Digital HackBacks? Eine Sache für die nächste Bundesregierung

Der Jahresbericht zur Lage der IT-Sicherheit in Deutschland ist zwar interessant, aber im Regelfall kein Thema für Augen geradeaus!: Die Sicherheit der Informationstechnik, auch bei kritischen Infrastrukturen, und deren Schutz im Inland ist keine Aufgabe der Verteidigungspolitik oder der Bundeswehr.

Aber natürlich gibt es Schnittstellen zur (Landes)Verteidigung – und deshalb habe ich mir die Vorstellung des Berichts mit Bundesinnenminister Thomas de Maizière und Arne Schönbohm, dem Präsidenten des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), am (heutigen) Mittwoch unter einem ganz bestimmten Aspekt angehört: Wie ist der Stand der Dinge beim Thema digitale Gegenangriffe, auch als Hack back bezeichnet?

Der Innenminister und CDU-Politiker de Maizière machte deutlich, dass er unverändert diese aktive Abwehr für nötig hält, also einen Gegenangriff zur digitalen Selbstverteidigung, der am Ende ja auch einen Server außerhalb Deutschlands betreffen könnte. Aber, da war er genau so deutlich, diese Haltung der bisherigen – und derzeit geschäftsführenden – Bundesregierung bedeute natürlich noch lange nicht, dass auch eine künftige Koalitionsregierung das so sehen werde.

De Maizière vermied deshalb sorgfältig (weitgehend) eine Festlegung: Er halte es zwar für richtig, einen digitalen Angriff vor Ort zu beenden, aber darüber müsse in den Sondierungs- und möglichen Koalitionsgesprächen von CDU, CSU, FDP und Grünen eben noch gesprochen werden. Je eher das geregelt werden könne, um so besser.

Mit anderen Worten: Klarheit gibt es darüber vorerst nicht. Mit einer Ausnahme: Die in der Bundesregierung angestoßene (völker)rechtliche Bewertung von Hack backs ist noch nicht fertig – und fertig wird sie erst, da wurde der Innenminister recht deutlich, wenn das politisch gewollt ist.

Die Äußerungen de Maizières zu dem Thema zum Nachhören, hier mal zusammengeschnitten (die Auslassungen sind jeweils mit einem Signalton gekennzeichnet:

IT-Sicherheit_HackBack_de_Maiziere_08nov2017     

 

Und wer die komplette Pressekonferenz zur Vorstellung des Berichts anhören möchte:

IT-Lagebericht_2017_BPK_08nov2017     

 

Den Bericht selbst gibt es hier zum Herunterladen: Die Lage der IT-Sicherheit in Deutschland 2017

Zur Ergänzung: Zu dem Thema Digitale Gegenangriffe gibt es ein Arbeitspapier der Stiftung Wissenschaft und Politik: Digitale Gegenangriffe – Eine Analyse der technischen und politischen Implikationen von „hack backs“

(Foto: de Maizière vor der Bundespressekonferenz)

28 Kommentare zu „Digital HackBacks? Eine Sache für die nächste Bundesregierung“

  • Nicht so einfach   |   08. November 2017 - 14:28

    Richtig spannend wird es, wenn der Server von dem der Angriff primär ausgeht in einem Land wie den USA gehostet ist oder an der Bundeswehruniversität in München.
    Dann greift man im Zweifel seine eigene digitale Infrastruktur an.
    Wenn man die Bundeswehr massiv angreifen will, dann nutzt man Systeme die jetzt schon implementiert sind und die bisher niemandem aufgefallen sind. Da wird wahrscheinlich eher nicht von außen angegriffen, sondern es wird zu einer Attacke durch eigene Server kommen.
    Ich setze doch keine Server zur Steuerung oder zu einem Angriff ein, der in dem Land gehostet ist, aus dem ich komme. Die paar Steuerungsimpulse kann man von überall aus der Welt absenden. Im Zweifel programmiert den Steuerungsserver zeitgesteuert und dann geht alles seinen Gang. Da ist der Nachweis nicht mehr möglich.

    Zur Not steuert man den Server über Facebook. Ein Eintrag in die Timeline und schon ist der Server irgendwo auf der Welt aktiv. Dabei trinkt man gemütlich seine Pina Colada in dem Land seiner Wahl.

