Bundestags-Gutachten zum Cyberkrieg: Defensiv statt offensiv

Die Kolleg*innen von netzpolitik.org haben dankenswerterweise ein Gutachten des Wissenschaftlichen Dienstes des Bundestags zur Cybersicherheit ausgegraben, das eigentlich nicht zur Veröffentlichung bestimmt war. Dabei sind die Schlussfolgerungen ja durchaus öffentlich interessant: Statt auf den Ausbau offensiver Fähigkeiten sollten die staatlichen Institutionen auf eine Stärkung der Defensive setzen.

Das (eingestufte) Gutachten, erstellt von einem Bundeswehr-Offizier, findet sich im Wortlaut hier:

Geheimes Bundestagsgutachten attackiert Hackback-Pläne der Bundesregierung

Nun teile ich die Einordnung der netzpolitik-Kolleg*innen nur bedingt – unter anderem halte ich die Bezeichnung digitale Waffen nicht für eine gefährliche Kriegsrhetorik, im Gegenteil: Das macht klar, dass der Einsatz dieser Instrumente den Bedingungen und Einschränkungen unterliegt, die auch für den Einsatz herkömmlicher Waffensysteme gelten. (Und mit dem geheimen Gutachten, nun gut – das ist so’n bisschen der Hype, der leider immer wieder auch um die niedrigste Einstufung gemacht wird).  Lesenswert ist es natürlich dennoch.

16 Gedanken zu „Bundestags-Gutachten zum Cyberkrieg: Defensiv statt offensiv

  1. Reinhören; GenLt Vetter, Abteilungsleiter Cyber- und Informationstechnik (CIT) BMVg, Richtung „Defensive Operations“
    @BehoerdenNews
    Kooperation für #Cyberabwehr – das Gebot der Stunde! Auf #PITS2019 sagt Generalleutnant Vetter: „Wie viel Geld wollen wir uns leisten, damit wir die digitale Souveränität erreichen, um unsere Schlüsseltechnologien zu sichern?“
    https://twitter.com/i/status/1168836668297818112

  2. Eine interessante Einlassung….
    Gleichzeitig ist der Erkenntnisgewinn m.M.n. eher gering. OTL. Zimmermann ist als Militärhistoriker wohl nur bedingt geeigenet, die Bedrohungen eines „Cyberwar“ fachlich einordnen zu können.

    Die Darstellung der Zuständigkeiten bedeutet vor allem, dass sich Deutschland viele Doppelstrukturen leistet (verfassungstechnisch auch leisten muss), aber hier immer ein rein defensives Konzept vorliegt.

    Das Plädoyer für eine rein defensive Ausrichtung kann ich nur bedingt herauslesen, denn der Hauptsatz befindet sich im letzten Drittel: „Abgesehen davon wird bezweifelt, dass überhaupt die technische Kompetenz vorliegt, um „Hackbacks“ zu realisieren.[52]“
    Die Defensivität liegt also an der puren Fähigkeitslücke, diese Konterangriffe zu führen.

    Das erscheint mir klar und logisch argumentiert. Allerdings stellt sich mir die Frage, wie wir ein „digitales Verzögerungsgefecht“ führen wollen, ohne diese Fähigkeiten?!

  3. Wenn man nur die Zusammenfassung des Gutachtens liest, dann wird schon klar, dass dieses Gutachten nicht von irgendeinem Oberstleutnant der Bw erstellt wurde. Der Autor hat einen Doktor-Grad und ist Privat Dozent, ist also vermutlich habilitiert aber ohne momentane Professur. Nun kann man spekulieren, wo es es solche Dienstposten in der Bw gibt. Entweder ist er direkt zum wissenschaftlichen Dienst des Bundestages abgeordnet oder z.B. beim ehemaligen SoWi-Institut jetzt in der Zusammenführung mit dem Militärgeschichtlichen Forschungsamt in Potsdam beheimatet.

    Auf alle Fälle sollte man seine Stimme ernst nehmen und einen Strategieschwenk in der Cybertruppe veranlassen. Weg von der Offensive und rein in die Defensive. Die ist natürlich viel weniger sexy und lässt sich viel weniger attraktiv von der Politik verkaufen und kostet vor allen Dingen viel mehr Geld als die Offensive, weil man ja die gesamte deutsche IT-Infrastruktur härten muss und nicht nur 40 – 80 IT-Experten der Bw im Geheimen vor sich her arbeiten lassen muss.
    Also „Kärnerarbeit“ statt telegene Hack-Back Forderungen !

