FM4-Logo

jetzt live:

Aktueller Musiktitel:

Opernball-Eröffnung: Tanzende mit weißen Handschuhen

APA/ROLAND SCHLAGER

Erich Moechel

EU-Benimmregeln für Agenten im Cyberspace

Die von der EU erstmals verhängten Sanktionen gegen Cyberangreifer aus Russland, China und Nordkorea definieren jene Verhaltensweisen im Cyberspace, die ab nun sanktioniert werden. Diese Liste der Delikte ist nur ein erster Schritt.

Von Erich Moechel

Die am Donnerstag von der Europäischen Union erstmals verhängten Sanktionen gegen staatliche Cyberangreifer aus Russland, Nordkorea und China wirken reichlich unspektakulär. Alle namentlich genannten Personen wurden ohnehin bereits in den USA oder den Niederlanden angeklagt. Und dass Sanktionen gegen die Cybertruppen des russischen Auslandsgeheimdiensts GRU alleine irgendeine Wirkung zeitigen könnten, ist kaum wahrscheinlich.

EU-intern, vor allem aber in der NATO wird die Aktion aber als erster großer Schritt zu einer internationalen Allianz gegen marodierende Cybertruppen unfreundlich gesinnter Mächte angesehen. Hinter der scheinbar willkürlichen Auswahl der Sanktionierten steckt nämlich Methode, die Umsetzung folgt der neuen EU-Strategie zur Cyberabwehr, die seit 2017 entwickelt wird. Dahinter steht ein wachsendes diplomatisches Regelwerk für gutes Benehmen bei der Spionage im Cyberspace.

Text

EU

Auszug aus dem Cyber-Security Framework der EU. Darin werden „Normen verantwortungsvollen staatlichen Verhaltens“ definiert, bei deren Missachtung Sanktionen drohen.

Werkzeugkiste als Cyber-Knigge für Agenten

Die neue westliche Strategie, auf Cyberattacken mit Gegenangriffen auf der Informationsebene zu reagieren, hatte bei der Premiere im Oktober 2018, als vier russische Agenten erwischt wurden, bestens funktioniert (siehe unten).

Den Beginn der Strategieentwicklung markierte die sogenannte „Cyber Diplomacy Toolbox“, eine Art Eskalationsplan für Strafmaßnahmen, der potenzielle Angreifer dazu bringen sollte, den möglichen Schaden durch Sanktionen bei ihren Angriffsplänen mitzurechnen. Eine erste konkrete Maßnahme wurde erst zwei Jahre danach beschlossen und zwar die, dass auf Unionsebene überhaupt Sanktionen gegen Cyberangreifer möglich werden. Sanktionierbar waren bis dahin nur Delikte im Zusammenhang mit der Verbreitung atomarer bzw. chemischer Waffen, 2019 wurde dies um bestimmte Formen von Cyberangriffen erweitert.

Die Zusammenstellung dieses Sanktionskatalogs zielt denn auch weniger auf konkrete Gerichtsverfahren gegen Personen ab. Da es die allerersten solchen Sanktionen der EU auf diesem neuen, noch nicht definierten Territorium sind, hat die Aufzählung іn erster Linie programmatischen Charakter. Dabei geht es nicht gegen Spionage per se, denn Abteilungen zur „Nachrichtenaufklärung“ finden sich in jeder Armee weltweit, sondern gegen Vorgangs- und Verhaltensweisen dabei, die für die Union nicht tolerierbar sind.

Text

EU

Die Sanktionen gegen das "Zentrum für spezielle Technologien des Geheimdienstes GRU sowie gegen ein nordkoreanische Tarnfirma wegen der Angriffe mit WannaCry und NotPetya finden sich am Schluss der Sanktionsliste.

WannaCry, NotPetya und Schadsoftware der NSA

Das letzte in der Serie von Leaks der „Shadow Brokers“ im April 2017 enthielt neben EternalBlue eine Reihe von weiteren Angriffsprogrammen der NSA.