  • Cypher   |   08. November 2017 - 14:30

    Es entsteht wieder einmal der Eindruck, dass es in Deutschland keinen sicherheitspolitischen Gestaltungswillen gibt, und dass versucht wird, sich hinter dem Völkerrecht zu verstecken, um die eigene Passivität zu verbergen.
    Wäre es anders, hätte man z.B. eine Strategie vorgestellt und erklärt, völkerrechtliche Regelungen dabei angemessen zu berücksichtigen. Es gäbe genügend Wege, hier aktiv zu werden ohne dass dies irgendeine völkerrechtliche Relevanz hätte. Andere Demokratien haben hier auch Lösungen gefunden. Mit etwas gutem Willen könnte man deutsche Interessen also schützen, aber an diesem Willen mangelt es eben.
    Schon die Formulierung vom „Gegenangriff“ offenbart völlig Planlosigkeit, da die andere Seite mit gewisser Wahrscheinlichkeit externe Akteure einsetzen würde und im Fall eines Angriffs gar nicht zu identifizieren wäre. Wenn der Angriff kommt, wird es kein Ziel für einen Gegenangriff geben. Man müsste also präventiv gegen erkannte internationale, mit gewissen Staaten kooperierende Hackergruppen und ihre Infrastruktur etc. vorgehen, was aber unterbleibt. Dies wäre im Fall kooperativer und fähiger Behörden im Ausland eine Sache der Strafverfolgung und in anderen Fällen eben eine Sache alternativer Ansätze. Ob man diese bei der Bundeswehr oder bei anderen Behörden ansiedelt, ist da nachrangig.
    Spätestens wenn mal ein paar Tage das Stromnetz mit allen für diesen Fall zu erwartenden Folgen ausfällt, wird dann die Frage aufkommen, warum man trotz der bekannten Bedrohungen passiv geblieben ist und einen derartigen Eiertanz veranstaltet hat wie die Bundesregierung es gerade tut.

  • Tom   |   08. November 2017 - 15:20

    Tut mir Leid, hier scheint eine grundsätzliche Fehlkonzeption vorzuliegen. Eine „aktive digitale Verteidigung“ oder neudeutsch „Hack back“ kann nicht durch Horten und Geheimhalten von Sicherheitslöchern und Technologien funktionieren. Wieviele Eternal Blue Hacks und Ransomware bedarf es denn noch? Und mitnichten sitzt „der Böse“ digitale Angreifer im Ausland. Er kommt wie in jedem größeren Firmennetzwerk meist von „innen“. Ob physisch oder in Form einer ferngesteuerten Bot-Armee aus Webcams, Routern oder gekaperten Server, Desktops oder Smartphones. Der wirksamste IT Schutz und wirkliche aktive Verteidigung wäre es anfällige Systeme zu identifizieren, Bugs zu beseitigen, bewährte Open-Source Technologien zu nutzen und mit eigenen Weiterentwicklungen/ Anpassungen zu unterstützen. Druck auf Betreiber/ Käufer/ Nutzer von allem was einen Netzanschluß hat auszuüben, endlich ein Verfallsdatum für Softwarepflege und Support zu gewährleisten damit nicht der letzte Billig-Dreck aus Fernost z.B. als Drucker oder Webcam in ein Firmennetz wandert. Das wäre eine echte, aktive Verteidigung, nicht das abkaufen von Exploits vom Schwarzmarkt.

  • Tom   |   08. November 2017 - 17:40

    Noch ein letzter Gedanke: Hat sich einer der Herren einmal Gedanken mit welchen Mitteln hier einige Hacker spielen wollen? Und woher soll das fähige und qualifizierte Personal kommen? Die Betonung liegt auf fähig! Denn einen Ausbildungsberuf „Hacker“ existiert nicht. Und überhaupt wie sieht denn so die Erfahrung mit Herkules oder anderen IT Groß-Projekten aus? Wer laufen will, sollte das Gehen zuvor gelernt haben. Wie wäre es, wenn man bei der eigenen Infrastruktur beginnt und hier a) herstellerunabhängig b) quelloffen und c) sicher zu werden. Bis dahin darf auch gerne in gute Ausrüstung, Unterkünfte und funktionsfähige Waffensysteme investiert werden.

  • Andreas   |   08. November 2017 - 17:41

    @Cypher
    So siehts aus. Allerdings ist der Gestaltungswille durchaus vorhanden, jedoch fehlt es an personellen wie materiellen Ressourcen inkludiert den formalen Bestimmungen/Abkommen zur internationalen Zusammenarbeit.

    Ich mache das einfach mal fest am Takedown des Botnetzes „Avalanche“. Darf man dem zuständigen Staatsanwalt aus Verden glauben, waren am Actionday in 2016 Polizeibeamte aus über 40 Staaten beteiligt. Diese koordinierte Zusammenarbeit war ausschließlich(!) durch Hilfe von Privaten möglich. Innerhalb der EU/westlichen Welt (NATO?) sind Amtshilfeersuchen weitgehend unproblematisch, außerhalb ist man froh, wenn überhaupt eine Antwort zurück kommt.

    Diese „Hilflosigkeit“ will man sich einfach nicht eingestehen.

