Deutschlands Cyberkrieger: In Uniform vor dem Rechner, Täuschen ist erlaubt

Die deutschen Cyber-Krieger, pardon, die so genannten CNO-Kräfte (für Computer Network Operations) der Bundeswehr tragen im Dienst und erst Recht im Einsatz Uniform mit deutschem Hoheitsabzeichen, wurden bisher nicht eingesetzt und sind die einzigen Kräfte der Bundeswehr zum Wirken gegen und in gegnerischen Netzen in bewaffneten Konflikten. So viel mehr über diese recht geheim agierende Truppe beim Kommando Strategische Aufklärung erfährt man nicht in der jetzt veröffentlichten Antwort der Bundesregierung auf Fragen der Linkspartei nach dieser Einheit.

Mit Ausnahme eines interessanten Details. Natürlich dürfen die Cyber-Soldaten in Flecktarn die militärisch übliche Tarnung auch auf ihr Einsatzgebiet Computer und Rechnernetze übertragen, sagt die Bundesregierung. Und die Herkunft einer militärischen Aktion damit verschleiern:

Frage 30. Sind sogenannte Stealth-Techniken zur Tarnung von Cyberangriffen grundsätzlich dazu geeignet, über die Zugehörigkeit von Akteuren zu einer bestimmten Konfliktpartei zu täuschen?
Ja.
31. Werden durch Einheiten der Bundeswehr zur elektronischen Kriegsführung wie der CNO sogenannte Stealth-Techniken zur Tarnung von Cyberangriffen eingesetzt?
Stealth-Techniken sind Tarnungstechniken und damit den völkerrechtlich grundsätzlich erlaubten Kriegslisten zuzuordnen. Bislang wurden keine Cyber-Angriffe durch die Bundeswehr durchgeführt.
32. Wie beurteilt die Bundesregierung grundsätzlich den Einsatz von sogenannten Stealth-Techniken zur Tarnung über die Zugehörigkeit von Akteuren vor dem Hintergrund des völkerrechtlichen Perfidieverbots?
33. Unter welchen Umständen sind nach Auffassung der Bundesregierung so genannte Stealth-Techniken grundsätzlich Verstöße gegen das völkerrechtliche Perfidieverbot?
Die Fragen 32 und 33 werden wegen des Sachzusammenhangs gemeinsam beantwortet.
Die Nutzung so genannter Stealth-Techniken verletzt das Heimtückeverbot nicht, da ihr Einsatz keine Handlung darstellt, durch die ein Gegner in der Absicht, sein Vertrauen zu missbrauchen, verleitet wird, darauf zu vertrauen, dass er nach den Regeln des in bewaffneten Konflikten anwendbaren Völkerrechts Anspruch auf Schutz hat oder verpflichtet ist, Schutz zu gewähren.

(Zur besseren Lesbarkeit habe ich die Antworten fett markiert)

Die letzte Antwort verstanden? Ist ja nicht ganz so einfach. Also, sagt die Bundesregierung (in diesem Fall das Verteidigungsministerium), im Cyber-Krieg dürfen Techniken eingesetzt werden, die dem Gegner vorgaukeln, dass er von jemand ganz anderem angegriffen wird. Das so genannte Attributionsproblem ist ja eine der großen Schwierigkeiten bei dieser Art der Auseinandersetzung, weil niemand weiß, ob hinter einer Attacke über das Netz ein pickeliger Teenager in seinem Kinderzimmer oder eine ganze Armee steckt.

Wenn ich das richtig verstehe (ohne es derzeit bewerten zu wollen oder zu können), heißt das nichts anderes, als dass die Verschleierung der Quelle eines Angriffs völkerrechtlich in einem Cyber-Krieg kein Problem ist. Während die Kennzeichnung von Kombattanten in einem herkömmlichen Konflikt ja vom Völkerrecht vorgeschrieben ist und damit offensichtlich macht, wer der Gegner ist.  Interessante Aussage, zu der man mal einen Völkerrechtler fragen müsste.

(Symbolbild: Stacks of networking switches in one rack of the DETER testbed at the USC Information Sciences Institute (ISI) in Marina Del Rey, CA – Flickr-User Andrew Hart unter CC-BY-SA-Lizenz)

22 Gedanken zu „Deutschlands Cyberkrieger: In Uniform vor dem Rechner, Täuschen ist erlaubt

  1. Wie gesagt, „in bewaffneten Konflikten“. Die Aufgabe hätte man auch dem BND übertragen können, wiewohl er sie sicher schon ausführt.

