US-Präsident behält sich Recht zum digitalen Erstschlag vor
Die USA haben nach ihrer eigenen rechtlichen Einschätzung das Recht zu einem digitalen Erstschlag, wenn es glaubhafte Belege für einen größeren Cyberangriff aus dem Ausland gibt – auch wenn sich die USA mit diesem Land nicht im Krieg befinden. Diese Analyse sei wesentlicher Bestandteil für die geplanten – geheimen – Regeln zum Einsatz des US-Militärs in einem Cyberkrieg, berichtet die New York Times unter Berufung auf Quellen aus der Regierung:
A secret legal review on the use of America’s growing arsenal of cyberweapons has concluded that President Obama has the broad power to order a pre-emptive strike if the United States detects credible evidence of a major digital attack looming from abroad, according to officials involved in the review.
That decision is among several reached in recent months as the administration moves, in the next few weeks, to approve the nation’s first rules for how the military can defend, or retaliate, against a major cyberattack. New policies will also govern how the intelligence agencies can carry out searches of faraway computer networks for signs of potential attacks on the United States and, if the president approves, attack adversaries by injecting them with destructive code — even if there is no declared war.
Die New York Times zieht einen Vergleich zum Einsatz bewaffneter Drohnen auch in Ländern, in denen die USA nach eigener Rechtsauffassung nicht im Kriegszustand stehen – zum Beispiel Pakistan oder Jemen, wo auf Anordnung von US-Präsident Barack Obama diese unbemannten Flieger für gezielte Tötungen eingesetzt werden.
Bei ihrer Bewertung möglicher digitaler Auseinandersetzungen, berichtet das Blatt, seien Regierungsbeamte zu dem Schluss gekommen, das die Auswirkungen von so genannten Cyber Weapons der US-Streitkräfte so weitgehend seien, dass sie wie Atomwaffen nur auf Anordnung des obersten Befehlshabers eingesetzt werden dürften. Allerdings nähmen die USA auch in diesem Bereich für sich in Anspruch, als Teil der völkerrechtlich zulässigen Selbstverteidigung präventiv zuzuschlagen.
Dabei dürften allerdings auch weiterhin viele Fragen ungeklärt bleiben – gerade die bei digitalen Auseinandersetzungen so schwierige Frage der Attribution, also der zweifelsfreien Feststellung, wer eigentlich der Angreifer ist. Der Befehlsvorbehalt des US-Präsidenten macht auch deutlich, welches verheerende Potenzial solche Waffen-gleichen digitalen Einsatzmittel haben, für die die USA ein eigenes Cyber Command geschaffen haben.
Und Grund zur Besorgnis gibt auch der vermutliche Hauptgegner eines solchen Cyberkriegs: Kaum Zweifel gibt es in Washington, das macht auch die NYT deutlich, dass sich die USA vor allem auf eine solche Auseinandersetzung mit China einstellen. Peking scheint im digitalen Zeitalter der Gegner zu werden, der Moskau zu Zeiten des atomar geprägten Kalten Krieges war.
Nachtrag: Dazu sehr interessant zu lesen die Einschätzung des Wissenschaftlers Thomas Rid:
Barack Obama is probably America’s most web-savvy president ever. But when it comes to actually crafting policy for the nation’s cyber security, his administration has been consistent in only one aspect: bluster. Obama’s major legacy on cyber security, it increasingly seems, will be an infrastructure for waging a non-existent “cyber war” that’s incapable of defending the country from the types of cyber attacks that are actually coming.
(Foto: U.S. Cyber Command/Fort Meade via Flickr unter CC-BY-Lizenz)
Ich habe mir von meinem Anwalt auch eine Expertise geben lassen (sorry, die ist geheim) die besagt das ich den USA das Stromnetz ausschalten darf wenn ich befürchten muß das meine Computer demnächst von Schadsoftware aus den USA befallen werden.
Ich behalte mir daher vor das zu tun.
Ein aktueller Artikel dazu von Thomas Rid vom Royal United Service Institute (RUSI) in London: Cyber Fail The Obama administration’s lousy record on cyber security
Die USA konzentrieren ihre Kräfte auf Angriffe im Cyberraum aber vernachlässigen Defensivmaßnahmen.
Zudem wird oft reine Belästigung (DoS-Attacken), Spionage und Sabotage einfach in einen großen Topf geworfen.
Wenn ein Bankinterface mal für fünf Minuten schlapp macht ist das keine Katastrophe.
Wenn die Chinesen bei der NYT Postfächer durchsuchen um ein Plappermaul in ihren Reihen zu finden dann ist das nicht sonderlich bemerkenswert.
Wenn allerdings ganze Fabriken stillgelegt oder zerstört werden wie es die Amerikaner (mit Siemens Hilfe) im Iran gemacht haben dann ist das eindeutig ein Angriff.
Das ganze Cyberprogramm der Amerikaner wird natürlich wieder Unmengen kosten und einen ganzen Schwarm von falschen Pillen Verkäufern anziehen (Symantecs Antivirenprogramm bei der NYT fand eines von 45 der Spionageprogramme die dort eingesetzt wurde.)
Es wäre gut wenn man sich in Deutschland bewußt auf die Verteidigung und Härtung der Systeme konzentriert und nicht auf extrem teure und rechtlich sehr zweifelhafte Angriffsphantasien.
[Danke; habe den Link zu Rid oben nachgetragen. T.W.]
Nicht ganz so cool hackermäßig, aber imho nicht weniger brisant, ist der heutige Zeit-Artikel mit dem Titel „Software aus Deutschland hilft Menschenrechte zu verletzen“ über das Aufrüsten von Regimen mit deutscher Überwachungssoftware.
Ja da sind wir Deutsche schon gut aber würde mir besser gefallen wenn wir sowas nicht machen würden so stützen wir die Regime in der ganzen Welt. Und der Einsatz für Menschenrechte wir durch sowas torpediert.
Mancher wäre schon froh wenn die verschiedenen IT Sicherheitsverantwortlichen sich einig wären.
Fabriken stillegen IST DoS und basiert auf denselben technischen Methoden wie das Blockieren eines Bankterminals. Da ist nur die Zielmaschine woanders aufgestellt.
Was vielen Leuten auch nicht so ganz klar ist: Ein Riesenhaufen des NATO-Datenverkehrs geht bei militärischen Operationen über das offene Internet. Das dürfte bei anderen Militäts letztlich nicht anders laufen, wenn deren Übertragungsbedarf zunimmt. DoS ziviler Anlagen hat somit eine wachsende militärische Bedeutung.
Meine Beschäftigung mit Crypto und Auth ist ein wenig her, aber was mir als ewige Warnlampe im Hinterkopf geblieben ist, ist das Sicherheitssysteme zur Authentifizierung und Aufrechterhaltung von Sessions sehr überraschend auf Überlastung von Subsystemem reagieren können. DoS ist häufig eine unverzichtbare Vorraussetzung für Man-in-the-Middle, welches dann den eigentlichen Angriff ermöglicht.
Daß die Chinesen Postfächer durchsuchen, um ein Plappermaul in den eigenen Reihen zu finden, nennt sich Spionage, ist auch dann außerhalb Chinas illegal, wenn man die Amerikaner aus letzlich rassistischen Gründen generell nicht mag, und ist nicht nur bemerkenswert sondern katastrophal, falls dieses Plappermaul zufällig geheimdienstliche oder politische Bedeutung für den Westen hatte. Von den Folgen für betroffene Regimekritiker mal ganz zu schweigen.
Was die Härtung der Systeme betrifft:
Die Illusion kann man sich abschminken.
Erstens steht man da gerade im DDoS-Bereich rein mathematisch auf verlorenem Posten, zweitens gibt es da so etwas unangenehmes wie das Halteproblem der Turinmaschine, und drittens sind selbst halbwegs abgesicherte Systeme für den Anwender fast unbrauchbar.
Und… man kann die Dinger nicht mal halbwegs absichern, wenn man sich nicht mit sehr komplizierten und unangenehmen Problemen beschäftigen möchte, die erfahrungsgemäß weit außerhalb der Interessensgebiete von Politikern und Beamten liegen.
Was die angesprochene Konzentration der USA auf Offensive betrifft: Kann man das mit Zahlen unterfüttern? Beispielsweise durch eine Relation der Etats von NSA und Cybercommand?
PS.: Die NSA arbeitet selbstverständlich seit Jahrzehnten an potentiellen Angriffen. Es könnte durchaus sein, daß das Cybercommand schlicht eine Verwaltungsmaßnahme ist, mit der man Manpower, Verwaltungsprivilegien und Auftragsvergabe aus diversen Geheimdiensten, Militärprojekten und NSA-Projekten in eine (erhofft) besser zu verwaltende Struktur packt.
@ califax
DDoS ist aber auch keine Wunderwaffe (mit Tarpits, Blackholing etc. gibt es da durchaus praxistaugliche Gegenmaßnahmen), und betrifft vor allem öffentlich zugängliche Seiten (und damit Bevölkerung und Gewerbe, weniger Industrie und Militär). Viele Industriesysteme haben eh keine direkte Netzanbindung, und sind nur über infizierte Rechner oder Datenträger zu erreichen (Stuxnet war da ja extrem raffiniert).
Volkswirtschaftlich ist da glaub eher die generelle Angreifbarkeit der derzeitigen Internetinfrastuktur ein Faktor (siehe etwa hier), und so triviale wie müßige Aufgaben wie das Ausfiltern von DDoS-Quellen und Bereitstellen von Backup-Systemen und Reservekapazitäten.
Ob Deutschland das hinkriegt ist ne andere Frage. Hier versteht man unter Netzsicherheit ja immer noch Vorratsdatenspeicherung, und mit dem technisch und politisch deutlich greifbareren Thema „Zukunftssicheres Stromnetz“ geht es auch nicht voran. ;)
DDoS ist nicht nur Abfragen von Websites. Stuxnet WAR DDoS. ;)
Der US-Ansatz ist weder überraschend, noch bedeutet er etwas substanziell Neues. Die Option des prä-emptiven Schlags bezieht sich im Prinzip ja auf alle konventionellen, nuklearen oder jetzt auch digitalen Waffen – auch wenn die völkerrechtliche Legitimität nicht zuletzt deshalb umstritten ist, weil der konkrete Nachweis einer Unabweisbarkeit und Verhältnismäßigkeit der Mittel kaum erbracht werden kann. Im Prinzip gewinnt also auch hier der Stärkere und vielleicht auch Rücksichtslosere.
Wir stehen damit wieder einmal mitten in einem neuen Rüstungswettlauf mit gewaltiger Eigendynamik, bei dem keiner dem anderen traut, jeder Angst hat abgehängt zu werden und nebenbei auch eine Menge Geld für die beteiligte Industrie zu verdienen ist. Irgendwann merken wir dann, dass der weitere Lauf der Entwicklung nicht mehr zu beherrschen ist und alle gemeinsam zu verlieren drohen – und dann würden wir das Rad der Geschichte am liebsten wieder zurückdrehen. Stichwort Global Zero. Die Menschheit lernt nie aus, aber zumindest eröffnet sich ein weiteres zukunftssicheres Arbeitsbeschaffungsprogramm für globale Rüstungskontrolleure.
@califax
Ähm nein. Stuxnet war sicherlich alles aber kein DDoS.
Ich verweise nur ungern drauf aber diesmal ist es wirklich so trivial, schau bitte kurz bei Wikipedia bevor du so was behauptest.
„… und einen ganzen Schwarm von falschen Pillen Verkäufern anziehen (Symantecs Antivirenprogramm bei der NYT fand eines von 45 der Spionageprogramme die dort eingesetzt wurde.)“
Gibt es dazu eine Quelle? Ist bekannt, was genau an Malware darauf war? Wie wurden die Malwares identifiziert? Wie waren die Scanner eingestellt? On-Demand, On-Execution, beides? Welche Technologien waren Aktiv?
Ausgehend von Symantec’s Statement wohl nur Signature-Based Scanning (http://www.symantec.com/connect/blogs/symantec-statement-regarding-new-york-times-cyber-attack). Wenn man dann noch davon ausgehen kann, dass es sich zumindest teilweise (laut Berichten) um „Custom“ Malware handelte sollte man auch mal wieder auf den Boden der Tatsachen kommen.
Anti-Viren Software ist nicht dazu da, dass der Admin/Benutzer sein Hirn ausschalten kann und einfach loslegt. Auch kann eine Anti-Viren Lösung nur bedingt bei gezielten Attacken mit eigens dafür erstellter Malware helfen. Und die Tatsache, dass der Grossteil der Client Systeme auf unserer kleinen Erde bestenfalls unzureichend gepatcht wurde macht die situation keinesfalls besser.
Um dieses komplexe Thema etwas einfacher zu erklären:
Wer glaubt ernsthaft, dass ein Bodyguard seinen Kunden gegen einen professionellen Scharfschützen und militärischer Ausbildung schützen kann (Kennedy lässt grüssen…)? Die Frage ist nun, ist der Bodyguard nutzlos, nur weil er in dieser speziellen Situation nicht eingreifen kann? – Also, wenn ich mir anschaue, was bei nahezu sämtlichen Staatsoberhäuptern am Rand immer mitläuft scheint diese Auffassung nicht geteilt zu werden… ;-)
Auch wenn ich persönlich nicht viel Symantec halte, sollte man doch aufpassen, was man von sich gibt @“falschen Pillen Verkäufern“
Bzgl. Stuxnet:
http://www.f-secure.com/weblog/archives/00002040.html
http://www.f-secure.com/weblog/archives/00002376.html
@ califax
Ist jetzt natürlich Definitionsstache. Stuxnet war zwar „Distributed“ (wenn in dem Fall wohl eher viral als parallelisiert), und im weiteren Sinne auch ein „Denial of Service“, aber gemeinhin bezeichnet man mit DDoS halt Angriffe, die Bandbreite oder Resoucen überlasten. Und bei Stuxnet war es Kern halt das gezielte Umprogrammieren der Step-7-Industriesoftware.
Würd ich jetzt eher in den Bereich „direkter Befall durch Schadsoftware“ einordnen, was ja auch ein enorm großes Feld ist. Nur hilft da eben als letztes Mittel ein vernünftiges Backup-Konzept, so dass man die Systeme notfalls komplett platt machen kann. Im Fall von Spionage bringt das zwar nichts mehr, aber was den reinen Betrieb angeht kann man den so nach mit einigen Tagen wieder aufnehmen. Das ist zwar auch ein enormer Schaden, aber selbst der Worst Case bedroht Deutschland nicht in der Substanz.
Und letztlich muss man an der Stelle (wie schon von b bemerkt) festhalten: Defensiv bringt eine behördliche Cybereinheit so gut wie nix.
Sxmantec – da kann man ja auch gleich McAxxee nehmen. Das ist wie einem Netz Wasser holen zu wollen. Nur – was ist besser? Wir dürfen durchaus annehmen, das die NSA die Hintertüren zu solchen Systemen mit eigenem Personal direkt beim Hersteller selbst einprogrammiert. Wer macht es dann bei Kaspersky? Und so weiter. Sicherheit gibt es nur bei gezogenem Stecker, denn heute wissen Sie nicht mal, ob Kamera und Micro an Ihrem Laptop wirklich aus sind, obwohl sie die Dinger in der Systemsteuerung gekillt haben. Vielleicht wenn Sie den Akku auch noch rausnehmen…
Daher ist die eigentliche Frage doch, ob wir die angreifbaren Strukturen wirklich dem Inet überlassen sollten. Nun ist die Vernetzung kurz- und wahrscheinlich auch mittelfristig gewinnversprechend, so blendet man mögliche Risiken, die erst später auf dem Zeitstrahl auftauchen, einfach aus.
Wer für diese Zukunft vorbereitet sein will, hat hinter dem Haus genug Brennholz für den Winter, einen Ofen, der ganz ohne elektrischen Schickimicki auskommt, einen wohlgefüllten Vorratskeller mit Konserven und geeignete Mittel, seine Vorräte vor neidischen Nachbarn zu verteidigen. Naja, ein Bündel Haushaltskerzen und ein Paar Zündhölzer machen sich da auch nicht schlecht. Oder man hat über die VEBEG rechtzeitig eine Laterne, Einheits beschafft
Stuxnet hat nichts mit DoS zu tun. Stuxnet ist ein Wurm. Dieser repliziert sich selbst und sucht nach einem bestimmten System. Findet es dieses führt es Modifikationen in der Siemens Software aus, welche dann zu Schäden in technischen Anlagen führen. Stuxnet ist am ehesten vergleichbar mit einem Attentäter, welcher sein designiertes Ziel sucht und ausschaltet ohne Kollateralschäden zu verursachen.
@Iltis:
Und die Mondlandung war fake, die Amis haben die Twin-Tower gesprengt, Paul McCartney ist tot, …
Mal ernsthaft, wenn du nicht weisst wovon du sprichst, lass es lieber sein.
Ansonsten hätte ich gerne Beweise für deine Unterstellungen!
@TW: Ist es OK, wenn ich hier mal ganz dreist Werbung für den neuen ADLAS mache?
Der hat nämlich „Cyber“ im Fokus…
@Califax: Da gibts auch was zu Stuxnet…
Wie immer frei downloadbar unter: http://adlasmagazin.wordpress.com/2013/02/05/der-neue-adlas-ist-da-9/