Deutsche Dienste und die NSA

NATIONALE CYBERFÄHIGKEITEN

Von Florian Oelmaier und Friedrich Wimmer

Im grenzenlosen Cyberraum existieren keine Logistik-, Nachschub- oder Versorgungsprobleme wie in traditionellen Armeen. Cyberattacken skalieren gut, Teamarbeit macht sowohl Angriff als auch Verteidigung effizienter.

In den klassischen Armeedisziplinen (Land, Meer, Luft) spielen Transport, Logistik, Nachschub und Versorgung eine große Rolle; die Komplexität dieser Aufgaben steigt überproportional zur Personalstärke. Da solche Themen im Cyberraum keine Bedeutung haben, gilt hier die Formel „Der Größere gewinnt“ umso mehr.

Hinzu kommt, dass die Fähigkeiten einzelner Topleute im Cyberraum gut von anderen, weniger qualifizierten Cyber- Soldaten dupliziert werden können. Dieses Muster wird in den aktuellen Angriffen ebenso deutlich wie in der organisierten Kriminalität. Ein Tophacker entwickelt ein Vorgehen, zeigt dies dann einer Gruppe von Leuten, die wiederum diese Methodik – situationsbedingt manchmal leicht abgeändert – breit gefächert auf hunderte Ziele anwenden. Ähnliches gilt auch für die Verteidigung. Wurde ein Angriff einmal entdeckt und analysiert, ist er meist leicht zu kontern – sofern die Verteidigung schnell genug in die Fläche gebracht werden kann.

Dementsprechend ist im Cyberraum eine Zusammenarbeit in Allianzen besonders effektiv. Dies setzt natürlich großes gegenseitiges Vertrauen voraus, weil dadurch die eigenen Angriffs- und Verteidigungsmethoden verraten werden.

Die Zusammenarbeit der westlichen Geheimdienste wird zwangsläufig von der NSA organisiert. Das Prinzip ist „Quid pro quo“. Will ein kleinerer Dienst von den Daten und Auswertungen der NSA profitieren, muss er dafür Daten aus seinen Lokationen sowie seine Fähigkeiten und Zugänge für die NSA und deren Technologien öffnen. So erklärt sich auch der Einsatz von NSA-Technologien bei BND und BfV und die im neuen Anti-Terror-Paket legalisierte Zusammenarbeit mit ausländischen Geheimdiensten.

Die Größe der Cybereinheiten hat aber auch noch einen zweiten, nachgelagerten Effekt. Egal ob direkt bei den Mitarbeitern eines Dienstes oder bei den Mitarbeitern von Technologiepartnern, am Ende wird mit den Geldmitteln immer das Know-how von Menschen gefördert – und diese arbeiten über kurz oder lang auch in der freien Wirtschaft. Investitionen in Geheimdienste sind also automatisch auch ein Konjunkturprogramm für IT-Sicherheitsexperten in der Industrie. Eine Volkswirtschaft, die hier ins Hintertreffen gerät, wird auch bezüglich der eigenen Absicherung nicht mehr aufholen können. Innerhalb von privatwirtschaftlichen Strukturen lässt sich ein derart konzentrierter Know-how-Aufbau, wie ihn z. B. die NSA betreibt, nicht organisieren.

DIENSTHERREN IM VERGLEICH

Ohne zu wissen, wie man angreift, kann man nicht wissen, wie man sich verteidigen soll.

Für einen Vergleich der nationalen Fähigkeiten im Cyberraum ist es notwendig, die Aufgaben der Dienste und Cyber-Einheiten zu analysieren.

Drei Abgrenzungen vorweg: Es gibt in vielen Behörden IT-Abteilungen. Jede dieser Abteilungen hat IT-Sicherheitsmitarbeiter die für die operative Absicherung der eigenen Netze verantwortlich sind. Oft werden in den offiziellen Statistiken diese Mitarbeiter als „Cybereinheiten“ gezählt – was natürlich eine gewisse Berechtigung hat. Für diesen Vergleich wurde versucht, diese Mitarbeiter herauszurechnen. Zum anderen erfordern viele klassische nachrichtendienstliche Aufgaben zunehmend IT-Kenntnisse, so dass „Cyberfähigkeiten“ oft in vielen Bereichen eines Dienstes zu finden sind. Für diesen Vergleich werden nur Mitarbeiter gezählt, deren Aufgabengebiet ausschließlich der Cyberraum ist. Zuletzt gibt es natürlich neben den Themen Cyberwar und Spionage auch das kritische und wachsende Thema „Cybercrime“, das der vorliegende Report außen vor lässt.

