Deutsche Dienste und die NSA

NATIONALE CYBERFÄHIGKEITEN

Von Florian Oelmaier und Friedrich Wimmer

Im grenzenlosen Cyberraum existieren keine Logistik-, Nachschub- oder Versorgungsprobleme wie in traditionellen Armeen. Cyberattacken skalieren gut, Teamarbeit macht sowohl Angriff als auch Verteidigung effizienter.

In den klassischen Armeedisziplinen (Land, Meer, Luft) spielen Transport, Logistik, Nachschub und Versorgung eine große Rolle; die Komplexität dieser Aufgaben steigt überproportional zur Personalstärke. Da solche Themen im Cyberraum keine Bedeutung haben, gilt hier die Formel „Der Größere gewinnt“ umso mehr.

Hinzu kommt, dass die Fähigkeiten einzelner Topleute im Cyberraum gut von anderen, weniger qualifizierten Cyber- Soldaten dupliziert werden können. Dieses Muster wird in den aktuellen Angriffen ebenso deutlich wie in der organisierten Kriminalität. Ein Tophacker entwickelt ein Vorgehen, zeigt dies dann einer Gruppe von Leuten, die wiederum diese Methodik – situationsbedingt manchmal leicht abgeändert – breit gefächert auf hunderte Ziele anwenden. Ähnliches gilt auch für die Verteidigung. Wurde ein Angriff einmal entdeckt und analysiert, ist er meist leicht zu kontern – sofern die Verteidigung schnell genug in die Fläche gebracht werden kann.

Dementsprechend ist im Cyberraum eine Zusammenarbeit in Allianzen besonders effektiv. Dies setzt natürlich großes gegenseitiges Vertrauen voraus, weil dadurch die eigenen Angriffs- und Verteidigungsmethoden verraten werden.

Die Zusammenarbeit der westlichen Geheimdienste wird zwangsläufig von der NSA organisiert. Das Prinzip ist „Quid pro quo“. Will ein kleinerer Dienst von den Daten und Auswertungen der NSA profitieren, muss er dafür Daten aus seinen Lokationen sowie seine Fähigkeiten und Zugänge für die NSA und deren Technologien öffnen. So erklärt sich auch der Einsatz von NSA-Technologien bei BND und BfV und die im neuen Anti-Terror-Paket legalisierte Zusammenarbeit mit ausländischen Geheimdiensten.

Die Größe der Cybereinheiten hat aber auch noch einen zweiten, nachgelagerten Effekt. Egal ob direkt bei den Mitarbeitern eines Dienstes oder bei den Mitarbeitern von Technologiepartnern, am Ende wird mit den Geldmitteln immer das Know-how von Menschen gefördert – und diese arbeiten über kurz oder lang auch in der freien Wirtschaft. Investitionen in Geheimdienste sind also automatisch auch ein Konjunkturprogramm für IT-Sicherheitsexperten in der Industrie. Eine Volkswirtschaft, die hier ins Hintertreffen gerät, wird auch bezüglich der eigenen Absicherung nicht mehr aufholen können. Innerhalb von privatwirtschaftlichen Strukturen lässt sich ein derart konzentrierter Know-how-Aufbau, wie ihn z. B. die NSA betreibt, nicht organisieren.

DIENSTHERREN IM VERGLEICH

Ohne zu wissen, wie man angreift, kann man nicht wissen, wie man sich verteidigen soll.

Für einen Vergleich der nationalen Fähigkeiten im Cyberraum ist es notwendig, die Aufgaben der Dienste und Cyber-Einheiten zu analysieren.

Drei Abgrenzungen vorweg: Es gibt in vielen Behörden IT-Abteilungen. Jede dieser Abteilungen hat IT-Sicherheitsmitarbeiter die für die operative Absicherung der eigenen Netze verantwortlich sind. Oft werden in den offiziellen Statistiken diese Mitarbeiter als „Cybereinheiten“ gezählt – was natürlich eine gewisse Berechtigung hat. Für diesen Vergleich wurde versucht, diese Mitarbeiter herauszurechnen. Zum anderen erfordern viele klassische nachrichtendienstliche Aufgaben zunehmend IT-Kenntnisse, so dass „Cyberfähigkeiten“ oft in vielen Bereichen eines Dienstes zu finden sind. Für diesen Vergleich werden nur Mitarbeiter gezählt, deren Aufgabengebiet ausschließlich der Cyberraum ist. Zuletzt gibt es natürlich neben den Themen Cyberwar und Spionage auch das kritische und wachsende Thema „Cybercrime“, das der vorliegende Report außen vor lässt.

