Beiträge

Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen

Schon vor dem kriegerischen Angriff durch Russland auf die Ukraine, waren offensive Cyberoperationen und Cyberabwehrmaßnahmen im Zuge der Gefahrenabwehr im Cyberraum – wie z. B. der Hackback – immer wieder in den Medien präsent.

Politikerinnen forderten und fordern wiederholt das gezielte Zurückhalten von Schwachstellen und offensive Cyberfähigkeiten. So soll der deutsche Staat noch besser in der Lage sein, andere Staaten auszuspähen – (auch Aufklärung genannt), seien es Freunde oder Feinde. Mit dem Krieg in der Ukraine ist die Forderung nach generellen offensiven Cyberfähigkeiten bzw. militärischen Cyberoperationen (vormals Computer-Netzwerkoperationen, CNO) und zugehöriger Kapazitäten lauter geworden. Auch, weil die Befürchtung im Raum stand, dass kritische Infrastrukturen in Deutschland durch Cyberangriffe in Gefahr sein werden.

Heute wissen wir bereits, dass Bomben, Raketen und Kalaschnikows sehr viel effektiver kritische Infrastrukturen in der Ukraine zerstört haben, als Cyberangriffe das jemals könnten. Nichtsdestotrotz sind kritische Infrastrukturen durchaus vermehrt Cyberangriffen ausgesetzt. Nicht nur in der Ukraine, sondern weltweit. Und damit eben auch in Deutschland.

Welche Auswirkungen hätte denn das euphemistisch als „staatliches Schwachstellenmanagement zur Gefahrenabwehr“ bezeichnete Zurückhalten von Sicherheitslücken für Hackbacks auf unsere Versorgungssicherheit?

Ziel eines Hackbacks ist die Befähigung, einen lang anhaltenden Ausfall einer kritischen Infrastruktur durch cyber-physische Schäden zu bewirken und die Versorgungsleistung im Idealfall sogar überregionalen ausfallen zu lassen. Wirtschaftliche Schäden sind in diesen Szenarien eher sekundär. Verwendet würde das Eindringen in fremde IT-Systeme und IT-Umgebungen zur strategischen Aufklärung, als auch im Bündnisverteidigungsfall zum Zweck der Wirkung durch offensive Cyberoperationen.

Nun stellt sich die Frage, wieso konkret die Durchführung von offensiven Angriffen und damit einhergehend das Zurückhalten von Sicherheitslücken – umgangssprachlich als Hackback bekannt – eine sehr schlechte Idee für das Wohlergehen der eigenen Bevölkerung ist.

Man stelle sich folgendes Szenario vor: Wenige ausgewählte Personen mit entsprechender Expertise aus Militär, Innenministerium, Sicherheitsbehörden und Nachrichtendiensten sowie weitere Expertinnen für Informationssicherheit treffen sich in geheimer „staatliches Schwachstellenmanagement-Runde“ und entscheiden, welche Schwachstellen geheim gehalten und damit gegenüber der Öffentlichkeit und vor allem dem betroffenen Software- oder Hardware-Hersteller zurückgehalten werden sollen.

In diesem Szenario gibt es zwei eindeutige Schwachstellen: Erstens die Frage nach der Auswahl der Eingeweihten. Und zweitens die Auswahl der spezifischen Schwachstellen. Ganz zu schweigen von der Auswirkung auf die Versorgungssicherheit für die Zivilbevölkerung, deren Versorgung dann aufgrund unzureichender Risikoanalysen und Kollateralschäden nicht mehr gewährleistet werden kann. Doch dazu später mehr.

Zunächst ist es ein Thema, wer Teil eines solchen Gremiums sein soll. Insgesamt dürfen nicht zu viele Personen eingeweiht sein, sonst sind die Schwachstellen schnell öffentlich, weil sie durchsickern und dadurch öffentlich werden. Die Qualifikation der ausgewählten Expertinnen ist ein weiterer zentraler Punkt. Es gibt im BSI-Gesetz und der zugehörigen BSI-Kritisverordnung acht Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Siedlungsabfallentsorgung) in über 40 Branchen sowie zwei weitere nicht regulierte Sektoren (Medien und Kultur, Staat und Verwaltung), die sogenannte kritische Dienstleistungen wie Strom und Wasser erbringen.

