Cyber War Die NSA-Affäre an der Grenze zwischen Krieg und Frieden

Transkript

1 Ingo Ruhmann Cyber War Die NSA-Affäre an der Grenze zwischen Krieg und Frieden 9. Security-Forum, Brandenburg, 2015

2 Ingo Ruhmann 2 1. Die Snowden-Enthüllungen als Überwachungsdebatte 2. Überwachungsdaten für Cyberangriffe 3. Cyber Warfare rechtlich und politisch 4. Folgen

3 Ingo Ruhmann 3 1. Die Snowden-Enthüllungen als Überwachungsdebatte 1. Überwachung des Telekommunikationsverkehrs: weltweit massiv automatisiert 2. full take : Ziel ist die Totalerfassung der TK 3. Kooperation mit Diensten, aber auch Unternehmen (Dienstleister, TK-Anbieter gegen Vergütung, auf gesetzlicher Grundlage oder unwissentlich) 4. Erfassung von Strukturen und Inhalten; recherchegerechte Organisation in Datenbanken 5. Lauschen bei Freund und Feind

4 Ingo Ruhmann 1. Die Snowden-Enthüllungen als Überwachungsdebatte 4 Was wird erfasst und gespeichert? Jede Art von Kommunikation, Datenaustausch oder in der Cloud gespeicherte Daten Ausgewertet wird auch Sprach- und Videokommunikation Google-Suchanfragen wie z.b.: Rechtsgrundlagen In den USA: FISA-Gerichtsbeschlüsse zur Überwachung von US-Bürgern Weltweit: Keine Beschränkung

5 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 2. NSA-Überwachungsdaten für Cyberangriffe 5 1. Digital Network Intelligence Exploitation := Manipulation von Computersystemen

6 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 6 2. Entschlüsselung und Auswertung der Inhalte

7 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 7 XKeyScore - ein Beispiel für ein automatisiertes Recherche- und Angriffssystem Durchsucht Überwachungs-Datenbanken nach Eigenschaften (Sprache, Ort, Kommunikationsmittel etc.) anhand von Ermittler-Eingaben Analysiert automatisch Eigenschaften von Zielsystemen Nutzt Plug-Ins Constant Web-Datenbank zur Schwachstellenidentifikation Werkzeuge zur Entschlüsselung von Kommunikation (VPN) Automatisierte Werkzeuge zum Einschleusen von Schadsoftware Wird kontinuierlich um automatisierte Angriffswerkzeuge ergänzt Liefert Angriffswege u.a. durch Mitschneiden von Windows Error Reports eines Zielsystems.

8 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 8 XKeyScore ist nur ein Angriffswerkzeug unter vielen Andere Werkzeuge durchsuchen Dateninhalte (TURMOIL) und modifizieren Datenübertragungen (TURBINE)

9 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 9 3. Manipulation von Daten, IT-Systemen, Unterbinden von Kommunikation Seit 1998 hackt sich das Office of Tailored Access Operations (TAO) der NSA in IT-Systeme ein, oder weist Agenten bzw. Militärs vor Ort an, Systeme mit Hilfe physischen Zugangs zu manipulieren.

10 Ingo Ruhmann Cyber War - Werkzeuge im Einsatz 2. NSA-Überwachungsdaten für Cyberangriffe 2012: Stuxnet wurde nach eigenen Angaben von der U.S.-Administration entwickelt und eingesetzt. 10 Nach Analysen von Kasperski Labs sind mehrere mit Stuxnet eng verwandte Trojaner und Würmer (d.h. mit teilw. identischem Sourcecode- Blöcken) vorwiegend im arabischen Raum verbreitet Name Number of incidents Approx. number of incidents Stuxnet Over Over Gauss ~ 2500 ~ Flame ~ 700 ~ Duqu ~20 ~50-60 miniflame ~10-20 ~50-60 Summe (nach späteren Zahlen): mind infizierte Systeme

