Cyber-Security aus Sicht der Sicherheitspolitik

Transcription

Zertifikatsprogramm
Autoren:
Johannes Klick
Stephan Lau
Daniel Marzin
Freie Universität Berlin
Modul 6
Studienbrief 1: Einführung in die Sicherheitspolitik
Studienbrief 2: Cyber-Security und die internationale Politik
Studienbrief 3: Cybersicherheitspolitik in Deutschland
Autoren:
Johannes Klick
Stephan Lau
Daniel Marzin
1. Auflage
Freie Universität Berlin
Das diesem Bericht zugrundeliegende Vorhaben wurde mit
Mitteln des Bundesministeriums für Bildung, und Forschung
unter dem Förderkennzeichen 16OH11072 gefördert. Die
Verantwortung für den Inhalt dieser Veröffentlichung liegt
beim Autor.
© 2015 Freie Universität Berlin
Kaiserswerther Str. 16/18
14195 Berlin
1. Auflage (16.10.2015)
Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne
Zustimmung der Verfasser unzulässig und strafbar. Das gilt insbesondere
für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierung
der weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen deshalb darauf hin, dass die Verwendung der männlichen Form explizit als
geschlechtsunabhängig verstanden werden soll.
Inhaltsverzeichnis
Seite 3
Inhaltsverzeichnis
Einleitung zu den Studienbriefen
5
I.
Abkürzungen der Randsymbole und Farbkodierungen . . . . .
5
II.
Modullehrziele
6
. . . . . . . . . . . . . . . . . . . . . . . . . .
Studienbrief 1 Einführung in die Sicherheitspolitik
7
1.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.2
Was bedeutet Sicherheit?
7
1.3
Wie definiert sich Sicherheitspolitik?
1.4
Entwicklung der internationalen Sicherheitspolitik in der Nach-
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . 11
kriegszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.5
Reaktion der Sicherheitspolitik auf die neue Bedrohung: Der
Terrorismus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.6
Ein neues Phänomen: Die Bedrohung aus dem Cyberraum . . 19
1.7
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . 28
Studienbrief 2 Cyber-Security und die internationale Politik
29
2.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2
Was bedeutet eines freien Internet für die Sicherheitspolitik? . 30
2.3
Der Europarat und das Budapester Übereinkommen über Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.4
Cyber-Security und Interpol . . . . . . . . . . . . . . . . . . . 34
2.5
Cyber-Security und die Organisation for Security and Cooperation in Europe (OSCE) . . . . . . . . . . . . . . . . . . . 37
2.6
Cyber-Security und die Vereinten Nationen . . . . . . . . . . . 44
2.7
Cyber-Security und die NATO
2.7.1
. . . . . . . . . . . . . . . . . . 49
Das Tallinn Manual - Die Staatsverantwortung (Regel 1
- 9) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.7.2
Das Tallinn Manual - Die Anwendung von Gewalt (Regel
10 - 12) . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.8
Studienbrief 3 Cybersicherheitspolitik in Deutschland
63
3.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.2
Entwicklung der Cybersicherheitspolitik . . . . . . . . . . . . . 64
3.3
. . . . . . . . . . . . . . . . 64
3.2.1
Politische Wahrnehmung
3.2.2
Strategien zur Cyber-Sicherheitspolitik . . . . . . . . . 68
Entscheidende Einrichtungen . . . . . . . . . . . . . . . . . . 75
3.3.1
Bundesministerium des Inneren (BMI) . . . . . . . . . 75
Seite 4
Inhaltsverzeichnis
3.3.2
Bundesamt für Sicherheit in der Informationstechnik
(BSI)
3.4
3.5
3.6
3.7
. . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Unterstützende Einrichtungen . . . . . . . . . . . . . . . . . . 79
3.4.1
Bundesministerium der Verteidigung (BMVg) . . . . . 79
3.4.2
Auswärtiges Amt (AA) . . . . . . . . . . . . . . . . . . 81
3.4.3
Bundesministerium für Wirtschaft und Energie (BMWi)
83
3.4.4
Bundesministerium für Bildung und Forschung (BMBF)
84
Koordinierende Einrichtungen . . . . . . . . . . . . . . . . . . 87
3.5.1
Nationales Cyber-Abwehrzentrum (NCAZ) . . . . . . . 87
3.5.2
Nationaler Cyber-Sicherheitsrat (Cyber-SR)
Exekutierende Einrichtungen
. . . . . . 90
. . . . . . . . . . . . . . . . . . 92
3.6.1
Bundeskriminalamt (BKA) . . . . . . . . . . . . . . . . 92
3.6.2
Bundesamt für Verfassungsschutz (BfV) . . . . . . . . 93
Liste der Lösungen zu den Kontrollaufgaben
Verzeichnisse
97
101
. . . . . . . . . . . . . . . . . . . . . . . . . . . 101
I.
