Cyber Cyber und die Bundeswehr: Ein bisschen Lesestoff
Ein bisschen Lesestoff zum Thema Cyberwar (in Ermangelung eines besseren Begriffs..):
• Die Stiftung Wissenschaft und Politik hat sich mit dem Thema Digitale Gegenangriffe befasst:
Digitale Gegenangriffe – Eine Analyse der technischen und politischen Implikationen von „hack backs“
• Und, schon einen Monat alt: Vice hat sich mal unter jungen IT-Spezialisten umgehört:
Wir haben junge Hacker gefragt, ob sie Deutschland im Cyberkrieg dienen würden
• Das gehört da auch noch rein:
Government ‚Cyber Troops‘ Manipulate Facebook and Twitter
(Foto: Screenshot aus einem Video der Bundeswehr zum Projekt digitale Kräfte)
Vielleicht waere es ja auch mal eine Idee wert ein Programm was sich in der Struktur am Israelischen Talpiot Programm oder dem 8200er anlehnt zu entwickeln.
Mit traditionellen Ansaetzen denke ich nicht, dass die Bundeswehr die Leute die sie sucht finden wird; die eigentliche Zielgruppe hat nun Mal auch die Wahl in der freien Wirtschaft ungleich mehr zu verdienen.
Tatsächlich hat man sich das zumindest in Teilen bereits angeschaut. Auch im Rahmen einer derzeit laufenden Studie zur Neugestaltung der Aus-, Fort- und Weiterbildung im Bereich Cyber und IT in der Bw.
Auf dem (Aus)Bildungskongress wird es dazu auch eine für Teilnehmer offene Ankonferenz geben, auf der die Studie vorgestellt werden soll. Der Wille ist zumindest in CIT I vorhanden, hier vieles auf den Prüfstand zu stellen und neu zu denken. Was daraus wird, wird sich zeigen.
L.P. | 15. August 2017 – 12:39
Israelische Programme haben einen Vorteil, den wir in Deutschland nicht mehr umsetzen wollen. Die Jungs und Mädels dort werden alle „Zwangsverflichtet“ a.k.a. Wehrdienst. Und dies auch noch über Zeiträume die wir in der BRD seit mehreren Jahrzehnten nicht mehr kennen.
@L.P.: Talpiot Programm? 8200er? (letzteres klingt nach alter Atari Spielkonsole…) Was sind das?
daß die Bundeswehr mit „der Wirtschaft“ konkurriert ist ja nichts neues. Gilt auch für alle anderen Verwendungsreihen. Arsch in unaussprechbarem Land wegschiessen lassen und zu Hause bespuckt werden oder Job hier und zu Hause schlafen?
Bundesinnenminister de Maizière hat derweil die Aufstellung einer Freiwilligen Cyber-Feuerwehr angeregt. Ja so macht man das im #neuland. Bei heise.de und anderen zu finden.
Ohne Full-Spectrum cyber ist das sowieso alles wertlos: https://pbs.twimg.com/media/CO_Z2ohUAAEFx-O.jpg:large
https://de.wikipedia.org/wiki/Unit_8200
https://en.wikipedia.org/wiki/Talpiot_program
Die IDF haben aber wohl kein gesondertes Cyber Command.
Als Mitautor der SWP-Studie eine kleine Ergänzung: Es geht weniger um den Cyberwar sondern in erster Linie darum, das vor einiger Zeit durch Verteidigungspolitiker aufgebrachte Konzept des Hack-Back (oder active defense wie es eher im NATO-Jargon genannt wird) zu durchdenken und die Implikationen und massiven Probleme dabei aufzuzeigen.