11 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 11 Aus dem TAO-Werkzeugkasten Quantumtheory Werkzeuge für man in the middle -Attacken: Umleiten von Datenverkehr und Implantieren von Schadsoftware Beispiel BELGACOM (des GCHQ) Gezielter Angriff auf die Datenkommunikation von BELGACOM- Systemadministratoren Umleitung auf gefälschte Webseiten Einschleusen von Schadcode Ausspähen von Passwörtern und Systemdaten Einsatz der Daten für Angriffe auf IT- Systeme der EU-Kommission Beispiel TRANSGRESSION Aufklärung über Erkenntnisse anderer Dienste durch Cyber-Angriffe

12 Ingo Ruhmann 2. NSA-Überwachungsdaten für Cyberangriffe 12 Physischer Zugang Zielsysteme, die nicht per Internet erreichbar sind, lassen sich durch Manipulationen angreifbar machen z.b. vor Ort durch Einbau von Funkübertragungswegen oder durch Abfangen einer Lieferung und Einbau von Extras vor Auslieferung

13 Ingo Ruhmann Ressourceneinsatz Das Budget der NSA für Cyber Warfare in 2013 (Auszüge, inkl. Zahlungen an Dritte): 652 Mio. Dollar für ein Programm zur Schadsoftware-Verbreitung 10 Mrd. Dollar für das Gemeinsame Kryptologische Programm für bahnbrechende kryptoanalytische Fähigkeiten [ ], um den Internetverkehr auszuwerten In Summe über 12 Mrd. US-$ für Internet-Überwachung, Entschlüsselung und Angriffswerkzeuge (lt. Budgetentwurf 2013 der NSA für den US-Kongress) 2. NSA-Überwachungsdaten für Cyberangriffe 13

14 Ingo Ruhmann NSA weit mehr als Spionage 2. NSA-Überwachungsdaten für Cyberangriffe 14

15 Ingo Ruhmann Zusammenfassung 2. NSA-Überwachungsdaten für Cyberangriffe 15 NSA und kollaborierende Dienste Unterhalten seit 1998 mit dem TAO und als Teil des U.S. Cyber Commands personalstarke Hacker- und Cyberwar-Einheiten Wenden derzeit jährlich mind. 12 Mrd. US-$ für Cyberwar-Werkzeuge auf Entwickeln seit 2005 automatisierte Aufklärungs- und Angriffswerkzeuge für Cyberwarfare Haben mit Stuxnet und verwandter Software Cyberwar-Waffen eingesetzt Operieren gegen Freund und Feind: im arabischen Raum gegen Banken ( Flame ) ebenso wie in Belgien gegen EU-KOM oder in Deutschland gegen Unternehmen ( Stuxnet ) und Bundeseinrichtungen NSA und kollaborierende Dienste sind die bei weitem ressourcenstärkste Hackertruppe weltweit Nach eigener Definition führt die NSA uneingeschränkten Cyberkrieg gegen Freund und Feind.

16 Ingo Ruhmann Exkurs zur Vorgeschichte 16 Exkurs: Wie neu war das wirklich?

17 Ingo Ruhmann Physischer Zugang zur Datensammlung schon historisch Exkurs zur Vorgeschichte 17 Breaches of some Soviet computers were done not by cracking codes but by physically breaking into Soviet military facilities Both the NSA and CIA have also experimented with the disruption of other nation s computers by infecting them with viruses or other destructive programs. TIME,

18 Ingo Ruhmann Physischer Zugang zur Datensammlung schon historisch Exkurs zur Vorgeschichte 18 If we can break into just one of these stations, we can disconnect any instrument connected to the network, connect our equipment and instataneously, we are in the network. It is the most cost-effective way to gain [illegal] access AW&ST,

19 Ingo Ruhmann Netz- und Schwachstellenanalyse 1997 Exkurs zur Vorgeschichte Schwachstellendatenbank Constant Web, heute plug-in für XKeyscore 19