Ein Indiz für den Aufgabenbereich einer Organisation, ist die Frage nach dem Dienstherren. Dienste, die dem Innenministerium berichten, sind tendenziell eher mit der Verteidigung betraut. Behörden, die an den Regierungschef oder das Außenministerium berichten, sind eher auf das Ausland fokussiert. Berichtet hingegen eine Cybereinheit an den Verteidigungsminister, ist dies meist ein eher offensiv ausgerichteter Bereich.

In den meisten Nationen berichtet der Großteil der Cybereinheiten an den Regierungschef (bzw. im Vereinigten Königreich an den Außenminister mit einer engen Bindung an den Regierungschef).

Ein Sonderfall ist China, wo alle Cyberkräfte in der Armee zusammengezogen sind. Begründung: „Ohne zu wissen wie man angreift, kann man nicht wissen, wie man sich verteidigen soll.“

Die USA gehen hier einen Mittelweg. Das der Armee zugeordnete U.S. Cyber Command (Angriff) und die an das Weiße Haus berichtende NSA (Spionage und Verteidigung) haben per Dekret denselben Chef und arbeiten somit eng zusammen.

Der BND berichtet zwar auch in Deutschland an den Regierungschef, dennoch sind die meisten Cyberkräfte dem Innenminister zugeordnet (BSI, BfV), Auch die geplante Behörde ZITIS, die neben dem BKA und den LKÄ (Fokus Cybercrime) auch das BfV und die LfV unterstützen soll, berichtet an den Innenminister. Teilweise unterhalten die Bundesländer starke eigene Cybereinheiten, allen voran Bayern, das mit dem Cyber Allianz Zentrum (CAZ) beim Landesamt für Verfassungsschutz und mit dem geplanten Landesamt für IT-Sicherheit, signifikante eigene Kräfte unterhält. Dienstherr ist der jeweilige Landesinnenminister.

MITARBEITERZAHLEN IM VERGLEICH

Zählt man die Personen, die sich alleine und hauptamtlich mit dem Thema Cyber beschäftigen, steht Deutschland mit seiner Personalausstattung bei den Cyber-Fähigkeiten vergleichsweise schlecht da.

Etwa 800 Mitarbeiter bei Verfassungsschutz und BSI schützen die Bundesrepublik, dazu kommen etwa 500 Stellen beim BND und dem Kommando „digitale Kräfte“. Demgegenüber stehen geschätzt rund 46.000 Mitarbeiter beim U.S. Cyber Command und der NSA, mindestens 50.000 bei den russischen Nachrichtendiensten und schlimmstenfalls 130.000 beim chinesischen Ministerium für Staatssicherheit. Vergleicht man Deutschland mit dem Vereinigten Königreich, so sind dort allein 6.000 Mitarbeiter beim GCHQ beschäftigt plus etwa 500 Cyber-Spezialisten bei der Royal Army.

Auch wenn genaue Zahlen kaum verfügbar sind, lassen sich Rückschlüsse aus gesicherten Erkenntnissen, z. B. in Pressemitteilungen genannten Stellenzahlen (auch wenn diese noch gar nicht besetzt sind) und Gerüchten aus den letzten vier Jahren, ziehen.

Vor allem die Zahlen zu Russland und China sind Schätzungen, da diese auf einzelnen Quellen beruhen. Das russische FAPSI hatte vor seiner Eingliederung in FSO (als Abteilung SSSI) und FSB vor 13 Jahren etwa 50.000 Mann. Während der Eingliederung verließen viele Experten den Dienst und Russland setzte zunehmend auf private, staatsnahe Hacker. Während des Cyberangriffs auf Estland stellte sich jedoch heraus, dass diese schlecht zu führen sind. Russland baute daher die eigenen Cyberfähigkeiten wieder stärker aus.