Abbildungen
II.
Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
III.
Exkurse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
IV.
Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 102
V.
Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Glossar
121
Seite 5
I. Abkürzungen der Randsymbole und Farbkodierungen
Definition
D
Exkurs
E
Kontrollaufgabe
K
Übung
Ü
Seite 6
II. Modullehrziele
In diesem Modul werden Sie lernen, wie sich Sicherheit aus politischer und aus technischer Sicht
definiert. Anschließend werden Sie durch einen Exkurs in die Vergangenheit erfahren, welchen
Wandel die Sicherheitspolitik in den letzten Jahrzehnten erfahren hat, vor welchen Herausforderungen sie aktuell steht und wer die Akteure der national und internationalen Sicherheitspolitik bzw.
-architektur sind. Folgende Lehrziele sollen erreicht werden:
Sie sollen
• den Begriff Sicherheit aus politischer und technischer Sicht verstehen.
• den historischen Wandel der Sicherheitspolitik und aktuelle Herausforderungen richtig einordnen können.
• die nationale Sicherheitsarchitektur mit ihren Strukturmerkmalen und Institutionen im Bereich Cybersicherheit verstehen.
• die Ursachen für das Verschwimmen der Grenzen von innerer und äußerer Sicherheit einordnen können.
• die sicherheitspolitischen Akteure innerhalb der EU und deren Aufgabe verstehen.
• die Rollen der Vereinten Nationen, NATO, OSZE und Interpol innerhalb der internationalen
Sicherheitspolitik für Cyber-Security richtig einordnen können.
• internationale und nationale Regulierungen und Strategien kennen und ihre Bedeutung für
die Sicherheitspolitik ermessen.
• zukünftige Problemfelder der Cyber-Sicherheitspolitik erkennen.
Mit diesen Kenntnissen und Fähigkeiten sind Sie in der Lage, die komplexe Architektur der nationalen und internationalen Sicherheitspolitik und deren Akteure sowie Regularien zu verstehen und
einzuordnen. Dies unterstützt Sie bei der Entwicklung von Sicherheitskonzepten und hilft Ihnen
zukünftige Regularien abzusehen und ggf. deren mögliche Wirksamkeit einzuschätzen.
Seite 7
1.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.2
Was bedeutet Sicherheit?
7
1.3
Wie definiert sich Sicherheitspolitik?
1.4
Entwicklung der internationalen Sicherheitspolitik in der Nach-
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
11
kriegszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.5
Reaktion der Sicherheitspolitik auf die neue Bedrohung: Der Terrorismus.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.6
Ein neues Phänomen: Die Bedrohung aus dem Cyberraum . . . . . 19
1.7
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.1 Lernziele
Dieser Studienbrief gibt Ihnen einen Einblick in die Sicherheitspolitik. Sie
werden erfahren wie Sicherheit aus politischer und informationstechnischer
Sicht definiert ist. Anschließend lernen Sie die Gründe für den Wandel der
Sicherheitspolitik der vergangenen Jahrzehnte kennen. Dies hilft Ihnen
zu verstehen, vor welchen Herausforderungen die Sicherheitspolitik im
Bereich Cyber-Security steht.
1.2 Was bedeutet Sicherheit?
Der Begriff Sicherheit leitet sich aus dem lateinischen Wort securitas ab,
welches sich aus den Worten sed (ohne) und cura (Sorge) ableitet und den
Zustand der Abwesenheit von Sorgen beschreibt. Eine etwas aktuellere
Interpretation des Begriffs Sicherheit dürfte jedoch die Abwesenheit von
Gefahren beschreiben. In verschiedenen Bereichen existieren verschiedene
Gefahren. Folglich wird der Begriff Sicherheit in verschiedenen Domänen
der Gesellschaft anders definiert.