Hier meine persönliche Kurzfassung dazu (als die Debatte gerade aufkam):
https://cyber-peace.org/2017/04/19/einschaetzung-zur-debatte-ueber-hack-back-fuer-deutsche-cyber-einheiten/
Das wesentliche Problem in diesem Bereich ist für die Streitkräfte die Personalgewinnung und -Bindung. Personal, das für solche Verwendungen geeignet und qualifiziert ist, wird auch im zivilen Bereich sehr schnell abgeworben. Zivile Unternehmen reagieren darauf mit größeren Anreizen zur Personalbindung, werben selbst ab oder rekrutieren direkt von der Uni. Die Bundeswehr kann da rein finanziell nicht mithalten und ist auch nicht so flexibel wie zivile Unternehmen. Weiterhin ist der Bereich IT-Security sehr schnelllebig und die konstanten Veränderungen und Entwicklungen entziehen sich klar dem traditionellen Schema der Bundeswehrausbildung und brauchen flexiblere Ansätze. Schließlich wird speziell im Bereich Penetration Testing bei der Bundeswehr zwar die Vorhaltung von Fähigkeiten gefordert, die Möglichkeiten und Befugnisse, diese Fähigkeiten zu üben sind aber eng begrenzt, während zivile Penetration Tester sich deutlich mehr ausleben dürfen.
Im Fazit ist die Bundeswehr da chancenlos und es bliebe eigentlich nur, ähnlich wie bei Ärzten und Piloten, geeignetes Personal zu verpflichten, die Ausbilsung zu zahlen und das Personal dann einige Jahre zu halten oder zu versuchen das Personal intrinsisch zu motivieren – aber das passt ja nicht zum corporate image.
Ich kann mir diesen ganzen Cyber Warfare bei der Bundeswehr mit ihrer Bürokratie gar nicht vorstellen.
Wie sollen diese Kräfte ihre Fähigkeiten real üben und wer übernimmt die Verantwortung für einen realen HackBack gegen einen unbekannten Angreifer? Ist das dann ein „scharfer Einsatz“ ähnlich unserer Auslandseinsätze. Wenn ja, muss das Parlament zustimmen?
Wie muss ich mir die rasante materielle Weiterentwicklung vorstellen? So mit CPM nov und Initiativen, die gefühlt 5-10 Jahre laufen oder fährt da jemand los und kauft ein?
Welche Rolle spielt das BAIIN dabei? Sitzt dort der Rüster und macht dann Marktsichtung und europaweite Ausschreibung und welche Rolle spielt dabei eigentlich die BWI?
@Wa-Ge
Das ist inhaltlich nur semi-korrekt. Fuer besagte Programme muss man sich weitaus laenger verpflichten als der normale Wehrdienst vorsieht.
Was zudem auch weiterhin nicht geklaert ist, ist die Trennung zwischen Kompetenzen des BND und der BW. Das Eindringen in Fremdsysteme/ Abtasten von jenen sollte eigentlich eher beim BND zu verorten sein..
@ L.P. | 16. August 2017 – 11:08
Mag sein, dass man sich länger verpflichten muss, aber die Wehrpflicht ist das Fundament in Israel was dies erst ermöglicht.
Ich empfehle dazu den kürzlich erschienen Artikel in der FAZ (auch online frei verfügbar): „General im Cyberspace“
@Insider
Das reale Üben ist in der Tat schwierig, was aber letztlich eher daran liegt, dass es noch keine ordentlichen „Übungsplätze“ gibt. Gebraucht würde ein Übungsnetzwerk, das angegriffen oder verteidigt wird. Ein Netzwerk in der benötigten Größe zu simulieren, ist aufwendig und teuer aber im Vergleich zu realer Manövertätigkeit völlig im Rahmen. Man muss es nur wollen.
Bezüglich der Rechtslage sind wir auch hier wieder im „Neuland“. Kann ein HackBack oder eine digitale Ausspähung eines Angreifersystems als bewaffneter Einsatz der Streitkräfte gewertet werden? Einerseits fehlt da definitorisch einiges, andererseits soll ein Cyber-Angriff aber auch als Angriff auf die NATO gewertet werden können. Hierzu sind aber sicherlich interne Weisungen vorhanden.