  • Karl Mohr   |   08. November 2017 - 17:54

    Solange der Angreifer nicht eindeutig (und hier liegt die Krux!) einem fremden Staat zugeordnet werden kann, ist es geradezu gefährlich Kräfte der Bundeswehr einzusetzen.
    Der Auftrag Landesverteidigung und die Einbindung in internationale Sicherheitsorganisationen erlauben gerade nicht den „Gegenangriff“ ohne genaue Kenntnis des Aggressors.

    Das setzte eine Eskalationsspirale in Gang die politisch, nicht militärisch oder juristisch, entschieden und gesteuert werden muß.
    Ich möchte nicht die existentiellen Fragen von „Krieg und Frieden“ in die Hand von Soldaten, oder „Nerds“ gelegt wissen.

    Und: gegen den wahrscheinlichsten Fall eines Innentäters wäre es auch nicht mit dem GG vereinbar.

  • Marco Basten   |   08. November 2017 - 18:09

    Wenn ich das richtig verstanden habe, dann werden Exploits wertlos, wenn sie veröffentlicht sind, weil dann der [potentiell Angegriffene] diese Lücke ohnehin schließen kann (sofern er die Veröffentlichung mitbekommt).

    Aber gibt es bislang irgendein Land, das dieser Politik folgt? Oder einen anderen Akteur, das muss ja überhaupt kein Staat sein.

    Die andere Frage ist, ob es überhaupt so etwas wie eine „sichere“ Software geben kann. An Software steigen die Ansprüche und so wird sie auch immer größer und komplexer und damit steigen auch potentiellen Schwachstellen im Code.

    Das Konzept und auch die Erfolgsaussichten des Hack-Backs scheinen fragwürdig zu sein… auf der anderen Seite höre ich außer der Forderung nach mehr Kooperation und hierfür stärker einzutreten auch keine überzeugenden Alternativen. Kooperation mit den Staaten, aus denen die Cyberangriffe kommen, ja, natürlich. Auch Druck ausüben. Die entscheidende Frage ist doch, was passiert wenn diese Maßnahmen nicht fruchten? Es ist doch das Dilemma warum es Waffen/Nuklearraketen/Militär überhaupt gibt: Man muss sich hier Fähigkeiten vorhalten, auch wenn man natürlich diese nie zum Einsatz kommen lassen möchte. Unabhängig von der normativen Frage dahinter, frage ich aber gerne nach überzeugenden technischen oder auch rechtlichen Alternativen.

  • Franz Rehm   |   08. November 2017 - 18:23

    @Karl Mohr (u.A.)
    Diese Gegenschlags-Doktrin ist die Steilvorlage für das nächste Gleiwitz.

  • Delegibus   |   08. November 2017 - 18:24

    Einfach mal Danke, dass der Artikel ohne dieses unsägliche „cyber“ auskommt, eine wahre Wohltat!

    Man kann nur hoffen, dass der Themenkomplex Netzwerksicherheit demnächst in kompetenteren Händen, als denen von De Maizière liegt. Wir erinnern uns, das ist der Mann, der im Wahlkampf davon fabuliert hat, auch der „kleine Tischler“ hätte ja eine „Cyber-Anlage“ und bräuchte bei „Cyber-Angriffen“ die Hilfe einer „Cyber-Feuerwehr“.

    [Ah, ich wusste doch, dass in dem Text was fehlte! Vielleicht sollte ich noch paar Cyber-… nachtragen ;-) T.W.]

  • Klaus-Peter Kaikowsky   |   08. November 2017 - 18:41

    Und die NATO bleibt nicht untätig.
    „NATO is working on a “special doctrine” for cyber operations …“
    J. Stoltenberg sieht in einer Cyber-Attacke die Art 5 Prinzipien verletzt.
    http://thehill.com/policy/cybersecurity/359014-nato-pressing-forward-on-cyber-defense-official-says#.WgHkVCQNK3E.twitter

  • tt.kreischwurst   |   08. November 2017 - 22:23

    ja ja, ab 5 Uhr wird dann zurück gecybert. Ich hab das ja hier zu diesem Themenkomplex immer wieder gesagt und werde es auch wieder sagen. Die ganze Cybermeierei ist ein riesen Scheiß der an sämtlichen Realitäten vorbei geht. Ich möchte hier @Tom danken der das auch sehr schön ausgeführt hat. Sicherer wird niemand – im Gegenteil, die die es zu beschützen gilt werden unsicherer. Man sehe sich das Ausmaß von wanna cry in den Einrichtungen des britischen NHS an. Da heißt es immer man will kritische Infrastruktur schützen. Wahrscheinlich gehören Krankenhäuser nicht dazu.