Anzumerken ist, dass es derzeit ca. 2.200 KRITIS-Betreiberinnen in acht KRITIS-Sektoren gibt, da diese mehr als 500.000 Personen versorgen. Alle Betreiberinnen aus diesen acht Sektoren, die weniger als 500.000 Personen versorgen oder den anderen beiden Sektoren angehören, sind hier nicht erfasst. Es gibt in Deutschland alleine über 10.000 Kommunen mit zugehörigem Notfall- und Rettungswesen als kritischer Dienstleistung, die von wichtiger Bedeutung für das staatliche Gemeinwesen ist, die hier keine Berücksichtigung finden. Daher betrifft eine vollständige Risikobetrachtung eine erheblich größere Anzahl von kritischen Infrastrukturen, als es offiziell und gesetzlich definierte KRITS-Betreiberinnen gibt.

Nun fällt es schwer, sich vorzustellen, dass es Personen gibt, die in allen zehn Sektoren vollständig über den Einsatz der betroffenen IT-Komponenten bei jeder(!) KRITIS-Betreiberin in diesen Sektoren und den zugehörigen ca. 40 unterschiedlichen Branchen informiert sind. Wenn es um 0days oder Schwachstellen in KRITIS geht, die kaum bekannt sind, ist ein erhebliches Wissen über IT und OT sowie den Industriesteueranlagen und Industrieautomatisierungen in den Produktionsumgebungen in den einzelnen Sektoren gefragt.

KRITIS-Betreiberinnen aus dem gleichen Sektor verwenden durchaus unterschiedliche Technologien und IT- oder OT-Komponenten. Das führt zu Problemen mit der Informationsbeschaffung. Eine vermeintliche Lösung wäre es, sich durch geheim gehaltene Abfragen einen Überblick zu verschaffen, welche KRITIS-Betreiberin welche IT- und OT-Komponenten verwendet. Sehr wahrscheinlich wäre eine solche Liste (quasi die immer aktuelle Assetmanagement-Liste) nicht aktuell und eine solche Umfrage bliebe auch nicht lange geheim.

Weiterhin ist die Auswahl der Sicherheitslücken relevant. Ziel wäre es ja, Schwachstellen zu identifizieren, die einen lang anhaltenden und überregionalen cyber-physischen Schaden und damit einen umfassenden Versorgungsausfall für die Zivilbevölkerung zu bewirken. Das wären dann naheliegender Weise eine Sicherheitslücken z. B. in einem Schaltrelais innerhalb einer Industriesteueranlage.

Es gibt weltweit nur sehr wenige Hersteller von solchen IT- und OT-Komponenten in Industriesteueranlagen. Damit ist die Wahrscheinlichkeit, dass deutsche kritische Infrastrukturen genau die gleichen IT- und OT-Komponenten mit den zurückgehaltenen Schwachstellen verwenden, sehr hoch. Dadurch sind auch deutsche kritische Infrastrukturen von den zurückgehaltenen Schwachstellen und offensiven Cyberabwehrmaßnahmen wie einem Hackback bedroht.

Nehmen wir an, das oben beschriebene Gremium existiert und führt die Risikoanalyse nebst Implikationen und Wahrscheinlichkeiten zu Ausnutzung der betroffenen Komponenten und möglichen Kollateralschäden aufgrund des Einsatzes oder der Zurückhaltung bzw. Geheimhaltung solchen Schwachstellen durch. Diese Analyse kann nur für alle gesetzlich bekannten KRITS-Betreiberinnen, also gemäß BSI-Kritisverordnung durchgeführt werden.

Es wird dann in geheimer Weise bei den ca. 2.000 potentiell betroffenen KRITIS-Betreiberinnen in Deutschland bewertet, ob sie anfällige Komponenten mit den vorhandenen Sicherheitslücken in ihrer Produktionsumgebung einsetzen. Gehen wir vereinfacht davon uns, dass die Umfrage gelingt und geheim bleibt. Man beschließt nun, solche Schwachstellen in der entsprechenden Industriesteueranlage auszunutzen und offensive Cyber-Operationen zu wirken, beispielsweise mittels eines Hackbacks.

KRITIS-Betreiberinnen, welche diese IT- und OT-Komponenten nicht einsetzen, scheinen dadurch sicher. Sofern nicht bei der Abfrage übersehen wurde, dass sie doch diese Komponenten einsetzen. Für die oben erwähnten mehreren tausend weiteren KRITIS-Betreiberinnen, die nicht nach BSI-Kritisverordnung bekannt sind, entsteht nun das gravierendes Risiko, dass die Versorgung der Zivilbevölkerung – im Extremfall sogar großflächig – ausfallen kann.