Die Politik definiert Sicherheit allgemein als das weitgehende Unberührtsein
durch Gefährdung und der Erhalt der psychischen und physischen Unversehrtheit
in einer das Überleben ermöglichenden Umwelt1 . Zu einer Erweiterung dieser
Definition gehört auch der Schutz von Besitz und Freiheit des Individuums
1 [48,
S. 15]
Sicherheit aus Sicht
der Politik
Seite 8
inklusive seiner frei gewählten Lebensweise. Damit dieser Schutz gewährleistet werden kann, müssen Gefahren, die z.B. von Katastrophen oder der
organisierten Kriminalität ausgehen, erkannt und bestmöglich abgewehrt
werden.
Aufgrund der großen Anzahl von Bedrohungen, und den Möglichkeiten
ihnen zu begegnen, ist das Themenfeld der Sicherheit hochgradig komplex.
Der Versuch der Gewährleistung von Sicherheit kann in der Gesellschaft
zur Einschränkung der Freiheit des einzelnen Individuums führen. So wird
zum Beispiel Behörden durch eine Vorratsdatenspeicherung ermöglicht
Verkehrsdaten wie Uhrzeit und Dauer von Telefonaten und Zuordnung
von IP-Adressen über einen längeren Zeitraum zu erfassen. Diese Daten
könnten Strafverfolgungsbehörden verwenden, um einen Täter schneller zu
identifizieren. Zwar erfassen die sogenannten Metadaten nicht den Inhalt
der Kommunikation, jedoch können auf diese Weise detaillierte Profile
über Personen und deren Umfeld erstellt werden. Durch diese Art der
Überwachung könnte ein Individuum dazu genötigt werden, seine frei
gewählte Lebensweise anzupassen. Beispielsweise könnte ein Mandant
das persönliche Gespräch mit einem spezialisierten Fachanwalt suchen,
anstatt diese Angelegenheit über das Telefon zu diskutieren. Folglich zeigt
dieses Beispiel, dass die Einführung einer Sicherheitsmaßnahme die zu
beschützende Freiheit selbst gefährden kann.
Sicherheit aus
Durch die stetige Vernetzung und Automatisierung in vielen Bereichen
Sicht der Infor-
unserer Gesellschaft wächst die Bedeutung der IT-Sicherheit. Informati-
mationstechnik
onsverarbeitende Systeme waren vor Beginn der 90er Jahren überwiegend
autonom und wurden nur von einem kleinen Kreis von qualifizierten Experten bedient. Dies änderte sich mit zunehmender Vernetzung. So werden
heutzutage Computer zu einem großen Teil von Nutzern bedient, die nur
begrenztes oder kein Wissen über die Funktionsweise von informationsverarbeitenden Systemen haben. Dies führt in der Konsequenz zu einem mangelhaften Sicherheitsverständnis seitens des Nutzers. Aus diesem Grund
müssen Sicherheitslösungen nicht nur effektiv sondern auch einfach anwendbar sein, um vom Nutzer akzeptiert zu werden. Die IT-Sicherheit
definiert folgende übergeordnete Schutzziele: Vertraulichkeit, Integrität
und Verfügbarkeit.
1.2 Was bedeutet Sicherheit?
Definition 1.1: Vertraulichkeit, Integrität, Verfügbarkeit
Vertraulichkeit:
Die Vertraulichkeit beschreibt das Ziel, dass sensitive Informationen
nur den richtigen Personenkreis zur Verfügung stehen. So stellt beispielsweise die Vertraulichkeit sicher, dass nur autorisierte Nutzer
Zugang zu den jeweiligen übertragenen oder gespeicherten Daten
einsehen können.
Integrität:
Die Integrität beschreibt die Unversehrtheit der Daten. Sie stellt sicher,
dass die Daten nicht von unautorisierten Nutzern oder Umwelteinflüssen werden können, wie z.B. einem Systemabsturz verändert.
Verfügbarkeit:
Die Verfügbarkeit eines Systems stellt sicher, dass die Nutzung zu
den definierten Zeiträumen möglich ist. Dies kann z.B. durch die
Minimierung von Ausfallrisiken mithilfe von redundanten Komponenten erreicht werden. So erhöhen z.B. mehrere Festplatten und eine
unterbrechungsfreie Stromversorgung die Ausfallsicherheit.