  4. @Georg
    Um „im Falle eines Falles“ wirksam werden zu können müssen bereits im Frieden die („Cyber“-) Schwachstellen des Gegners erkundet und ausgeforscht und ggf. präpariert werden. Diese befinden sich logischerweise auf IT-Infrastruktur und Gerät im Ausland; außerdem kann dies als potentiell feindseliger Akt eingestuft werden.

    Darüberhinaus wird auch Infrastruktur von Drittstaaten („Internet-Knoten, Hubs) verwendet werden.

    Hierzu bedarf es einer mglw. einer Ermächtigung des BT mit entsprechenden „Cyber“-RoE.

    Dennoch wiederhole ich mich gerne: Si vis pacem para bellum, sich nur defensiv zu verhalten wird uns nicht vor entsprechenden Angriffen im Frieden bzw. Vor-Konflikt schützen, Abschreckung des Gegners tut not, und auch Hack backs müssen vorbereitet werden („Cyber“-Gegenangriff statt eines ad hoc „Cyber“-Gegenstoßes). Wobei man erst im „Falle eines Falles“ (s.o.) sieht, ob die Vorbereitungen Früchte tragen.

  5. @Georg sagt: 03.09.2019 um 18:10 Uhr
    „Auf alle Fälle sollte man seine Stimme ernst nehmen und einen Strategieschwenk in der Cybertruppe veranlassen. Weg von der Offensive und rein in die Defensive.“

    Der wissenschaftliche Dienst des Bundestages erstellt Gutachten zu konkreten Fragestellungen.

    Ein solches Gutachten ist dann ein (akademischer) Meinungsbeitrag zur politischen Diskussion.

    Das ist nicht mehr (aber auch nicht weniger) als ein Thesenpapier eines Professors oder Dozenten einer Uni.

    Die Argumente sollte man beachten und wichten, aber aufgrund solcher Einzelbeiträge strategische Entscheidungen zu treffen erscheint doch etwas gewagt ;)

  6. Ein Geständnis zuvor: ich hatte keine Zeit, das Gutachten zu lesen, bin aber so frech, trotzdem einen grundsätzlichen Kommentar zu Offensive und Defensive abzugeben. Defensive allein bewirkt, dass man früher oder später empfindlich getroffen wird. Der Angreifer wählt Schwerpunkt (und ist da dann immer überlegen), Zeitpunkt etc. und ist somit der Agierende. Der reine Verteidiger muss re-agieren, ist immer einen Schritt zurück und muss die ihm aufgezwungenen Bedingungen hinnehmen. Damit ist keine strategisch effektive Abwehr möglich. Wie gesagt, bei reiner Abwehr wird man eher früher als später unweigerlich getroffen. Als Fechter weiß ich, wovon ich rede.
    In modernerer Taktik ausgedrückt, es gibt bekanntlich Gründe, warum wir uns heute mit hochmobilen Kampfpanzern und nicht mit einbetonierten Panzertürmen a la Maginot verteidigen.

  7. Moin, Fragen zur Reputation des Autors sollten dem Autor selbst gestellt werden, bestimmt geht er auch ans Telefon.
    Was mich hierbei so verunsichert ist nicht der Inhalt des Dokumentes, sondern der so tolerierende Umgang mit Informationen, die offensichtlich der Geheimhaltung unterliegen und als geheinhaltungsbedürftig eingestuft wurden. Hierbei spielt der Grad der Einstufung nur eine untergeordnete Rolle. Dieser bestimmt schlussendlich nur die Schwere des Dienstvergehens.

  8. @TW:
    Da muss ich ein wenig korrigierend eingreifen:
    Der niedrigste Verschlussgrad ist „offen“ – und es ist auch weiterhin ein Verschlussgrad, denn die geteilten informationen sollen den Bw-Bereich nicht verlassen im Gegensatz zu „öffentlich“
    Dazu einfach einmal die Definition:
    „VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD), wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann. (https://de.wikipedia.org/wiki/Geheimhaltungsstufe#Bundesrepublik_Deutschland)
    Was mich aber immer wieder erstaunt ist die Tatsache, dass Verschlussdokumente wie selbstverständlich im öffentlichen Bereich geteilt werden und sich darüber niemand tatsächlich echauffiert.

    Wo ist denn die Grenze, bei der „durchgesteckte“ Dokumente dann nicht mehr toleriert werden?

    [Das ist so ein bisschen wie Anzugordnung, bestimmt ganz wichtig aber hier schlicht äußerst OT. T.W.]

