Cyberpeace. eine zivile Antwort auf die Bedrohungen durch Cyberwar. Hans-Jörg Kreowski

Transkript

1 Cyberpeace eine zivile Antwort auf die Bedrohungen durch Cyberwar Hans-Jörg Kreowski Unter Verwendung von Materialien von Sylvia Johnigk und Kai Nothdurft, insbesondere Sylvias Vortrag Cyberpeace statt Cyberwar 29C3, Dezember 2012

2 Hans-Jörg Kreowski Professor für Theoretische Informatik seit 1982 fachbereich 3 mathematik und informatik Universität Bremen Fachbereich Mathematik und Informatik Zentrum für Informatik und Informationstechnik (TZI) Bremen Research Cluster for Dynamics in Logistics (LogDynamics) International Graduate School for Dynamics in Logistics Vorstandsmitglied des FIfF (Forum InformatikerInnen für Frieden und gesellschagftliche Verantwortung)

3 Alles Cyber Cyberwar(fare): Kriegsführung mit Informationstechnik (IT) wie Computer, Netzwerke, Software... als Waffen (in Abgrenzung zu IT-Steuerung von militärischen Systemen wie Raketen, Drohnen, Luftabwehr etc.)

4 Alles Cyber nicht jeder Cyberangriff ist Cyberwar (aber die Abgrenzung ist teilweise schwierig) Cyberkriminalität: Straftaten mit IT, Onlinebetrug, Phishing, Hacktivismus: politisch motivierte Aktionsformen des Online-Protests Cyberterror: Sabotage und Terroranschläge mit IT, Straftat oder kriegerischer Akt? Cyberspionage: Spionage mit IT (wirtschaftlich oder militärisch motiviert)

5 Alles Cyber Wettrüsten: staatliche Cyberwar-Einheiten USA: United States Cyber Command (USCYBERCOM) China: Blaue Armee, Hackereinheit, offiziell rein defensiv Russland: verdächtigt, offensiv Cyberwarfare zu betreiben oder zu unterstützen (Estland, Georgien, Kirgisistan) Iran: nach eigenen Angaben weltweit zweitgrößte Einheit Israel: Cyber defense taskforce Großbritannien: Government Commnication Headquarters (GCHQ) Initiativen in 140 Staaten (meist offensiv)

6 Alles Cyber und Deutschland Nationaler Cybersicherheitsrat (seit ) bei Die Beauftragte der Bundesregierung für Informationstechnik Nationales Cyberabwehrzentrum (seit ) mit BSI, BfV, BBK sowie assoziiert BKA, BND, Bundespolizei, Bundeswehr sowie Zollkriminalamt Allianz für Cybersicherheit (seit ) BSI und Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) Bundesbehörden haben eigene Cybereinheiten Strukturen intransparent und Kontrolle unklar

7 Alles Cyber Wettrüsten: staatlich/militärisch motivierte Cyber-Angriffe Titan Rain: Angriffsserien auf US-amerikanische Computersysteme von Rüstungskonzernen, NASA u.a. DoS-Attacken auf estländische Regierungswebseiten Webdefacement und DoS-Attacken gegen georgische Regierungsseiten und Medien Olympic Games (Stuxnet): Malwareattacke auf den Iran Flame: klassische Spionagesoftware Gauss: späht Bankdaten aus vor allem in Israel und Libanon Cyberattacke auf Saudi Aramco Training, Provokation,Warnung,?

8 Cyber-Bedrohungen: falscher Fokus Cybercrime etablitiert Ausnutzen von Schwachstellen und der Unbedarftheit der NutzerInnen Energie, die in die Entwicklung von Angriffswerkzeuge fließt, fehlt beim Entwickeln von Schutzmechanismen Bundeswehr, BKA, : Geheimniskrämerei schadet der Allgemeinheit und unterstützt Kriminalität

9 Cyber-Bedrohungen: Rüstungsspirale Cyberwarfare ist militärisch attraktiv keine Gefährdung der eigenen Soldaten Rückverfolgung schwierig zivile Ziele schwächen Gegner Angriff einfacher als Verteidigung staatliche Regulierung im Konflikt zu freier Netznutzung Verstärkung der Tendenz zum asymmetrischen Krieg (Gegenwehr durch Attentate, Guerilla-Krieg)

10 Cyber-Bedrohungen: Verquickung von Militär und Zivilgesellschaft Zuständigkeits- und Mittelkonkurrenz bei Cybersicherheit: Militär oder Strafverfolgung? Vermischung von Cybercrime und Cyberwar: Kriminalität /Strafverfolgung und Cyberwarfare haben unterschiedliche Motivationen und unterschiedlich geeignete Gegenmaßnahmen militärische Motivation schadet freier IT Sicherheitslücken, die für Angriffe genutzt werden können, als Angriffsoption geheim zu halten, gefährdet auch die eigene Zivilgesellschaft