Es existieren mehrere Ursachen, die zu einem Systemausfall führen oder
die Sicherheit eines Systems gefährden, wie z.B. Programmier- oder Hardwarefehler. Doch wie entstehen solche Fehler? Eine Ursache ist sicherlich
der Zeitdruck der auf den Entwicklern während der Programmierung lastet, um seine Arbeit in dem festgelegten Budget zu realisieren. Zusätzlich
verursacht der steigende Grad an Komplexität ebenfalls Fehler in der zu
entwickelnden Software.
In einer Studie wurden über 200 verschiedene Open-Source Projekte, die
mehr als 200 Millionen Programmzeilen enthalten, unter Zuhilfenahme
statischer Codeanalyse untersucht. Das Ergebnis zeigt, dass mit steigender
Anzahl von Programmzeilen die Fehlerdichte pro 1000 Zeilen Programmcode zunimmt.2
Die Tabelle 1.2 schlüsselt die Ergebnisse der Studie auf. Durchschnittlich
wurde eine Programmfehlerdichte von 0,59 Fehlern pro 1000 Lines of Code
2 Vgl.
[61]
Seite 9
D
Seite 10
festgestellt. Hierbei muss jedoch beachtet werden, dass die in dieser Studie
angewandte Methode der statischen Programmcodeanalyse nicht alle Fehler entdeckt und man daher von einer höheren Fehlerdichte ausgehen muss.
Allgemein beschreibt man den Fehler in Relation zu 1000 Zeilen Programmcode. Diese Tatsachen führen zu der Schlussfolgerung, dass komplexe und
umfangreiche Programme eine höheren Anzahl an Fehlern enthalten als
kleinere Programme. Beachtet man nun, dass weit verbreitete Betriebssysteme wie Windows XP und deren Nachfolger aus ca. 50 Millionen Lines of
Code bestehen, kann man erahnen, warum immer wieder Schwachstellen
für diese Systeme entdeckt und teilweise ausgenutzt werden.3
LoC
<100.000
100.000 - 499.999
500.000 - 1 Million
>1 Million
Durchschnitt
Tabelle 1.1: Anzahl der
Lines of Code (LoC)
im Verhältnis zur Programmfehlerdichte
(Fehler / 1000 LoC).
Programmfehlerdichte
0,35
0,5
0,7
0,65
0,59
Quelle: [61]
Es ist zwar technisch möglich die formale Korrektheit von Programmen
zu beweisen, jedoch ist dies aufgrund der damit verbunden hohen Kosten
selten sinnvoll oder möglich. Aus diesem Grund versucht die IT-Sicherheit
den Aufwand für mögliche Angreifer zu erhöhen, so dass die Kosten für
einen erfolgreichen Angriff dem zu erwartenden Gewinn nicht mehr sinnvoll gegenüberstehen. Ein sehr anschaulicher Vergleich stellt zum Beispiel
der Tresorknacker dar, der für das erfolgreiche Einbrechen in den Tresor
soviel Gerätschaften anschaffen und Personal beschäftigen müsste, sodass
der Kapitalaufwand nicht mehr im Verhältnis zu dem zu erwartenden
Diebesgut stehen würde. Zusätzlich soll auch erwähnt werden, dass die
IT-Sicherheit auch bewusst Risiken eingeht. Dabei definiert sich das Risiko
aus dem Produkt der Eintrittswahrscheinlichkeit eines Ereignis und den
damit verbunden Schäden bzw. Folgekosten. Wurde ein Risiko für ein bestehendes Problem erkannt, wird abgeschätzt wie hoch die Kosten für die
Beseitigung des Risikos sind. Eine anschließende Kosten-Nutzen-Analyse
wird darüber entscheiden ob das Risiko eingegangen werden kann oder
nicht.
Die Definitionen der Sicherheit aus der politischen als auch aus der technischen Sicht zeigen die Komplexität beider Sichtweisen. Aufgrund des
mangelndes technischen Hintergrunds der politischen Entscheidungsträger ist es nicht verwunderlich, dass sich die Politik mit der Gesetzgebung
im Bereich Cybersicherheit schwer tut. Zwar greift die Politik auf externe
3 Vgl.
[83, 81]
1.3 Wie definiert sich Sicherheitspolitik?
Seite 11
Berater zurück, jedoch muss man hierbei beachten, dass diese unter Umständen ihre eigenen Interessen vertreten. Dieser Umstand erschwert es
den entscheidenden politischen Gremien eine möglichst objektive Beratung
zu erhalten. Zusätzlich führt die grenzübergreifende Cyberkriminalität zu
Zuständigkeitsproblemen zwischen den verschiedenen Landes- und Bundesbehörden Deutschlands. Dies wird in der Zukunft sicherlich zu einer
Anpassung der aktuellen Sicherheitspolitik führen.