  9. @Resi: Frech? Eher peinlich. Erst den Artikel nicht lesen und dann über unsinnige Vergleiche mit der physischen Welt demonstrieren, die Grundzüge von IT-Sicherheit auch nicht ansatzweise verstanden zu haben. Naja, jeder darf seine Meinung haben.

  10. Wenn ich hier Kommentare wie von @Thomas Melber oder @Resi lesen darf, muss ich einfach nur den Kopf schütteln.
    Offenbar war hier wirklich nicht die Zeit übrig, das Gutachten sinnerfassend zu lesen. Oder das Verständnis im Bereich ‚Neuland‘ ist halt nicht gegeben (nicht schlimm, aber dann sollte man das auch den Experten überlassen. Hier äußern sich kompetente Netzgrößen aus dem Umfeld des CCC und der wissenschaftliche Dienst übrigens sehr übereinstimmend.)

    Alleine der Gedanke, einen ‚Gegenangriff‘ im Cyberspace zu führen, ist unglaublich absurd – und dabei lasse ich die rechtliche Dimension bewusst außen vor.
    Wenn ein staatlicher oder nichtstaatlicher Akteur meine IT-Infrastruktur angreift und damit erfolgreich ist, habe ich bereits auf voller Linie _versagt_! Da hilft kein ‚Hackback‘, sondern da hat jemand meine Daten rausgetragen oder meine Kommunikation sabotiert/lahmgelegt. Die Geheimakten kommen nicht plötzlich zurück und der Verschlüsselungstrojaner gibt nicht plötzlich meine Festplatten wieder frei, nur weil ich wild um mich schlage.
    Im Gegensatz zum untauglichen Vergleich zu Maginot-Linien beim echten Schießkrieg sind die Härtung, die redundante und flexible Konzeptionierung der Netzarchitektur und der konsequente Verzicht auf unnötige Verknüpfung (und sei es noch so bequem, siehe Smart Home) das A und O bei den netzbasierten Technologien.

    Die Angriffsfähigkeit oder ‚Zweitschlagsdrohung‘ ist hingegen völlig nebensächlich. Interessiert es den feindlichen Hacker, der im Kölner Starbucks seine Attacke fährt, ob auf der Gegenseite eine Hundertschaft ‚Bundeshacker‘ am Monitor sitzt und alle internationalen Netzwerkknoten, über die er sich gerade verschleiert hat, ausschalten könnte? Mal abgesehen davon, dass der Hacker erst einmal bemerkt werden müsste: Sie können ja mal versuchen, die amazon-Cloud, Cloudflare oder GoDaddy aus dem Netz schießen zu lassen, weil jemand deren Infrastruktur als Ausgangs- oder Zwischenpunkt für eine Cyberattacke nutzt. Die betreffenden Firmen und Länder werden sich _nicht_ freuen. Und zumindest unsere amerkanischen Verbündeten sehen das als direkten Angriff.

    Die einzige Befähigung, die wir außer der umfassenden Defensive wirklich brauchen könnten, ist die Forensik/Attributierung. Ich sollte wenigstens verlässlich herausbekommen, wer mich von wo aus attackiert. Danach reagiere ich aber sinnvollerweise konventionell (Polizei, Militär, evtl. Geheimdienst).
    Siehe hierzu auch die Reaktion Israels auf eine Cyberattacke neulich (z.B. heise.de „Cyber-Attacke: Israelische Armee reagiert mit Bombenangriff im Gaza-Streifen“).

    An die „Si vis pacem para bellum“-Gegenschlag Fraktion:
    Hätte es diese Hacker nur im Geringsten gestört, wenn die Israelis einen „virtuellen Gegenangriff“ gestartet hätten? Sicherlich nicht. Aber die Bombe hat den Tag ziemlich sicher versaut. Klar: Für eine Reaktion in diesem Außmaß braucht es Chuzpe. Vielleicht hätte es ein Polizei-Einsatz ja auch getan.

    Wenn uns morgen die Cyberkrieger aus Iran, Nordkorea oder meinetwegen aus Samoa attackieren und wir tatsächlich zeitnah herausfinden würden, wer diese Attacke zu verantworten hat, was veranstalten wir dann eigentlich – mal so rein als Gedankenspiel – als Gegenschlag? Kim-Jongs Pornosammlung löschen? Beim iranischen Geheimdienst Windows 10 aufspielen oder eine Schiffsladung Wintersocken auf Kosten des Häuptlings nach Samoa bestellen? Womit könnten wir einem gegnerischen Akteur denn wirklich weh tun und einen Angriff (technisch, moralisch?) beenden oder zuvor schon abschrecken? Könnte man mir mal verraten, ich reiche es dann gerne dem Autor des Gutachtens weiter.