Da uns aber die russische organisierte Kriminalität fast täglich vor Augen führt, dass Cyber-Security-Know-how in ausreichendem Maße im Land vorhanden ist, scheint die Größenordnung für Russland realistisch. Russland betreibt zwei Hackerschulen in Woronesch und Moskau, deren Absolventen fast alle in den Staatsdienst übernommen werden. Bezüglich China ist die Lage schwieriger. Die Abteilung 3 beschäftigt viele Sprachexperten, was die Zahlen natürlich in die Höhe treibt. Auch die nach innen gerichtete Überwachung des Internet, Stichwort „great Firewall“, könnte hier angesiedelt sein. Andererseits werden offenbar immer wieder externe Hackergruppen rekrutiert und die Abteilung 4 übernimmt zunehmend Aufgaben im Bereich des Cyberangriffs. Beides wurde in den Zahlen nicht berücksichtigt und könnte diese noch weiter erhöhen.

AUFGABENBEREICHE IM VERGLEICH

Reaktive Verteidigung heißt „aus Schaden klug werden“. Für eine vorausschauende Verteidigung sind Informationen über die Angreifer notwendig.

Vorweg: Gemäß Verlautbarungen dient jede Cybereinheit auf der Welt allein der Verteidigung der eigenen Grenzen, Werte oder Wirtschaft. Die Frage, ab wann eine aggressiv-offensive „Verteidigungsstrategie“ als Angriff interpretiert werden darf, wird dieser Report nicht endgültig klären. Die Grenzen zwischen Angriff und Verteidigung sind im Cyberraum jedoch fließend.

Grundsätzlich werden im Bereich der Computer Network Operations (CNO) drei Fähigkeiten unterschieden. Die klassische Spionage (Computer Network Exploitation – CNE) ist die Grunddisziplin. Sie umfasst das Eindringen in Computer und Netzwerke, die Gewinnung von Rohinformationen, deren Transport in eigene Systeme (Exfiltration) sowie die Bewertung und Aufbereitung der Informationen bzw. die Kombination der Informationen aus verschiedenen Quellen.

Eine gute Informationssammlung ist die Basis für Angriff und Verteidigung gleichermaßen. Je besser man die Cyberfähigkeiten des Gegners kennt (Strategien & Pläne, Ziele, Modus operandi, typische „Cyberwaffen“, IP-Adressen, etc.), umso besser kann man die Verteidigung organisieren. CNE-Operationen sind also notwendig, um die Verteidigung im Cyberraum sicherzustellen. Die NSA trägt dieser Erkenntnis organisationsintern Rechnung und reißt mit der Reorganisation NSA21 die Grenzen zwischen Verteidigung und Spionage nieder.

Ausgehend von der „Spionageabwehr“ ergibt sich die Notwendigkeit für Fähigkeiten im Bereich Computer Network Defense (CND). Dazu gehören die Beobachtung von Angriffen der Gegner, die Erstellung eines Lagebilds und die folgende strategische Planung von Abwehrmaßnahmen. Auch der Bereich der Computer Network Forensics (CNF), also der Aufklärung von Fällen bzw. der Abwehr von laufenden Angriffen, wird zu dieser Fähigkeit gezählt. Die rein operative IT-Sicherheit, d. h. der Aufbau und Betrieb von Sicherheitsfunktionen in Netzwerken (die klassische „IT-Sicherheitsabteilung“), ist darin nicht enthalten.

Die dritte und historisch gesehen jüngste Fähigkeit ist der Cyberangriff (CNA). Mit zunehmender Abhängigkeit der Gesellschaft von IT-Technologien wächst die militärische Bedeutung der Fähigkeit, durch einen Angriff auf feindliche Computersysteme bestimmte Infrastrukturen auszuschalten und so die gegnerischen Fähigkeiten zu reduzieren. Obwohl als Disziplin noch sehr jung, wurden solche Fähigkeiten bereits 2007 in Estland (Stilllegen eines Staates) und 2008, während des Krieges zwischen Russland und Georgien, demonstriert.

In jeder der drei Disziplinen gibt es einen fließenden Übergang zwischen analytischen Fähigkeiten (Auswertung der vorhandenen Informationen) und konkreten technischen Umsetzungen.

