Standort: fm4.ORF.at / Meldung: "NATO mit neuer Cyberwar-Doktrin "

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

13. 6. 2012 - 15:58

NATO mit neuer Cyberwar-Doktrin

Während der militärische Supervirus "Flame" analysiert wird, drohen USA und NATO nun ganz offen mit Cyberangriffen. Sogar die deutsche Bundeswehr entwickelt offiziell Angriffskapazitäten.

Kaum ein Tag vergeht, ohne dass von den daran beteiligten Anti-Virusforschern eine neue, meist überraschende Funktion des Supervirus "Flame" bekannt wird. Nach Stuxnet und Duqu ist "Flame" die dritte große Schadsoftware militärischen Ursprungs mit ebensolchen Zielen, die in freier Wildbahn aufgetaucht ist.

Den großen Unterschied macht dabei die politische Begleitung, denn während rund um Stuxnet und Duqu großes Schweigen herrschte, spielt nun die Militärmusik. Zwei Tage nach Bekanntwerden von Flame erschien ein Artikel in der "New York Times", der die längst vor Stuxnet angelaufene Cyber-Kriegsführung der USA gegen den Iran und andere Gegner in allen Details schildert.

Die Informationen können nur aus der Regierung selbst gekommen sein und stehen in einer ganzen Reihe ähnlicher "Obama-Leaks" der letzten Zeit, die sämtlich dazu angetan waren, den Präsidenten in ein günstiges Licht zu rücken. Bekanntlich herrscht in den USA Wahlkampf und da ist es seitens der Republikaner seit Jahrzehnten üblich, die demokratischen Bewerber um das Amt möglichst als militärische Weicheier zu brandmarken.

Die deutsche Bundeswehr

Schon im November 2011 hatte die Direktorin der Defense Advanced Research Projects Agency (DARPA) mit der Ankündigung "den Schwerpunkt unserer 'Cyberforschung' auf die Erkundung offensiver Kapazitäten verlegen" aufhorchen lassen. Bis dahin war seitens der Militärs immer nur von Abwehr derartiger Angriffe die Rede gewesen.

Diese Aussagen zu Cyberwar als reines Manöver im US-Wahlkampf zu betrachten, ist aber viel zu kurz gegriffen. Während bis dahin stets betont worden war, dass entsprechende Kapazitäten nur zur Abwehr von Angriffen aufgebaut würden, lautet die Botschaft nun, dass auch die USA und ihre Verbündeten zu offensiven Mitteln greifen. Dieselbe Botschaft geht seit Anfang Juni über ganz verschiedene Kanäle.

Am 5. Juni kam die deutsche Bundeswehr, die sich in Sachen Cyberwar bis dahin extrem bedeckt gehalten hatte, mit der überraschenden Mitteilung heraus, dass nun auch Deutschland über "Anfangskapazitäten" für diese Art von offensiver Kriegsführung verfüge.

Parallel dazu erschien in der Financial Times Deutschland eine detaillierten Story, die auf einem Bericht des Verteidigungsministeriums basierte, der erst diese Woche dem Deutschen Bundestag vorgelegt werden wird. Eine diesbezügliche Anfrage von ORF.at an das österreichische Bundesheer wurde zwar prompt, allerdings nur mit einem knappen "Das kommentieren wir nicht" beantwortet.

Die Berichte der New York Times sowie der Financial Times Deutschland behandeln ganz unterschiedliche Aspekte desselben Themas. Beide Artikel sind innerhalb von fünf Tagen erschienen.

Die NATO

Am selben 5. Juni aber veranstaltete die NATO in Estland, das bekanntlich einer der ersten großen Schauplätze von staatlich gelenkten DDoS-Attacken war, einen Workshop zur Analyse von Schadsoftware. Aus der Beschreibung sticht folgender Satz heraus: "Eines der einzigartigen Charakteristika dieses Workshops ist der Fokus auf die Zuordnung von Angriffen."

Damit steht und fällt nämlich die gesamte offensive Cyber-Kriegsführung. Vor einem eventuellen Gegenschlag mit ähnlichen Mitteln muss sicher sein, dass man den tatsächlichen Urheber angreift und nicht etwa auf eine Provokation durch einen Dritten hereinfällt, der einen Konflikt zwischen den beiden anderen Staaten provozieren will.

Die Gamma-Group

Die Konferenzwebsite des NATO aber trägt noch eine weitere eindeutige Botschaft. Unter "Supporters" werden das "Institute of Electrical and Electronics Engineers" IEEE, Cisco und Microft gelistet, dazwischen aber prangt das Logo einer Firma namens "Gamma Group".

Obwohl die Gamma Group auf der Website des "NATO Cooperative Cyber Defence Centre of Excellence" so prominent als Unterstützer gelistet ist, findet sich wenigstens im offiziellen Konferenzprogramm kein Hinweis auf einen diesbezüglichen Vortrag des Unternehmens.

http://www.ccdcoe.org/cycon/410.html

Dabei handelt es sich um einen Militärzulieferer, der speziell dafür zugeschnittenes Überwachungsequipment samt Trainings anbietet. Die Module der "FinFisher Suite" könnten auch einzeln für ihre jeweilige Zwecken eingesetzt werden, zusammengeschaltet aber würden sie den "Nachrichtendiensten fortgeschrittene Tools für unübertroffene Untersuchungs- und Überwachungstechniken der IT-Umgebung bieten."

Spionage gegen Regimegegner

Genau das leistet "Flame", ohne dabei zu insinuieren, dass diese Suite exakt von diesem Hersteller stammt, denn dafür kommen mehrere in Frage (siehe unten).

