Tarnen und Täuschen im Cyberkrieg

Nach einer „Cybersicherheitsstrategie“[1] haben sich die EU-Mitgliedstaaten vergangenes Jahr auf einen „Politikrahmen für die Cyberabwehr“ geeinigt[2]. Die Unterzeichner bekräftigen den politischen Willen, im Bereich der Cyberabwehr stärker mit der NATO oder den militärischen EU-Strukturen zu kooperieren. Es geht um zivil-militärische Zusammenarbeit auch im Cyberraum: Durch die Bündelung von „Fähigkeiten mit doppeltem Verwendungszweck“ soll „unnötige Doppelarbeit“ vermieden werden. So könnte das Militär seine forensischen Fähigkeiten und Fähigkeiten in Bezug auf die Analyse von Schadsoftware beisteuern oder bei der Datenwiederherstellung helfen. Zukünftige Angriffe auch auf zivile Strukturen sollten mithilfe militärischer Cyberabwehr verhindert werden.

Regelmäßig werden zivil-militärische „Cyberübungen“ abgehalten, mit denen die Reaktion auf digitale Störungen und Angriffe geübt werden. Mehrmals haben europäische Behörden bereits an der Übung „Cyber Storm“ in den USA teilgenommen[3]. Sie wird vom Ministerium für Heimatschutz organisiert, bindet aber alle militärischen Streitkräfte ein. Auch die Geheimdienste CIA und NSA sind regelmäßig mit von der Partie. Aus Deutschland waren das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) an bestimmten Strängen von „Cyber Storm“ beteiligt[4]. Zu den Szenarien gehörten „cyberterroristische Anschläge“, über das Internet ausgeführte Angriffe auf kritische Infrastrukturen, „DDoS-Attacken“ zum Lahmlegen von Webseiten und „politisch motivierte Cyberangriffe“. Ähnliche Übungen finden auch in Europa statt.

Bundeswehr entwickelt Fähigkeit zum „Wirken in gegnerischen Netzen“

Auch im Cyberraum stellt sich das Militär gern als Verteidigungsarmee dar. Allerdings werden auch digitale Gefechtsverbände aufgebaut. Im Februar hatte Frankreich seine bereits länger geplante, milliardenschwere Aufrüstung gegen den „Cyberkrieg“ bekannt gegeben[5]. Die Rede ist von einem „Cybersicherheitspakt“ der Armee mit der Software- und Rüstungsindustrie. Die Anstrengungen umfassen vor allem die Bereiche Forschung, Bildung und Aufklärung. Laut dem Verteidigungsminister beobachte Frankreich ein „exponentielles Wachstum“ von digitalen Bedrohungen, Angriffe hätten sich im letzten Jahr beinahe verdoppelt und seien komplexer geworden. Der Minister sprach von von einem „neuen Krieg“, von dem außer dem Militär auch der Bankensektor oder das Eisenbahnwesen betroffen seien. Neben einem „Cyberkommando“ will Frankreich auch einen „Geheimdienst der Cyberinteressen“ aufbauen. Die Ankündigung erfolgte in Gegenwart des Konzernchefs des Telekommunikationsunternehmens Orange. Dem auf digitale Kommunikation spezialisierten Konzern waren zuvor rund 800.000 Kundendaten gestohlen worden.

Auch die Bundeswehr beschäftigt sich längst nicht nur mit der Abwehr von Cyberbedrohungen. Bereits 2007 hat das Verteidigungsministerium die Gruppe „Computer Netzwerk Operationen“ (CNO) eingerichtet. Sie gehört zum „Kommando „Strategische Aufklärung“ und ist in Rheinbach bei Bonn stationiert. Angeblich war die Truppe noch nirgends eingesetzt, ihre Fähigkeiten werden aber fleißig trainiert. 2013 nahm das Kommando an der Cyberübung „Combined Endeavor“ teil, die von der Bundeswehr als „weltweit größte militärische IT-Übung“ bezeichnet wird. Kräfte aus 39 Nationen waren beteiligt, die Übung fand im bayerischen Grafenwöhr statt. Ziel sei gewesen, „weltweit vernetzte militärische Operationen zu führen“. Die Bundeswehr war laut Eigenaussage mit „130 IT-Spezialisten aus Heer, Luftwaffe und Streitkräftebasis“ dabei. Deutschland übernahm mit Frankreich und den USA die Rolle einer „Führungsnation“, geleitet wurde das Manöver von einem US-General. Was eigentlich abgewehrt werden soll weiß der gar nicht so genau. Mit Übungen wie „Combined Endeavor“ würden nach seiner Aussage Lösungen für Probleme gesucht, „von denen wir noch nicht einmal genau wissen, dass wir sie haben werden“.

