Entnetzung als Abwehrstrategie im Cyberwar?

Was hat man sich unter ihrer Forderung nach Entnetzung vorzustellen?
Entnetzung ist die Idee, dass man bestehende Computernetzwerke auflöst und dort wo es möglich ist, mit kleinen in sich geschlossenen Netzwerken arbeitet - also weg von großen, externen Netzwerken und natürlich ganz weit weg vom Netz der Netze: dem Internet. Dadurch sind Angreifer dazu gezwungen, jedes System einzeln zu hacken, was deutlich aufwendiger ist. Somit kann man das Angreiferverhalten in gewisser Weise regulieren.

Wenn Entnetzung eine dermaßen einfache Schutzmaßnahme gegen Cyberangriffe ist, warum wird sie bisher nicht konsequent umgesetzt?
Das kann man einfach am Beispiel der USA erklären. Die haben das Problem, in den letzten Jahren alle wichtigen Infrastrukturen an große externe Netze, sogar an das ordinäre Internet, gehängt zu haben. Auf meinem Vortragsbesuch im Pentagon im vergangenen Frühjahr wurde mir von amerikanischer Seite die Tragweite dieses Problems dargelegt. Sie sehen durchaus ein, dass Entnetzung die beste Lösung ist. Jedoch würde ein konsequenter Rückbau der bisherigen Vernetzung das Land in den sicheren Bankrott treiben. Also aus rein ökonomischen Überlegungen ist dort Entnetzung schon keine Option. Außerdem gibt es natürlich gegenwärtig noch nicht klar absehbare Einbußen in der Operativität.

Sind die USA aus wirtschaftlichen Gründen beratungsresistent?
Ja, das ist das Problem, jedenfalls was die Entnetzung betrifft. Man lässt sich von IT-Unternehmen beraten, die fürs erste kostengünstigere IT-Sicherheitslösungen anbieten. Es ist fast tragisch zu beobachten, denn heute investieren Behörden und Unternehmen in diverse Sicherheitspakete, die ihnen letztendlich keinen ausreichenden Schutz bieten können. Über kurz oder lang werden sie nicht umher kommen, sich zu entnetzen.

Gibt es von staatlicher Seite keine Handhabe, um auf IT-Sicherheitsstandards der amerikanischen Unternehmen Einfluss zu nehmen?
Die USA haben eine andere technische Sicherheitskultur als wir in Deutschland. Wir haben u.a. den TÜV und achten sehr streng darauf, dass alles sicher ist. Das haben die Amerikaner nicht. Dort ist alles vom Markt getrieben, der Staat hat sich nicht einzumischen. Da bestimmen die Unternehmen, wie viel Geld sie ausgeben wollen für Sicherheit und nicht staatliche Regulierungsbehörden. Zudem ist das Internet einfach ein Kostenfaktor. In der Wirtschaft ist das Internet eine Methode, um Arbeitsweisen zu zentralisieren und Personalkosten zu senken. 20 Jahre lang war das der große Trend. Und 20 Jahre lang gab es mit dieser völlig unsicheren Variante keine Schwierigkeiten, es gab ja nur Kreditkartendiebe und Teenie-Hacker. Die USA wissen, dass sie nun ein Problem haben, das sie so schnell nicht lösen können.

Was wäre denn weltweit der Goldstandard in der Cyberdefense?
Neben Entnetzung müsste man jegliche bestehende IT komplett durch speziell entwickelte Computersysteme mit weit weniger Komplexität ersetzen. Zumindest für kritische Strukturen jeder Art sollte man diesen Aufwand betreiben. Hierbei sollte eine sichere Produktion der IT gewährleistet sein, ohne Subunternehmen zu engagieren. Bestenfalls sollten Hardware wie Software hausintern entwickelt werden. Behörden mit hohem Geheimhaltungsbedarf haben bereits ihre geschlossenen Bereiche und hohe IT-Sicherheitsstandarts. Dort geht kein Kabel nach draußen, das sind komplett geschlossene Systeme. Aber auch dort gibt es noch Sicherheitslücken. Hier ein Beispiel aus dem Pentagon: Da gibt es spezielle USB-Sticks um Daten von einem geschlossenen Bereich in einen anderen zu bringen, ein streng kontrollierter Eingang. Und trotzdem hat es jemand geschafft, einen fingierten USB-Stick einzuschmuggeln. Der lag einfach auf dem Fußboden. Das Innentäterproblem ist hierbei nämlich auch noch zu berücksichtigen. Es ist bei Cyberangriffen um Dimensionen größer. Innentäter sind heute um Längen effizienter, als man sie aus Spionagefilmen aus den 1960ern kennt, also Agenten mit Mikrokamera am Brillengestell. Die Konsequenz ist, dass die Spionageabwehr erweitert werden muss. Auch hier in der Bundesrepublik. Deshalb plädiere ich dafür, dass der MAD dringend aufgebaut werden muss und nicht abgebaut. Darunter fällt auch das Thema der Frühwarnsysteme für Cyberangriffe. Technisch lässt sich da nämlich nicht viel machen. Die einzige Früherkennung, die ich mir vorstellen kann, liegt im soliden Aufbau der Auslandsnachrichtendienste. Auch wenn das eine politisch kontroverse Forderung ist.

