklich beginnen richtig zu arbeiten. Da kann die BW ihre eigene weiße und grüne IT machen (die haben ja auch schon mit EloKa eine gewisse Komponente bei grüner) und das BSI hat dann zivil vor allem Infrastruktur. Bloß anstatt das richtig zu machen hat man jetzt z.B. eine eher unbrauchbare Personalentscheidung beim BSI getroffen und bringt jetzt diese elende cyber cyber Diskussion in den Raum wo man auch groß einen auf Cyber Command machen will.
Für uns werden wohl mögliche Kollateralschäden der show stopper sein. Zudem handelt es sich meist um Angriffe auf zivile Ziele, welche eigentlich auf einer no strike list stehen (Kraftwerke, u.a.).
@tt.kreischwurst
1+ Endlich mal jemand im Forum der sich mit der Materie auskennt!
@Klabautermann
Sie haben glaube ich gefragt wo IT-Sicherheit anfängt? Ich bin der Meinung und auch aus eigener Erfahrung, die IT-Sicherheit auch bei der Bw fängt mit der Person hinter dem Rechner an. Ist dieser gut eingewiesen und ich spreche hier nicht von ausgebildet, ist es schon mehr als die halbe Miete. Aber IT-Sicherheit in der Bw wird von den meisten Soldaten eher als lästig betrachtet usw. Was nützt einem ein bestens geschütztes System wenn der User dahinter unbedarft E-Mail Anhänge öffnet, fremde USB-Sticks anschließt etc. Siehe auch aktuell in den Medien.
@tt.kreischwurst
Noch ein Punkt zur Offfensiv vs Defensiv Diskussion, wenn man Pentesting der eigenen Systeme als Offensive Aktion betrachtet, dann tuen das natürlich viele Unternehmen. Sei es Metasploit, OWASP,…
Die Frage ist halt und darauf wollte ich mit meinem letzten Post hinaus, welche Definition von Offensiv und Defensiv nutzt man. Man kann sagen, wir greifen unser eigenes System an , damit wir Schwachstellen finden und härten, das sei offensiv, man kann es aber auch als defensiv sehen.
Man nutzt letztlich die gleichen Werkzeuge, wie Angreifer und man greift ja auch seine Systeme an. Man kann dies aber auch als defensiv betrachten.
Anders sieht es bei Stuxnet aus, hier wurde ja Code ganz bewusst maßgeschneidert um ein gegnerisches System anzugreifen, dass ging ja soweit, dass Stuxnet Routinen beinhaltete um Kollateralschäden zu verhindern!
Ich bin ganz bei Ihnen, dass die Bw nicht eigenen Schadcode ala Stuxnet schreiben muss um zumindest Ihre weiße IT zu härten. Aber die eigenen Systeme anzugreifen ist definitiv ein Punkt der zu einer guten Defensive dazugehört. Natürlich kann man sich einfach ein paar Tools von der Stange kaufen und konfigurieren lassen (oder noch schlimmer : selber entwickeln lassen). Aber ob das Zusammenspiel der Komponenten wirklich ein gehärtetes System ergibt, steht auf einem ganz anderen Blatt. Letztlich findet man Fehler und Schwachstellen der Sicherheitsarchitektur sowie Optimierungsbedarf (Defense in Depth), erst wenn man sein System von einem „gegnerischen“ Team angreifen lässt.
Gerade der letzte Punkt finde ich wichtig. die IT-Sicherheitsabteilung sollte ruhig Leute beschäftigen, welche versuchen die implementierten Sicherheitskonzepte zu umgehen/durchbrechen. Ein „Außenstehender“ (meint hier im selben Team, aber nicht mit der Umsetzung der Abwehrmaßnahmen betraut) hat noch mal eine andere Sicht auf die Dinge. Auch Fehler in der Konfiguration werden so eher gefunden. Letztlich lässt sich so gleichzeitig auch noch Szenarien beüben, welche aktive Gegenmaßnahmen des Defensivteams nötig machen.
