Beiträge

Süddeutsche Zeitung – Deutschlands Internet-Armee : Wozu dient die Cyberwehr?

Die Süddeutsche Zeitung hat über die aktuelle Ausrichtung und mögliche Einsatzgebiete des KdoCIR der Bundeswehr berichtet. In einem zuvor geführten Hintergrundgespräch schilderte @AG KRITIS Mitglied @HonkHase unsere Position:

Unabhängig von der Klärung dieser Frage warnen zivilgesellschaftliche Organisationen wie die AG KRITIS, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, vor einem Cyber-Wettrüsten zum Schaden der Bürger. Gegenseitige Feindaufklärung führe vor allem dazu, dass Systeme und Netze für die Allgemeinheit unsicher blieben. Kritische Schwachstellen würden nicht behoben, weil Armeen oder Geheimdienste sie noch für ihre Cyber-Kriegsvorbereitungen nutzen wollen und sie geheim halten. „Cyberwaffen können nicht so einfach gezielt eingesetzt werden wie Granaten oder Bomben. Das ist nur sehr schwer zu bewerkstelligen und erfordert hohen Ressourcenaufwand“, sagt Manuel Atug, Gründer und Sprecher der AG KRITIS. Wenn ein Wasserversorger oder ein Energieunternehmen zum Kollateralschaden eines Cyberangriffs wird, hat schnell auch die Bevölkerung ein Problem.

Den vollständigen Artikel findet ihr hier:

Süddeutsche Zeitung – Bundeswehr – Mission: unklar

Die Süddeutsche Zeitung berichtete über die Veröffentlichung einer Studie der Stiftung Wissenschaft und Politik zur generellen Sinnhaftigkeit des Einsatzes von Cyberwaffen. Zu dieser Veröffentlichung haben wir mit dem Autor ein Hintergrundgespräch geführt.

Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es – etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.

Den vollständigen Artikel findet ihr hier:

Vortrag: Wie Hackback mit der Gesellschaft spielt

Unser Mitglied HonkHase hat auf den MRMCD19 einen vertiefenden Vortrag über das Thema Hackback gehalten, in dem er aufzeigt, wieso ein Hackback oder der Cyberwar keine gute Lösungen für die Bevölkerung darstellt sondern alles riskiert. Dabei werden Antworten auf viele Fragen geliefert, wie z.B. die folgenden:

Wie sieht das mit dem Hackback eigentlich rechtlich aus? Wer könnte eigentlich einen Angriff durch digitale Waffen in Deutschland vornehmen? Was ist die Position der Bundeswehr dazu und wieso handelt es sich dabei eindeutig um digitale Waffen?

Die Folien zum Vortrag sind auf www.blablasecurity.de verfügbar. Da findet Ihr wie immer auch ältere und zukünftige Fassungen und könnt somit die Entwicklung in den diskutierten Themenfeldern aktiv verfolgen.

Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die auf dieser tollen Veranstaltung mitgeholfen haben!

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!

Vortrag: Defensive statt Offensive am Beispiel KRITIS

Unser Mitglied HonkHase hat auf dem CCCamp 2019 einen Vortrag über KRITIS gehalten, in dem einige unserer Forderungen erläutert und viele der Problematiken, die wir aktuell sehen, aufgezeigt werden.

Die Folien zum Vortrag wurden auf www.blablasecurity.de veröffentlicht. Da findet Ihr auch ältere und zukünftige Fassungen und könnt somit die Entwicklung im Themenfeld aktiv verfolgen.

Der Vortrag wurde unter https://media.ccc.de/v/Camp2019-10208-defensive_statt_offensive_am_beispiel_von_kritis auf media.ccc.de zusätzlich mit englischer Übersetzung veröffentlicht. Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die geholfen haben!