Beiträge

Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen

Schon vor dem kriegerischen Angriff durch Russland auf die Ukraine, waren offensive Cyberoperationen und Cyberabwehrmaßnahmen im Zuge der Gefahrenabwehr im Cyberraum – wie z. B. der Hackback – immer wieder in den Medien präsent.

Politikerinnen forderten und fordern wiederholt das gezielte Zurückhalten von Schwachstellen und offensive Cyberfähigkeiten. So soll der deutsche Staat noch besser in der Lage sein, andere Staaten auszuspähen – (auch Aufklärung genannt), seien es Freunde oder Feinde. Mit dem Krieg in der Ukraine ist die Forderung nach generellen offensiven Cyberfähigkeiten bzw. militärischen Cyberoperationen (vormals Computer-Netzwerkoperationen, CNO) und zugehöriger Kapazitäten lauter geworden. Auch, weil die Befürchtung im Raum stand, dass kritische Infrastrukturen in Deutschland durch Cyberangriffe in Gefahr sein werden.

Heute wissen wir bereits, dass Bomben, Raketen und Kalaschnikows sehr viel effektiver kritische Infrastrukturen in der Ukraine zerstört haben, als Cyberangriffe das jemals könnten. Nichtsdestotrotz sind kritische Infrastrukturen durchaus vermehrt Cyberangriffen ausgesetzt. Nicht nur in der Ukraine, sondern weltweit. Und damit eben auch in Deutschland.

Welche Auswirkungen hätte denn das euphemistisch als „staatliches Schwachstellenmanagement zur Gefahrenabwehr“ bezeichnete Zurückhalten von Sicherheitslücken für Hackbacks auf unsere Versorgungssicherheit?

Ziel eines Hackbacks ist die Befähigung, einen lang anhaltenden Ausfall einer kritischen Infrastruktur durch cyber-physische Schäden zu bewirken und die Versorgungsleistung im Idealfall sogar überregionalen ausfallen zu lassen. Wirtschaftliche Schäden sind in diesen Szenarien eher sekundär. Verwendet würde das Eindringen in fremde IT-Systeme und IT-Umgebungen zur strategischen Aufklärung, als auch im Bündnisverteidigungsfall zum Zweck der Wirkung durch offensive Cyberoperationen.

Nun stellt sich die Frage, wieso konkret die Durchführung von offensiven Angriffen und damit einhergehend das Zurückhalten von Sicherheitslücken – umgangssprachlich als Hackback bekannt – eine sehr schlechte Idee für das Wohlergehen der eigenen Bevölkerung ist.

Man stelle sich folgendes Szenario vor: Wenige ausgewählte Personen mit entsprechender Expertise aus Militär, Innenministerium, Sicherheitsbehörden und Nachrichtendiensten sowie weitere Expertinnen für Informationssicherheit treffen sich in geheimer „staatliches Schwachstellenmanagement-Runde“ und entscheiden, welche Schwachstellen geheim gehalten und damit gegenüber der Öffentlichkeit und vor allem dem betroffenen Software- oder Hardware-Hersteller zurückgehalten werden sollen.

In diesem Szenario gibt es zwei eindeutige Schwachstellen: Erstens die Frage nach der Auswahl der Eingeweihten. Und zweitens die Auswahl der spezifischen Schwachstellen. Ganz zu schweigen von der Auswirkung auf die Versorgungssicherheit für die Zivilbevölkerung, deren Versorgung dann aufgrund unzureichender Risikoanalysen und Kollateralschäden nicht mehr gewährleistet werden kann. Doch dazu später mehr.

Zunächst ist es ein Thema, wer Teil eines solchen Gremiums sein soll. Insgesamt dürfen nicht zu viele Personen eingeweiht sein, sonst sind die Schwachstellen schnell öffentlich, weil sie durchsickern und dadurch öffentlich werden. Die Qualifikation der ausgewählten Expertinnen ist ein weiterer zentraler Punkt. Es gibt im BSI-Gesetz und der zugehörigen BSI-Kritisverordnung acht Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Siedlungsabfallentsorgung) in über 40 Branchen sowie zwei weitere nicht regulierte Sektoren (Medien und Kultur, Staat und Verwaltung), die sogenannte kritische Dienstleistungen wie Strom und Wasser erbringen.