Ein Indiz für den Aufgabenbereich einer Organisation, ist die Frage nach dem Dienstherren. Dienste, die dem Innenministerium berichten, sind tendenziell eher mit der Verteidigung betraut. Behörden, die an den Regierungschef oder das Außenministerium berichten, sind eher auf das Ausland fokussiert. Berichtet hingegen eine Cybereinheit an den Verteidigungsminister, ist dies meist ein eher offensiv ausgerichteter Bereich.

In den meisten Nationen berichtet der Großteil der Cybereinheiten an den Regierungschef (bzw. im Vereinigten Königreich an den Außenminister mit einer engen Bindung an den Regierungschef).

Ein Sonderfall ist China, wo alle Cyberkräfte in der Armee zusammengezogen sind. Begründung: „Ohne zu wissen wie man angreift, kann man nicht wissen, wie man sich verteidigen soll.“

Die USA gehen hier einen Mittelweg. Das der Armee zugeordnete U.S. Cyber Command (Angriff) und die an das Weiße Haus berichtende NSA (Spionage und Verteidigung) haben per Dekret denselben Chef und arbeiten somit eng zusammen.

Der BND berichtet zwar auch in Deutschland an den Regierungschef, dennoch sind die meisten Cyberkräfte dem Innenminister zugeordnet (BSI, BfV), Auch die geplante Behörde ZITIS, die neben dem BKA und den LKÄ (Fokus Cybercrime) auch das BfV und die LfV unterstützen soll, berichtet an den Innenminister. Teilweise unterhalten die Bundesländer starke eigene Cybereinheiten, allen voran Bayern, das mit dem Cyber Allianz Zentrum (CAZ) beim Landesamt für Verfassungsschutz und mit dem geplanten Landesamt für IT-Sicherheit, signifikante eigene Kräfte unterhält. Dienstherr ist der jeweilige Landesinnenminister.

MITARBEITERZAHLEN IM VERGLEICH

Zählt man die Personen, die sich alleine und hauptamtlich mit dem Thema Cyber beschäftigen, steht Deutschland mit seiner Personalausstattung bei den Cyber-Fähigkeiten vergleichsweise schlecht da.

Etwa 800 Mitarbeiter bei Verfassungsschutz und BSI schützen die Bundesrepublik, dazu kommen etwa 500 Stellen beim BND und dem Kommando „digitale Kräfte“. Demgegenüber stehen geschätzt rund 46.000 Mitarbeiter beim U.S. Cyber Command und der NSA, mindestens 50.000 bei den russischen Nachrichtendiensten und schlimmstenfalls 130.000 beim chinesischen Ministerium für Staatssicherheit. Vergleicht man Deutschland mit dem Vereinigten Königreich, so sind dort allein 6.000 Mitarbeiter beim GCHQ beschäftigt plus etwa 500 Cyber-Spezialisten bei der Royal Army.

Auch wenn genaue Zahlen kaum verfügbar sind, lassen sich Rückschlüsse aus gesicherten Erkenntnissen, z. B. in Pressemitteilungen genannten Stellenzahlen (auch wenn diese noch gar nicht besetzt sind) und Gerüchten aus den letzten vier Jahren, ziehen.

Vor allem die Zahlen zu Russland und China sind Schätzungen, da diese auf einzelnen Quellen beruhen. Das russische FAPSI hatte vor seiner Eingliederung in FSO (als Abteilung SSSI) und FSB vor 13 Jahren etwa 50.000 Mann. Während der Eingliederung verließen viele Experten den Dienst und Russland setzte zunehmend auf private, staatsnahe Hacker. Während des Cyberangriffs auf Estland stellte sich jedoch heraus, dass diese schlecht zu führen sind. Russland baute daher die eigenen Cyberfähigkeiten wieder stärker aus.

Da uns aber die russische organisierte Kriminalität fast täglich vor Augen führt, dass Cyber-Security-Know-how in ausreichendem Maße im Land vorhanden ist, scheint die Größenordnung für Russland realistisch. Russland betreibt zwei Hackerschulen in Woronesch und Moskau, deren Absolventen fast alle in den Staatsdienst übernommen werden. Bezüglich China ist die Lage schwieriger. Die Abteilung 3 beschäftigt viele Sprachexperten, was die Zahlen natürlich in die Höhe treibt. Auch die nach innen gerichtete Überwachung des Internet, Stichwort „great Firewall“, könnte hier angesiedelt sein. Andererseits werden offenbar immer wieder externe Hackergruppen rekrutiert und die Abteilung 4 übernimmt zunehmend Aufgaben im Bereich des Cyberangriffs. Beides wurde in den Zahlen nicht berücksichtigt und könnte diese noch weiter erhöhen.

AUFGABENBEREICHE IM VERGLEICH

Reaktive Verteidigung heißt „aus Schaden klug werden“. Für eine vorausschauende Verteidigung sind Informationen über die Angreifer notwendig.

