CYBER SICHERHEIT im Kontext sicherheitspolitischer Risiken und Trends

Transkript

1 Podiumsdiskussion 23/10/2013 Podium: Msc. Alexander Klimburg, oiip Moderation: Heinz GÄRTNER, oiip Veranstaltungsort: oiip, Berggasse 7, 1090 Wien TeilnehmerInnen: 40 Zusammenfassung: Annika Baxmann

2 Résumé Das Thema der Podiumsdiskussion war der Bereich Nationale Cyber Sicherheit, der als strategischer Interaktionsraum zwischen verschiedensten staatlichen, nationalen und internationalen Sicherheitsakteuren verstanden wird. Durch den Bedeutungszuwachs den das Cyberspace als Bereich menschlichen Handelns in jüngster Zeit erfahren hat, wird eine Auseinandersetzung mit den Begriffen und entscheidender Logiken unerlässlich. Der Referent Msc. Alexander Klimburg (oiip) nahm daher zunächst eine Einordnung grundlegender Begriffe wie Cyber Space, Cyber Security, Cyber Attacks und Cyber Krieg vor und stellte die fünf Mandate bzw. Themenbereiche nationaler Cyber Security (Internet Governance/Cyber Diplomatie, Counter Cybercrime, nationales Krisenmanagement/Schutz kritischer Infrastrukturen(CIP), militärische Cyber-Aktivitäten und Nachrichtendienstliche Aktivitäten) dar. Das Referat Klimburgs fokussierte beispielhaft die militärischen Cyber Aktivitäten. Als letztes wichtiges Themenfeld wandte er sich den maßgeblichen Akteuren dieses Bereiches zu und erörterte, inwiefern die effektive Kooperation zwischen diesen maßgeblich für den Erfolg staatlicher Maßnahmen ist. 2

3 Zusammenfassung Die Podiumsdiskussion zum Thema Cyber Sicherheit im Kontext machtpolitischer Risiken und Trends, organisiert vom Österreichischen Institut für Internationale Politik, setzte sich mit dem Cyberspace als einen Raum menschlichen Handels auseinander, der zunehmend an Bedeutung gewinnt. Dabei beeinflusst dieser sowohl die politischen und ökonomischen als auch die sozialen und kulturellen Aspekte unseres Zusammenlebens unmittelbar. Zu diesem Anlass war Alexander Klimburg als Experte eingeladen. Als Senior Adivsor des oiip beschäftigt er sich u.a. mit den Themenschwerpunkten Sicherheitspolitik, Cyber Security und Schutz kritischer Infrastruktur und ist dazu sowohl auf nationaler als auch internationaler Ebene beratend tätig. Klimburg begann seinen Vortrag, indem er betonte, dass es sich bei Cyber Security um einen mehrdeutigen Begriff handele, der kaum Fixpunkte besitzt. Grund hierfür sind z.b. die große Bandbreite an Akteuren, die verschiedenen Mandate, die Cyber Security innerhalb eines Staates ausmachen, aber auch das Fehlen von Naturgesetzen. Daraus ergibt sich die Schwierigkeit die Herkunft eines Angreifers zu bestimmen und einzelne Vorgänge nachvollziehen zu können. Er wandte sich zunächst einigen für den Bereich der Cyber Attacks grundlegenden Begriffen zu. Zunächst machte er deutlich, dass das Cyber Space mehr sei als das Internet. Klimburg definierte dieses in Anlehnung an die National Security Presidential Directive 54 unter George W. Bush als interdependent network information technology infrastructures. Dennoch gebe es keine universell akzeptierte Definition des Begriffs Cyber Space. Dabei handele es sich um ein soziales Konstrukt, das visuell nicht erkennbar und daher schwer definierbar sei. Als Definitionsansatz stellte er ein Schichtmodell vor. Entsprechend bestehe das Cyber Space aus vier interdependenten Schichten. Die Basis bilde die physische Schicht, wobei es sich um die Hardware wie Router und Kabel handelt. Darauf aufbauend existieren zum einen die logische Schicht, d.h. Software, Codes u.ä., und zum anderen die inhaltliche Schicht, die Daten und Informationen beinhaltet. Die Spitze dieses Modells bildet der soziale Aspekt des Cyber Space, also die Menschen, die es nutzen und somit zu dem machen, was es ist. Ziel jedes Angriffs sei folglich das Auslösen einer sozialen Reaktion, wobei es unerheblich ist, auf welcher Ebene dieser ursprünglich stattgefunden hat. Zudem ging Klimburg auf die Begriffe einzelner Angriffe ein. Bei einem Advanced Persistent Threat (APT) handelt es sich um einen Angriff im Spionagebereich. Dieser kann für lange Zeit unbemerkt im System bestehen und ermöglicht somit eine dauerhafte Spionagetätigkeit. Hierzu bedarf es einem umfassenden Kontingent an Ressourcen, Wissen und Können, weshalb ein APT für nicht-staatliche Akteure i.d.r. nur auf geringer Ebene durchführbar ist. Wird ein APT erkannt, ergibt sich jedoch noch 3