  2. Zu der Frage muss man nur einen Soldaten befragen, der im HVR-Unterricht wach war.
    Auch in herkömmlichen Konflikten ist Tarnung erlaubt. So darf sich der Soldat beispielsweise im Wald mit so viel Buschwerk behängen wie er mag, selbst wenn dadurch die Kombattanten-Kennzeichen nicht mehr sichtbar sind.

  3. Zusatzprotokoll zu den Genfer Abkommen vom 12. August 1949 über den Schutz der Opfer internationaler bewaffneter Konflikte
    (Protokoll I)

    Teil III Methoden und Mittel der Kriegführung

    Art. 37 Verbot der Heimtücke

    2. „Kriegslisten sind nicht verboten. … Beispiele für Kriegslisten: Tarnung, Scheinstellungen, Scheinoperationen und irreführende Informationen.“

  4. au weia, bei der Formulierung der Fragen waren aber echte Koryphäen am Werke. Jan von Aken und Christine Buchholz (letztere war doch die Dame mit dem Plakat „Solidarität mit Kobane – US-Bombardement stoppen!!“ auf Facebook).

    Man kann sich richtig vorstellen, wie Frau Buchholz vor lauter Eifer feuerrote Bäckchen bekommt, wenn sie Fragen wie diese formuliert:

    „Wie viele feindliche Kämpferinnen und Kämpfer, Soldatinnen und Soldaten und wie viel feindliches Militärpersonal sind seit Bestehen der Einheit CNO durch von ihr ausgeführte Cyberangriffe zu Schaden gekommen?“ Erwartet sie ernsthaft eine Antwort auf diese Frage? Oder hofft sie nur, den Antwortenden irgendwie in die Enge zu treiben? In beiden Fällen jedenfalls reichlich naiv…

  5. „Während die Kennzeichnung von Kombattanten in einem herkömmlichen Konflikt ja vom Völkerrecht vorgeschrieben ist und damit offensichtlich macht, wer der Gegner ist.“

    Das sehe ich nicht ganz so, es besteht keine Kennzeichnungsplicht aber nur wer eindeutig gekennzeichnet ist, ist Kombattant und steht unter dem Schutz des Völkerrechts. Ich Vergleich das mal mit einer Interkontinentalkakete da ist es auch egal ob sie in Uniform oder im Schlafanzug abgefeuert wird und der Absender ist auch nicht eindeutig zu identifizieren.

  6. @f28
    Keine – DEU befindet sich nicht in einem bewaffneten Konflikt (gut, AFG einmal ausgenommen, wobei RSM das ja auch nicht mehr hergibt).

  7. Oha. Sollte ich mich jetzt in den Fallstricken des humanitären Völkerrechts verheddern? Kann ich nicht ausschließen, aber auch heute nacht nicht mehr klären…

  8. @axel_f
    Das Problem ist, daß a) die Hoheitsabzeichen recht klein sind, und b) sich die Tarnmuster z.T. sehr stark ähneln.

    Die Belgier sind da natürlich außen vor.^^

  9. Sogenannte Stealth-Techniken…Haben die Fragesteller das aus irgendeinem Hacker-Roman oder woher? Konsequent heißt es dann auch in der Antwort „so genannt“.

  10. Das mit der Tarnung klingt so harmlos. In der Praxis könnte das aber auch so aussehen:

    1. Ein Angriff trifft auf ein, vielleicht teil- oder vollautomatisiertes, Verteidigungssystem. Das Verteidigungssystem schlägt nicht gegen den wirklichen Angreifer zurück, sondern gegen den, als der er sich ausgegeben hat (oder dessen System er für den Angriff mißbraucht).
    2. Der Angreifer tarnt sich als jemand, gegen den er hofft, dass das Verteidigungsystem nicht mit voller Wucht zurückschlagen wird. (Zugespitzt: Er hackt sich in das Netz eines Krankenhauses und greift von dort an.)
    3. Das Verteidigungsystem schlägt dennoch mit voller Wucht zurück.

    Das ist dann nicht sich-mit-Buschwerk-Behängen.
    Das ist dann eher so, wie wenn man Raketen abfeuert und damit rechnen muß, dass der Gegner zurückfeuert. Von wo darf man seine Raketen abfeuern?

    Oder mal weniger zugespitzt:

    Sich Tarnen, das bedeutet in der Regel, beim Angriff in irgendeiner Form die Systeme Unbeteiliger zu nutzen. Ein Verteidiger wird, um sich zu verteidigen, in irgendeiner Weise gegen diese Systeme vorgehen. Selbst wenn er dabei mildeste Mittel wählt und z.B. lediglich Verkehr von dort blockt, kann das im Einzelfall schwerwiegende Folgen haben.