Kontrollaufgabe 1.1
K
Warum ist es schwer IT gestützte Systeme fehlerfrei zu entwickeln?
Kontrollaufgabe 1.2
Erläutern Sie die Schutzziele, die durch ein technisches System gewährleistet werden sollen.
Bevor wir uns jedoch mit der aktuellen Sicherheitspolitik beschäftigen,
werden wir in den folgenden Abschnitten zunächst eine aktuelle Begriffsdefinition geben und anschließend einen Überblick des Wandels aus der
Vergangenheit näher betrachten.
1.3 Wie definiert sich Sicherheitspolitik?
Sicherheitspolitik bezeichnet diejenige Politik, die einem Gemeinwesen zur
Ausbildung von Fähigkeiten dient, seine eigene Ordnung (nach innen) und seine
Umwelt (nach außen) durch eigenes Handeln und Gestalten zu kontrollieren mit
dem Ziel, drohenden Gefahren gewachsen und vor ihnen geschützt zu sein4 .
Somit schützt die Sicherheitspolitik vor von außen und innen drohenden
Gefahren, welche die Gesellschaft in ihrer Freiheit und Unversehrtheit einschränken.5 Mögliche Gefahren sind z.B. Unglücksfälle, Naturkatastrophen,
kriegerischen Handlungen, Terrorismus und Spionage. Da die Sicherheitspolitik selten einen hundertprozentigen Schutz gewährleisten kann, versucht sie zusätzlich Maßnahmen zu ergreifen, welche die Folgen eines
Sicherheitsvorfalls abmildern. Ein gutes Beispiel ist dafür der Katastrophenschutz, der neben proaktiven Maßnahmen auch für die Beseitigung von
Katastrophenschäden bzw. -folgen zuständig ist.
4 [48,
5 [82,
S. 15]
S. 446]
K
Seite 12
1.4 Entwicklung der internationalen Sicherheitspolitik in der
Nachkriegszeit
Carl von Clausewitz, ein bekannter preußischer General des 19. Jahrhunderts, sagte einmal, dass Krieg eine bloße Fortsetzung der Politik mit anderen
Mittel ist.6 Bis zu den zwei großen Weltkriegen, hatte dies sicherlich einen
allgemeingültigen Charakter. Jedoch bewirkte die Industrialisierung im
19. und 20. Jahrhundert nicht nur eine Effizienzsteigerung der Wirtschaft
sondern auch des Militärs. Somit wurde das Militär in die Lage versetzt
Gegner effizienter zu bekämpfen. Dabei bedeutet Effizienz im militärischen
Kontext, dass mit wenig Ressourcen (Menschen oder Maschinerie) viele
Feinde außer Gefecht gesetzt werden. So wuchs das Ausmaß an Zerstörung
an und bildete einen Höhepunkt mit der Zündung der zwei Atombomben
von Nagasaki und Hiroshima in Japan, die ca. 100.000 Menschen direkt
töteten.
Solche Ereignisse führten in der Nachkriegszeit zu einem Umdenken in
der Sicherheitspolitik. Ähnlich wie in die IT-Sicherheit werden auch in der
Politik täglich Risiken ermittelt und Kosten-Nutzen-Analysen erstellt. So hat
der II. Weltkrieg mit seinen vielen Toten im zweistelligen Millionenbereich
und einer enormen Zerstörung der Infrastruktur der Politik aufgezeigt,
dass solche Kriege für alle beteiligten schwere Verluste und nur geringe
Gewinne bedeuten. Folglich wurde den politischen Akteuren bewusst, dass
Kriege dieser Art in der Zukunft verhindert werden sollten.
Abb. 1.1: Die San
Francisco Konferenz, 25 April - 26
Juni 1945: Die Sowjetunion unterzeichnete die Charta der
Vereinten Nationen
Quelle: [9]
6 Vgl.
[58, 1. Buch, 1. Kapitel, 24. Satz]
1.4 Entwicklung der internationalen Sicherheitspolitik in der Nachkriegszeit
Seite 13
Mit der Unterzeichnung der Charta der Vereinten Nationen wurde von
50 Nationen im Jahr 1950 die Vereinten Nationen (UN) gegründet. Dieses
Schriftstück bildet die Satzung und wird auch als „Verfassung“ der Vereinten Nationen angesehen. Die UN haben sich den Weltfrieden und die
internationale Sicherheit zum Ziel gesetzt. So verfügen die Vereinten Nationen über einen Sicherheitsrat, der unter anderem Mandate für Sanktionen
oder Friedensmissionen erlassen kann. Dieser ist jedoch für die Durchsetzung seiner Beschlüsse von der Unterstützung der Mitgliedsstaaten abhängig. Dennoch stellen die Vereinten Nationen den ersten international
erfolgreichen Ansatz für eine gemeinsame globale Sicherheitspolitik.