4 ein anderes Problem: Es lässt sich nur schwer feststellen, ob es sich nur um einen regulären Spionagefall oder um eine Vorbereitung auf einen Kriegsfall handelt. Ein Bespiel hierfür ist der Trojaner. Dieser setzt sich im System fest, installiert ein sogenanntes remote access tool und kann dieses somit kontrollieren. Eine gezielte Abänderung bzw. Zerstörung von Daten wird möglich. Bei einer Denial of Service Attack wandelt der Trojaner den Computer in einen bot um und unterbricht somit das normale Funktionieren des Systems. Wird eine größere Anzahl dieser bots zu einem bot-netz verbunden, ist dieses so mächtig, dass es ein ganzes Land mit Hilfe von Aktivitäten wie einer Distributed Denial of Service Attack (DDoS) lahmzulegen vermag. Bei einem Angriff auf SCADA wird auf ein Industrial Control System zugegriffen. Folglich können Infrastrukturen kontrolliert werden, die z.b. für Pipelines und Stromsysteme zuständig sind. Die Frage, die sich nun stellt, ist: Wann wird aus Cyber Attacks ein Cyberkrieg? Dazu erörterte Klimburg drei Level der Cyber Warfare entsprechend eines Berichts des US Airforce Science Advisory Boards. Zum ersten Level gehören sogenannte Network Wars. Bei diesen handelt es sich um Spionage-Akte, mit denen sich jeder Netzwerkadministrator regelmäßig auseinandersetzen muss business as usual wie Klimburg es ausdrückte. De facto werden die Network Wars folglich nicht als Kriegsfall gesehen. Die zweite Ebene wird als cyber adjunct to kinetic combat bezeichnet. Das Ziel des Cyberangriffs ist dabei das Auslösen eines kinetischen Effekts. Dieser ist folglich genauso zu bewerten wie ein use of force ( Gewaltanwendung ) und gilt im internationalen Recht nicht als Casus Belli. Solche Angriffe werden aber durchaus als Teil militärischer Operationen eingesetzt. Hierzu zählen zum Beispiel das gezielte Ausschalten einer Radaranlage (z.b. Syrien 2007) bzw. DDoS- Angriffe auf verschiedenste staatliche Strukturen (z.b. Estland 2007, Georgien 2008). Das dritte Level umfasst eine malicious manipulation of data. Dabei handelt es sich um eine vorsätzliche Manipulation von Daten mit dem Ziel ein destruktives Ergebnis zu erzielen. Zur Veranschaulichung bezog sich Klimburg auf den sogenannten Stuxnet -Angriff auf Uran Anlagen im Iran. Dabei wurden die Zentrifugen maßgeblich beschleunigt, sodass sie sich nachhaltig selbst zerstörten. Da keine Menschen zu direktem Schaden kommen, würde der Angriff selber wahrscheinlich nur als Gewaltanwendung klassifiziert werden. Wären jedoch die Zentrifugen sprichwörtlich explodiert mit wahrscheinlich katastrophalen Konsequenzen für die Mitarbeiter des Atomprogramms, wäre hier wahrscheinlich der Tatbestand eines Bewaffneten Angriffs (Armed Attack) und somit ein Casus Belli gegeben. Um schließlich militärischen Cyber einordnen zu können, ging Klimburg im Folgenden auf fünf Mandate nationaler Cyber Security ein. Staaten verfügen demnach über folgende Handlungskapazitäten: Internet Governance/Cyber Diplomatie, nationales Krisenmanagement/Schutz kritischer Infrastruktu- 4