Vorweg: Gemäß Verlautbarungen dient jede Cybereinheit auf der Welt allein der Verteidigung der eigenen Grenzen, Werte oder Wirtschaft. Die Frage, ab wann eine aggressiv-offensive „Verteidigungsstrategie“ als Angriff interpretiert werden darf, wird dieser Report nicht endgültig klären. Die Grenzen zwischen Angriff und Verteidigung sind im Cyberraum jedoch fließend.

Grundsätzlich werden im Bereich der Computer Network Operations (CNO) drei Fähigkeiten unterschieden. Die klassische Spionage (Computer Network Exploitation – CNE) ist die Grunddisziplin. Sie umfasst das Eindringen in Computer und Netzwerke, die Gewinnung von Rohinformationen, deren Transport in eigene Systeme (Exfiltration) sowie die Bewertung und Aufbereitung der Informationen bzw. die Kombination der Informationen aus verschiedenen Quellen.

Eine gute Informationssammlung ist die Basis für Angriff und Verteidigung gleichermaßen. Je besser man die Cyberfähigkeiten des Gegners kennt (Strategien & Pläne, Ziele, Modus operandi, typische „Cyberwaffen“, IP-Adressen, etc.), umso besser kann man die Verteidigung organisieren. CNE-Operationen sind also notwendig, um die Verteidigung im Cyberraum sicherzustellen. Die NSA trägt dieser Erkenntnis organisationsintern Rechnung und reißt mit der Reorganisation NSA21 die Grenzen zwischen Verteidigung und Spionage nieder.

Ausgehend von der „Spionageabwehr“ ergibt sich die Notwendigkeit für Fähigkeiten im Bereich Computer Network Defense (CND). Dazu gehören die Beobachtung von Angriffen der Gegner, die Erstellung eines Lagebilds und die folgende strategische Planung von Abwehrmaßnahmen. Auch der Bereich der Computer Network Forensics (CNF), also der Aufklärung von Fällen bzw. der Abwehr von laufenden Angriffen, wird zu dieser Fähigkeit gezählt. Die rein operative IT-Sicherheit, d. h. der Aufbau und Betrieb von Sicherheitsfunktionen in Netzwerken (die klassische „IT-Sicherheitsabteilung“), ist darin nicht enthalten.

Die dritte und historisch gesehen jüngste Fähigkeit ist der Cyberangriff (CNA). Mit zunehmender Abhängigkeit der Gesellschaft von IT-Technologien wächst die militärische Bedeutung der Fähigkeit, durch einen Angriff auf feindliche Computersysteme bestimmte Infrastrukturen auszuschalten und so die gegnerischen Fähigkeiten zu reduzieren. Obwohl als Disziplin noch sehr jung, wurden solche Fähigkeiten bereits 2007 in Estland (Stilllegen eines Staates) und 2008, während des Krieges zwischen Russland und Georgien, demonstriert.

In jeder der drei Disziplinen gibt es einen fließenden Übergang zwischen analytischen Fähigkeiten (Auswertung der vorhandenen Informationen) und konkreten technischen Umsetzungen.

Auch hier ist bezüglich der Organisation der Behörden ein deutlicher Unterschied zwischen Deutschland und den USA erkennbar. Die Amerikaner bemühen sich, alle Cyberfähigkeiten möglichst in eine Hand zu geben und die NSA als Dienstleister für alle weiteren Behörden (CIA, Ministerien, etc.) zu etablieren. In Deutschland werden viele Behörden mit einem eher engen Fokus betraut. Diese Klarheit der eigenen Mission erlaubt eine hohe Fokussierung, andererseits sind Ressourcen mit gleichem Know-how über verschiedene Einheiten zersplittert, die nur mühsam miteinander zusammenarbeiten können.


 

Über den Autor
Florian Oelmaier/Friedrich Wimmer
Autor: Florian Oelmaier/Friedrich Wimmer
Florian Oelmaier (Dipl. Inf.) leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Nach seinem Informatikstudium war er an der Entwicklung von Sicherheitstechnologien am Fraunhofer Institut für Integrierte Schaltungen beteiligt und in der Folge als IT-Sicherheitsspezialist bei einer deutschen Großbank tätig.

Friedrich Wimmer (MSc) ist Leiter IT-Forensik und Cyber Security Research, ebenfalls wie sein Mitautor bei Corporate Trust. Seine Spezialgebiete sind die Aufklärung von Ermittlungsfällen im Bereich der Mitarbeiterkriminalität und Industriespionage, sowie die individuelle Konzeption und Etablierung effektiver Strukturen einer sicheren Unternehmensführung. Friedrich Wimmer besitzt einen Mastertitel im Bereich Secure Information Systems. Als Sicherheitsberater befasst er sich mit den Auswirkungen der Informationstechnologien auf Unternehmen und der strategischen Ausrichtung von Cybersicherheit in Unternehmen.
Weitere Artikel