Die Weltkriege des 20. Jahrhunderts waren durch eine qualitativen Symmetrie gekennzeichnet. Dies bedeutet, dass die beteiligten Kriegsparteien
ähnliche Fähigkeiten und Methoden für einen Kampf besitzen. Jedoch waren die Größe der beteiligten Armeen oder die verfügbaren Ressourcen
unterschiedlich. In diesem Fall spricht man von einer quantitativen Asymmetrien.
In den Auseinandersetzungen nach dem II. Weltkrieg wurden die Spannungen der Großmächte in kleineren Kriegen deutlich. Eine direkte Auseinandersetzung zwischen großen Staatsmächten wurde in der Regel vermieden.
So kam es vermehrt zu Stellvertreterkriegen, wie z.B. in dem Koreakrieg von
1950 bis 1953 und dem Vietnamkrieg von 1955 bis 1975. Bei beide Kriege
waren Stellvertreter Kriege zwischen den Vereinigten Staaten von Amerika
und kommunistisch geprägten Staaten wie China oder Russland.
Definition 1.2: Stellvertreterkrieg
Bei einem Stellvertreterkrieg befinden sich nicht die Großmächte
selber in einem kriegerischen Konflikt, sondern lassen diese durch
Drittstaaten austragen. Dabei unterstützt die jeweilige Großmacht die
ihnen positiv zugewandte Kriegsfraktion mit Waffen- oder anderen
Ressourcen.
Im Jahr 1962 standen die Großmächte USA und die Sowjet Union kurz vor
einer atomaren Auseinandersetzung. Der Grund war die Stationierung von
sowjetischen Atomraketen in Kuba als Antwort auf die amerikanischen
Atomraketen in der Türkei. Beide Stationierungspunkte waren so gewählt,
dass ein atomarer Erstschlag von beiden Seiten ohne längere Vorwarnzeit
durchgeführt werden konnte. Dies ermöglichte es den Parteien dem jewei-
D
Seite 14
ligen Gegner zu verdeutlichen, dass im Falle eines atomaren Erstschlages
die Möglichkeit zu einem Zweit- bzw. Rückschlag besteht. Solch eine Auseinandersetzung würde die gegenseitige Auslöschung bedeuten, wodurch
keiner sein primäres Ziel erreichen kann. Somit verhinderte die Angst vor
Einsatz atomarer Waffen weitere großen kriegerischen Auseinandersetzung
in der Weltgeschichte. Die Atombombe dient seither als ein wichtiges sicherheitspolitisches Mittel der Abschreckung.
D
Definition 1.3: Sicherheitspolitisches Mittel der Abschreckung
Unter der Abschreckung versteht man mit Hilfe von Androhungen
von bestimmten Maßnahmen den Gegner von bestimmten Handlung
abzuhalten.
Das gegenseitige Hochrüsten der Großmächte USA und Sowjet Union während des kalten Krieges führte zu einem immer größeren Zerstörungspotenzial im Falle eines Krieges. Sowohl die Sowjet Union als auch die USA waren
sich der Bedeutung des Status Quo bewusst. Damit das Gleichgewicht der
gegenseitigen Abschreckung gewahrt bleibt, haben beide Staaten, zehn Jahre
nach der Kubakrise, im Jahr 1972 den Anti-Ballistic Missile Treaty (ABM)Vetrag abgeschlossen. Innerhalb dieses Vertrages verzichten die Vereinigten
Staaten von Amerika und die Sowjet Union auf großflächige Verteidigungssysteme gegen ballistische Raketen. Zusätzlich wird die Forschung und
Entwicklung an solchen Raketenabwehrsystemen eingeschränkt. Dieser
Vertrag stellt eine Limitierung von Defensivmaßnahmen dar, indem beide
Vertragsparteien sich gegenseitige Verwundbarkeit garantieren.7 Solch ein
Abrüstungsvertrag hatte es vorher noch nicht gegeben.