5 ren (CIP), militärische Cyber-Aktivitäten, Counter Cybercrime (polizeiliches Cyber) und Nachrichtendienstliche Aktivitäten (Intelligence/Counter-Intelligence). Jedes einzelne dieser Mandate verfügt über eine eigene Sprache, eigene Ziele, eigene technische Vorkehrungen u.ä.. Somit unterscheiden sie sich maßgeblich voneinander, obwohl alle Elemente der nationalen Cyber Security sind. Beispielsweise beobachtet ein Nachrichtendienst bestimmte Angriffe zunächst und versucht daraus zu lernen, während die Polizei den Täter schnellstmöglich überführen will. Folglich stellt eine ganzheitliche Koordination der Mandate eine schwierige und vor allem ressourcenintensive - Herausforderung an einen Staat dar. Staaten definieren Cyber Krieg unterschiedlich. Westliche Staaten gehen davon aus, dass ein Cyber Angriff dazu einem bewaffneten Angriff gleichkommen muss. Es muss sich dementsprechend um einen Angriff auf die nationale Sicherheit eines Staates handeln, der Tote bzw. einen signifikanten wirtschaftlichen Verlust mit sich bringt. Staaten wie Russland und China zählen hingegen auch einen psychologischen Angriff dazu. Klimburg verwies in diesem Zusammenhang auf die Tatsache, dass sich in Russland mittlerweile auch NGOs als ausländische Agenten registrieren müssen, da ihre Arbeit als Angriff auf die russische Psyche gesehen wird. Grundlage für diese verschiedenen Sichtweisen seien zwei gegensätzliche Grundauffassungen von Politics. Dabei steht Clausewitz These, dass Kriegsführung als Ausweitung von Politics gesehen werden muss, Lenins Ansicht, dass ein Staat sich kontinuierlich in einem Kriegszustand befindet und somit Politics lediglich als Ausweitung der Kriegsführung zu verstehen ist, gegenüber Information Operations innerhalb von Computernetzwerken umfassen nach dem amerikanischen JP3-13 Dokument drei verschiedene militärische Aktivitäten: Computer Network Attacks (CNA), Computer Network Explorations (CNE) und Computer Network Defence (CND). Hierbei macht Klimburg deutlich, dass Spionage (CNE) für einen Angriff (CNA) notwendig sei. Somit lasse sich nur schwer unterscheiden, ob es sich nur um eine Spionagetätigkeit handelt oder ob sie der Vorbereitung eines Angriffs dient sodass die Unterscheidung in JP3-13 sehr problematisch sei. Information Operations sind nur eines der Paradigmen staatlichen Handelns in Bezug auf Cyber. Des Weiteren nannte Klimburg Information Warfare, die von Russland und China sehr offensiv propagiert werde, sowie Cyber Warfare. Bei letzterem handele es sich um einen reinen Kunst-Begriff, da es zur Zeit keine Cyber War-Strategien als solche gebe, der Begriff aber dennoch häufig von den Medien genutzt werde. Als letzte Paradigmen stehen sich Cyberpower als proaktive Handlungsweise der Paradigmen und Nationale Cybersicherheit, d.h. eine defensiven Positionierung, gegenüber. Ob Staaten sich eher für Cyber Power oder eher für Nationale Cybersicherheit entscheiden, sei im Wesentlichen eine Frage der Level of Ambition eines Staats. 5

6 Es lassen sich im Bereich des militärischen Cyber drei grundlegende Aktivitäten eines Staates unterscheiden: Zum einen geht um den Selbstschutz ( Protection ), da ohne eine Sicherung der eigenen Informationsnetzwerke keine Kriegsführung möglich ist. Diese Tätigkeiten machen 80-90% des Budgets aus. Bei Battlefield Cyber werden Cybertools eingesetzt, um die normale militärische Kriegsführung zu unterstützen. Insbesondere westliche Staaten nutzen diese Art der Kriegsführung und haken sich z.b. in die Luftabwehrsysteme feindlicher Staaten ein (z.b. Operation Orchard 2007). Bei Staaten wie den USA und Großbritannien ist dies sogar ein Schwerpunkt routinemäßiger militärischer Einsätze. Die dritte Aktivität des militärischen Cyber sind sogenannte Strategic Strikes. Diese sind auf kritische Infrastrukturen wie Kommandoeinrichtungen ausgerichtet. Eine langfristige Planung und rechtzeitige Installation von Cyberwaffen stehen im Mittelpunkt. Somit bedürfen sie viel Vorbereitung und sind nicht leicht durchführbar. Viel Verwirrung lässt sich durch sog. Multidimensional Campaigns stiften, wenn z.b. nicht nur der Strom ausfällt, sondern auch die Notrufnummer der Polizei ausgeschaltet ist. Dabei geht es nicht um das bloße Ausschalten/Blockieren von Funktionen, sondern um ein dauerhaftes Zerstören, indem man z.b. Systeme so programmiert, dass sie sich selbst zerstören. Hierbei handelt es sich um einen Permanent Denial of Service, der auch schon anhand eines Forschungsprojekts ( Aurora ) bewiesen wurde. Im Bereich der Cyber Spionage lassen sich drei Arten unterscheiden. Bei intercept geht es um das Abfangen von Daten z.b. im Sinne der Fernmeldeaufklärung und traditionellen SIGINT. Man kann somit Daten abzapfen als Beispiel hierfür wurde das Programm Boundless Informant genannt. Die zweite Möglichkeit ist access. Dabei erhält man Zugang zu Datenbanken, um Informationen zu erlangen. Als Beispiel wurde das Programm Prism angeführt. Während die ersten beiden Arten der Cyper Spionage passiver Natur sind, ist es bei presence möglich, das System unmittelbar zu kontrollieren und somit auch zu manipulieren. Dies wird mithilfe von APTs gemacht und wird auch von russischen und chinesischen Akteuren bevorzugt verwendet. Das nationale Krisenmanagement ist keine militärische Aufgabe, wird jedoch oft durch das Militär unterstützt. Oft ist es nur so möglich, über das notwendige Maß an Personal, Know-How, Informationen sowie monetären und materiellen Ressourcen zu verfügen. Schließlich ging Klimburg auf die Akteure im Bereich der Cyber Sicherheit ein. Dabei lassen sich folgende drei Handlungsdimensionen unterscheiden: staatlich, national (gesellschaftlich) und international. Obwohl staatliche Akteure sehr mächtig sein können, dominieren die nicht-staatlichen Akteure in diesem Bereich. Der Staat spielt nur eine nachgeordnete Rolle, während die nicht-staatlichen Akteure wie Programmierer, Software- und Programmentwickler etc. - von größter Wichtigkeit für 6