Zu den Aufgaben des deutschen CNO gehört auch das „Wirken gegen und in gegnerischen Netzen“, kurzum: Der Cyberkrieg. Die Bundeswehr nennt das den „Kampf in der fünften Dimension“[6]. Der Spiegel berichtete 2009, die IT-Truppe beschäftige sich „mit den neuesten Methoden, in fremde Netzwerke einzudringen, sie auszukundschaften, sie zu manipulieren oder zu zerstören – digitale Angriffe auf fremde Server und Netze inklusive“. Die Bundesregierung hat das in der Antwort auf eine Kleine Anfrage bestätigt[7], allerdings behutsamer formuliert. Demnach würden „Schwachstellen in Soft- und Hardware“ genutzt, um „in gegnerische Netzwerke einzudringen, dort aufzuklären, einzelne Funktionen zu stören und zeitweise außer Betrieb zu setzen oder dauerhaft zu schädigen“.

Tarnen und Täuschen als „Kriegslisten“

Die Zeitschrift Technology Review schrieb nach einem Besuch bei der deutschen CNO[8], diese sei grundsätzlich auch zu offensiven Operationen in der Lage und führe diese unter anderem durch den Einsatz von „Stealth-Techniken“ durch. Dadurch würden Angriffe und Angriffsversuche getarnt. Laut der Bundesregierung ist eine solche Verschleierung des „Wirkens gegen und in gegnerischen Netzen“ sogar erwünscht: Es handele sich um „Tarnungstechniken“, die den völkerrechtlich grundsätzlich erlaubten „Kriegslisten“ zuzuordnen seien. Auch sei das Heimtückeverbot nicht verletzt, da das Vertrauen des Gegners nicht missbraucht würde. Und zwar deshalb, weil die Bundeswehr in bewaffneten Konflikten lediglich militärische Netzwerke angreifen würde, Krankenhäuser aber verschont.

Wie in gewöhnlichen Kriegen kann niemals ausgeschlossen werden, dass durch Cyberangriffe unbeteiligte Personen oder zivile Infrastrukturen geschädigt werden. Hierzu befragt erklärt die Bundesregierung, im Cyberraum werde „nach den grundsätzlich geltenden Regeln zur Vermeidung dieser Schäden wie bei anderen Wirkmitteln“ verfahren. Dabei würden „die besonderen Aspekte des Cyber-Raums berücksichtigt“. Bloß: Was sind die „besonderen Aspekte des Cyber-Raums“? Laut dem Verteidigungsministerium muss etwa sichergestellt werden, dass das militärische Vorgehen andere, mit dem Internet verbundene zivile Netzwerke nicht „beliebig beeinträchtigt“. Deshalb soll vorher abgeschätzt werden, welche Verknüpfungen unter den Netzen existieren, um nicht einen sogenannten Dominoeffekt oder Kaskadierungseffekt auszulösen.

Vor gut zwei Jahren beschrieb der SPIEGEL in dem Artikel „Ausweitung der Kampfzone“ die Unmöglichkeit der Abgrenzung militärischer Ziele und ziviler Netze. So muss auch die Bundesregierung einschränken, die Gefahr von „unerwünschten Begleitschäden“ würde zwar mit anderen gewünschten Effekten „in Beziehung“ gesetzt. „Kollateralschäden“ könnten aber nicht grundsätzlich, sondern nur „weitgehend“ ausgeschlossen werden.

Bei Cyberangriffen ist meist unklar, ob diese staatlichen oder nicht-staatlichen Ursprungs sind. Das ist insofern eine wichtige Information, als dass sich dadurch die Antwort auf die Attacken bestimmt. Würde etwa das Eindringen in das Bundestagsnetzwerk vom Mai diesen Jahres dem kriminellen Milieu zugerechnet, wäre außer dem Bundesamt für Sicherheit in der Informationstechnik das BKA zuständig. Handelt es sich um einen staatlichen Hack, käme das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz ins Spiel. Dringen nachweislich militärische Kräfte in staatliche Computernetzwerke ein, könnte dies den Bündnisfall NATO nach Artikel 5 des Nordatlantikpakts oder auch die Beistandspflicht der EU-Mitgliedstaaten auslösen.

Aus Sicht des stellvertretenden Nato-Generalsekretärs Jamie Shea muss dabei nicht einmal eine Urheberschaft des Militärs gegeben sein. Auf einer Konferenz in Potsdam erklärte Shea kürzlich[9], der NATO-Verteidigungsmechanismus gelte bereits ab einem Cyberangriff in einer bestimmten Größenordnung. Dieser sei dann gleichzusetzen mit einem bewaffneten Angriff.

Informelles Handbuch für den Cyberkrieg

Vor zwei Jahren hatte eine Handvoll Rechtsexperten der NATO zusammen mit dem Internationalen Roten Kreuz und dem Cyberkommando der US-Armee das „Tallinn Handbuch“ mit 95 Regeln für den Cyberkrieg veröffentlicht[10]. Unter anderem geht das Werk der Frage nach, welche Handlungen unter (erlaubte) Kriegslisten fallen und welche als (verbotene) Perfidie oder Heimtücke zu werten sind. Als erlaubte Tarnung und Täuschung gilt beispielsweise:

(a) Aufbau eines „dummy„-Computernetzwerks, das nicht-existierende Streitkräfte simuliert;

(b) Übermittlung falscher Nachrichten, die bei gegnerischen Kräften den Anschein erwecken, als fänden Operationen statt oder seien zu erwarten;

(c) Nutzung falscher Computer-Identitäten oder Rechnernetzwerke (beispielsweise Honigtöpfe, Honignetze), oder Computerübertragung

(d) Vorgetäuschte Cyber-Attacken

(e) Gefälschte Befehle die vorgeben, vom gegnerischen Kommando zu stammen

(f) Aktivitäten psychologischer Kriegsführung

(g) Übermittlung falscher Geheimdienstinformation die dafür vorgesehen ist, mitgeschnitten zu werden; und

(h) Gebrauch von Codes, Signalen oder Passwörtern des Gegners.