    Aber um dieses konkrete Thema anzugehen – es gibt zwei Probleme. Das eine ist Attribution das eigentlich wohl bekannt ist (aber trotzdem praktisch immer unter den Tische fallen gelassen wird) und das andere ist das man so einen Angriff erst mal bemerken muss. Wenn ein Angriff richtig durchgeführt wird dann merkt man nämlich gar nichts bis es zu spät ist (e.g. die Gasturbine im Kraftwerk sich zerfressen hat) bzw. sollte der Angriff mit einem konventionelle Angriff einher gehen bemerkt man Truppenbewegungen lange bevor man den auf die eigenen Systeme bemerkt hat.
    Die Vorstellung dass da jemand auf einen Bildschirm schaut und plötzlich „Alaaarm“ schreit und die cybertorpedorohre geflutet werden scheint leider weit verbreitet ist aber absoluter Schwachsinn. Wenn man Glück hat bemerkt man es in Echtzeit und kann noch Sicherungsmaßnahmen durchführen um das schlimmste zu verhindern. Wenn die Attacke dann vorbei ist kann man dann vielleicht mal den c&c server ‚aufmachen‘ über den die Attacke gelaufen ist und schauen ob man forensisch noch was brauchbares findet. Aber in Echtzeit das cyberfeuer zu erwidern ist nicht.

    Die ganze cyber-denke abwerfen und bitte zu richtiger IT security zurückkommen.

  • Nur 2 Cent   |   08. November 2017 - 22:37

    Leider funktionieren alte Gegenschlagstheorien weder in der asymmetrischen Kriegsführung noch in der IT-Welt.

    Wie wohl ein Hack-Back (klingt eher nach Mett im Ofen) bei einem dDOS mit P2P-C&C aussieht?

    (Übersetzung: Angriff durch tausende gekaperte Rechner zum Zwecke der Ausschaltung einer Ressource, koordiniert ohne zentrale Instanz; da wird es schwierig den Urheber zu identifizieren. Die angreifenden Rechner können wiederum in kritischer eigener Infrastruktur stehen, wodurch ein Attackieren der Angreifer zum Schuss ins eigene Knie wird)

    Mal abgesehen davon, dass das Zurückhalten von Exploits zum Zwecke des staatlichen Hackens die eigenen Bürger bzw. die eigene Infrastruktur in Gefahr bringt und somit dem Auftrag von Sicherheitsbehörden widerspricht. Denn es besteht kein Anspruch auf Exklusivität der Kenntnis von Schwachstellen.

  • Thomas Reinhold   |   08. November 2017 - 23:28

    @T. Wiegold: Es ist erstaunlich wie beharrlich der Innenminister an dieser Idee festhält, die zwar politisch nach „wir müssen uns wehren“ klingt aber sowohl technisch als auch außenpolitisch soviele Probleme aufweist, dass sie schlicht nicht funktioniert. Ich habe dazu zusammen mit der SWP eine umfassendere Studie geschrieben die hier zu finden ist:

    https://cyber-peace.org/2017/08/15/in-eigener-sache-analyse-zu-den-implikationen-von-hack-back-als-massnahme-der-cyberverteidigung/

    Interessanterweise hält noch nicht mal Gen. Keith Alexander (der ehemalige Direktor der NSA und des US Cybercommand) Hack back für eine sinnvolle Sache:

    https://motherboard.vice.com/en_us/article/a37njb/keith-alexander-nsa-hack-back

    (entschuldigung für die Eigenwerbung aber ich wollte die vielen Argumente nicht schon wieder von neuem tippen)

    [Der erste Link war oben schon drin… Lasse das aber wg. dem zweiten Link stehen. T.W.]

  • Alex   |   09. November 2017 - 2:13

    Als Hack-Back würde ich alle aktiven Maßnahmen außerhalb des angegriffenen Netzwerks bezeichnen. Deshalb wäre m.E. z.B. das Zero-Routing, d.h. am Internet-Knoten werden bestimmte Pakete einfach nicht weitergeleitet, auch Hack back. Es muss nicht zwangsläufig ein fremdes System angegriffen werden, denn dann würden (wie jetzt schon) falsche Fährten gelegt bzw. aufgespürte fremde Trojaner verändert selbst eingsetzt.
    Zwei Sachen sind sicher: Hacker werden hacken und Hacks werden irgendwann bemerkt.

    @Nur 2 Cent
    Seitdem das BSI auch für den Bundestrojaner zuständig ist, besteht ein Interessenskonflikt.

    Es gerüchtet, dass es einen Deal zwischen der NSA und Microsoft gibt, dass Exploits seitens der NSA gefunden oder gekauft werden und Microsoft informiert wird, das Update entwickelt und testet (bis zu 90 Tage), allerdings erst frühestens mit dem nächsten Patchday nach öffentlichem Bekanntwerden veröffentlicht. Falls es einen gegnerischen Großangriff mit dem eigenen Exploit gibt, kann man so immer noch außerplanmäßig ein angeblich ungetestetes Update veröffentlichen.
    Das mag ärgerlich sein; viel wichtiger ist, dass die Exploit (wie Eternal Blue) durchaus sehr allgemein anwendbar sind, weshalb großer Schaden angerichtet werden kann. Die von Obama festgelegten Regeln zur Prüfung des Exploits sind offenbar außer Kraft gesetzt worden.