Auch hier ist bezüglich der Organisation der Behörden ein deutlicher Unterschied zwischen Deutschland und den USA erkennbar. Die Amerikaner bemühen sich, alle Cyberfähigkeiten möglichst in eine Hand zu geben und die NSA als Dienstleister für alle weiteren Behörden (CIA, Ministerien, etc.) zu etablieren. In Deutschland werden viele Behörden mit einem eher engen Fokus betraut. Diese Klarheit der eigenen Mission erlaubt eine hohe Fokussierung, andererseits sind Ressourcen mit gleichem Know-how über verschiedene Einheiten zersplittert, die nur mühsam miteinander zusammenarbeiten können.


 

Über den Autor
Florian Oelmaier/Friedrich Wimmer
Autor: Florian Oelmaier/Friedrich Wimmer
Florian Oelmaier (Dipl. Inf.) leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Nach seinem Informatikstudium war er an der Entwicklung von Sicherheitstechnologien am Fraunhofer Institut für Integrierte Schaltungen beteiligt und in der Folge als IT-Sicherheitsspezialist bei einer deutschen Großbank tätig.

Friedrich Wimmer (MSc) ist Leiter IT-Forensik und Cyber Security Research, ebenfalls wie sein Mitautor bei Corporate Trust. Seine Spezialgebiete sind die Aufklärung von Ermittlungsfällen im Bereich der Mitarbeiterkriminalität und Industriespionage, sowie die individuelle Konzeption und Etablierung effektiver Strukturen einer sicheren Unternehmensführung. Friedrich Wimmer besitzt einen Mastertitel im Bereich Secure Information Systems. Als Sicherheitsberater befasst er sich mit den Auswirkungen der Informationstechnologien auf Unternehmen und der strategischen Ausrichtung von Cybersicherheit in Unternehmen.
Weitere Artikel

Aufklärungsziel Deutschland

SCHATTEN DER GLOBALISIERUNG

Von Florian Oelmaier und Friedrich Wimmer

Informationsbeschaffung durch Auswertung von Massendaten (Big Data) ist der aktuelle Trend bei der Wirtschaftsspionage im 21. Jahrhundert.

Zwei Einkäufer eines Unternehmens erhalten den Auftrag, innerhalb einer Stunde 2.000 Liter Benzin so günstig wie möglich zu beziehen. Einer darf hierzu ein Anbieter-Vergleichsportal mit aktuellen Benzinpreisen im Internet als Recherchequelle nutzen, der andere nur ein Branchenbuch. Auf wessen Erfolg würden Sie wetten?

Informationsvorsprung zählt und führt mit der Zeit zu einem enormen Wettbewerbsvorteil. Mag sein, dass der Einkäufer mit dem Branchenbuch beim ersten Mal Glück hat und genauso günstig einkaufen kann wie sein Konkurrent. Auf die Dauer gesehen wird er aber zwangsläufig ins Hintertreffen geraten. Ist er sich dieser Informationslücke nicht bewusst, wird er auch nicht feststellen können, wieso der andere Einkäufer erfolgreicher ist.

Intelligence Gathering mittels Big Data – das Kind der Wirtschaftsspionage im 21. Jahrhundert.

Zugegeben: Fälle, bei denen es um das Ausspionieren von technischem Know-how oder das Abhören von Beteiligten bei der Auftragsvergabe geht, sind spannend und die Auswirkungen meist offensichtlich. Es macht Spaß, darüber zu reden und nachzudenken. Gefordert wird der Zuhörer, wenn beispielsweise vom Abfluss von Informationen über Wettbewerbsstrategien, Preisgestaltung und Konditionen eines Unternehmens berichtet wird. Was sind die Auswirkungen, wie äußern sie sich? Für betriebs- oder volkswirtschaftlich Begeisterte erschließt sich der Zusammenhang sofort, für viele der anderen Zuhörer vielleicht nie. Die Gründe sind darin zu suchen, dass einerseits ein tief gehendes Verständnis wirtschaftlicher Zusammenhänge benötigt wird und andererseits offensichtliche, kurzfristige Auswirkungen nur selten nachzuweisen sind. Man hat Kunden an einen Konkurrenten verloren – das muss nichts damit zu tun haben.