Anzumerken ist, dass es derzeit ca. 2.200 KRITIS-Betreiberinnen in acht KRITIS-Sektoren gibt, da diese mehr als 500.000 Personen versorgen. Alle Betreiberinnen aus diesen acht Sektoren, die weniger als 500.000 Personen versorgen oder den anderen beiden Sektoren angehören, sind hier nicht erfasst. Es gibt in Deutschland alleine über 10.000 Kommunen mit zugehörigem Notfall- und Rettungswesen als kritischer Dienstleistung, die von wichtiger Bedeutung für das staatliche Gemeinwesen ist, die hier keine Berücksichtigung finden. Daher betrifft eine vollständige Risikobetrachtung eine erheblich größere Anzahl von kritischen Infrastrukturen, als es offiziell und gesetzlich definierte KRITS-Betreiberinnen gibt.

Nun fällt es schwer, sich vorzustellen, dass es Personen gibt, die in allen zehn Sektoren vollständig über den Einsatz der betroffenen IT-Komponenten bei jeder(!) KRITIS-Betreiberin in diesen Sektoren und den zugehörigen ca. 40 unterschiedlichen Branchen informiert sind. Wenn es um 0days oder Schwachstellen in KRITIS geht, die kaum bekannt sind, ist ein erhebliches Wissen über IT und OT sowie den Industriesteueranlagen und Industrieautomatisierungen in den Produktionsumgebungen in den einzelnen Sektoren gefragt.

KRITIS-Betreiberinnen aus dem gleichen Sektor verwenden durchaus unterschiedliche Technologien und IT- oder OT-Komponenten. Das führt zu Problemen mit der Informationsbeschaffung. Eine vermeintliche Lösung wäre es, sich durch geheim gehaltene Abfragen einen Überblick zu verschaffen, welche KRITIS-Betreiberin welche IT- und OT-Komponenten verwendet. Sehr wahrscheinlich wäre eine solche Liste (quasi die immer aktuelle Assetmanagement-Liste) nicht aktuell und eine solche Umfrage bliebe auch nicht lange geheim.

Weiterhin ist die Auswahl der Sicherheitslücken relevant. Ziel wäre es ja, Schwachstellen zu identifizieren, die einen lang anhaltenden und überregionalen cyber-physischen Schaden und damit einen umfassenden Versorgungsausfall für die Zivilbevölkerung zu bewirken. Das wären dann naheliegender Weise eine Sicherheitslücken z. B. in einem Schaltrelais innerhalb einer Industriesteueranlage.

Es gibt weltweit nur sehr wenige Hersteller von solchen IT- und OT-Komponenten in Industriesteueranlagen. Damit ist die Wahrscheinlichkeit, dass deutsche kritische Infrastrukturen genau die gleichen IT- und OT-Komponenten mit den zurückgehaltenen Schwachstellen verwenden, sehr hoch. Dadurch sind auch deutsche kritische Infrastrukturen von den zurückgehaltenen Schwachstellen und offensiven Cyberabwehrmaßnahmen wie einem Hackback bedroht.

Nehmen wir an, das oben beschriebene Gremium existiert und führt die Risikoanalyse nebst Implikationen und Wahrscheinlichkeiten zu Ausnutzung der betroffenen Komponenten und möglichen Kollateralschäden aufgrund des Einsatzes oder der Zurückhaltung bzw. Geheimhaltung solchen Schwachstellen durch. Diese Analyse kann nur für alle gesetzlich bekannten KRITS-Betreiberinnen, also gemäß BSI-Kritisverordnung durchgeführt werden.

Es wird dann in geheimer Weise bei den ca. 2.000 potentiell betroffenen KRITIS-Betreiberinnen in Deutschland bewertet, ob sie anfällige Komponenten mit den vorhandenen Sicherheitslücken in ihrer Produktionsumgebung einsetzen. Gehen wir vereinfacht davon uns, dass die Umfrage gelingt und geheim bleibt. Man beschließt nun, solche Schwachstellen in der entsprechenden Industriesteueranlage auszunutzen und offensive Cyber-Operationen zu wirken, beispielsweise mittels eines Hackbacks.