Stadtwerke in Städten wie Paderborn, Augsburg oder Bonn mit einer Einwohnerzahl um die 200.000 -250.000 Personen sind bereits betroffen, es sei denn sie versorgen noch ca. 300.000 Personen im Umland mit.

Die Befähigung zu offensive Cyber-Operationen als auch zum Hackback führt folglich zu einer Bedrohung der eigenen (kritischen) Infrastrukturen, verbunden mit dem Risiko möglicher Versorgungsausfälle in Deutschland. Besonders bei Betreiberinnen von kritischen Infrastrukturen, die nicht formal gesetzlich erfasst wurden und bei denen, die unterhalb der Schwellenwerte der BSI-Kritisverordnung agieren.

Die Risikoeinschätzung kann daher nur sehr unvollständig und damit absolut unzureichend vorgenommen werden oder involviert so umfassend viele Personen, dass die für einen Cyberangriff zur Gefahrenabwehr mittels z. B. Hackback erforderlichen Cyber-Wirkmittel nicht mehr geheim bleiben würden.

Zudem können Cyberangriffe nur auf eine Technologie zielen, aber nicht auf ein spezifisches Ziel wie ein Land oder eine Organisation. Ein Hackback kann potentiell jede Nutzung derselben Technologie weltweit treffen, auch wenn das nicht beabsichtigt ist.

Wer verantwortet den durch einen solchen Kollateralschaden möglichen Ausfall kritischer Infrastrukturen und die dadurch entstehende Gefährdung für Leib und Leben in der eigenen Zivilbevölkerung?

Unser Mitglied @HonkHase hat das Thema Hackback in diesem Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ ebenfalls dargelegt.

Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ von März 2022.

Twitterfrage zu Bestrebungen in Richtung Zertifizierung oder Anforderungen bei IT & OT

Während des Vortrags auf dem 94. netzpolitischen Abend der Digitalen Gesellschaft erreichte uns diese Frage auf Twitter:

Die Beantwortung passt nicht in 260 Zeichen, deswegen haben wir hier kurz gebloggt. Vielen Dank an unser Mitglied Clarity für das spontane Verfassen des Beitrags.

KRITIS-Betreiber sind jetzt schon dazu angehalten, Sicherheitsmaßnahmen nach „Stand der Technik“ umzusetzen – das kann auch die ausschließliche Verwendung von (ggf. zertifizierten) Geräten von vertrauenswürdigen Herstellern umfassen. Dies ist jedoch noch nicht bei jeder kritischen Infrastruktur umgesetzt.

Einzelne Branchen verfügten bereits vor der KRITIS-Gesetzgebung über eigene Zertifizierungsverfahren, um Geräte zu prüfen; oft gibt es auch Standards und Normen, die sich mit KRITIS-Regulatorik zumindest überschneiden (beispielsweise standardisierte Signalsicherung für Ampeln, die Konflikt-Grün verhindert o.ä.). Auch für #SCADA bzw. #IoT-Geräte im Industrieumfeld gibt es einschlägige Normen wie die DIN EN IEC 62443-Reihe, welche technische Anforderungen an ebenddiese Geräte stellen. Auch offizielle Stellen empfehlen beispielsweise die Nutzung dieser Norm.

Im neuen Entwurf zur Resortabstimmung des IT-Sicherheitsgesetzes 2.0 gibt es den Paragraph 9b „Untersagung des Einsatzes kritischer Komponenten nicht vertrauenswürdiger Hersteller“, welcher aber eher auf Backdoors (dein zweiter Tweet) abzielt. Laut dem Entwurf soll (a) der Einbau von kritischen Komponenten beim @BMI_Bund angezeigt werden (b) der Hersteller einer solchen Komponente eine Garantieerklärung über die „Backdoorfreiheit“ abgeben und (c) das BMI den Einbau bestimmter Komponenten verbieten können, wenn der Lieferant nicht vertrauenswürdig ist. Die Probleme daran haben wir in unserer Stellungnahme verlinkt.

Konkrete technische Anforderungen (zum ersten Tweet) gibt es in den Gesetzen, abseits der Stand-der-Technik-Verpflichtung, nicht.