Einfaches Beispiel, DDOS Attacke, wie reagiere ich, kann ich im Battle of Bandwidth einfach weitere Bandbreite bereitstellen, oder habe ich smartere Gegenmaßnahmen. Auch sollte ich das mal beübt haben.
So gesehen, gehört für mich für eine gute Verteidigung eines Systems auch das kontinuierliche Überprüfen, durch angreifen des eigenen Systems. So gesehen gibt es eine gute Defensive nur dann, wenn ich auch offensiv mein System teste und angreife.
tldr
Manche Aktionen lassen sich sowohl defensiv als auch offensiv betrachten. Ein defensives härten eines Systems beinhaltet immer auch ein offensives überprüfe desselben, ob die Maßnahmen greifen und ausreichen. Trotzdem gibt es auch Aktionen, welche klar in eine Kategorie gehören, z.B. maßgeschneiderte Werkzeuge wie Stuxnet.
@bits&bytes
+1
Social Hacking ist mit Sicherheit eine beliebte, effektive und effiziente Methode um an sein Ziel zu gelangen. Wenn ich mich Recht erinnere wurde auch bei Stuxnet mit Spearphishing gearbeitet.
Locky verbreitet sich zwar Maßgeblich als Makrovirus in Office-Dateien, also mit Einfallstor E-Mail, USB,… aber schon das einfache ansurfen einer sicheren Webseite reicht u.U. schon aus, da über“ Werbung“ auf der Seite Browser-Schwachstellen ausgenutzt werden können, bei Locky war es Flash.
@all
Auch wenn natürlich die BW weiße IT einsetzt, weiß ich nicht, ob wir nicht langsam ein wenig zu sehr in eine allgemeine IT-Sicherheitsdiskussion abdriften.
M.M. nach hat Thomas Rid Recht damit, dass eine Abgrenzung zwischen Offensiv und Defensiv in vielen Fällen schwierig ist. Was nicht heißt, dass es nicht auch viele Fälle gibt, welche man leicht so kategorisieren kann.
Was ich mich im Zusammenhang mit Cyberwar immer Frage, ist wieviele militärische Systeme, die weltweit an andere Länder verkauft werden, extra eingebaute Schwachstellen, vorzugsweise in der Hardware, bereithalten.
Als Beispiel, Saudi-Arabien kauft einige Eurofighter bei BAE. Dann könnten doch bestimmte Bauteile ausgetauscht worden sein. Ich kenne mich jetzt nicht wirklich mit Flugzeugen aus, aber gibt es nicht sowas wie Freund-Feind-Erkennung. Wenn ich da jetzt einen Universalschlüssel hardware-technisch im Chip hinterlege, kann mir damit, falls die Flugzeuge mal gegen mich selber eingesetzt werden sollen, einen Vorteil verschaffen.
Solche Beispiele sollten sich doch für militärisches Großgerät leicht finden lassen. Das ausnutzen solcher Lücken mag nicht immer einfach sein, aber es würde zumindest die Hürden deutlich runterschrauben. Im Falle von Stuxnet, waren die Ziele ja auch nicht mit dem Internet verbunden. Erst das infizieren der Software eines Technikers, der wiederum Zugang zum System hatte, hat den Schadcode zum Ziel gebracht. Das einbauen solcher Lücken würde also mögliche spätere Ausnutzung vereinfachen.
@Sven
Tja, was glauben Sie wohl, warum ich in meinem klabautermann | 23. Februar 2016 – 16:54 auf das Thema Konstruktions- und Dokumentationskontrolle hingewiesen habe….gerade bei militärischen Großwaffensystemen und auch Führungssystemen ?
@klabautermann
„Konstruktions- und Dokumentationskontrolle“ greift aber nur sehr bedingt. Sie müssen schon alle Komponenten im Inland konstruieren und bauen lassen. Bei IT-Hardware dürfte das schwer sein. Gerade auch Chiphersteller sind Internationale unternehmen. Ich glaube (lasse mich da aber auch gerne eines besseren belehren), dass z.B. bei BOS Funk TETRA eingesetzten Chips kaum möglich ist die komplette Herstellung, von Konzeption über Produktion der Chips, zu kontrollieren.