11 Cyber-Bedrohungen: national vs. global Cyberspace (Internet und Netze internationaler Konzerne) ist global internationale Firmennetze ignorieren politische Grenzen Liefer- und Wertschöpfungsketten weltumspannend Daten in einer Public Cloud internationale Standards, Software, Hardware, Protokolle und Dienste viele Betreiber kritischer Infrastrukturen agieren global...aber Cyberabwehr überwiegend national Das kann nicht funktionieren

12 Cyber-Bedrohungen: US-Militärdoktrin Strategy for Operating in Cyberspace defensive Schwäche als Motivation hohe Abhängigkeit von funktionierender IT hohe Verletzlichkeit durch Vernetzung, Zentralisierung, Standardisierung, Mobilität weitgefasste Definition eines Cyber-Angriffs: DoS-Attacken, Sabotage von militärischen und zivilen Systemen insb. kritische Infrastrukturen), Manipulation und Diebstahl von Informationen, Wirtschaftsspionage, Diebstahl geistigen Eigentums Hacktivismus, Cybercrime und Cyberwarfare werden undifferenziert als Bedrohungen der nationalen Sicherheit der USA angesehen niedrige Eintrittsschwelle für Gegenangriffe auch konventionell Auswirkungen auf den Bündnisfall in der NATO?

13 Cyberpeace statt Cyberwar? Wer wird durch Cyber-Rüstung bedroht? Staat, Unternehmen und BürgerInnen können Opfer werden (gezielt, als Zufallstreffer oder als Kollateralschaden) Rechner sind meist vernetzt und von überall aus erreichbar private Rechner für CyberAngriffe missbrauchbar digitalisierte Gesellschaft als Ganzes ist hochgradig abhängig von kritischer Infrastruktur (Elektrizität, Transport, Information, Wasser, ) Freiheit des Internets/der Gesellschaft ist bedroht (z.b.: durch Sicherheitsgesetze)

14 Cyberpeace statt Cyberwar? Die Angriffsfläche ist groß Hardware und Software sind meist leicht angreifbar Standardisierung erleichtert und effektiviert Angriffe Komponenten in IT-Produkten kommen von vielen Lieferanten (kaum kontrollierbar oder nachvollziehbar) mit der Komplexität der Systeme und Anwendungen wächst die Häufigkeit von Schwachstellen, Fehlkonfigurationen, unbekanntem Verhalten, IT-Sicherheit ist selten ein Designziel in IT-Projekten

15 Cyberpeace statt Cyberwar? Die Zivilgesellschaft als Kollateralschaden kritische Infrastrukturen mit dem Internet verbunden nutzen die selben Protokolle und Dienste wie alle nutzen die gleiche Hardware und Software wie alle haben die selben Schwachstellen wie alle Sensibilität ihrer Betreiber ist mangelhaft Ausfall kann die zivile Gesellschaft schwer schädigen

16 Cyberpeace statt Cyberwar? Angriffswerkzeuge sind frei verfügbar findet man im Internet können (wegen Vernetzung) fast jedes Opfer erreichen sind billiger zu haben als konventionelle Waffen Wissen leicht zugänglich und Handhabung einfach

17 Was tun? Rein defensive Sicherheitsstrategie: Verbot von Offensivwaffen für den Cyberwar Digitale Genfer Konvention: Verbot von Cyberangriffen auf lebenswichtige Infrastrukturen wie Strom-, Wasser-, Gesundheitsversorgung etc. Grundrecht auf zivilen Ungehorsam und Onlineprotest im Internet: Derartige Aktionen dürfen nicht kriminalisiert werden geschweige denn als Kriegsgrund herhalten wirtschaftliche Interessen sind kein legitimer Kriegsgrund Verbot des Einsatzes konventioneller Waffen als Antwort auf eine Cyberattacke international transparente forensische Untersuchung von behaupteten Cyberwar-Angriffen

18 Was tun? Verpflichtung staatlicher Stellen, Unternehmen und BürgerInnen zur Offenlegung von Schwachstellen Verpflichtung der Betreiber kritischer Infrastrukturen, die Sicherheit von IT-Systemen zu garantieren kompetente und transparente Prüfungen müssen als Voraussetzung für eine Betriebserlaubnis Entnetzung und Dezentralisierung kritischer Infrastrukturen Abrüstung der politische Sprache: klare Trennung von Cyberwar, Cyberterror, Cybercrime, Ethical Hacking, politischen Protestformen demokratische Kontrolle, Gewaltenteilung, Parlamentsvorbehalt für Cybersicherheitsstrategie und deren Umsetzung

19 Was tun? Forderungen speziell an die Bundesregierung Transparenz und demokratische Kontrolle beim Aufbau von Cyberzentren klare friedenspolitische Ausrichtung der Cyberzentren Trennung von Polizei, Geheimdiensten und Militär in Cyberabwehrzentren Unterstützung einer Cyberpeace-Initiative: Verpflichtung zur Förderung von Friedensforschung zur Entwicklung von Strategien zur Befriedung des Cyberspace

20 Was tun? FIfF-Jahrestagung 2013 Cyberpeace Oktober 2013 Siegen