20 Ingo Ruhmann Exkurs zur Vorgeschichte 2006: William Arkin listet in der Washington Post über 500 Softwarewerkzeuge, Datenbanken und DNI -Tools der NSA für Überwachung und Cyberangriffe auf, neben TRAILBLAZER auch Constant Web. Arkin publiziert 2010 nach zwei Jahren Recherche für die Washington Post Top Secret America als Online-Landkarte der Einrichtungen der U.S.-Geheimdienste. 20

21 Ingo Ruhmann Exkurs zur Vorgeschichte 2007: Allein wandte die NSA 2 Mrd. US.$ auf für die Projekte Trailblazer zur massiven Datensammlung und Turbulence zur selektiven Kontrolle von Internet-Knotenpunkten, Web Traffic Überwachung und selektiven Modifikation von Datenpakten 21 Die Projekte wurden abgebrochen, Teile für PRISM / XKeyScore etc. adaptiert

22 Selbstdarstellungs-Foliensatz des CERT der Bundeswehr Exkurs zur Vorgeschichte

23 Zur weiteren Lektüre Ingo Ruhmann, Ute Bernhardt: Information Warfare und Informationsgesellschaft. Zivile und sicherheitspolitische Kosten des Informationskriegs; Wissenschaft und Frieden, Dossier Nr. 78, Ingo Ruhmann Exkurs zur Vorgeschichte 23 Exkursfazit Die Rolle der NSA und deren Verknüpfung von möglichst umfassender Telekommunikationsüberwachung, Datenspionage und Cyberangriffen ist öffentlich bekannt seit Mitte der 1980er Jahre, Angriffswerkzeuge wie TURBULENCE seit Geändert haben sich die Techniken, der Aufwand, die Möglichkeiten und das Können der Akteure und deren Anzahl. Neben den bekannten Schwergewichten gibt es zahlreiche kleine Einheiten und Gruppen, die schlagkräftig genug, aber selbst Eingeweihten kaum bekannt sind. Als IT-Sicherheitsverantwortlicher sollte man dies kennen und als Such- und Aktionsschema berücksichtigen. Staatliche Stellen (CERT der Bundeswehr) operieren auf entsprechenden Prämissen.

24 Ingo Ruhmann 3. Cyber Warfare rechtlich und politisch Cyber Warfare rechtlich und politisch Computermanipulationen im engeren Sinne Ausspähung von Daten (202aStGB) Computerbetrug ( 263a StGB) Fälschung technischer Aufzeichnungen ( 268 StGB) Fälschung beweiserheblicher Daten ( 269 StGB) Datenveränderung ( 303a StGB) Computersabotage ( 303b StGB) Zusätzlich in Betracht kommende Straftatbestände Herbeiführung einer Explosion durch Kernenergie, Freisetzung ionisierender Strahlung, Vorbereitungsdelikte ( 310b ff StGB), Störung von Fernmeldeanlagen ( 317 StGB)... Computerstraftaten lassen sich als Terrorismusdelikt nach 129a StGB werten bei Angriffen auf IT- Systeme, sofern es sich um gemeingefährliche Straftaten handelt nach 305a StGB - Zerstörung wichtiger Arbeitsmittel 315 StGB - Gefährliche Eingriffe in den Bahn-, Schiffs- und Luftverkehr 316b StGB - Störung öffentlicher Betriebe (Bahn, Post, Versorgung mit Wasser, Licht, Wärme, Kraft)

25 Ingo Ruhmann 3. Cyber Warfare rechtlich und politisch 25 Probleme der Strafverfolgung in Deutschland Faktisch ist die Strafverfolgung bei Cyber Warfare Angriffen stark eingeengt: Telekommunikationsüberwachung ( 206 StGB) ist nicht strafbar für Geheimdienste NATO Truppenstatut erlaubt den westalliierten Diensten umfangreiche Eingriffsmöglichkeiten Vereinbarungen zur Geheimdienstkooperation dienen dem freiwilligen Austausch umfangreicher Daten und nachrichtendienstlicher Erkenntnisse Internationale Abkommen zu Cybercrime sehen keine Kooperation von Strafverfolgern bei militärisch-geheimdienstlicher Tätigkeit vor