    So, das war es von der technischen Seite und wer dazu tatsächlich Lust hat, kann die „Gegenschlagsfantasien“ ja gerne noch einmal (völker-/verfassungs)rechtlich betrachten (oder einfach das Gutachten dazu lesen). Heute muss man schon sehr lange suchen, um ein ausschließlich militärisches oder wenigstens staatliches Netzwerk zu finden, an dem keine kritische zivile Infrastruktur dranhängt. Wie man angesichts der absehbaren Kollateralschäden überhaupt vorschlagen kann, mit vernichtenden Gegenschlägen zu drohen, erschließt sich mir nicht. Genauso gut kann ich auf militärische Spionage-Satelliten zielen und dabei die ganze zivile Satelliteninfrastruktur mit dem resultierenden Schrapnell vom Himmel fegen. Wäre ungefähr genauso clever und wird bekanntlich auch nicht praktiziert. Hier schützt man auch seine Systeme und weicht aus.

  11. @ Rolf M

    Aus dem Einstufungsgrad „VS-nfD“ ein schweres Dienstvergehen konstruieren zu wollen halte ich für total übertrieben an den Haaren herbeigezogen.

    @ Koffer

    Sicherlich ist dies nur die Meinung eines Wissenschaftlers (wenn auch in Uniform), aber wie Sie schon sagen sollte man die Stimmen sammeln, wichten und dann entsprechende strategische Entscheidungen treffen.

    @ all

    Man kann der Meinung sein ohne ohne Offensive geht es nicht, die praktischen Fälle, die wir hatten, hätten jedoch nur durch eine bessere Defensive verhindert werden können.

    Der Bundestags-Hack – Organisierte Verantwortungslosigkeit !

    Wanna Cry – ein gehortetes Angriffswerkszeug, dass durch Zufall freigesetzt wurde !

    Hier bietet sich eine schöne Parallele zu Biologischen Kampfstoffen an. Man kann natürlich mit scharfen Viren experimentieren, aber am Besten tut man dies auf einer einsamen Insel im Ozean, damit wenn es etwas schief man die Insel verlassen und sich selbst überlassen kann.
    Wie viel wirkungsvoller wäre es allerdings, wenn alle bekannten Sicherheitslücken der gängigen Betriebssysteme sofort veröffentlicht und gepatcht werden würden. Wenn Staaten keine Zero-Day Exploits mehr für Tausende Euro ankaufen würden und in ihren Waffenschrank auf Lager legen würden.

    Dem Problem wäre auch mit einer Änderung des Haftungsrechtes beizukommen. Wenn Betriebssystemhersteller wie Microsoft für Schäden, die durch unvollkommene Betriebssysteme zugelassen werden, haftbar gemacht werden könnten. Man kauft für mehrere Hundert Euro ein Betriebssystem für seinen Computer, dies ist mängelbehaftet, also für Angreifer offen, der Hersteller haftet für Mängel. Genauso würde es mit einem Hersteller von z.B. Gartenschläuchen, Anti-Baby Pillen oder Autos gemacht werden (bei den Autos anscheinend nicht in Deutschland, weil da die Hersteller politischen Schutz genießen).

    Microsoft ist kapitalstark genug um von sich aus eine Änderung herbeizuführen und zwar sofort für die zahlenden Kunden und nicht für die US-Geheimdienste, die die Zero-Day Exploits horten !

  12. Dem Gutachten der wissenschaftlichen Dienste des Bundestages wird m. E. mehr Aufmerksamkeit gewidmet, als es verdient hat.
    Zum einen gibt es nur einen (zugegeben „einseitigen“) Überblick über die diskutierten Themen. Dies gipfelt im letzten Satz in einer Binse, die auch ohne hohe akademische Weihen (und lange, sich wiederholende Ausführungen) bereits klar war. („Letzten Endes geht es … also um eine politische Beschlussfindung zur Anwendung digitaler Gewalt … [im] übergeordnetem Kontext … [der] hybriden Kriegsführung.“
    Außerdem werden aktive Cyber-Abwehr und „Hackback“ bunt gemischt und isoliert im Cyber- und Informationsraum betrachtet. Offensive Cyber-Fähigkeiten generell stellen aber auch ein „domänenübergreifendes“ Abschreckungspotenzial dar, weil möglicherweise im Falle einer kriegerischen Auseinandersetzung auch legitime Ziele mit deutlich geringerem Risiko für die eigenen Streitkräfte ausgeschaltet werden können. Möglicherweise sogar mit weniger, weil aufhebbaren Konsequenzen. Wenn z. B. ein Telekommunikationsknoten elektronisch lahmgelegt wird, kann er auch einfach wieder reaktiviert werden. Nach einem konventionellen Angriff ist dies schwieriger.