  • Nich so einfach   |   09. November 2017 - 7:19

    @Tom Ein Hacker bewegt sich in Deutschland immer in einer Grauzone, die meisten dürften sich in der Illegalität bewegen. Das Wissen eignet sich man auch nur im Illegalen an.
    Selbst wenn ein Hacker zur Bundeswehr wollen würde oder schon bei der Bundeswehr ist, sobald er sich enttarnen würde, wäre eine Ü2 Geschichte. Das ganze System Bundeswehr ist nicht auf „Hacker“ ob Black oder White vorbereitet.

    [So, bei diesem Nick bleiben Sie jetzt, oder? Ist ihr dritter Nick hier; beim nächsten Versuch wird abgeregelt. T.W.]

  • Realist...   |   09. November 2017 - 10:50

    Ich fürchte, das eine „IT-Sicherheit“ oder wie es auch immer bezeichnet wird schon längst zur einer profitablen Handelsware mutiert ist welche nicht durch Vorschriften, Gesetze und schon garnicht durch politische Aussagen sichergestellt werden kann.
    Es wird in der Zukunft wohl das Betätigungsfeld von privaten Firmen sein, welche in der Lage sind, Gefahren bzw Sicherheitslücken im Vorfeld zu erkennen und zu beseitigen, bevor diese von Kriminellen benutzt werden.

    So ein Schutz hat natürlich seinen Preis wie in diesem Beispiel zu sehen ist…wenn eine „Firma“ sich schützen möchte…

    Auszug aus s.u.

    8/15/2016
    ​SPRINGFIELD, Va. —The National Geospatial-Intelligence Agency (NGA) recently awarded an information technology services contract to operate and maintain the NGA enterprise and cyber security environment. The contract was awarded to ManTech Advanced Systems International, Inc. of Fairfax, Va.

    The contract includes a one-year $65.6 million base period and four one-year option periods for a total period of performance of 5 years. The total value of the contract, including options, is $322 million, and begins August 23.

     
    https://www.nga.mil/MediaRoom/PressReleases/Pages/NGA-awards-IT-enterprise-and-cyber-security-contract.aspx

    Ich schätze, das es bald Möglichkeiten/Angebote gibt, ganze Staaten zu schützen, oder so…natürlich gegen $$$

    Ironie on
    Ein z.B. BRD/EU-eigenes Unternehmen zum Schutz der BRD, EU… würde doch schon an der EU-Arbeitszeitverordnung u.s.w scheitern, oder?
    Ironie off

    Ich akzeptiere natürlich auch jede andere Meinung…;-)

  • Tom   |   09. November 2017 - 11:33

    @Nichsoeinfach: Ehm… nö… Dir scheint die Ethik und Definiton von Hacken nicht ganz geläufig zu sein. Es ist wie so vieles dual-use und wird/sollte von Admins und Softwareentwicklern täglich praktiziert werden um allein schon die eigenen Ergebnisse zu Falsifizieren. Ihre Behauptung, daß Hacken nur im illegalen Kontext zu betreiben ist, ist schlichtweg falsch.

    @ttkreischwurst; 100% – die eigene Bevölkerung und Wirtschaft wird im Gegenteil gefährdet und nicht geschützt, genau das meine ich mit Fehlkonzeption.

    Die Frage warum einige immer und immer wieder, beinahe schon reflexartig immer die gleiche Leier runterdudeln ist ein anderer. Nicht der Schutz (vor Terror, dem bösen Russen, ISIS & Co) steht auf der Agenda, sondern die Kontrolle.

    IT, Netzwerke waren und sind zusammen mit den ganzen praktischen, schönen, bunten, sozialen Medien Kontrollinstrumente. Künstliche Intelligenzen die nächste Evolutionsstufe und zugleich Game-Changer für alles. Ich empfehle in diesem Zusammenhang einmal das Buch von Kai Schlieter „Herrschaftsformel“ zum Lesen.