Die materielle Weiterentwicklung ist überhaupt kein Problem für offensive Fähigkeiten. Da wird einmal ordentliche Ausrüstung beschafft und die reicht dann für diverse Jahre. Für die offensiven Fähigkeiten sind zivile off-the-shelf Systeme völlig ausreichend und müssen in einer sehr geringen Anzahl beschafft werden (der offensive Bereich ist ja sehr klein), so dass dies deutlich unterhalb normaler Rüstungsbeschaffungsprogramme bleibt (Das mag sogar noch dezentrale Beschaffung sein). Und würde man für die offensiven Fähigkeiten ausschließlich frei verfügbare Software nutzen, wäre das immer noch ordentlich. Die Fähigkeit steht und fällt mit den den individuellen Fähigkeiten des Personals und den ständig aktualisierten Kenntnissen des Personals. Da müssen fähige und motivierte Leute sitzen, dann erledigen die den Auftrag auch mit einem Aldi-PC und einem Internet-Zugang und sind sie nicht fähig, ist es egal welche Ausrüstung sie haben.
Reden wir dagegen über Computer Network Defense sieht das Bild ganz anders aus. Einer der Gründe für die Privatisierung der IT war ja seinerzeit, die Fähigkeit schnell und weniger bürokratisch Hardware und Software beschaffen zu können. Wird hier die Entscheidung zu einer anderen Anti-Viren-Software, einer besseren Firewall oder einem Event Monitoring System für die Streitkräfte getroffen, sind wir sofort im mehrstelligen Millionenbereich mit allen Prozessen, die dazu gehören, weil das zu schützende Netzwerk so groß ist.
Ja, es dürfte sehr schwierig sein, eine Attribution von Angriffen durchzuführen. Das geht auch sicherlich nicht innerhalb von Minuten. Ein HackBack ist dort kaum vorstellbar. Womit eigentlich?
Es ist nachvollziehbar, dass man offensive Fähigkeiten einsetzen möchte, da rein defensiv immer ein Schaden entsteht. Insofern ist das Ziel, analog dem „Gleichgewicht des Schreckens“ Abschreckung aufzubauen. Das funktioniert aus obigem Grund jedoch hier nicht.
Defensiv sieht es ziemlich finster aus. Bei Windows muss man bei jedem Programm Änderungen bestätigen, beim Löschen im Hintergrund der Volumenschattenkopie (kann als eine Art Backup verwendet werden) durch einen Kryptotrojaner passiert rein gar nichts. Man kann zudem problemlos das Systemverzeichnis indizieren, usw. Hier liegt es doch an Microsoft, ein System anzubieten, das hinreichend geschützt ist.
Bei Linux wurde letzten Monat gerade in Exploit veröffentlicht, der ausnutzt, dass das Thumbnail von Windows-Anwendungen über die Ausführung des Namens als Skript ermittelt wird. Haarsträubende Fehler existieren, doch das stört anscheinend niemanden.
Stattdessen benutzt man Drittanbieter-Anwendungen, die das Blaue vom Himmel versprechen, z.B. Carbon Black, das neue Anwendungen samt aller Daten in die für „Forscher“ (bei von ihnen hochgeladenen ähnlichen Dateien) einsehbare Cloud hochlädt. Der frisch gedoxxte Senior Threat Analyst von FireEye (Israel) hatte als Passwort FireEye123.
Es ist wirklich schlimm!
@Cynic2
Danke für die Ausführungen. In verschiedenen Artikeln die ich zum Thema gelesen habe, wird der Parlamentsbeschluss vor einer offensiven Maßnahme gefordert. Wie das real ablaufen soll ist mir schleierhaft, weil der Faktor Zeit bestimmt eine Rolle spielt. Vor allen Dingen ist es albern, da so etwas dann vorher wieder in den Medien berichtet wird. Vielleicht gibt es aber auch eine WhatsApp Gruppe Parlamentsbeschluss und alles geht schnell ;-)
Was mir immer noch nicht klar ist, ist die Rolle der BWI. Schützen zukünftig Soldaten das BWI Netz vor Angriffen? Wer macht das bisher? Und was macht das Bundesamt für Sicherheitstechnik BSI ? Ich dachte immer die wären für die Verteidigung der Netze des Bundes zuständig.
@Alex
Das Problem ist, daß bereits das Ausforschen von Fremdsystemen (*) als Angriffsvorbereitung gewertet werden kann, mit entsprechender retaliation.