7 den Erfolg sind. Zudem sind hauptsächlich private Akteure von den Angriffen betroffen. Entsprechend kann Cyber Security erst dann erfolgreich sein, wenn die Akteure aller Handlungsdimensionen effektiv zusammenarbeiten. Daraus ergeben sich Klimburg zufolge drei verschiedene Varianten der Kooperation. Eine Koordination auf allen staatlichen Ebenen wird als Whole of Government bezeichnet. Whole of Nation umschreibt eine Kooperation mit nicht-staatlichen Akteuren, die durch Zwang, Gesetze oder im Idealfall auf der Grundlage von Freiwilligkeit entsteht. Findet die Kooperation zwischen staatlichen und nichtstaatlichen Akteuren auch auf internationaler Ebene statt, handelt es sich um Whole of System. Eine Kooperation auf diesem Level gestaltet sich sehr schwierig und ist sehr ressourcenintensiv, wodurch eine entsprechende Förderung unerlässlich ist. Entsprechend ihres Einflusses ergibt sich folgende Segmentierung der staatlichen Akteure. Cyber Aspriants würden in Bezug auf ihre Cyber Security gerne als Cyber Power wahrgenommen werden, schaffen es aber (noch) nicht. Sie können ein bisschen Whole of Nation vorweisen, allerdings nur wenig Whole of Government und verfügen kaum über internationales Standing. Hierzu zählen z.b. Indonesien, Pakistan und Indien. Staaten wie Australien, die Niederlande und Japan streben die eher passivere National Cyber Security an und sind auch technisch hoch entwickelt. Whole of Nation ist bei ihnen gut ausgeprägt und sie sind entweder in der Lage Whole of Government oder Whole of System erfolgreich zu fördern. Cyber Powers ist ein aggressives Auftreten entsprechend der eigenen Interessen möglich. Sie sind aufgrund ihrer Fokussierung nicht unbedingt aufgrund der vorhandenen finanziellen Ressourcen erfolgreich auf allen drei Ebenen der Kooperation. China, Russland und die USA werden der Kategorie Hyber Cyber Powers zugeordnet. Sie verfügen über den meisten Einfluss und nehmen somit eine Vormachtstellung auf diesem Gebiet ein. Grund hierfür sind ihre umfassenden (finanziellen) Ressourcen. Somit verdeutlichte Alexander Klimburg im Rahmen dieser Podiumsdiskussion die Bedeutung grundlegender Begriffe und Logiken, die für das Verständnis des Themengebiets Cyber Security maßgeblich sind. Er veranschaulichte die Relevanz der verschiedensten Akteure und des Vorhandensein von entsprechenden Ressourcen. Insbesondere betonte er den übergeordneten Einfluss effektiver Zusammenarbeit zwischen den Akteuren der staatlichen, nationalen und internationalen Ebene. Um es mit seinen Worten zu sagen: Working together is the only way to do cyber. 7

8 Alexander Klimburg, Msc. ist seit 2006 am Österreichischen Institut für Internationalen Politik tätig. Zudem berät er sowohl nationale (Bundeskanzleramt, Verteidigungsministerium, Nationaler Sicherheitsrat) als auch internationale Organisationen wie die EU und die NATO. Unter anderem ist er als Berater der österreichischen Delegation in der Organization for Security and Co- Operation in Europe (OSCE) tätig. Zu seinem Publikationen innerhalb dieses Forschungsgebiets gehört zum einen National Cyber Security A Framework Manual, das im Auftrag der NATO herausgegeben wurde, um ein Verständnis der Facetten von Cyber Security zu ermöglichen. Im aktuellen Jahrbuch des oiip (Add-On 2012) erschien zum anderen der in Zusammenarbeit mit Philipp Mirtl (oiip) verfasste Beitrag National Cyber Security and Power Definition. 8