Die verheerenden Angriffe mit den verwandten Schadsoftwares „Wannacry“ und „NotPetya“ vor allem auf Europa und die USA 2017 hatten dazu den Anstoß gegeben, denn diese beiden Angriffe reichten nahe an einen kriegerischen Akt heran. Sowohl der Nordkorea zugeschriebene Angriff mit „WannaCry“ wie auch die „NotPetya“-Schadsoftware des GRU kamen „getarnt“ als Ransomware zur Erpressung durch Verschlüsselung von Daten daher. Tatsächlich waren es ausgewachsene „Wiper“-Angriffe, die darauf abzielten, so viele Rechner wie möglich unbrauchbar zu machen, denn verschlüsselt wurden nicht die Inhalte, sondern jeweils das gesamte Betriebssystem.

Die ganze Problematik dieses Zwielichtsektors zeigt sich an der Tatsache, dass die Kernfunktion des Angriffs von ein- und demselben Stück Schadsoftware exekutiert wurde, das weder aus Russland noch aus Nordkorea stammte, sondern aus den USA. Drei Monate davor, im April 2017 hatte eine bis heute nicht näher bekannte Gruppe, die sich „The Shadow Brokers“ nannte, ein ganzes Arsenal von Schadsoftware geleakt, das von der NSA stammte. Darunter fand sich ein laut Analysten meisterhaft geschriebenes Spionage-Tool namens „EternalBlue“, das freilich umfunktioniert wurde. Seine Kernfunktion, benachbarte Rechner im Netz zu übernehmen, wurde automatisiert und mit einem Selbstverbreitungsmechanismus und einer Verschlüsselungsfunktion auffrisiert.

Code

CC BY 3.0 AT von Erich Möchel

Dieser Ordner zeigt das gesamte verschlüsselte Dateikonvolut der „Shadow Brokers“, wie es veröffentlicht wurde. Die rot markierte Datei ist bereits entschlüsselt, aber noch komprimiert. Blau ist der Ordner mit sämtlichen 136 MB der Schadsoftware.

So wurde etwa im Netz des internationalen Transportlogistikers Maersk ein Rechner nach dem anderen erst verseucht, dann verschlüsselt. Dabei wurden die Betriebssysteme zerstört. Weiters betroffen waren industrielle Großkaliber wie der Pharmakonzern Merck, der französische Baustoffriese Saint-Gobain, auch das britische Gesundheitssystem NHS war schwer betroffen. Die Analysten gingen danach von Schäden an die zwanzig Milliarden Dollar durch die beiden Angriffe aus, die rund um die Welt passierten. Laut dem Sanktionsdokument der EU gingen diese Angriffe auf das Konto der berüchtigten GRU-Abteilung „Sandworm Group“ bzw. der notorischen „Lazarus Group“ aus Nordkorea.

Deutschland mit Sanktionen vorgeprescht

Der im Mai 2016 entdeckte Angriff auf den deutschen Bundestag hatte schwerwiegende Folgen, erst jetzt wurden dafür Sanktionen verhängt.

Der ebenfalls einer GRU-Einheit, nämlich APT28 („Fancy Bear“) zugeschriebene Angriff auf den Deutschen Bundestag 2016 fällt in dieselbe Kategorie, nämlich unter „Cybervandalismus“. In der aktuellen Sanktionsliste ist dieser Angriff nicht aufgeführt. Vier Jahre nach dem Angriff auf den Bundestag hatte die deutsche Bundesregierung im Juli die Verhängung von Sanktionen gegen ein Mitglied von „Fancy Bear“ namens Dimitri Badin verkündet, der wegen Beteiligung am Angriff auf die Präsidentschaftswahlen 2016 auch in den USA auf den Fahndungslisten steht.