Der mögliche Parlamentsvorbehalt wurde hier ja bereits angesprochen.
(*) wie ein Spähtrupp im gegnerischen Gelände „im Frieden“, bildlich gesprochen. Ich verweise auch auf den Einsatz der EloKa, was ggf. vergleichbar ist.
Alles in allem steht unser Datenschutz einer wirksamen Aufklärung entgegen, aber das ist von der Legislative so gewollt bzw. wird so hingenommen und entsprechend umgesetzt (Stichwort: Telefonate mit Deutschlandbezug).
@Thomas Melber
WTF? Was haben Datenschutz und „Telefonate mit Deutschlandbezug“ mit diesem Thema zu tun? Oder geht’s nur um Beißreflexe für irgendwelche Begriffe? So bitte nicht.
@TW
Wie @Alex es schon angerissen hat wird es schwierig, diese Cyber(kampf)truppe in Übung zu halten bzw. Verfahren entwickeln und testen zu lassen.
Da tut man sich ja schon bei der EloKa schwer, daher auch mein Verweis auf den Datenschutz, der selbst im Einsatz unter Bedrohung grundsätzlich einzuhalten ist.
Übungsplätze für Cyber Security Operations (evtl. als Alternative zum Begriff „Cyberwar“ und praktischer für NIAC = Non-International Armed Conflicts) benötigen ein Umdenken klassischer Denkweisen. Aber viele der o.g. Fragen wurden auch außerhalb Israels beantwortet bzw. es stehen bereits Methoden zur Verfügung:
https://ccdcoe.org/locked-shields-2017.html
Ja da sind wir wieder bei den selben Punkten die es auch schon vor Monaten und Jahren gab und die sich wahrscheinlich auch nicht maßgeblich ändern werden.
1) Ja, es ist ein Problem dass die freie Wirtschaft besser bezahlt. Leute die wirkliche security Fähigkeiten haben gibt es nicht sehr viele in Deutschland. Nicht jeder Informatiker/ITler der ein bisschen Netzwerksicherheit macht ist hier wirklich geeignet (obgleich man die auch braucht). Die wirklich guten können sich aussuchen wo sie arbeiten wollen und das über Landesgrenzen hinweg (auch als Selbständiger).
Viel wichtiger ist allerdings dass die Leute die da dich richtigen Fähigkeiten haben in feinster weiße zur BW wollen (oder anderen Bundesbehörden). Die Hackerkultur in Deutschland ist eine andere als z.B im anglophonen Raum. Das heißt man müsste die Leute eigentlich selber ausbilden. Obgleich die BW sehr groß ist und theoretisch aus einen großen Bewerberpool schöpfen könnte (und hier meine ich nicht neue Rekruten sonder mal hypothetisch alle Soldaten/inen) wird es schwierig genug Leute zu finden die man bis zu diesem Grad ausbilden kann (man kann da vielleicht analog die Spezialkräfte heranziehen).
2) Hack back ist absoluter Unsinn meiner Meinung nach. Zumindest bei der BW. Dem ganzen liegt der Gedanke zu Grunde dass man einen Hack/Angriff auf die IT Systeme quasi live verfolgen kann und dann dagegenhält wie in einer konventionellen militärischen Auseinandersetzung (ab 9 Uhr wird zurück gecybert?). Das ist Humbug. Im Normalfall bemerkt man gar nicht oder viel zu spät dass man das Opfer einer Attacke geworden ist. Ausnahmen bestätigen die Regel – z.B wenn große zivile oder militärische Systeme ausgeknipst werden (Kraftwerk, Kommunikation, etc.). Das ist aber zumeist sowieso Teil eines mehr oder minder offen ausgetragenen Konflikts (das muss nicht mit Gewalt von sich gehen. Kann auch ein schwelender Konflikt sein. Jeder weiß dass die Sabotage von der anderen Seite kam..).