  • Nichtsoeinfach   |   09. November 2017 - 15:37

    @Tom Weder ein Admin noch ein Softwareentwickler ist ein Hacker. Dieses moderne Märchen, dass diese Leute dazu in der Lage sind, würde bedeuten das jede Firma mit solchen Angestellten eine wirksame Abwehr gegen Hackerangriffe hat, dem ist nicht so.
    Hacken muss man leben, wenn es möglich ist schon von Klein auf. Man muss eine enorme Menge an Durchhaltevermögen besitzen und immer wieder massive Rückschläge einstecken können. Hacker ist man nicht nebenberuflich. Wenn man einen Hacker einstellen würde und ihn für Lehrgänge aus seiner gewohnten Arbeit reißt, dann ist er kein Hacker mehr, er verliert den Anschluss.
    Es ist ein großes Problem, wenn viele meinen das könnte man mit einem Universitätsabschluss ausgleichen. Man lernt hacken in dem man es macht und nicht in dem man irgendwas studiert. Das Studium oder die Lehre können ein Beiwerk sein, hacken kann man dann noch nicht im Ansatz. Aber wahrscheinlich ist unser Verständnis einfach ein anderes. Wenn man einen Hacker so definiert, dass er Metasploit oder ähnliches etwas bedienen kann, dann ist es auch ein Admin.
    Ferner lernt man die richtigen Tricks nur in der Illegalität, alles anderes ist ein Kratzen an der Oberfläche.
    Warum sind wohl ehemalige Hacker so begehrt und erzielen ein enormes Einkommen? Wohl kaum weil sie mit einem Admin gleichzusetzen sind.
    Nein nicht jeder S6 Bereich hat einen Hacker.

  • SER   |   09. November 2017 - 18:49

    Es gibt hier viele Spezialisten und das ist ausdrücklich gut so bei AG !!!

    Für mich stellen sich drei Fragen:

    1) Haben wir ausreichende Rechtsgrundlagen in Form GG etc. oder sind unsere Gesetze für diese IT-Fragen (-Bedrohungen) nicht ausreichend anwendbar oder konzipiert ?

    2) Ist es nicht wirklich zielführender eine IT-Sicherheit zu etablieren trotz hoher Kosten für Pflege von Software und Hardware ?

    3) Sollte oder dürfte man verantwortungsbewußt solche Aufgaben an zivile Firmen übertragen oder ist überhaupt absehbar eine Behörde kompetent für die Aufgaben der IT-Sicherheit ?

    Ich denke gegenwärtig diskutieren wir zwar ganz toll, aber es wurde das „Internet als Neuland“ uvm sträflig vernachlässigt (siehe auch BT-Server auf Windows XP) und nun ist rasche Umsetzung nötig … der Bundestrojaner stößt mir aber immer noch übel auf …

  • Nur 2 Cent   |   09. November 2017 - 20:03

    @SER: Wichtig ist zu begreifen, dass IT-Sicherheit kein kaufbares Produkt, sondern ein Konzept ist. Wie die innere Sicherheit: das Zusammenwirken vieler Verfahren, Maßnahmen, Personen und Institutionen.

    Überhaupt hat IT-Sicherheit als hauptsächlich defensive Disziplin einiges mit „Abwehr“ oder „Abschirmdienst“ gemein. Beispielsweise:

    Kenntnis nur wenn nötig -> compartmentalisation, privilege separation, fein abgestufte Zugriffsrechteverwaltung

    Feind hört mit -> Grundverschlüsselung, TLS

    Wie bei den letzten Ransomware-Wellen zu sehen war, ist auch das Thema Backup „Neuland“… Wie komme ich im Notfall an aktuelle Kopien meiner Daten? Wie setze ich defekte Systeme umgehend zurück in einen Normalzustand?

    Aber anstatt diesen Preis zu zahlen (Mehraufwand, Komforteinbußen, teure Redundanzen) versteift man sich auf die Analogie Infanterie, inklusive Gegenschlag.

  • Marco Basten   |   09. November 2017 - 20:11

    @SER:

    Ihre Fragen sind recht allgemein gehalten, ich versuche mich aber mal an einer Aw

    zu 1) Nun, Gesetze sind immer Interpretationsbedürftig und Anwendbarkeit und legale Maßnahmen müssen je nach neuer Lage neu bewertet werden. Dies gilt insbesondere im zwischenstaatlichen Recht, also Völkerrecht, wenn hier nicht durch andere Regelwerke bereits verbindliche Abkommen geschlossen wurden. Für den „Cyberspace“ gibt es eine solches klares Regelwerk noch nicht (und Versuche, dies zu ändern, sind auch jüngst erst wieder auf Eis gelegt worden: Vgl. https://goo.gl/CjAVrq ).

    Eine andere Sache ist die verfassungsrechtliche Bewertung Stand JETZT und welche Grenzen auch hier z. B. der Bundeswehr gesetzt werden. Zur weitergehenden Lektüre empfehle ich hier: Christian Marxsen, „Verfassungsrechtliche Regeln für Cyberoperationen der Bundeswehr – Aktuelle Herausforderungen für Einsatzbegriff und Parlamentsvorbehalt“, JuristenZeitung 72, Nr. 11 (2. Juni 2017): 543–552)

    Doch wie gesagt: Recht ist hier Interpretationsbedürftig. Die Studie, auf die TW den Bundesinnenminister angesprochen hätte, könnte zu durchaus anderen Interpretationen kommen… wenn dies politisch gewollt ist und bis dies nicht anderweitig (gerichtlich) geklärt wurde.

    Zu 2) Ja, und es gibt auch noch mehr Möglichkeiten. Das ist ja gerade der Kern der Diskussion. Also lieber die Mittel für Hackbacks in die Härtung der eigenen System stecken. Aber die garantiert 100%ig sichere Software wird es wohl nicht geben. Das scheitert daran, dass diese immer komplexer und größer werden und damit auch die Schwachstellen. Hierzu sei die oben bereits gepostete SWP Studie von Thomas Reinhold und Matthias Schulze empfohlen!

    Zu 3) Mit dem outsourcen von „solchen Aufgaben“ beziehen sie sich worauf?

    Ich hoffe, ich missverstehe ihre Frage nicht, aber „die eine“ Behörde, die für die Gesamtsicherheit zuständig ist, kann und wird es wohl nicht geben. Es ist ein bisschen wie im Straßenverkehr: Hier gibt es auch ein Ministerium, dass beispielsweise Mindestanforderungen an die Fahrzeugsicherheit festlegt, aber es bleibt dann doch jedem selbst überlassen, sich einen Fahrradhelm aufzusetzen oder nicht. Und wie es auf deutschen Straßen aussieht (und wie dort gefahren wird) wissen sie hoffentlich… (nicht schön!).

  • Realist...   |   09. November 2017 - 20:44

    @SER 1***

    1) Haben wir ausreichende Rechtsgrundlagen in Form GG etc. oder sind unsere Gesetze für diese IT-Fragen (-Bedrohungen) nicht ausreichend anwendbar oder konzipiert ?

    -Schlicht und einfach: NEIN
    IT-Bedrohungen können blitzschnell, jederzeit und in veränderter Form auftreten…

    Gesetze dagegen zu verabschieden dauert s.v. länger und müßten international durchgesetzt und jeweils der Bedrohung angepasst werden, ansonsten könnten durch Gesetze keine IT-Bedrohungen und Schäden verhindert werden.

    2) Ist es nicht wirklich zielführender eine IT-Sicherheit zu etablieren trotz hoher Kosten für Pflege von Software und Hardware ?

    -Als Insel-Lösungen… wird es schon erfolgreich eingesetzt…z.B. beim Mil.

    http://dodcio.defense.gov/Top-Priorities/Defend-Against-Cyber-Attack/

    -aber das gesamte WWW – Global absichern…wird meiner Meinung nach ein Wunschtraum bleiben.

    3) Sollte oder dürfte man verantwortungsbewußt solche Aufgaben an zivile Firmen übertragen oder ist überhaupt absehbar eine Behörde kompetent für die Aufgaben der IT-Sicherheit ?

    -Meiner Meinung nach kann man nur ein Privat-Unternehmen für Schäden haftbar machen, wenn diese die volle Verantwortung für einen IT-Bereich übernommen hatten und natürlich entsprechend versichert sind.
    -Eine Behörde dagegen – wegen nicht Erfüllung einer Aufgabe aufzulösen und alle Mitarbeiter zu entlassen wäre wohl nicht denkbar…

    Ich denke gegenwärtig diskutieren wir zwar ganz toll, aber es wurde das „Internet als Neuland“ uvm sträflig vernachlässigt (siehe auch BT-Server auf Windows XP) und nun ist rasche Umsetzung nötig … der Bundestrojaner stößt mir aber immer noch übel auf …

    „aber es wurde das „Internet als Neuland“ uvm sträflig vernachlässigt “

    -absolut richtig!!! und nun haben uns die selbstgemachten Probleme eingeholt.

    p.s.
    ich hatte schon 98, 99 und 2000 Bedenken, habe allerdings die Direktoren noch mitgewählt… ;-(

    Auszug aus s.u.
    Die NTIA schlug im Februar 1998 in einem „Green Paper“ usw s.u.

    https://de.wikipedia.org/wiki/Internet_Corporation_for_Assigned_Names_and_Numbers