  11. Das Verschleiern eine Angriffes KANN unter gewissen Umständen doch recht heimtückisch sein. Z.B. wenn ein Cyber-Angriff auf die Infrastruktur von Grünland über gekaperte Rechner des unbeteiligten Blauland erfolgt. In diesem Falle „tarnt“ sich der Angreifer – im übertragenen Sinne – als Mitglied eines anderen Staates.

    In das reale Leben übertragen wäre dies, als wenn bundesdeutsche Soldaten in der Uniform der Vatikanstaates die Schweiz überfallen.

  12. @ ein Leser

    Sich zu Tarnen heißt in aller erster Linie erstmal keinen nachvollziehbaren Weg zu hinterelassen.

    Und schon das benutzen des DSL-Anschlussel ist die Nutzung eines Unbeteiligten. Das ist halt das Internet. Alles andere erscheint wir gerade diffus und unsachlich, was sie da geschrieben haben.

  13. Ist das jetzt der Politiker´s voller Ernst?

    Da gibt es eine Einheit, die für die Sicherheit des Volkes sorgen soll (man denke nur mal an Bankdaten, aber auch an andere sicherheitsrelevante Daten), und man diskutiert darüber, ob sich diese „verkleiden“ dürfen?

    Hat man in Berlin immer noch nicht begriffen, das der „Kuschelkurs“ nach dem Motto „Wir reden am besten ganz lange über belangloses….dann greift uns schon keiner an“ spätestens seit 9/11 nicht mehr greift?

  14. @huey
    Daneben gibt es ja noch das BSI und das sog. „nationale Cyber-Abwehr-Zentrum“. Die NATO hat da auch eigene Strukturen. Die BWI ist natürlich auch gefordert.

    Zugegeben, das ist alles noch nicht richtig einsatzbereit bzw. zu schwach aufgestellt.

  15. Meine Interpretation nochmal in etwas ausführlicher – ich wurde auf G+ genötigt und möchte euch diese Interpretation nicht vorenthalten:

    Wenn wir das „IT-Gedöhns“ mal versuchen in die reale Welt zu transportieren, müssen wir die Regeln der Genfer Konvention etwas umfangreich interpretieren. Denn 1864 war IP noch nicht so sehr verbreitet und auch in den Folgejahrzehnten hat man diesbezügliche Anpassungen nicht eingearbeitet.

    Die Genfer Konventionen gehen davon aus, dass ein ERKANNTER Angreifer (nicht getarnt) einwandfrei als Teilnehmer der kriegerischen Handlung erkennbar ist (typischerweise anhand von Uniform/Abzeichen). Allein das tragen einer marsianischen Uniform macht sicherlich noch keinen Marsianer – ABER der Angegriffene darf und MUSS darauf vertrauen, dass jemand der eine marsianische Uniform trägt auch Marsianer ist.

    Wenn wir obiges auf die IP-Welt übertragen, so könnte man die Uniform (Zuordnung des Angreifers) mit der Quell-IP-Adresse vergleichen. Solange der Angriff nicht erkannt wird (Tarnung) ist alles OK. Aber ein erkannter Angreifer muss eben identifizierbar sein.

    Also könnte der folgende Passus der Genfer Konvention greifen:

    5. Ist Heimtücke im Krieg erlaubt?
    [..] Folgende Handlungen gelten als Beispiele für Heimtücke:
    [..] c) das Vortäuschen eines zivilen oder Nichtkombattantenstatus;
    d) das Vortäuschen eines geschützten Status durch Benutzung von Abzeichen, Emblemen oder Uniformen der Vereinten Nationen oder neutraler bzw. anderer nicht am Konflikt beteiligter Staaten (Art. 37a-d ZP I);

  16. Wenn Leute, die es nicht einmal schaffen ein „fimeninternes“ Netzwerk vernünftig zum laufen zu bekommen, sich als Cyberkrieger positionieren, dann kommt bestimmt etwas ganz tolles dabei heraus.

  17. @wolfsmond
    Das eine hat mit dem anderen überhaupt nichts zu tun. Ein Ferrari Verkäufer muss auch nicht fahren können wie Sebastian Vettel. Jeder nimmt die ihm übergebenen Aufgaben war.

  18. @Roman „diffus und unsachlich“:
    Können Sie konkreter sagen, wo und warum? Dann versuche ich das zu erläutern.

    „Sich zu Tarnen heißt in aller erster Linie erstmal keinen nachvollziehbaren Weg zu hinterlassen.“:
    Das bedeutet in einem Netz, wo jede Einzelstrecke definierte Endpunkte hat: Über Zwischenstationen gehen. Der Verteidiger muß sich dann gegen eine Zwischenstation verteidigen oder er muß Kontrolle oder Kooperation der Zwischenstation haben oder erlangen, um den Angriff dort abblocken und/oder weiter zurückverfolgen zu können.