Aber wie gesagt im Normalfall bemerkt man einen Angriff nicht – zumindest einen guten. Ein Hack back kann dann allenfalls sein mal den C&C Server der für den Angriff benutzt wurde aufzumachen und zu schauen ob man da noch was findet (z.B. abgeflossene Daten) bzw. ob man forensisch weitere Spuren findet. Im Normalfall (als Normalfall bezeichne ich hier einen Angriff eines anderen Staates der die BW zur Landesverteidigung auf den Plan rufen würde) dürften da aber keine weiteren Spuren sein wenn man sein Handwerk halbwegs versteht.
Probleme der Attribution hab ich noch gar nicht angesprochen, aber ich glaube all sind sich derer bewusst. Was das Thema andere Systeme aufmachen und umgucken angeht um sich für einen etwaigen hack back zu rüsten – die meisten der Staaten die hier in Frage kommen haben jeglichen IT Angriff eines anderen Staates als Kriegsgrund deklariert (und sind dem Vorbild der USA gefolgt). Da ergeben sich selbstverständlich rechtliche Fragen, mal ganz abgesehen von normativen und praktischen. Das mit Spähtruppen gleichzusetzen ist wirklich nur begrenzt hilfreich. Zum einen ja, stimmt schon, denn auch solche Truppen auf fremden Boden können als Kriegsgrund herangezogen werden. Auf der anderen Seite, nein is in keinster Weiße das selbe. Bei Spähtruppen kann man normalerweise schnell feststellen ob diese wirklich nur ein kleiner Trupp sind, die Vorhut für einen Angriff oder sich verirrt haben.
In der IT Welt ist das unmöglich. Sollte ein solches ‚aufmachen und umgucken‘ deutscher Cyberados entdeckt werden (sollte es eigentlich nicht wenn man sein Handwerk beherrscht, aber wie in Punkt 1 beschrieben ist da ein großes Fragezeichen) dann kann man schwer unterscheiden ob es sich hier um einen vollen Angriff oder bloßes ’spähen‘ handelt.
3) Hack back ist deswegen ziemlicher Unsinn. Vor allem so wie es jetzt wohl bei der BW verortet wird, wo man mit konventionellen Vorstellungen an Cyberwar (brrrrr) rangeht. Wenn überhaupt sollte man diese Fähigkeiten beim BND vorhalten. Da kann man Spionage und gegebenenfalls Sabotage machen. Die haben andere rechtliche Spielräume und Möglichkeiten (Kombination mit humint e.g.) so etwas durchzuführen. Aber selbst da hat man immer noch die selben Probleme wie in 2) beschrieben.
Ich sage schon seit Jahr und Tag dass die sich darauf konzentrieren sollen ihre eigenen Systeme (grün als auch weiß) zu härten und mit diesem Cyberunfug aufhören. Es geht hier um IT Sicherheit (aufgegliedert in System-, Netzwerksicherheit etc.) und um nichts anderes!
@tt.kreischwurst
Bei zivilen Unternehmen und anderen Behörden geht es um IT-Sicherheit, bei den Streitkräften greift das zu kurz und es geht um etwas deutlich anderes. Dieses Feld ist bereits von deutlicher Bedeutung, was auch bereits bei der NATO erkannt wurde, und sich dem zu verweigern hieße, früher oder später mit Mitteln angegriffen zu werden, die man nicht einmal versteht, weil die Expertise fehlt. Die Fähigkeiten zur Aufklärung fremder Netzwerke und zum Angriff dagegen sollten also allein schon vorgehalten werden, um die Entwicklung bei fremden Mächten und auf dem Markt generell verfolgen und professionell einschätzen zu können. Ebenso wird die eigene Absicherung deutlich besser, wenn man konstant und iterativ mit red team und blue team arbeitet, anstatt sich auf Absicherung zu versteifen.
Ebenso ist dies keine Fähigkeit, die zum BND gehört. Dieser sollte zwar ebenfalls über Aufklärungsfähigkeiten verfügen, aber hier ist eine Trennung bzw. Zusammenarbeit wie zwischen BND und KSA sinnvoller.