26 Ingo Ruhmann 3. Cyber Warfare rechtlich und politisch 26 Cyber Warfare und das internationale Recht Das NATO Cooperative Cyber Defense Centre of Excellence (CCDCOE) wurde eingerichtet zur Erarbeitung von Daten und Wissen zu Cyber Warfare und zu deren Abstimmung zwischen NATO-Staaten. Das CCDCOE begleitet Manöver, führt Workshops und Technikkurse für Praktiker durch und widmet sich Rechtsfragen. Tallinn Manual 2009 begonnene Studie des CCDCOE von unabhängigen Rechtsexperten dient der Aufarbeitung des internationalen Rechts bezüglich Cyber Warfare und soll NATO-Staaten als Leitfaden bei Cyber-Operationen dienen.

27 Ingo Ruhmann 3. Cyber Warfare rechtlich und politisch 27 Das NATO Tallinn Manual und die Bewertung von Cyber Warfare Cyber-Angriffe, die von einem Staatsgebiet ausgehen, aber nicht von staatlichen Stellen orchestriert werden, stellen einen Bruch internationalen Rechts dar, wenn sie Schaden anrichten und nicht von Strafverfolgern unterbunden werden. Bemerkung: Abkommen wie die Cybercrime Convention verpflichten die Unterzeichner zur Kooperation und Verfolgung der Urheber. Ausgenommen von der Kooperation sind allerdings Vorfälle unter Beteiligung von Geheimdiensten oder, wenn die nationale Sicherheit betroffen ist (Art. 27 (4) der Konvention). die von staatlichen Stellen verübt werden, können nach internationalem Recht als Kriegshandlungen gewertet werden. Die NATO-Rechtsexperten halten es aufseiten der angegriffenen Staaten für gerechtfertigt, gleichwertige Gegenmaßnahmen zu ergreifen (S. 29 und 36). die die Wirkung von Militärschlägen (Zahl der Opfer, Grad der Zerstörungen) erreichen, erlauben den NATO-Experten zufolge auch militärische Reaktionen (S. 63ff).

28 Ingo Ruhmann 3. Cyber Warfare rechtlich und politisch 28 Cyber Warfare: jeder macht mit, jeder kann betroffen sein. Computerspionage und Hackerangriffe wurden begonnen von NSA, GCHQ und KGB. Heute verfügen über 100 Staaten und zahlreiche militante Gruppierungen weltweit über Hackertruppen und den Anspruch, Cyberaktionen durchführen zu wollen. Fehlendes Know How wird von allen Staaten je nach Bedarf bei spezialisierten IT- Unternehmen eingekauft (Trojaner, Überwachungssysteme, Hardware, Botnetze, Angriffsaktionen als Mietservice etc.). Die Herkunft von Cyberangriffen wird durchweg verschleiert. Unbeteiligte Dritte werden regelmäßig in Cyberangriffe hineingezogen. Mit Auftragstätern und Angriffen als kommerziellem Service wird die Identifikation der Herkunft von Angriffen und des Angreifers zusätzlich erschwert. Der Sony-Hack zeigt a) Wie schnell und aus welchen Anlässen Cyberangriffe eingesetzt werden, b) Wie schwer eine Rückverfolgung und c) Wie problematisch eine Reaktion auch in (scheinbar) einfachen Fällen ist. Cyber Warfare kann aus nichtigem Anlass beginnen, birgt hohes Eskalationspotential und schädigt regelmäßig unbeteiligte Dritte.