Technisch und wirtschaftlich hoch entwickelte Staaten sind genau an solchen Informationen interessiert und schätzen den Umstand der verdeckten Auswirkungen. Es besteht keine Gefahr, den Vorwurf der Wirtschaftsspionage auf sich zu ziehen, und gleichzeitig hat man alle Möglichkeiten der Wirtschaftssteuerung und -unterstützung.

Die Geheimdienste sammeln weitreichende Informationen, aus denen insbesondere mittels Big Data detaillierte Erkenntnisse zur wirtschaftlichen Tätigkeit von Unternehmen extrahiert werden können – wie etwa SWIFT-Bankdaten, Flugpassagier- und Verbindungsdaten, um nur einige zu nennen.

Erinnern wir uns noch einmal an die Benzin-Einkäufer. Mit korrekten Kennzahlen oder auch nur nützlichen Hinweisen können Entscheider konkrete wirtschaftliche Vorteile erlangen. Wie so etwas funktionieren kann, zeigt das im Jahr 2012 erschienene Buch „Wirtschaftsspionage und Intelligence Gathering – Neue Trends der wirtschaftlichen Vorteilsbeschaffung“.

Nun wurden viele der im Buch beschriebenen Szenarien durch die Snowden-Veröffentlichungen mit Praxisbeispielen hinterlegt, obwohl diese nur einen kleinen Teil der U.S. Intelligence Community (Verbund der wichtigsten US-Nachrichtendienste) abdecken.

Ein NSA-Zweig namens „Follow the Money“ ist für das Ausspähen von Finanzdaten zuständig, berichtete der Spiegel im September 2013. Die dort gewonnenen Informationen fließen in die NSA-eigene Finanzdatenbank „Tracfin“.

Die Auswertung der Flug- und Verbindungsdaten wurden mit mehreren Programmen durchgeführt, allen voran „XKEYSCORE“; aber auch Programme wie „BLARNEY“ arbeiten mit Verbindungsdaten.
103 Corporate Trust
Allerdings wird durch die Veröffentlichungen auch deutlich, dass GCHQ und NSA wirtschaftliche Interessen verfolgen. Viele der gesammelten Rohdaten werden in verschiedenen technischen Systemen zur Auswertung aufbereitet. Bei einigen dahinterliegenden Programmen finden sich Dokumente, die auch ökonomische Zielsetzungen beschreiben. Dies deckt sich mit NSA-Papieren auf strategischer Ebene der SIGINT-Abteilung, welche in unterschiedlicher Tiefe die ökonomischen Ziele beleuchten.

Dabei sind solche Informationen nicht nur auf betriebswirtschaftlicher, sondern auch auf volkswirtschaftlicher Ebene von Interesse.

Unbestritten ist etwa, dass mit einem Informationsvorsprung am Finanzmarkt systematisch Überrenditen erzielt werden können, weshalb beispielsweise der Insiderhandel in vielen Ländern eine Straftat darstellt. Hätten bestimmte Akteure am Markt dauerhaft einen Informationsvorsprung, würde dies langfristig eine wirtschaftliche Dominanz dieser Akteure bedeuten.

Wichtig zu verstehen ist, dass im Wirtschaftskreislauf immer mehr Daten über die wirtschaftliche Tätigkeit von Unternehmen anfallen oder gesammelt werden, mit denen sich bei entsprechender Analyse wirtschaftlich aufschlussreiche Erkenntnisse für interessierte Kreise extrahieren lassen. Dabei kommt es den Akteuren zugute, dass automatisiert über sehr viele Vorgänge der wirtschaftlichen Tätigkeit gewacht werden kann, ohne dass Unternehmen Einfluss auf die Generierung oder Verwendung dieser Daten ausüben können. Diese neue Thematik wird im Buch als „unbeherrschbare externe Datenhalden“ oder „ungovernable external data heaps“ (UEDH) definiert. Die Bezeichnung „Datenhalden“ bzw. „data heaps“ soll deutlich machen, dass es sich bei den thematisierten Daten nicht nur um Datenbanken im klassischen Sinne handeln kann, sondern um jegliche Ansammlung von Daten.