Dabei wurde das Netz des Deutschen Bundestags bis hinauf zu Bundeskanzlerin Angela Merkel mit einer heimtückischen Schadsoftware verseucht, die auch außerhalb des Betriebssystems, nämlich auf das BIOS zugriff und sich dort versteckte. Da nicht auszuschließen war, dass auch andere Hardware wie etwa Flashspeicher betroffen sein könnten, entschloss man sich für Generalaustausch der Hardware. Betroffen waren über 20.000 Rechner, die Arbeit des Deutschen Bundestags war davon monatelang eingeschränkt. Es ist mit Sicherheit davon auszugehen, dass die Angreifer wussten, welch gewaltigen Schaden sie damit anrichten würden.

NATO Wifi Hacking

NATO

Auf dieser Folie der NATO sieht man, was „technische Experten aus Russland bei ihren routinemäßigen Geschäftsbesuchen im Westen“ so an Technik zum Einsatz bringen. In diesem Fall hatten sie in einem Wagen neben dem Tagungsort einen leistungsfähigen WLAN-Accesspoint mit einer Website aufgesetzt, die vom Login-Formular bis zur Adresse dem offiziellen Konferenz-WLAN täuschend ähnlich sah.

Ferner sanktioniert wurden

Die ersten Leaks eines ganzen Archivs von Schadsoftware der NSA waren im Sommer 2016 wie aus dem Nichts gekommen.

Ferner sanktioniert wurden vier russische Staatsbürger, die als mobile Kommandoeinheit des GRU reihenweise internationale Konferenzen und Gremien mit Schadsoftware angegriffen hatte. Beim Angriff auf eine Tagung der Organisation zur Chemiewaffenkontrolle (OPCW) im Frühjahr 2018 wurden die vier in flagranti erwischt, festgenommen und auf einer Pressekonferenz von EU-Spitzendiplomaten, Außen- und Justizministern öffentlich blamiert. Es war die erste solche Aktion, die nach dem Regelwerk der „Cyber Diplomacy Toolbox“ bei Cyberangriffen aufgebaut war: Entdecken, abwehren, identifizieren und - mit viel Trommelwirbel - die Weltöffentlichkeit alarmieren. Der russische Außenminister Sergei Lavrov nannte das postwendend „Megaphon-Diplomatie“.

Zuletzt wurde ein chinesischer Staatsbürger auf die Liste gesetzt, der einer Cybertruppe namens APT 10 angehören soll, die berüchtigt für Wirtschaftsspionage ist. Der Truppe wird vorgeworfen, systematisch große Firmen aus dem IT-Sektor des Westens anzugreifen und die gestohlenen Informationen über technische Innovationen und Produktionsprozesse direkt an die Konkurrenten in China weiterzugeben. APT 10 landete deshalb auf der EU-Sanktionsliste, weil auch Unternehmen aus mehreren EU-Staaten die Leidtragenden waren.

Welche Cyberdelikte nun sanktionierbar sind

Wie man sieht, sind es im Wesentlichen drei Vorgangsweisen von Cyberangreifern, die in der EU dezidiert nicht unter „verantwortungssvolles staatliches Verhalten“ fallen. Zum einen sind das „Cybervandalismus“-Angriffe mit Zerstörungssoftware, die sich selbst unkontrolliert verbreitet, wie in den Fällen WannaCry und NotPetya. Ein ebensolches „No-Go“ für Cyberangreifer sind Spionageangriffe mit Diebstahl von Geschäftsgeheimnissen, um sie an konkurrierende Industrien im eigenen Land weiterzugeben.

Das dritte Delikt, das Sanktionen mit sich bringt, sind Angriffe auf internationale Organisationen, um deren Beschlüsse zu manipulieren. Dass diese neuen Sanktionen allein dazu führen werden, dass es an den Cyberfronten mittelfristig ruhiger und gesitteter zugehen wird, glauben die Autoren dieses Sanktionsbeschlusses auch selber nicht. Darin ist nämlich von einem „ersten Schritt“ die Rede. Von der EU werden also weitere Maßnahmen in naher Zukunft zu erwarten sein.

Aktuell: