Suchen

IT-Sicherheit Krieg im Cyberspace: Wie gut geschützt ist Deutschland?

| Redakteur: Jürgen Schreier

Australien wurde kürzlich zur Zielscheibe eines groß angelegten Cyberangriffs durch einen, wie es heißt, anderen Staat. Der Fall zeigt, dass Angriffe und hybride Bedrohungen aus dem Cyberraum längst Realität geworden sind. Wie gut geschützt sind kritische Infrastrukturen in Deutschland gegen solche Attacken? Drei Experten geben Auskunft.

Tonnenschwere Kampfroboter, die durch apokalyptische Landschaften stapfen, gibt es nur in Scifi-Filmen. Der moderne Krieg findet im Internet statt.
Tonnenschwere Kampfroboter, die durch apokalyptische Landschaften stapfen, gibt es nur in Scifi-Filmen. Der moderne Krieg findet im Internet statt.
(Bild: gemeinfrei / Pixabay )

Vor wenigen Tagen verkündete Australiens Premierminister Scott Morrison einen „massiven“ staatlich gelenkten Cyber-Angriff auf sein Land. Wer die Angreifer aus dem Cyberraum sind, sagte er nicht. Doch nicht nur in Down Under sind Angriffe und hybride Bedrohungen aus dem Cyberraum längst Realität. Wir wollten wissen: Sind „kritische Systeme und Infrastrukturen“ in Deutschland ausreichend vor Angriffen aus dem Cyberraum geschützt? Wie schnell können wir auf ein hybrides Szenario reagieren und welche rechtlichen sowie völkerrechtlichen Grundsätze gelten im Cyberraum?

Für das In-Depth-Special „Im Visier - Die Bedrohung aus dem Cyberraum“ sprach Sven Lilienström, Gründer der Initiative Gesichter des Friedens, mit dem Inspekteur des Kommandos Cyber- und Informationsraum Ludwig Leinhos, dem Leiter der Abteilung „Cyber Analysis & Defense“ am Fraunhofer-Institut Prof. Dr. Elmar Padilla sowie dem Vorstandsvorsitzenden der DE-CIX Group AG Harald Summa.

Der neue Organisationsbereich Cyber- und Informationsraum (CIR) soll Angriffe auf die digitale Infrastruktur der Bundeswehr verhindern. Wer sind die Angreifer und sind Sie auch auf „Worst-Case-Szenarien“ vorbereitet?

Ludwig Leinhos: Die Frage nach den möglichen Angreifern wird mir häufiger gestellt. Hierzu muss man wissen, dass die Attribuierung von Angriffen im Cyberraum eine besondere Herausforderung darstellt. Mit den heute verfügbaren technischen Möglichkeiten können Angreifer ihre Handlungen nämlich besonders gut verschleiern. Bei den permanenten - oftmals automatisierten - Angriffsversuchen auf das IT-System der Bundeswehr gibt es eine Vielzahl potenzieller Täter und verschiedenste Motive. Die Angreifer decken das gesamte Spektrum ab, vom klassischen Hacker über Kriminelle bis hin zu staatlichen Stellen.

Schwerpunkt unserer Aktivitäten ist jedoch ein anderer: Absolute Priorität hat der Schutz und Betrieb der Bundeswehr-Systeme, also die unmittelbare Abwehr von Angriffen, während das Identifizieren der Angreifer angesichts der dargestellten Herausforderungen komplex und eher im gesamtstaatlichen Kontext zu betrachten ist.

Ob wir gut vorbereitet sind? Ja, wir besitzen die entsprechende konkurrenzfähige technische Ausstattung und halten diese stetig aktuell, ebenso wie die Expertise unserer Mitarbeiter. Lassen Sie mich an dieser Stelle einmal die unterschiedlichen Zuständigkeiten im Bereich der Cybersicherheit in Deutschland kurz darstellen. Ich kann auf der Basis die Aufgaben der Bundeswehr und somit auch diejenigen meines Organisationsbereichs Cyber- und Informationsraum besser erläutern und abgrenzen.

Cybersicherheit - also der Zustand, wenn die Risiken im Cyberraum auf ein akzeptables Maß reduziert sind - ist in Deutschland eine gesamtstaatliche Aufgabe. Das legt das aktuelle Grundlagendokument der deutschen Sicherheitspolitik, das Weißbuch 2016, fest. Innere und äußere Sicherheit fallen im Cyberraum so eng zusammen wie in keinem anderen Handlungsfeld, dies schließt auch den Schutz kritischer Infrastrukturen ein.

Gleichzeitig gibt es im gesamtstaatlichen Ansatz aber unterschiedliche Zuständigkeiten. So liegt die Federführung für die Cyber-Sicherheitsstrategie Deutschlands beim Bundesministerium des Innern, dort werden zugleich die Cyber-Abwehr und der Schutz ziviler Infrastrukturen verantwortet. Das Auswärtige Amt gestaltet die internationale Cybersicherheitspolitik, während das Bundesministerium der Verteidigung die Cyber-Verteidigung verantwortet.

Die Bundeswehr ist bei der militärischen Einsatz- und Operationsführung im besonderen Maß auf die Verfügbarkeit, Vertraulichkeit und Integrität von Daten, IT-basierten Diensten und vernetzter Infrastruktur angewiesen. Auf dem Schutz und Betrieb der eigenen Systeme im In- und Ausland liegt daher das Hauptaugenmerk der Cyber-Verteidigung durch die Bundeswehr.

Wir müssen uns aber auch darauf einstellen, dass zukünftige Konflikte wesentlich durch Maßnahmen in der Dimension des Cyber- und Informationsraums geprägt werden.

Um die Sicherheit der eigenen Systeme zu gewährleisten, können daher neben präventiven Schutzmaßnahmen auch reaktive und aktive Operationen im Cyber- und Informationsraum notwendig sein. Solche CIR-Operationen können eigenständig oder unterstützend angelegt sein. Auch diese Fähigkeiten müssen wir vorhalten.

Die Interviewpartner

Der Generalleutnant - Ludwig Leinhos (64): Inspekteur des Kommandos Cyber- und Informationsraum CIR der Bundeswehr, Diplom-Ingenieur Elektrotechnik, seit 1975 Angehöriger der Bundeswehr

Der Wissenschaftler - Prof. Dr. Elmar Padilla (40): Leiter der Abteilung „Cyber Analysis & Defense“ am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, seit März 2020 Professur an der Hochschule Bonn-Rhein-Sieg (H-BRS), Autor von rund 75 Fachpublikationen

Der Unternehmer - Harald Summa (66): Vorstandsvorsitzender der DE-CIX Group AG, Gründer und Hauptgeschäftsführer von eco - Verband der Internetwirtschaft e.V., Diplom-Kaufmann

Im Weißbuch 2016 ist die Rede von „offensiven Hochwertfähigkeiten“ als Instrument der Cyberverteidigung. Auf welcher rechtlichen sowie völkerrechtlichen Grundlage basieren Ihre Operationen im Cyberraum?

Ludwig Leinhos: Für den Einsatz militärischer Cyber-Fähigkeiten gelten dieselben völker- und verfassungsrechtlichen Rahmenbedingungen wie für den Einsatz anderer militärischer Fähigkeiten auch. Die Bundeswehr ist eine Parlamentsarmee und daher gelten die Regelungen selbstverständlich auch für CIR-Operationen. Konkret bedeutet das: CIR-Operationen können vergleichbar zu konventionellen militärischen Einsätzen grundsätzlich im Rahmen der Landes- und Bündnisverteidigung sowie im Rahmen mandatierter Auslandseinsätze, oder im Rahmen der Amtshilfe durchgeführt werden.

Dabei leisten unsere Fähigkeiten entweder einen Beitrag als Schutz- und Warnfunktion und zur Unterstützung laufender Operationen der Bundeswehr, oder werden als eigenständige CIR-Operation erbracht.

Diese können beispielsweise den zielgerichteten und koordinierten Einsatz von entsprechender Software umfassen, um gegnerische Systeme aufzuklären oder auch gegen sie zu wirken. So könnten beispielsweise die Integrität wichtiger Daten aufgehoben oder die Verfügbarkeit wichtiger Führungs- und Informationssysteme des Gegners einschränkt werden.

Letztes Jahr forderten Sie eine rechtliche Regelung für den „digitalen Verteidigungsfall“. Was verstehen Sie darunter und sind wir aktuell in der Lage, schnell auf ein hybrides Szenario zu reagieren?

Ludwig Leinhos: Die von mir eingeführte Bezeichnung „digitaler Verteidigungsfall“ ist nicht mit dem grundgesetzlich geregelten militärischen Verteidigungsfall gleichzusetzen - auch nicht, wenn dieser durch Cyberangriffe ausgelöst würde.

Der „digitale Verteidigungsfall“ ist vielmehr eine schlagwortartige Beschreibung einer Situation, bei der es in Deutschland zu massiven Störungen durch Cyber-Angriffe kommt. Diese können beispielsweise große wirtschaftliche Schäden hervorrufen, Einschränkungen bei der Versorgung der Bevölkerung auslösen oder Einschränkungen der staatlichen Handlungsfähigkeit bewirken. Dabei bleiben die Angriffe und Auswirkungen jedoch noch unterhalb der Schwelle, die einen klassischen Verteidigungsfall auslösen würde.

Um in diesem Fall die Schäden zu minimieren und die volle Funktionsfähigkeit des Staates schnellstmöglich wiederherzustellen, ist ein verzugsloses, koordiniertes und effektives Handeln erforderlich. Hier kommt es buchstäblich auf Minuten an. Die derzeitigen Prozesse des Bundes und der Länder sind darauf nur bedingt ausgerichtet.

Ziel muss es also sein, den Staat für eine solche Situation bestmöglich aufzustellen. Hierfür müssen nach meiner Auffassung vor allem Verfahren und Prozesse staatlicher Stellen angepasst werden. In die Zuständigkeiten von Behörden und Ressorts soll dabei nicht eingegriffen werden, sondern die Fähigkeiten staatlicher Institutionen bestmöglich ineinandergreifen und genutzt werden. Die Bundeswehr könnte in einer solchen Situation beispielsweise im Rahmen der Amtshilfe mit Cyberabwehrexperten aus unseren CERTBw-Teams unterstützen. Nur, erlauben die dahinter liegenden Verfahren ein zeitkritisches Handeln?

Ich erachte es darüber hinaus als unabdingbar, dass im Falle eines hybriden Angriffs alle relevanten Akteure - Staat, aber auch Wirtschaft und Wissenschaft - zusammenarbeiten. Wir müssen uns miteinander vernetzen, um im Fall der Fälle hinreichend reaktionsfähig zu sein, und zwar über alle berechtigten Zuständigkeitsgrenzen hinweg. Bereits 2011 wurde in Deutschland, unter Federführung des Bundesamtes für Sicherheit in der Informationstechnik, das Nationale Cyber-Abwehrzentrum (NCAZ) als erstes Forum für die Zusammenarbeit staatlicher Stellen im Kontext Cybersicherheit geschaffen. Dieses wird aktuell zu einer ressortübergreifenden, operativen Institution unter Beteiligung aller relevanten Akteure weiterentwickelt - eine wesentliche Voraussetzung dafür, die Handlungsfähigkeit Deutschlands auf diesem Gebiet in Zukunft zu gewährleisten.

Die Grundlagen sind damit gelegt. Eine erste vernetzte Handlungsfähigkeit ist gegeben, ein erstes gemeinsames Lagebild existiert. Wir haben eine „Cyber-Sicherheitslage Deutschland“. Auch mein Organisationsbereich CIR bringt sich prominent in das NCAZ ein. Wir liefern aus unserem „Gemeinsamen Lagezentrum“ im KdoCIR einen relevanten Lagebeitrag und haben permanent Mitarbeiter für die Lageauswertung im NCAZ abgestellt. Insgesamt lässt sich also sagen: Wir sind gesamtstaatlich auf dem richtigen Weg, haben aber auch noch erhebliche Hausaufgaben zu erledigen, um allen Herausforderungen eines hybriden Szenarios gerecht zu werden.

Herr Prof. Padilla, Ihre Abteilung widmet sich dem Schutz kritischer Systeme und Infrastrukturen. Was genau sind „kritische Systeme und Infrastrukturen“ und sind diese in Deutschland ausreichend vor Cyber-Angriffen geschützt?