Mit kontrollieren, meine ich hier, dass u.a. das die Chips nicht durch nahezu identische ausgetauscht werden. Wie garantiere ich, dass die Chips die ich einbaue nicht ein paar zusätzlich Transistoren beinhalten. Es ist schlichtweg fast unmöglich, insbesondere wenn man die MIttel von großen Geheimdiensten hat. Dabei meine ich auch Einfluss auf Menschen nehmen zu können.
Um beim Beispiel BOS Funk zu bleiben:
Werden tatsächlich sämtliche Systeme für BOS Funk in Deutschland KOMPLETT in DEU entwickelt und produziert, bis hin zum kleinsten Chip der in den Geräten verwendet wird?
Und das ausschließlich von Unternehmen die ausschließlich in Deutschland beheimatet sind (keine internationale Unternehmen).
Und alle diese Firmen verfügen über ein gemeinsames, spezifiziertes Sicherheitskonzept? (Wie werden Dokumente untereinander ausgetauscht, wer hat Zugriff,…)
Und alle Mitarbeiter die darauf Zugriff haben wurden einer Sicherheitskontrolle unterzogen (hinsichtlich könnte für einen anderen Auslandsdienst arbeiten)
Und die Logistik, welche die Halbprodukte von A nach B bringt , unterliegt einem Sicherheitskonzept? (Die Güter werden speziell versiegelt, so dass sie gegen Austausch/Manipulation auf dem Transportweg gesichert sind)?
Also irgenwie kann ich mir nicht vorstellen, dass solche Dokumentationsketten und Kontrollkettten in Deutschland oder sonstwo auf der Welt derzeit KOMPLETT implementiert sind.
@Sven
Zu 100% wird man solche „Dokumentationsketten und Kontrollkettten“ natürlich nie hinbekommen, aber völlig darauf zu verzichten kann ja wohl kaum die Alternative sein.
Das ist natürlich auch eine Frage von Kosten/Nutzen und Risikomanagement. So gibt es in der Tat „Großanlagen“ bei denen end-to-end solche Dokumentations- und Kontrollkettten integraler Bestandteil von Konstruktion, Fertigung und Betrieb sind….z.Bsp. Kernreaktoren. Präventive Sicherheit ist nun mal bei „kritischen“ Sytemen ein design-must.
Daruf wollte ich nur hinweisen – mehr nicht.
@klabautermann
Nein, darauf verzichten will ich auch nicht. Wollte nur darauf hinweisen, dass es bei heutigen komplexen IT Komponenten, wo viele Akteure „rumpfuschen“, es sehr schwer wird diese Kette einigermaßen zu sichern.
Zur generellen Debatte des Personalkörpers:
Gute Hacker, gleiches gilt für Big-Data Analysten, bildet man nicht einfach aus. Oft haben die ein eischlägiges Hochschulstudium, mehr als die Hälfte deren Befähigung kommt auber aus der sonstigen Biographie. Gerade da Ba/MA System gauckelt irgendwie vor man würde alles studieren können.
Zu dem Eingruppierungsproblemen und auch dem Kleidungsstil wurde ja schon das ein oder andete gesagt. Viel wichtiger: Richtig gute Leute (Auch in anderen Bereichen) nehmen sich nebenher gerne mal die Freiheit sich mit etwas anderem zu beschäftigen. Das kollidiert in der Regel mit dem Verständnis von „Dienst“ bei den meisten Kollegen. Denn ja, ich alimentiere da jemanden fürs „Spielen“ und „Nachdenken“ und NEIN, der verfasst seine Erkenntnisse danach nicht immer in einem verständlichen Bericht oder einer ZdV „Cyberwar“.
@klabautermann:
Bzgl. Dokumentation/Kontrolle – Man sieht ja, wie z.b. unsere Verbündeten mit der IT ihrer Strategischen Systeme umgehen. Da gilt dann in vielen Fällen – Eigenentwicklung der Streitkräfte, herunter bis auf bits und bytes.
@Woody
Na klar doch, die wissen ja auch, was sie tun ;-)