Donnerstag, 29. November 2018

#BSC18 - Berlin Security Conference und die Herausforderungen der fünften Dimension - Cyber-Sicherheit rechtlich und technisch

Wenn mich Irina schon im Betreff des Mails für die Performance im Bett lobt oder Dr. Schlumumba meine Kontonummer erfragt, um schnell die zwei Millionen überweisen zu können, wandert das Mail in den Papierkorb. Wenn es nicht ohnehin schon vom Spamfilter aussortiert wurde. DISCARD ist meine Lieblingsfunktion bei der Konfiguration von Mailservern: lautloses Löschen von Spam.

Cyber-Sicherheit hat auch etwas mit dem Menschen vor der Tastatur zu tun. Als ich ein geeignetes Antivirenprogramm suchte, wurde unter anderem Kaspersky angeboten. Das Bauchgefühl hielt mich davon ab, eine sicherheitsrelevante Software mit einem offensichtlich russischen Namen zu kaufen. Vorurteile und Rasterfahndung werden ja in Kreisen politischer Korrektheit nicht gerne gesehen. Vorschussvertrauen ohne Störgefühle war mir aber wichtiger und führte zum Kauf eines anderen Produktes.

Da Sicherheit und Politik nicht immer harmonieren, wurde in der Ukraine und diversen westlichen Ländern eine exzessive Installation der Kaspersky-Software durchgeführt. Irgendwann stellte der israelische Geheimdienst fest, dass Kaspersky zur Spionage genutzt wird. Panik machte sich breit in den Behörden der USA und letztlich auch der Niederlande. Das Gefühl im Bauch wurde - wie schon oft - durch die Realität bestätigt.

#BSC18 Berlin Security Conference CIR Cyber Leinhos
#BSC18 Berlin Security Conference - Paneldiskussion mit (v.l.n.r.) Generalleutnant Ludwig Leinhos (CIR), Marcel Taubert (secunet Security Networks AG), Prof. Robin Geiss (School of Law - University of Glasgow) und weiteren Experten.
Bei der BSC Berlin Security Conference saß ich im gut besuchten Raum Opal. Direkt vor mir Generalleutnant Ludwig Leinhos, zwei Professoren mit den Schwerpunkten Recht und Cyber, drei Männer aus der Industrie, ein Vertreter der Cyber-Abwehr der US-Streitkräfte und ein Mann vom BSI (Bundesamt für Sicherheit in der Informationstechnik). Es war also ein High-Level-Panel mit dem Titel "Cyber Operations - a legal and technological challenge", was übersetzt so viel heißt wie "Operationen im virtuellen Raum - eine rechtliche und technologische Herausforderung". Einige der Panel-Teilnehmer waren zunächst durch die Leitsprache Englisch herausgefordert, bekamen das aber gut in den Griff.

Professor Ducheine aus den Niederlanden sprach dann auch über die vier Schienen des Cyber-Sicherheit: Das erste sei die oben erwähnte Aufmerksamkeit des Nutzers, dann folgen die technischen Grundlagen, als drittes die rechtliche Dimension und zu guter Letzt die politischen Rahmenbedingungen. Also Mensch, Technik, Recht, Politik.

Die Politik wurde nur am Rande gestreift. Sie müsse auf Cyber-Verstöße gegen geltendes Recht reagieren. Im schlimmsten Falle mit offener militärischer Gewalt. Dazu sind aber erst einmal verschiedene Stufen des diplomatischen Geschicks zu durchlaufen. Die Einstiegsvariante ist die Ausweisung des Botschafters. Danach folgen wirtschaftliche Sanktionen. All das ist darauf angelegt, den Gegner an den Verhandlungstisch zu bekommen. Wenn das nicht fruchtet, muss geschaut werden, welchen tatsächlichen Schaden der Cyber-Angriff erzeugt hat.

Cyber-Angriffe sind in der Regel auf eine virale Verbreitung ausgelegt, so dass bei deren Initiierung noch gar nicht abgeschätzt werden kann, welcher Kollateralschaden entstehen wird. Der Kollateralschaden kann bei der globalen Vernetzung durchaus wieder beim Initiator ankommen, als Bumerang sozusagen. Bisher gab es weltweit noch keine offene militärische Antwort auf Cyber-Angriffe. Artikel 5 (Bündnisfall) der NATO würde eine militärische Reaktion auf Cyber-Angriffe gestatten.

Die Schwachstellen Mensch und Technik waren in dieser Runde unstrittig und wurden nur kurz behandelt. Es wurde lediglich noch einmal dafür geworben, Verschlüsselungen - Neudeutsch: Crypto - einzusetzen.

So konzentrierte sich der Hauptteil auf das Thema Recht. Das Recht hängt zwischen Täter und Politik. Die Politik hat bisher nur rudimentäre Grundlagen für die Ahndung von Cyber-Kriminalität geschaffen. Dennoch lässt sich mit dieser Basis arbeiten. Hinter der Verbreitung von Fake News oder Schadsoftware stecken immer Menschen mit analysierbaren Denkmustern und kalkulierbaren Handlungsweisen. Sie disruptieren, manipulieren, sabotieren und spionieren. Sie sind jedoch als echte Personen außerhalb ihres virtuellen Schutzraumes greifbar. Im Internet hinterlässt jeder seine Spuren. Diese sind mal schneller und mal erst nach vier Jahren bis zu ihrem Ursprung zu verfolgen.

Bisher gab es wohl noch keine aktiven Eingriffe in Kampfhandlungen. Bei zunehmender Internationalisierung der Streitkräfte werden auch die Sicherheitslücken größer. Bei der Vorstellung des Leopard 2 A6M für den multinationalen Einsatz mit deutschen und niederländischen Truppen wurde die Smartphone-Affinität der Niederländer herausgestellt. Die Waffentechnik wurde deshalb auf die innovativen Nachbarn erweitert. Immer mehr strategische Produkte enthalten Material und Technologien von Google-Maps. Wenn Google will, kann es wohl demnächst die globalen Konflikte vom Rechenzentrum aus steuern.

Es ist viel im Fluss und der Experten sind wenige. Gegner haben nicht nur durch Kaspersky bewiesen, dass sie in der fünften Dimension Cyber etwas bewegen können. Hält die NATO dort mit?

Autor: Matthias Baumann