Gibt es eine Cyberstrategie der USA?
Die USA haben verschiedene Substrategien für verschiedene Arbeitsbereiche. Übergeordnet gibt es eine große Strategie – hier wiederum eine offizielle und eine inoffizielle. Aus der aktuell bekannten Strategie lässt sich herauslesen, dass man in den Vereinigten Staaten verstärkt auf die Kontrollkomponente setzt. Da man die eigenen Systeme nicht ohne hohen Kostenaufwand schützen kann, setzt man nun auf Kontrolle und eine Drohkulisse. Man hat bekanntgegeben, auf gravierende Cyberattacken mit konventionellen Militärschlägen zu antworten. Ich frage mich da nur, wen das abschrecken soll? Wohl allenfalls Industrie-Spione oder Teenage-Hacker, die sich jetzt erst recht motiviert fühlen, zu provozieren. Jeder der sich wirklich damit auskennt und in der Lage ist, taktische Cyberattacken durchzuführen, weiß, dass das nur Säbelrasseln ist. Aus meiner Sicht ist das eine ziemlich unkluge Entscheidung gewesen. Das Problem liegt in der hohen Fälschbarkeit von Spuren. Sogenannte False Flag Operationen führen auf falsche Fährten. Das Ursprungsland des Angriffs ist somit nicht mehr nachzuvollziehen. Die USA haben sich in eine unglückliche Lage manövriert, indem sie diese Drohung ausgesprochen haben. Das kann Agitatoren und Eskalationen anziehen.

Wie steht es um eine deutsche Cyberstrategie?
In Deutschland sieht es besser aus als in den USA, trotzdem aber nicht gut. Hier ist nicht so viel an das Internet gekoppelt. Aber ein wirklich guter Schutz ist immer noch in großer Entfernung.

Welche Risiken für die IT-Sicherheit und die Bundeswehr im Einsatz sehen Sie?
Beispielsweise durch Söldnerfirmen könnte es irgendwann Problem geben, weil wir jetzt schon beobachten, dass diese nun auch taktisches Hacking entdeckt haben. Sie entwickeln gerade Geschäftskonzepte. Als mögliches Szenario könnte man sich vorstellen, dass eine Söldnergruppe irgendwelchen wohlhabenden Warlords oder beispielsweise den Taliban gegen Geld anbietet, eine Hackertruppe in ein Gebiet zu schicken, um dort detailliert z.B. Nato-Truppen oder speziell die Bundeswehr zu beobachten und sich anschließend in die Systeme der Alliierten zu hacken. Dazu ist allerdings Zeit nötig. D.h. ein guerillaartiger Krieg steht solchen Cybersöldnern im Weg. Man weiß zur Zeit nicht, wie sich diese Söldner darauf einrichten werden und welche Geschäftsmodelle sie entwickeln. Ob sie z.B. irgendwann „ready-made-packs“ verkaufen und den Taliban einen vorbereiteten Laptop verkaufen, mit dem sie dann spezielle Cyberangriffe auf die ISAF starten, um konventionelle Operationen zu stützen.

Die Militarisierung des Cyberspace schreitet voran. Weltweit bauen ungefähr 140 Länder offensiv Kapazitäten für Cyberwar auf. Cyberrüstung ist im vergleich zu konventionellen Waffen günstig. Wie ist es um die Aufstellung einer Cyberattack-Einheit der Bundeswehr bestellt?

Das weiß ich nicht. Viele andere Staaten bauen so etwas aber auf, das wird in drei bis vier Jahren eine andere Situation ergeben. Gegenmaßnahmen wie Entnetzung und die Programmierung von sicherer Hardware brauchen Zeit. Cyberangriffe werden dann also eine Weile ohne Schutz großen Schaden anrichten können. Für die USA ist das heute schon ein großes Problem. Spätestens in drei bis vier Jahren wird es ein globales Problem sein. Die Weichen müssen jetzt dringend gestellt werden.

In die Zukunft gesponnen: Wird es eine neue Teilstreitkraft geben, die im Cyberspace operiert?
Theoretisch, hypothetisch gesprochen, wäre es überaus sinnvoll, eine Cyberwartruppe anzuschaffen. Auch für eine Verteidigungsarmee wie die Bundeswehr. Auch diese muss gewappnet sein für zukünftige Attacken von feindlichen Cybereinheiten. Zudem ist Cyberwar eine Variante der Kriegsführung, die sehr völkerrechtsfreundlich sein kann. Sie ist nicht zwingend letal, kann Systeme und damit den Feind zeitweilig lahmlegen. Vorraussetzung hierfür ist, dass diese neue Art von Kriegsführung kontrolliert durchgeführt wird. Dann kann Cyberwar ein sehr elegantes Werkzeug der Sicherheitspolitik sein.

Herr Dr. Gaycken, vielen Dank für das ausführliche Gespräch.

SecEx Profilbild
Dieser Beitrag stammt von freien Mitarbeiter:innen des Security Explorer.
Scroll to top