Dabei stehen die im Buch beschriebenen Datenbanken und die dazugehörigen Szenarien nur für eine neue, sich in Zukunft beschleunigende Thematik insgesamt. Aus diesen Gründen sollten vor allem besonders gefährdete Unternehmen einen anderen Blickwinkel bei der Spionageabwehr einnehmen. Um sich vor Spionage zu schützen, gilt es, sich nicht mehr nur mit klassischen Feldern zu befassen, sondern sich auch mit der Problematik der Gefährdung durch unbeherrschbare externe Datenhalden zu beschäftigen.

Würden Sie als Sicherheitsverantwortlicher Ihres Unternehmens freiwillig den gesamten Kundenstamm, die Termine aller Mitarbeiter bei Kunden und Lieferanten in Echtzeit oder die Vorlieben und Gewohnheiten Ihrer Führungspersonen freiwillig an die Konkurrenz weitergeben? Wahrscheinlich nicht. Aber genau solche (und mehr) Informationen lassen sich aus Daten generieren, die bei der tagtäglichen wirtschaftlichen Tätigkeit anfallen und auf die Unternehmen keinen oder nur geringen Einfluss haben. Genau deshalb können diese so aussagekräftig sein.

Intelligence Gathering – das Kind der Wirtschaftsspionage im 21. Jahrhundert: Es ist noch nicht erwachsen, aber es hat laufen gelernt.

 

 

Wirtschaftsspionage und Intelligence Gathering

Neue Trends der wirtschaftlichen Vorteilsbeschaffung

Autoren: Friedrich Wimmer & Alexander Tsolkas
Erscheinungsjahr: 2012, 178 Seiten
gebundene Ausgabe
ISBN-10: 383481539X
ISBN-13: 978-3834815392

SWIFT-Bankdatendurchforstung, Flugpassagierdaten und vieles mehr. Riesige Datenmengen müssen aus Europa in andere Staaten, allen voran die USA, übermittelt werden. Wie dieses Buch zeigt, können daraus detaillierte Erkenntnisse zur wirtschaftlichen Tätigkeit von Unternehmen extrahiert werden. Erkenntnisse, die vor allem für technologisch hoch entwickelte Staaten und deren Unternehmen von Interesse sind und von ihnen abgegriffen werden. Die Gefahr von Konkurrenz- und Wirtschaftsspionage ist evident. Viele europäische Unternehmen sind sich nicht oder nur unzureichend über diese neuen Gefahren im Klaren. Die Autoren erklären anhand von Beispielen, welche Informationen aus diesen, im Wirtschaftskreislauf entstehenden Datensammlungen, extrahiert werden können, wie Unternehmen die eigene Gefährdungslage einschätzen - und durch welche Maßnahmen sie das Risiko verringern können.

Link zu Amazon:
https://www.amazon.de/Wirtschaftsspionage-Intelligence-Gathering-wirtschaftlichen-Vorteilsbeschaffung/dp/383481539X

Über den Autor
Florian Oelmaier/Friedrich Wimmer
Autor: Florian Oelmaier/Friedrich Wimmer
Florian Oelmaier (Dipl. Inf.) leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Nach seinem Informatikstudium war er an der Entwicklung von Sicherheitstechnologien am Fraunhofer Institut für Integrierte Schaltungen beteiligt und in der Folge als IT-Sicherheitsspezialist bei einer deutschen Großbank tätig.

Friedrich Wimmer (MSc) ist Leiter IT-Forensik und Cyber Security Research, ebenfalls wie sein Mitautor bei Corporate Trust. Seine Spezialgebiete sind die Aufklärung von Ermittlungsfällen im Bereich der Mitarbeiterkriminalität und Industriespionage, sowie die individuelle Konzeption und Etablierung effektiver Strukturen einer sicheren Unternehmensführung. Friedrich Wimmer besitzt einen Mastertitel im Bereich Secure Information Systems. Als Sicherheitsberater befasst er sich mit den Auswirkungen der Informationstechnologien auf Unternehmen und der strategischen Ausrichtung von Cybersicherheit in Unternehmen.
Weitere Artikel