KRITIS-Betreiberinnen, welche diese IT- und OT-Komponenten nicht einsetzen, scheinen dadurch sicher. Sofern nicht bei der Abfrage übersehen wurde, dass sie doch diese Komponenten einsetzen. Für die oben erwähnten mehreren tausend weiteren KRITIS-Betreiberinnen, die nicht nach BSI-Kritisverordnung bekannt sind, entsteht nun das gravierendes Risiko, dass die Versorgung der Zivilbevölkerung – im Extremfall sogar großflächig – ausfallen kann.

Stadtwerke in Städten wie Paderborn, Augsburg oder Bonn mit einer Einwohnerzahl um die 200.000 -250.000 Personen sind bereits betroffen, es sei denn sie versorgen noch ca. 300.000 Personen im Umland mit.

Die Befähigung zu offensive Cyber-Operationen als auch zum Hackback führt folglich zu einer Bedrohung der eigenen (kritischen) Infrastrukturen, verbunden mit dem Risiko möglicher Versorgungsausfälle in Deutschland. Besonders bei Betreiberinnen von kritischen Infrastrukturen, die nicht formal gesetzlich erfasst wurden und bei denen, die unterhalb der Schwellenwerte der BSI-Kritisverordnung agieren.

Die Risikoeinschätzung kann daher nur sehr unvollständig und damit absolut unzureichend vorgenommen werden oder involviert so umfassend viele Personen, dass die für einen Cyberangriff zur Gefahrenabwehr mittels z. B. Hackback erforderlichen Cyber-Wirkmittel nicht mehr geheim bleiben würden.

Zudem können Cyberangriffe nur auf eine Technologie zielen, aber nicht auf ein spezifisches Ziel wie ein Land oder eine Organisation. Ein Hackback kann potentiell jede Nutzung derselben Technologie weltweit treffen, auch wenn das nicht beabsichtigt ist.

Wer verantwortet den durch einen solchen Kollateralschaden möglichen Ausfall kritischer Infrastrukturen und die dadurch entstehende Gefährdung für Leib und Leben in der eigenen Zivilbevölkerung?

Unser Mitglied @HonkHase hat das Thema Hackback in diesem Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ ebenfalls dargelegt.

Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ von März 2022.

Süddeutsche Zeitung – Bundeswehr – Mission: unklar

Die Süddeutsche Zeitung berichtete über die Veröffentlichung einer Studie der Stiftung Wissenschaft und Politik zur generellen Sinnhaftigkeit des Einsatzes von Cyberwaffen. Zu dieser Veröffentlichung haben wir mit dem Autor ein Hintergrundgespräch geführt.

Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es – etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.

Den vollständigen Artikel findet ihr hier:

Vortrag: Wie Hackback mit der Gesellschaft spielt

Unser Mitglied HonkHase hat auf den MRMCD19 einen vertiefenden Vortrag über das Thema Hackback gehalten, in dem er aufzeigt, wieso ein Hackback oder der Cyberwar keine gute Lösungen für die Bevölkerung darstellt sondern alles riskiert. Dabei werden Antworten auf viele Fragen geliefert, wie z.B. die folgenden:

Wie sieht das mit dem Hackback eigentlich rechtlich aus? Wer könnte eigentlich einen Angriff durch digitale Waffen in Deutschland vornehmen? Was ist die Position der Bundeswehr dazu und wieso handelt es sich dabei eindeutig um digitale Waffen?

Die Folien zum Vortrag sind auf www.blablasecurity.de verfügbar. Da findet Ihr wie immer auch ältere und zukünftige Fassungen und könnt somit die Entwicklung in den diskutierten Themenfeldern aktiv verfolgen.

Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die auf dieser tollen Veranstaltung mitgeholfen haben!

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!

Vortrag: Defensive statt Offensive am Beispiel KRITIS

Unser Mitglied HonkHase hat auf dem CCCamp 2019 einen Vortrag über KRITIS gehalten, in dem einige unserer Forderungen erläutert und viele der Problematiken, die wir aktuell sehen, aufgezeigt werden.

Die Folien zum Vortrag wurden auf www.blablasecurity.de veröffentlicht. Da findet Ihr auch ältere und zukünftige Fassungen und könnt somit die Entwicklung im Themenfeld aktiv verfolgen.

Der Vortrag wurde unter https://media.ccc.de/v/Camp2019-10208-defensive_statt_offensive_am_beispiel_von_kritis auf media.ccc.de zusätzlich mit englischer Übersetzung veröffentlicht. Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die geholfen haben!