USA: Wieder eine farbcodierte Skala für Cyberbedrohungen
Mit einer Direktive hat nun Präsident Obama geregelt, wer für Cyberangriffe zuständig ist, aber vieles dabei offen gelassen
An der Bundeswehrhochschule in München wird nun das bundesweit, möglicherweise europaweit größte Forschungszentrum für Cybersicherheit aufgebaut (Bundeswehrhochschule München richtet "größtes Forschungszentrum" für Cybersicherheit ein), während bei der Bundeswehr ein Cyber-Kommando als sechste Streitkraft eingerichtet wird und der "Cyberraum" als neues Operationsgebiet gilt. Wird damit die Bundeswehr zuständig für die Antwort auf Cyberangriffe und deren Abwehr? In den USA war es lange Zeit ungeklärt, welches Ministerium für schwere Cyberangriffe auf die USA zuständig ist: das Pentagon mit seinem Cyberkommando, das eng mit der NSA kooperiert und unter dem Kommando des NSA-Direktors steht, oder das Ministerium für Heimatsicherheit (Zuständigkeitschaos im Pentagon im Fall eines Cyberangriffs)?
US-Präsident Obama hat vor dem Ende seiner Amtszeit dieses Problem in einer Direktive zur Cybersicherheit (U.S. Cyber Incident Coordination) geklärt. An ihr wurde zwei Jahre lang gearbeitet, was auch zeigt, wie wichtig das Thema ist und wie schwer die Klärung der Zuständigkeiten im Behördengewirr. "Wir befinden uns mitten in einer Revolution der Cyberbedrohung", sagte Lisa Monaco, Präsidentenberaterin für Innere Sicherheit, am Dienstag. "Die Bedrohung wird Tag für Tag breiter, unterschiedlicher, häufiger und gefährlicher." In der Direktive heißt es weniger dramatisch, dass "schwere Cybervorfälle mit zunehmender Häufigkeit geschehen und die öffentliche und private Infrastruktur in den USA und im Ausland beeinträchtigen".
Als schwerer Cybervorfall wird gewertet, wenn damit nachweislich Interessen der nationalen Sicherheit, Beziehungen zu anderen Ländern, die US-Wirtschaft, das öffentliche Vertrauen, Bürgerrechte, Gesundheit oder Sicherheit der Amerikaner geschädigt werden. Angriffe auf einzelne Unternehmen seien normalerweise kein Fall für die Regierung. Das ist zwar ein Versuch der Einengung, lässt aber einen großen Spielraum. Auf nationaler Ebene sollen alle Behörden in einer Architektur der Zuständigkeiten in der Beantwortung eines schweren Cybervorfalls kooperieren. Für die Organisation und Umsetzung zuständig ist die Cyber Response Group (CRG) des Nationalen Sicherheitsrats (NSC) zusammen mit dem Präsidentenberater für Innere Sicherheit und Antiterrormaßnahmen.
Bei aller Vagheit wurde versucht, das Ausmaß einer Cybergefährdung in einer Bedrohungsskala anzugeben, die dann entsprechende behördliche Maßnahmen auslöst. Ob das eine so gute Idee ist, scheint fraglich, wenn man sich die auch in Farben markierte Terrorbedrohungsskala anschaut, die unter der Bush-Regierung nach 9/11 eingeführt wurde. Da sie jahrelang fast immer auf hoher und höchster Bedrohung stand, obgleich es keinen Anlass dafür gab, verdankte sich der Angst der Verantwortlichen, dass ja doch irgendwann etwas plötzlich geschehen könnte und dann heftige Kritik entstünde, wenn keine Warnung angegeben wäre. Aus diesem Grund wurde sie unter Präsident Obama schließlich abgeschafft.
Jetzt also gibt es eine neue Skala, die aber dieses Mal von 0 für keine Gefahr ("unbegründeter oder inkonsequenter Vorfall" wie einen lästigen DoS-Angriff oder eine Überschreibung einer Website) in weiß bis 5 (unmittelbare Bedrohung für kritische Systeme, die Regierung oder Menschenleben) in schwarz reicht. Eine "schwere Bedrohung" ist rot markiert und "wahrscheinlich" zu "signifikanten Folgen für die öffentliche Gesundheit und Sicherheit, die nationale Sicherheit, die ökonomische Sicherheit, auswärtige Beziehungen oder Bürgerrechte" führen. Einen Vorfall der höchsten Stufe habe es nach Angaben von Regierungsangehörigen noch nicht gegeben. Der Cyberangriff im vergangenen Dezember auf Teile des ukrainischen Stromnetzes würde als Angriffe der Stufe 4 gelten, sollte er sich in den USA ereignen. Allerdings soll die Bedrohungsskala offenbar nur dabei helfen, einen Vorfall einzustufen.