Und auch die Personalrekrutierung könnte sich hier ähnlich wie bei Ärzten (hohe Qualifizierung mit starker ziviler Nachfrage) gestalten. Geeignete Bewerber werden rekrutiert, studieren und werden ausschließlich fachlich eingesetzt. Anstatt militärischer Lehrgänge wären hier zivile Schulungen allerdings sinnvoller. Nach 12-16 Jahren Verpflichtungszeit hätte das Personal ein fachorientiertes Studium, die gleichen Zertifikate wie im Zivilen und ebenfalls Jahre an Berufserfahrung und Weiterbildungen. Die Bundeswehr muss das als Fachlaufbahn nur wollen und das Personal entsprechend einsetzen. Dieses Personal müsste konstant Übungsnetzwerke und als red team die eigenen Netzwerke angreifen, sich mit aktuellen Schwachstellen und Exploits beschäftigen und herausgefordert werden. Vor allem die wirklichen engagierten und guten Penetration Tester sind meist nicht durch Geld sondern intrinsisch motiviert, weil sie die Herausforderung suchen, sich Weiterentwickeln wollen Spaß an ihrer Arbeit haben.
Aktuell und hierzu interessant: Trump hat das Cyberkommando aus der NSA herausgelöst: https://twitter.com/esaagar/status/898553915217633287
Bzgl. dualgenutzter Kommunikation:
In der Tat ist ein Red Team sinnvoll. Man muss jedoch zwischen Ausnutzen bekannter Schwachstellen und noch unbekannter unterscheiden. Aktives Hack Back bedeutet hier in Bezug auf die NSA die Kontrolle über strategische internationale Verbindungen, das Vorhalten oder sogar Einpflanzen brauchbarer Exploits für „off-the-shelf“-Hard- und Software statt sie wie BSI und BW CERT, welche keine schlechte Arbeit erledigen, aber viel zu wenige sind, zu veröffentlichen und damit die eigene Wirtschaft zu schützen.
Hier muss gegen das Interesse der Bürger gehandelt werden. Ich kann nicht erkennen, wie die Bundeswehr mit dem Ziel der Landesverteidigung derartiges rechtfertigen sollte, abgesehen es handelt sich um rein militärisch genutzte Hard- und Software.
Aktio ist gleich Reaktio… das gilt auch im „Cyberraum“. Wenn ein Gegner es geschafft hat in meine Systeme einzudringen und sich dabei zufällig in einem Honey Pot verfängt, warum sollte ich ihn dann einfach nur rauskicken? Natürlich wird man versuchen ihm im besten Fall ein paar mit Beacons gespickte Dateien unterzujubeln. Diese könnten dann z.B. per Reverse SSH-Tunneling Zugriff auf die Systeme des Gegners gewähren. Für den entsprechenden Schaden reichen dann einige wenige gut gewählte CLI-Befehle… oder man baut eben eine eigene, dauerhafte Präszenz in seinem System auf.
„Passive Verteidigung“ ist das Grundfundament – aber es reicht alleine nicht aus. Die Zero-Days sind das Problem – da können noch so viele Next-Generation-Sand-Blast-Zero-Day-Protection-Firewalls am Platz sein und deren Hersteller soviel versprechen, wie sie wollen. Eine gute Firewall fängt das gewöhnliche Script-Kiddie ab, dafür ist sie dar. Zur Abwehr „realer“ Angriffe, z.B. der besagten APT, bedarf es noch menschlicher Interaktion und Aufmerksamkeit. Sichere Systeme bekommt man entweder durch Eigenentwicklung hin, denn was nützt die beste Mauer, wenn ihnen COTS-Windows 7-Einheitslandschaft präsentiert wird? Da hilft nur ein gesunder Mix aus Software und Hardware… warum? Wenn es einen Zero-Day gibt, betrifft der nicht alle meine Systeme. Das ist aber genau das Gegenteil von dem, was derzeit in den Unternehmen en vogue ist, nämlich „Kostenreduktion“ durch einheitliche IT, das wird auch bei der Bundeswehr nicht anders sein. Passive Härtung funktioniert, ist aber meistens sehr kostenaufwändig, unvollständig und gegen den Willen der „BWL-IT“ (also known as Kosten-Nutzen-Rechner) nicht durchsetzbar…
Das für das Gehaltsniveau und die „Vergünstigungen“, die die Bundeswehr bietet, nicht die guten oder besten IT-ler zur Bundeswehr kommen, sollte eigentlich jedem mit Kenntnis der IT-Sektors klar sein. Dafür muss man mehr bieten – nicht nur monetär! – als ein paar knackige Slogans in diversen IT-Zeitungen („Wie ziehst du eine Firewall um ein Feldlager?“ – ich hab’s mit sehr viel Humor genommen).