Elmar Padilla: Unter kritischen Systemen und Infrastrukturen verstehe ich alle Systeme und Infrastrukturen, deren Ausfall oder Fehlfunktion zu existenzbedrohenden Risiken führen. Risiken für finanzielle Existenzen schließe ich hier explizit mit ein. Ein Beispiel für eine solche kritische Infrastruktur mit vielen kritischen Systemen ist die Energieversorgung.

Im internationalen Vergleich sehe ich den Schutz kritischer Systeme und Infrastrukturen in Deutschland auf einem guten Niveau. Das heißt aber natürlich nicht, dass es hier keinen Verbesserungsbedarf gibt. Wir bewegen uns aber auch in einem Umfeld, in dem es Angreifer und Verteidiger gibt. Hier besteht also eine hohe Dynamik und entsprechend ein kontinuierlicher Bedarf daran, Schutzmaßnahmen anzupassen und weiterzuentwickeln.

Laut dem Entwurf für das IT-Sicherheitsgesetz 2.0 soll das BSI mehr Kompetenzen erhalten. Brauchen wir eine „aktive Cyber-Abwehr“ und welche rechtlichen Rahmenbedingungen müssten hierzu geschaffen werden?

Elmar Padilla: Wenn Sie unter „aktiver Cyber-Abwehr“ aktive Maßnahmen zur Gefahrenabwehr verstehen, dann brauchen wir diese Maßnahmen. Zum Beispiel im Bereich der Bekämpfung von Botnetzen hat es sich als sehr effektiv erwiesen, infizierte Systeme auf so genannte Sinkholes umzuleiten. Mit den nun angedachten erweiterten Kompetenzen für das BSI eigene Sinkholes zu betreiben und der Verpflichtung der Provider zum Umlenken von C&C-Domänen auf solche vom BSI betriebene Sinkholes gehen wir einen großen Schritt in die Richtung eines sichereren und friedlicheren Internets.

Da ich kein Jurist bin, möchte ich zu den notwendigen rechtlichen Rahmenbedingungen nicht Stellung beziehen.

Stichwort hybride Bedrohungen: Der Cyberraum ist auch ein bevorzugter Operationsraum hybrider Akteure. Was sind „hybride Bedrohungen“ und wie groß ist das Gefährdungspotential in Deutschland?

Elmar Padilla: Zum ersten Teil der Frage gibt es eine gute Erläuterung vom BMVg. Charakteristisch ist demnach eine Kombination aus den verschiedenen Mitteln: klassische Militäreinsätze, wirtschaftlicher Druck, Computerangriffe und Propaganda. Wir sehen seit längerer Zeit eine Vielzahl an gezielten Cyber-Angriffen zum Zwecke der Spionage und Sabotage. Zusätzlich sehen wir Desinformationskampagnen und Versuche, die öffentliche Meinung zu beeinflussen. Dies sind also leider keine vagen Bedrohungen mehr, sondern ist längst Realität. Deshalb sehe ich das Gefährdungspotential durch hybride Bedrohungen, insbesondere mit dem Hintergrund Deutschlands Wirtschaftskraft und das Vertrauen in unsere freiheitliche demokratische Grundordnung zu schwächen als sehr hoch an.

Umso wichtiger sind deshalb zum einen die Forschung an effektiven Schutzmaßnahmen und zum anderen eine entsprechende Unterstützung und Befähigung unserer für den Schutz vor solchen Bedrohungen zuständigen Organe.

Der „Deutsche Commercial Internet Exchange“ (DE-CIX) ist der größte Internetknoten der Welt und gilt als Kritische Infrastruktur. Wie schützen Sie sich vor Cyber-Angriffen und was, wenn diese unbemerkt bleiben?

Harald Summa: Internetknoten wie die DE-CIX-Plattformen sind innerhalb einer Metroregion auf eine Vielzahl von Rechenzentren verteilt. Die Infrastruktur des DE-CIX in Frankfurt erstreckt sich diesbezüglich beispielsweise auf über 30 Rechenzentren im Rhein-Main-Gebiet. Dadurch kann DE-CIX eine hohe Ausfallsicherheit und Verfügbarkeit garantieren und DE-CIX-Kunden erreichen alle angeschlossenen Netzwerke, egal in welchem Rechenzentrum sie sind. Seit Jahrzehnten ist so beispielsweise der Internetknoten DE-CIX Frankfurt ohne plattformweiten Ausfall verfügbar. Durch die direkte Verbindung zu bis zu mehreren hundert Netzwerken gleichzeitig können Netzwerke überfüllte Transit-Routen meiden und kosteneffizient die Daten auf direktem Weg übertragen. Insgesamt verbessert sich durch die direkte Datenübertragung und die dadurch wesentlich kürzeren Wege, die Datenpakete nehmen, die Netzwerkqualität aller an den Internetknoten angeschlossenen Netzwerke.

Im März wurde am DE-CIX ein Datendurchsatz von 9,1 Terabit pro Sekunde gemessen. Die Schattenseite: Unzählige DDoS-Angriffe und kaum wirksame Gegenmaßnahmen. Machen wir es den Angreifern zu leicht?

Harald Summa: Generell ist das Thema Bewältigung von DDoS (Distributed Denial-of-Service) Attacken ein sehr wichtiges, selbstverständlich auch bei uns. DE-CIX verfügt diesbezüglich über ein internes Forschungsteam, das in enger Zusammenarbeit mit der Industrie und akademischen Partnern daran arbeitet, neuartige technische Möglichkeiten und Lösungen zu suchen, die die Innovation des Marktsegments und die Entwicklung eines Internetknotens der nächsten Generation weiter vorantreiben. Dazu gehören auch durch Drittmittel finanzierte Projekte der öffentlichen Hand; unter anderem liegt der Fokus auf der Erkennung und Eindämmung von DDoS-Angriffen.

Hierzu ein aktuelles Beispiel: DE-CIX hat gemeinsam mit einem internationalen Team von Wissenschaftlern eine Studie veröffentlicht, die erstmalig die Auswirkungen von DDoS-Angriffen, sowie die Effekte von polizeilichen Gegenmaßnahmen untersucht. So wurde festgestellt, dass jeder Internetnutzer Cyber-Angriffe für weniger als 18 Euro (20 US-Dollar) beauftragen und durchführen lassen kann. Für die Studie wurde eigens eine Messinfrastruktur aufgebaut, DDoS-Angriffe von DDoS-Dienstleistern - sogenannte „Booter“-Webseiten - gekauft und damit das eigene System angegriffen. Das Forscherteam analysierte darüber hinaus die Auswirkungen der internationalen Polizeimaßnahmen vom Dezember 2018 gegen DDoS-Dienstleister. Diesbezüglich wurden 15 Booter-Webseiten im Rahmen einer Aktion des FBI und der niederländischen Polizei vom Netz genommen, ohne nachhaltigen Erfolg. Am Projekt waren Forscher des DE-CIX, der BENOCS GmbH, der Brandenburgischen Technischen Universität Cottbus-Senftenberg, der Universität Twente und des Max-Planck-Instituts für Informatik in Saarbrücken beteiligt.

Dabei konnten wir eine nachhaltige Verbesserung der Sicherheitslage in Bezug auf DDoS-Aktivitäten im Internet als Folge der polizeilichen Gegenmaßnahmen vom Dezember 2018 nicht verzeichnen. Nach ungefähr sechs Tagen war die Frequenz der Angriffe schon wieder auf altem Niveau von durchschnittlich fünfzig NTP (Network Time Protocol) DDoS-Angriffen pro Stunde - die Maßnahmen hatten einen Abfall auf dreißig Angriffe pro Stunde bewirkt.

Aus diesen Ergebnissen ist ein weiteres Forschungsprojekt entstanden, das vom Bundesministerium für Bildung und Forschung gefördert wird. Der Fokus liegt hierbei auf Technologien der künstlichen Intelligenz und wie sich diese eignen, um DDoS-Angriffe direkt im Kern des Internets, am Internetknoten, zu erkennen und um neuartige, effektive Schutzmaßnahmen zu entwickeln. Das Projekt läuft bis Mitte 2022.

Über die mittel- und langfristige Forschung stellt DE-CIX bereits seit Jahren seinen Kunden einen sehr effizienten Service namens „Blackholing“ kostenlos zur Verfügung. Beim Blackholing blockiert DE-CIX die Datenwellen, die bei DDoS-Angriffen entstehen, möglichst nah an der Quelle. Sie werden abgefangen, bevor sie ihr Ziel erreichen. Das wird an Internetknoten wie dem DE-CIX gemacht. Dort können sehr viele Datenströme gleichzeitig vor DDoS-Attacken geschützt werden, weil dort verschiedene Netzwerke zusammentreffen und hunderte Anbieter beim Peering ihre Daten austauschen.

Die Peering-Partner melden verdächtigen Datenverkehr in ihrem Netzwerk an den DE-CIX, der am nächsten an der Quelle des Angriffs liegt. Die Daten, die zur DDoS-Attacke gehören, werden dann markiert, an der DE-CIX Plattform gestoppt und aus dem Netz ausgefiltert und vernichtet, wie bei einem Schwarzen Loch - daher der Begriff „Blackholing“. So werden die Daten der DDoS-Welle aussortiert, während der erwünschte Datenverkehr weiterhin ungestört passieren kann.

Der BND kann täglich 1,2 Billionen Verbindungen am DE-CIX abzweigen. Noch, denn jetzt erklärte das BVerfG - in Ihrem Sinne - dies für verfassungswidrig. Aber: Gefährdet das Urteil nicht auch die Sicherheit des DE-CIX?

Harald Summa: Wir haben das Urteil des ersten Senats des Bundesverfassungsgerichts über die Verfassungsbeschwerden einer Reihe journalistischer Organisationen - wie Reporter ohne Grenzen (ROG), die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Journalisten-Verband (DJV) - gegen das 2017 in Kraft getretene BND-Gesetz mit großem Interesse zur Kenntnis genommen. Die Neuregelung des 2017 in Kraft getretenen BND-Gesetzes war von Anfang an höchst umstritten, es bestanden erhebliche Zweifel an der Verfassungskonformität.

DE-CIX als Empfänger von Anordnungen des BND zur Ausleitung von Daten auf Basis des dort angegriffenen Gesetzes hat großes Interesse an einer Klärung dieser Vorgehensweise. Aus diesem Grunde haben wir selbst bereits 2018 gegen diese Anordnungen Klage beim Bundesverwaltungsgericht in Leipzig eingereicht, ein Verfahren welches dort ohne jede inhaltliche Prüfung bis zu einer Entscheidung des Bundesverfassungsgerichts über die hier gegenständliche Klage ausgesetzt wurde.

Wir sehen uns gegenüber unseren Kunden in der Pflicht darauf hinzuwirken, dass eine anlasslose Fernmeldeüberwachung ihrer Telekommunikation ausschließlich in rechtmäßiger, vom Gesetzgeber vorgesehener und zugleich mit den Grundrechten der Bürger vereinbarer Weise stattfindet.

Das Bundesverfassungsgericht hat mit seiner Entscheidung die Gelegenheit ergriffen, mit einem Grundsatzurteil den Überwachungsbefugnissen von Nachrichtendiensten klare Grenzen zu setzen und der Bundesregierung Vorgaben für eine verfassungskonforme Ausgestaltung zu machen. Der Gesetzgeber ist nun aufgefordert, das BND-Gesetz bis Ende 2021 nachzubessern und die vom Gericht geforderten verfassungsrechtlich gebotenen Korrekturen vorzunehmen.

Erkennbar ist bereits jetzt, dass seitens des Bundesverfassungsgerichts eine deutlich umfassendere, unabhängige und vor allem vorab erfolgende Kontrolle der Überwachungsmaßnahmen des Dienstes gefordert wird. Auch diese Forderung deckt sich mit den von DE-CIX erkannten Mängeln der bisherigen Praxis.

Eine vollständige Analyse der Entscheidung des Bundesverfassungsgerichts und seiner Auswirkungen auf die künftige Gesetzgebung, welche auch den DE-CIX erneut betreffen wird, wird uns erst nach genauer Durchsicht der vollständigen schriftlichen Urteilsbegründung möglich sein. Einfach wird die Umsetzung der umfassenden Auflagen jedoch in keinem Fall werden.

Vielen Dank für die Interviews!

Quelle: Initiative Gesichter des Friedens

(ID:46664288)