    „Und schon das benutzen des DSL-Anschlussel ist die Nutzung eines Unbeteiligten. Das ist halt das Internet.“:
    Grundsätzlich ja. Und genau deswegen richtet eine Auseinandersetzung im Internet ganz leicht unbeabsichtigte Schäden an.

  19. Dass die Linken Fragen dieser Art stellen ist nicht neu. So wirklich geheim ist die Abt CNO auch nicht (mehr). Bereits vor Jahren wurde ein Artikel in der Y. veröffentlicht, wo auf mehreren Seiten vorgestellt wurde.
    Ich möchte eher noch einmal die Bewertung hier aus dem Blogeintrag aufgreifen. „Verschleiern der Herkunft eines Angriffs“ ist nicht gleichbedeutend mit „sich als anderer Angreifer ausgeben“. Um ersteres geht es aber hier. Bei internationalem Einsatz sollte clevererweise die Hinweise bei der Quellenforschung nicht in der DEU enden, da hört dann aber der Hinweis auf Dritte auch auf.

  20. @ThorR “Verschleiern der Herkunft eines Angriffs” ist nicht gleichbedeutend mit “sich als anderer Angreifer ausgeben”:

    Okay, das ist ein gutes Argument. Die Grenze zwischen beidem verschwimmt aber leicht. Man braucht also eine klare Vorstellung, wo die Grenze verlaufen soll, wenn man sie nicht überschreiten will. Die verschwurbelte Antwort der Bundesregierung klingt nicht danach, dass man so eine Vorstellung hätte.

    @Roman:
    Ich habe nochmal nachgedacht. Stört Sie, dass der erste („zuspitzende“) Teil meines Kommentars mehr nach einem zweitklassigen Hollywood-Film klingt als nach der Realität im IT-Sicherheits-Bereich?

    Das tut er, das räume ich gerne ein. Ich gebe allerdings zu bedenken, welche Vorstellungen bei Politikern und Geheimdiensten herrschen –die denken nämlich auch wie in Hollywood-Filmen–, wohin die technische Dynamik geht und was passiert, wenn es irgendwann mal nicht nur um einzelne Angriffe mit gewisser Finesse geht, sondern richtig verbissen „Cyberkrieg“ geführt wird und die Akteure unter erheblichem Druck stehen.
    Ich denke, wir werden noch erleben, dass auch recht grobe Mittel eingesetzt werden, und wir werden zunehmend Automatisierungsversuche sehen.

    Zum Schluß, leider ziemlich reißerisch (aber im Kern ist halt etwas dran):
    „Meet MonsterMind, the NSA Bot That Could Wage Cyberwar Autonomously“
    http://www.wired.com/2014/08/nsa-monstermind-cyberwarfare/

  21. Noch nicht eingesetzt???

    „Halt stehen bleiben – Bundespost – oder Sie werden verkabelt!“

    Ich kann doch nur hoffen, dass diese Truppe zum Schutz und zur Abwehr nicht ebenfalls untätig geblieben ist. Allein im Umfeld des Brandenburger Tors hat es doch genug Gründe zu abwehrenden Maßnahmen gegeben.

  22. Schon ein paar Tage her, aber noch eine Referenz aus der Washington Post vom 10. Feb „New agency to sniff out threats in cyberspace“ (Cyber Threat Intelligence Integration Center). Hintergrund dieser Behörde ist zukünftig den Angreifer zu identifizieren. Bezeichnenderweise nicht CYBERCOM unterstellt. Eine Sache möchte ich noch in die Runde werfen. Angriffe werden wohl eher von Zivilisten ausgeführt werden. Unabhängig der Nation. In den USA zudem von Consultants einer externen Beratungsfirma (z.B. wie Hr. Snowden). Ausserdem gebe ich zu bedenken, das Angriffe auf infrastrukturielle Ziele, sprich z.B. automatisierte Kraftwerke ohne eine externe Netzwerkverbindung durchgeführt werden. Eine Schadsoftware, z.B. Stuxnet muss über einen sicherheitsunsensiblen Mitarbeiter per Datenträger, z.B. iPhone zum Aufladen, über einen Kontrollrechner an die Speicherprogrammierbaren Steuerungen übertragen werden. Ausserdem schätze ich mal, dass solche Programme recht gerne dispergieren und der Quellort meist nicht so schnell zu identifizieren ist.

Kommentare sind geschlossen.