Die Aufzählung dürfte in etwa darstellen, womit sich das deutsche Kommando „Computer Netzwerk Operationen“ befasst. Die Bundesregierung sieht das „Tallinn-Handbuch“ jedoch nicht als Sammlung völkerrechtlich bindender Regeln an[11]. Tatsächlich könnte beispielsweise darüber gestritten werden, ob militärische Cyberangriffe wirklich getarnt werden dürfen. Im Rahmen kriegerischer Auseinandersetzungen haben die beteiligten Kräfte Kombattantenstatus. Das bedeutet, dass sich auch deutsche Cybersoldaten mit den hoheitlichen Abzeichen der Bundesrepublik Deutschland kennzeichnen müssen. Das Verteidigungsministerium vertritt die Auffassung, dass dies nur für die Uniform und nicht für die genutzte Technologie gelten soll.

Die deutschen Cybersoldaten sollen sich also am Computer also Armbinden der Bundeswehr überziehen, während sie ihre weit entfernt ausgeführten Cyberangriffe verschleiern oder sogar anderen Militärs in die Schuhe schieben dürfen. Hier zeigt sich, wie wenig die der Cyberkrieg mit Schlachten des 20. Jahrhunderts gemeinsam hat. Denn dort mögen Kriegslisten zwar an der Tagesordnung gewesen sein, sie waren aber stets eingebettet in die Handlungen anderer Streitkräfte. Beim Cyberkrieg ist hingegen vorstellbar, dass dieser komplett ohne Heer, Marine und Luftwaffe auskommt.

Regel 35 erfasst „Hacktivisten“

Das „Tallinn Handbuch“ versucht auch zu umreißen, ab wann im Cyberraum aktive Zivilisten als Kombattanten anzusehen sind. Die Rede ist von den sogenannten Hacktivisten. Im Handbuch heißt es hierzu, es handele sich um Bürger, die auf eigene Initiative unter anderem aus ideologischen, politischen, religiösen oder patriotischen Gründen in andere Computersysteme eindringen. Sie könnten laut Regel 35 ebenfalls zum militärischen Ziel werden, nämlich wenn sie an bewaffneten Konflikten teilnehmen.

Die Definition dieser „Teilnahme“ ist allerdings so breit, dass selbst Technikjournalisten davon erfasst sein könnten. Eindeutig sei eine solche Partizipation etwa dann, wenn mithilfe von informationstechnologischen Mitteln Angaben über feindliche Operationen gesammelt würden. Auch die Suche nach Schwachstellen in einem gegnerischen IT-System würde einen Gegenschlag rechtfertigen. Selbst digitale Friedensaktivisten könnten laut dem „Tallinn Handbuch“ ins Visier geraten, wenn sie mit DDoS-Aktionen versuchen militärische Systeme zu blockieren.

Matthias Monroy ist Wissensarbeiter, Aktivist und Mitglied der Redaktion der Zeitschrift Bürgerrechte & Polizei/CILIP[1]. Er ist Teilzeit-Mitarbeiter des MdB Andrej Hunko und pbliziert in linken Zeitungen, Zeitschriften und Online-Medien, bei Telepolis, Netzpolitik und in Freien Radios. Alle Texte und Interviews unter digit.so36.net[2] und auf Twitter@gipfelsoli[3].

[1]http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_de.pdf

[2]http://www.parlament.gv.at/PAKT/EU/XXV/EU/04/66/EU_46648/imfname_10512803.pdf

[3]http://www.dhs.gov/cyber-storm-securing-cyber-space

[4]http://dip21.bundestag.de/dip21/btd/17/075/1707578.pdf

[5]https://netzpolitik.org/2014/franzoesisches-militaer-investiert-in-cybersicherheitspakt-und-baut-kapazitaeten-fuer-angriffe-auf/

[6]http://www.bundeswehr-journal.de/2013/vom-kampf-in-der-funften-dimension/

[7]http://dip21.bundestag.de/dip21/btd/18/042/1804286.pdf

[8]http://www.heise.de/tr/artikel/Die-deutschen-Cyber-Krieger-2192518.html

[9] http://www.n24.de/n24/Nachrichten/Politik/d/6800450/eine-spur-fuehrt-nach-russland.html

[10]http://issuu.com/nato_ccd_coe/docs/tallinnmanual

[11]dip21.bundestag.de/dip21/btd/17/133/1713357.pdf

Links:

1. http://www.cilip.de/
2. http://digit.so36.net/
3. https://twitter.com/gipfelsoli