@DeltaR95 „Natürlich wird man versuchen ihm im besten Fall ein paar mit Beacons gespickte Dateien unterzujubeln. Diese könnten dann z.B. per Reverse SSH-Tunneling Zugriff auf die Systeme des Gegners gewähren. Für den entsprechenden Schaden reichen dann einige wenige gut gewählte CLI-Befehle…“
Spinnen wir die Geschichte mal weiter:
Der Gegner hat Ihre Beacons einem Dritten untergejubelt. Sie greifen das System des Dritten an, im falschen Glauben das sei der Gegner.
Im Zusammenhang mit der Bundeswehr sind es noch „ungelegte Eier“, solange die Personalsituation noch offen ist, aber die Motivation aus dem U.S. CYBERCOM eine eigene Teilstreitkraft zu bilden und von der NSA zu lösen, liegt massgeblich in der Trennung zwischen geheimdienstlichen (U.S.C. Title 10) und operativen bzw. militärischen Aufgaben (U.S.C. Title 50). Wen es interessiert findet hier eine juristische Bewertung (im genannten GAO – Government Accountability Office – Report finden sich Details).
https://lawfareblog.com/separating-nsa-and-cybercom-be-careful-when-reading-gao-report
[„Separating NSA and CYBERCOM? Be Careful When Reading the GAO Report“; Lawfare; 7. Aug 2017]
Ein „heisses Eisen“ dabei ist, wie der Zugriff auf die Eigenentwicklungen sprich Toolsets geregelt ist. Schliesslich liegt das Ziel bei geheimdienstlichen Operationen schon im Namen begründet. Vielfältige Ambitionen, bis hin zur Strafverfolgung, sind vorhanden. Desweiteren wird man über kurz oder lang diese Toolsets als Waffen deklarieren müssen, evtl. bis hin zu „Massenvernichtungswaffen“.
Neu gegründet die „Global Commission on the Stability of Cyberspace (GCSC)“, welche mit der Ambition gestartet ist, „Die Genfer Konvention“ für den Cyberspace zu deklarieren. Dahinter stehen maßgeblich die Niederlande, Singapur, Estland, Microsoft und die Internet Society (ISOC).
https://cyberstability.org/
@ Ein Leser
Ich verstehe ihr Problem nicht? Ein Beacon ist nichts anderes als ein Produkt der konventionellen militärischen Aufklärung. Ob daraus dann wirklich nach einer Verifikation eine Aktion erwächst, ist eine andere Sache. Dem von ihnen angesprochenen Szenar wird durch IP-Tracing und Mapping Herr. Dies erlaubt den Fluss der Diagramme nachzuverfolgen. Wenn die Dateien erst nach Land X gehen und von dort aus auf andere Systeme verschoben werden lässt sich nachvollziehen.
Generell sollten wir uns erstmal von dem Gedanken lösen, dass der Cyberraum und damit besonders das Internet ein freiheitlicher Raum ist, wie manche Esoteriker gerne postulieren. Das ist ein Schlachtfeld wie jedes andere, auch wenn die Regeln stark von bisherigen Konfliktfeldern abweichen. Glauben Sie ernsthaft, dass nicht so demokratische Staaten wie Deutschland oder einfach nur Hackergruppen dieselben moralischen Fragen stellen wie wir?
Ich spinne mal ihre Idee weiter… wenn der C&C Server ein gehijackter privater Webserver ist und von dort aus kritische Infrastrukturen angegriffen werden, würden Sie ihn also nicht lahmlegen (vereinfachtes Beispiel in heutigen Botnetzen, ich weiss…