    Nur am Rande sei erwähnt, dass mir schleierhaft ist, wie ein „Einmal-Wirkmittel“ ein (hohes) „Proliferationsrisiko“ darstellen kann.

  13. Moin,
    leider kommt hier das große Problem des IT-Sicherheitsdiskurses innerhalb der dt. sicherheits- bzw. militärpolitischen Community zum Vorschein (ein Schelm könnte die geringe Anzahl an Kommentaren mit der bedingt vorhandenen Expertise der Community in diesem Bereich in Korrelation setzen, aber das nur am Rande).
    Der User Georg ist der einzige, der die Problematik hier ansatzweise nachvollzieht. Es geht nicht um traditionelles Gerede von „Si vis pacem para bellum“. Sorry, aber das zeigt einfach, dass keinerlei technisches Verständnis über diese Materie vorhanden ist. Auch so sehr in manch einem Kopf der Begriff der Defensive Schwäche oder Angst suggeriert, so ist es in diesem Bereich eher das Gegenteil. In der IT können Sie ‚Bewaffnung‘ nicht mit direkten kinetischen Fähigkeiten gleichsetzen. Ebenso wird durch die so bezeichneten Hack-Backs eine vermeintliche Abschreckungsfähigkeit gefordert, wie sie bspw. durch konventionelle oder aber insbesondere nukleare Abschreckung hergestellt werden kann. Dies ist aber in keiner Weise der Fall.

    Der Bericht des WD ist schließlich durchaus positiv zu werten. Er gibt die schon seit langer Zeit bestehende Meinung der IT-Community wieder, die von solch plakativen Forderungen abzusehen fordert. Im Gegenzug muss um ein Vielfaches (!) mehr in die Sicherung und Härtung eigener Systeme investiert werden.

  14. Aus einem Zeitungsartikel zu dem 2018 verkauften nicht gelöschten Notebook wurde mir zumindest klar, das die Defensive Lücken hat.

    Es sollte in einem halbwegs sicheren System eigentlich unmöglich sein, das man

    a) beim Start den letzten angemeldeten Benutzernamen überhaupt sieht (damit hat ein Angreifer eine Hälfte von Benutzername / Passwort)
    und b) es einem Benutzer möglich ist, seinen Benutzernamen auch als Passwort zu verwenden.

    Und solange solche Schwachstellen existieren, sollte man mit offensiven Aktionen sehr vorsichtig sein.

  15. @Nur 2 Cent, @Stöber: Danke für die Watschn, war wegen des Nicht-lesens-und-trotzdem-was-schreibens vermutlich verdient. Habe das Lesen inzwischen nachgeholt und ja, Sie haben richtig erkannt, ich bin kein IT-Experte. Dieses Schicksal teile ich allerdings mit schätzungsweise 90 % oder mehr unserer Bevölkerung, der Leser dieses Blogs, unserer Soldaten – und unserer Politiker und Parlamentarier, die das Geld bewilligen (oder auch nicht). Insofern gehört diesem Thema mehr öffentliche Aufmerksamkeit und Erläuterung gewidmet. Ich fand jedenfalls einige Beiträge oben sehr informativ (keine Ironie).
    Was mich in dem Gutachten dann unwillkürlich den Kopf schütteln ließ, war die Auflistung von x Behörden und Dienststellen, die alle irgendwas können und wissen und manche sogar was dürfen, aber selten so kombiniert, dass das den Anforderungen gerecht wird. Ich hoffe, dieser Eindruck entstand bei mir auch nur wegen meiner mangelnden Fachkenntnis auf diesem Gebiet.

  16. @Resi: Kein Problem, wir lernen alle permanent dazu! :-)

    Leider habe ich den Eindruck, dass Deutschland nur bedingt mit dem (informationstechnischen) Fortschritt mithalten kann. Nicht, weil die nachwachsende Generation nicht willens oder fähig wäre. Sondern weil die führende Generation mit #neuland-Unwissenheit kokettiert — und untätig bleibt bzw. hilflos überholte Metaphern bemüht („Internetwache“, Cyberwehr“).

    Hier gilt es aufzuklären, weshalb ich den Beitrag begrüße. Und wenn die Grundlagen der IT-Sicherheit hinreichend vermittelt sind, dann kann man mal die Anzahl der Köche des Breis „Cyberabwehr“ reduzieren.

Kommentare sind geschlossen.