Zuständig soll überraschenderweise das Justizministerium durch das FBI mit seiner Cyber Division und die National Cyber Investigative Joint Task Force sein, das sowohl bei der Reaktion auf eine Bedrohung als auch bei der Untersuchung eines Angriffs, der Identifizierung der Täter und der Unterbindung des Angriffs die Leitung übernehmen. Begründet wird dies damit, dass bei Cyberangriffen zumindest oft die Möglichkeit besteht, dass ein nichtstaatlicher Täter oder Akteure aus dem Sicherheitsapparat anderer Staaten beteiligt ist. Wenn also ein Angriff bemerkt wird, soll dies dem FBI angezeigt werden. Das ist bislang schon zuständig für die Strafverfolgung von Cyberangriffen von Kriminellen, ausländischen Gegnern und Terroristen.
Zuletzt waren Hacker in das Netzwerk des Democratic National Committee und haben massenhaft Emails geleakt. Viele vermuten Russland dahinter, das dadurch womöglich die Präsidentschaftswahl beeinflussen will. Da Donald Trump eine eher zugeneigte Haltung gegenüber Putin einnimmt, den er als besser anpreist als Obama und natürlich als Clinton, der von Verständigung mit Russland spricht und auch die Nato-Beistandsverpflichtung lockern will, wurde vermutet, dass der Hack Trump unterstützen könnte. Trump selbst hatte kürzlich gemeint, es wäre gut, wenn Russland Cyberspionage gegen Hillary Clinton betriebe, wovon er aber abgerückt ist. Das habe der nur sarkastisch gemeint. Beweise dafür, dass Russland für den Hack verantwortlich ist, gibt es bislang nicht. Auch in den Geheimdiensten scheint man skeptisch zu sein, auch wenn russische Hackergruppen dafür verantwortlich gemacht werden.
Das Heimatschutzministerium (DHS) soll auf Aufforderung angegriffenen Behörden und Unternehmen helfen, etwa den Täter im System aufzuspüren, den Schaden zu beheben, die Sicherheitslücken zu schließen und zu verhindern, dass mit denselben Methoden auch andere angegriffen werden. Das DHS soll auch einen National Cyber Incident Response Plan ausarbeiten, wie auf Angriffe auf private Netzwerke reagiert werden soll, und eine Bedrohungsanalyse der Kritischen Infrastruktur vorlegen. Zusammen mit dem Justizministerium soll die Einrichtung einer "Cyber Unified Coordination Group" als schnelle Reaktionsgruppe ausgearbeitet werden, die dann für die Koordination zuständig ist. Die Geheimdienste unter dem DNI sollen mit einer Analyse der Bedrohungstrends beispringen, aber sie sollen auch offensiv dabei helfen, die "feindlichen Bedrohungskapazitäten zu entschärfen oder zu mindern".
Das Militär wiederum ist im Inland nur dafür zuständig, Angriffe auf das eigene Netzwerk zu behandeln. Nach der letzten Cybersecurity-Strategie wurde die ursprüngliche Drohung, auf Angriffe auch mit allen militärischen Mitteln antworten zu können (Das Recht, bei einem Angriff im Cyberspace wild zurückzuschießen), zurückgeschraubt. Das große Problem ist nicht nur die zweifelsfreie Zurückverfolgung und Identifizierung der Täter, sondern auch die Wirkung einer Abschreckungsdrohung, die sich nicht umsetzen lässt. Deutlich war das beim Sony-Hack geworden, für den Nordkorea verantwortlich gemacht und von Cyberwar gesprochen wurde (Obama: Sony-Hack kein Cyberwar, aber Cybervandalismus).
Natürlich fand daraufhin kein Angriff auf das Land statt. Man will nun gestufter vorgehen. Nur bei schweren Angriffen, wenn Menschenleben bedroht sind, schwere Schäden für Eigentum, negative Folgen für die US-Außenpolitik oder für die Wirtschaft des Landes entstehen, will das Militär eingreifen. Es gebe aber keine allgemeine Regeln, die Entscheidungen, militärisch zu reagieren, würden einzeln, von Fall zu Fall, vom US-Präsidenten und seinem Sicherheitsstab getroffen werden. Prinzipiell werde man erst alle anderen Mittel der Verteidigung der Netzwerke und Strafverfolgungsoptionen ausschöpfen, bevor man zuschlägt. Man könne auch auf diplomatischen Weg oder mit Wirtschaftssanktionen reagieren (Pentagon-Strategie für den Cyberwar).
Deutlich wird, dass US-Präsident Obama mit der Direktive versucht, auch für künftige Präsidenten die Schwelle einer militärischen Antwort auf Cyberangriffe deutlich anzuheben. Auffallend ist auch, dass Ministerien und Behörden sich um Schadensbegrenzung, Stoppen des Angriffs und Unterstützung kümmern sollen, welche Maßnahmen gegen die verdächtigten Täter oder Staaten ergriffen werden könnten, wird ebenso wenig ausgeführt als eine Definition, wann ein Cyberangriff als militärischer Akt gelten muss. Das mag auch dem Problem verschuldet sein, dass bislang kaum forensisch ein Täter identifiziert und zudem nachgewiesen werden kann, dass er im Dienst eines Staates gehandelt hat.