  • Alex   |   10. November 2017 - 0:47

    Die Borniertheit ist ein Problem:
    – Wieviele Referenten, die Präsentationen erstellen müssen, pro Spezialisten gibt es?
    Am Ende wird ohnehin das nötige Wissen eingekauft!
    – Der Normalbürger versteht nicht, dass z.B. bei „TÜV: Geprüfte Sicherheit“ gar nicht die Software an sich getestet wird, sondern die Produktionsabläufe. Gütesiegel und Zertifikate sind nicht nutzlos, garantieren jedoch keine Qualität, sondern eher Marketing und Rechtssicherheit. Wagt es ein Unternehmen ein nicht zertifiziertes Update zu installieren, das eine aktiv ausgenutzte Lücke behebt? Gibt es dadurch Probleme oder setzt man sich auf den Hintern und sagt, dass man zertifiziert sei?
    – Man steckt sehr viel Geld in die forensische Analyse, um Angriffe jemandem zuzuschreiben. Warum steckt man dieses Geld nicht in die Prävention? Stattdessen jammert man, dass Whitelisting zu aufwändig sei.
    – Die Lehrenden an den Universitäten sind keine Hacker! So wie Wirtschafts-„Nobelpreis“träger Black und Scholes große Mengen Geld verbrannt haben, bevor sie wieder zurück an die Uni gingen, wird nichts Sinnvolles von den Universitäten kommen. Wieviele Lehrende arbeiten überhaupt auf dem Gebiet der Sicherheit, wieviele in hippen Bereichen, die nichts hervorbringen?
    – Es werden keine evidenzbasierten Entscheidungen getroffen oder später auf ihren wirklichen Nutzen geprüft.

  • Realist...   |   10. November 2017 - 10:52

    Woran ich mich noch erinnern kann… ( ja, ich bin schon etwas älter ;-)) )
    „Digital HackBacks“ gab es schon in den Anfängen der digitalen Kommunikation.
    Also… wenn ein Anwender bemerkte das jemand Unbefugt auf seinem PC werkelte… bekam der Unbefugte eine gratis Grundformatierung seiner Datenträger… was dann u.U. auch vor Gericht endete aber aufgrund fehlender gesetzlicher Grundlagen nur ein bedauerndes Kopfschütteln zur Folge hatte.

    In dieser Hinsicht hat sich also nicht viel geändert, also Selbstschutz durch wirksame „Gegenmaßnahmen“ was natürlich Geld ( Arbeitsplätze u.s.w. ) und STEUERN einbringt…;-)

    Ach ja, es ist doch niemand gezwungen sich ans WWW anzuschließen, es ging doch auch ohne „WWW“ / Internet…
    Ich meine… das haben nach der E. Snowden-Show auch einige Politiker zu hören bekommen…

  • Leichte Infanterie   |   10. November 2017 - 19:29

    @Realist…

    Der letzte Absatz ist ein berechtigter Einwand. Nachdem über Jahre mehr oder minder kopflos vernetzt wurde (Bequemlichkeit ist immer noch die größte Triebfeder dafür), sollten jetzt als Teil der Lösung auch sinnvolle Maßnahmen der Entnetzung auf den Prüfstand. Nicht alles muss über durch das INet verbunden sein. Schon weil IT-Sicherheit auch niemals auch nur annähernd 100% Schutz bieten kann, vor allem nicht gegen qualifizierte Angreifer.

  • Realist...   |   11. November 2017 - 11:08

    @Leichte Infanterie

    Ich stimme grundsätzlich zu, wobei ich einem sinnvollen Intl. Informationsaustausch wie er auch schon durchgeführt wird, z.B. s.u als sehr nützlich befürworte…

    https://www.nga.mil/MediaRoom/News/Pages/NGA,-Germany%E2%80%99s-Bundeswehr-Geoinformation-Centre-sign-geospatial-data-sharing-agreement-.aspx

    https://www.afcea.org/europe/html/TNE15Program.asp

  • Realist...   |   11. November 2017 - 15:47

    Kleiner Nachtrag.

    Ich finden den Weg, die TROOPS leicht, locker und spielerisch im Rahmen eines Wettbewerbs an diese Thematik heranzuführen nicht nur gut, sondern auch durchführbar, es sei denn es steht die XX Arbeitszeitverordnung oder so… im Wege und ganz nebenbei werden auf diesem Weg verborgene Talente sichtbar…

    https://www.youtube.com/watch?v=HnnvVnsDCGw

    https://www.nsa.gov/news-features/press-room/press-releases/2016/16th-annual-cyber-defense-exercise.shtml

    https://www.youtube.com/watch?v=cKlOMm-8rwE

    p.s.
    welche Überlebens-Change* das WWW, Handy´s oder „andere“ auf dem Internet basierende Kommunikations-Wege hätten…Z.B im V-Fall oder/+ DEFCON 1 bleibt der jeweils eigenen Vorstellung überlassen…

    Also ggf wieder die Kabelrolle mit Trage – Gestell auspacken ;-)

    * OP und UNVERFÄLSCHT

  • tt.kreischwurst   |   12. November 2017 - 23:14

    Es geht zwar nicht um Deutschland, aber da man ja dieses level anstrebt ist der Artikel dann doch sehr relevant:

    https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

    Geht um die NSA und die Veröffentlichungen durch die Shadow Brokers und die Frage die es nach sich zieht in wiefern man denn überhaupt Lücken und hacking tools schützen kann.

    [Interessant, aber hart an der Grenze zum OT in diesem Zusammenhang… T.W.]