Gamma International und seine FinFisher-Produktlinie waren in einem solchen Zusammenhang jedenfalls bereits in die weltweiten Schlagzeilen geraten. Nach der Erstürmung von Regierungsbüros während des Arabischen Frühlings in Ägypten wurde ein Vertrag dieses Unternehmens mit dem Mubarak-Geheimdienst gefunden. Dort wurde die Malware-Suite offenbar dazu eingesetzt, die Rechner von Regimegegnern durch eingeschleuste Schadsoftware auszuspionieren.

Die via Wikileaks veröffentlichten Präsentationen von Gamma International zeigen den modularen Aufbau recht deutlich. Die FINSPY-Suite für "Infektionslösungen und Fernüberwachung" wird von zahlreichen Modulen fürt den Einsatz im jeweiligen Bereich begleitet.

Was Spionage-Suites leisten

Das entspricht der Beschreibung des Einsatzes einzelner Module, die Features der FinFisher-Suite in ihrer Militärversion aber entsprechen jenen von "Flame" bekanntgewordenen frappant genau.

Bei "Flame" handelt es sich um eine ebensolche Suite wie sie auf Überwachungsmessen wie der berüchtigten ISS von mehreren, auch europäischen Unternehmen ganz offiziell angeboten werden. Das mithin teuerste Element daran sind die "Exploits", oder Angriffsprogramme, die eine noch unbekannte aber weitverbreitete Sicherheitslücke ausnützen.

Wenn Hashes kollidieren

In dieser Beziehung ist "Flame" von einer Qualität, die alles bisher Bekannte in den Schatten stellt, vor allem in der Kategorie "Tarnen und Täuschen". Bei den bekannten, für kriminelle Zwecke produzierten Malwares ist ein "Rootkit"-Modul, das sich tief im Betriebssystem einrichtet dafür zuständig, die Aktionen von Trojaner- Downloader-Modulen vor dem PC-Benutzer zu verschleiern.

"Flame" macht das um Potenzen raffinierter, indem er sich per gefälschtem Zertifikat als von Microsoft beglaubigte Software ausweist. Der Angriffsvektor, eine Schwachstelle im Signaturprozess, der durch eine sogenannte "Hash-Kollision" ausgehebelt werden könnte, wurde von zivilen Kryptografieforschern bereits 2008 bekannt gemacht.

Die Geheimdienste

Was damals allerdings nur als "Proof of Concept" - also provisorisch zu Demonstrationszwecken - gezeigt wurde, ist bei "Flame" nun erstmals praktisch umgesetzt beobachtbar, Konsequenzen hatte die Demonstration von 2008 nämlich keine. Die Angriffsmöglichkeit blieb bis heute bestehen.

Flame nützt zwar eben diesen Angriffsvektor, setzt zur Überraschung der Virus-Analysten aber völlig anders an. Den Grund dafür versucht man gerade herauszufinden.
Die Herkunft wenigstens dieses Moduls ist hingegen recht deutlich einzugrenzen. Das dafür nötige Kryptografie-Know-How ebenso wie die Ressourcen finden sich nur bei großen Militärgeheimdiensten wie dem britischen GCHQ und vor allem der NSA.

Die unheilige Dreifaltigkeit

Die restlichen Flame-Module stammen aus dem Dunstkreis jener Firmen, die auf Messen der Überwachungs- und Rüstungsindustrie Verkaufsvorträge zu ihren Produkten halten.

Dass einzelne Elemente von "Flame" auffällige Ähnlichkeiten mit Stuxnet aufweisen, und es von dort auch Querverbindungen zu Duqu gibt, passt genau in die Gepflogenheiten dieser Branche. So gut wie keine dieser militärischen Suites wird je von einer einzigen Firma komplett geliefert, praktisch immer sind auch Komponenten von darauf spezialisierten Unternehmen integriert.

Logik des Kalten Kriegs

Die neue Cyberwar-Doktrin von USA und NATO lässt sich in einem Satz umreißen: Cyberwar-Angriffe werden ab nun mit Cyber-Gegenschlägen beantwortet, die Option zur weiteren Eskalation bleibt dabei offen. Ob das ein adäquates Mittel ist, die permanenten, vor allem Russland und China zugeschriebenen Spionageattacken gegen Firmen und Institutionen in Europa und den USA einzudämmen, steht stark in Zweifel.

All dies entspricht nämlich weitgehend der Logik des Kalten Kriegs, einer Konfliktsituation, die unter völlig anderen Voraussetzungen stattfand, als die Konfrontationen heute.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • arnonymous | vor 1440 Tagen, 20 Stunden, 13 Minuten

    hmm

    allerdings ist ein cyberwar vielleicht doch besser als der klassische. so kann ich die wirtschaft eines landes lähmen ohne gleich allles in grund und boden zu bomben.

    lieber stuxnet als shock and awe.

    Auf dieses Posting antworten
  • prom000 | vor 1441 Tagen, 8 Stunden, 25 Minuten

    Viel interessanter

    wären ja die cyperwar abteilungen von russland, china, iran & co.
    aber da erfährt man ja leider nie etwas.

    Auf dieses Posting antworten
    • tantejutta | vor 1441 Tagen, 7 Stunden, 39 Minuten

      Na ein bisschen was weiß man schon

      Dass sie zum Beispiel die Botnet-Kriminellen und Spammernetze in ihrem Bereich nicht nur zulassen, sondern sogar fördern. Zum einen können sie dadurch jederzeit auf riesige, über die Welt verteilte Botnet-Ressourcen zugreifen. Damit kannst du Europa tagelang vom Netz holen. Diese kriminellen Netze bilden nicht nur eine Nebelwand, für ihre gezielten Spionage-Attacken haben sie damirt auch jederzeit den einen oder anderen Server zur Verfügung, auf den Seychellen oder in den USA, je nachdem was gebraucht wird. OK?
      .