29 Ingo Ruhmann 4. Folgen Folgen: Sicherheitslücken - 1. Verschlüsselung SSL: Die NSA erklärte 2010 also vor der Programmierung von Heartbleed 2011, es sei ihr durch spezielle Zugänge zu Unternehmen und Manipulation von Softwarelösungen gelungen, die SSL-Verschlüsselung auszuhebeln. Außerdem gelungen sei das Brechen der Verschlüsselung älterer, gesammelter Daten. Bemerkung: Der Heartbleed-Bug hat die Untersuchung verdeckt, welche Kryptoverfahren schon kompromittiert waren und sind VPN: Denselben Quellen zufolge existieren Schwachstellen in mehreren VPN-Produkten. Werkzeuge: RSA warnt dem eigenen Software- Entwicklungswerkzeug BSafe : das enthaltene Kryptoverfahren mit von der NSA entwickelten Elliptischen Kurven sei unsicher und kompromittiert.

30 Ingo Ruhmann 4. Folgen 30 Folgen: Sicherheitslücken 2. Software und TK Zertifikate: Der FLAME-Trojaner lädt Schadcode nach per Update- Funktion und gefälschten Microsoft-Zertifikaten - lt. Microsoft- Bulletin wegen älterer Kryptographie-Algorithmen Anonyme Internet Services: Wichtiges NSA-Programm ist die Aushebelung anonymer Services TOR und andere Telekommunikation: Die NSA arbeitet an der Aushebelung der Verschlüsselung der 4G- Mobilfunkkommunikation Iiest verschlüsselte Datenübermittlung von Blackberry- Smartphones mit hat durch manipulierte Apps Zugriff auf iphones von Zielpersonen

31 Ute Bernhardt Was hat das mit uns zu tun? Technische Kosten 4. Folgen 31 Kann sich eine auf IT-Systeme beruhende Gesellschaft heute eine IT-Infrastruktur mit Systemen leisten, die a) - z.t. vorsätzlich - mit Sicherheitslücken versehen sind, und b) von Geheimdiensten als militärisches Operationsfeld genutzt manipuliert und sabotiert werden? Welche Kosten technischer Instabilität sind wir bereit, zu tragen?

32 Ute Bernhardt Was hat das mit uns zu tun? Gesellschaftliche und politische Kosten 4. Folgen 32 Die Verwundbarkeit von IT im Alltag unterminiert die Funktion von Infrastrukturen und das Funktionieren des Alltagslebens. Cyber Warfare produziert unerwartete Ausfälle zu jeder Zeit. Folge sind eine allgemeine Verunsicherung und ein latentes Bedrohungsgefühl mit gesellschaftlichen und politischen Folgen. Cyber Warfare als Alltag der Informationsgesellschaft unterminiert Sicherheit und Vertrauen im Alltag und schafft ein Leben unter ständiger Bedrohung.

33 Ute Bernhardt Was hat das mit uns zu tun? Gesellschaftliche und politische Kosten 4. Folgen 33 Kernkompetenz im Information Warfare ist die Manipulation von Daten einschließlich der Beeinflussung von Berichterstattung und Medien. Cyber Attacken dienen nicht allein dem Ausspähen, sondern auch dem Verfälschen von Daten, Beweisen, digitalen Dokumenten. Digitale Technik macht die nachrichtendienstliche Zersetzung schnell, einfach und zu einer Gefahr für Alle. Geheimdienste manipulieren Debatten über politische und gesellschaftliche Ideen nicht nur mit Fakten, sondern auch mit gezielten Falschinformationen wollen wir das?

34 Ingo Ruhmann 4. Folgen 34 Die NSA-Affäre hat den alltäglichen Cyber Warfare sichtbar gemacht verdeutlicht, dass im Cyber Warfare jeder gegen jeden steht Risiken und Sicherheitsprobleme der IT-Infrastruktur aufgezeigt wesentliche Probleme für Recht und Strafverfolgung erkennbar werden lassen Was jedoch nicht gefolgt ist, sind die Entwicklung von Lösungsansätzen und wirkungsvolle Aktivitäten.

35 Ingo Ruhmann 35 Vielen Dank!