Weitere Abrüstungsverträge für unter anderem Atomraketen führten zu einer Entspannungspolitik. Mit dem von Gorbatschow eingeleiteten Wandel
und Zusammenbruch der Sowjet Union änderte sich die Bedrohungslage
grundlegend. Der klassische symmetrische Konflikt zwischen Großmächten
stand nun nicht mehr im Fokus der Sicherheitspolitik. Es folgten asymme-
7 Vgl.
[120]
1.5 Reaktion der Sicherheitspolitik auf die neue Bedrohung: Der Terrorismus.
Seite 15
trische Bedrohungen, die nicht nur von Staaten sondern auch von nicht
staatlichen Akteuren, wie z.B. Terroristen, ausgehen.
Kontrollaufgabe 1.3
K
Erläutern Sie kurz die Außen-Sicherheitspolitik der Großmächte die
USA und Sowjet-Union in der Nachkriegszeit.
1.5 Reaktion der Sicherheitspolitik auf die neue Bedrohung:
Der Terrorismus.
Definition 1.4: Terroranschlag
D
The Global Terrorism Database defines a terrorist attack as the threatened or
actual use of illegal force and violence by a non-state actor to attain a political,
economic, religious, or social goal through fear, coercion, or intimidation.
Quelle: [86]
Abb. 1.2: Zeitliche
Darstellung über die
Anzahl der weltweiten
Terrorangriffe und
deren Opferzahlen.
Datenquelle: [86]
Die Abbildung 1.2 zeigt die Entwicklung des Terroranschläge im Verlauf
der Zeit. Die zugrunde liegende Definition von Terroranschlägen entspricht
der Definition 1.4. Sowohl die Anzahl der Anschläge als auch die erhöhten
Opferzahlen zeigen, dass das Phänomen des Terrors seit 1970 quantitativ
stark zunimmt. Folglich stellt sich die Frage, wie die Sicherheitspolitik auf
diese neue Bedrohung reagiert.
Seite 16
Der RAF Terrorismus
In Deutschland wurde der Terrorismus erst zu Beginn der 1970er Jahre durch die Anschläge der Roten Armee Fraktion (RAF) als bedrohendes
Phänomen für Gesellschaft wahrgenommen. Die diversen Anschläge und
Entführungen der RAF führten zu Gesetzesänderungen in Deutschland.
So wurden innerhalb von wenigen Jahren sechs Gesetze mit insgesamt 27
Einschränkungen der Freiheit erlassen. Dazu zählen unter anderem die
Erleichterungen für die Verfolgung durch staatliche Institutionen.8 Die Sicherheitspolitik in Deutschland hat auf den Terrorismus mit einem neuen
Straftatbestand der Bildung einer terroristischen Vereinigung und der Einführung der Rasterfahndung reagiert. Bei der Rasterfahndung werden verfügbare
Datensätze nach vorher definierten Täterprofilen gefiltert, sodass die Gruppe der Verdächtigen auf ein Minimum reduziert wird. Diese Ermittlungsmethode ermöglichte die Festnahme des RAF Terroristen Rolf Heißler.9
Die Problematik der Rasterfahndung besteht in dem möglichen Szenario,
dass unschuldige Personen in das Raster fallen und zu unrecht verdächtigt
werden. Des Weiteren können diese bereits vorliegenden Daten zu anderen
Zwecken missbraucht werden. Das Beispiel RAF Terrorismus zeigt, dass
die Sicherheitspolitik auf bestehende Bedrohungen reagieren kann.
Abb. 1.3: Einschlag
(Explosion) von Flug
UA 175 im Südturm
des Word Trade
Centers (Aufnahme von Norden)
Quelle: [108]
Der internationale
Neben dem nationalen Terrorismus ist mit dem internationalen Terrorismus
Terrorismus und der
eine weitere Bedrohung für die Sicherheit entstanden. Einen Höhepunkt
Anschlag auf das
war der Anschlag vom 11. September 2001 auf das Word Trade Center in
World Trade Center
New York, bei dem beide Türme durch Kollision mit entführten Flugzeugen
einstürzten. Dabei starben mehr als 1000 Menschen. Wahrscheinlich wurde
die Entführung mit Hilfe von Messern, die in einem Multifunktionswerkzeug namens Leatherman integriert waren, durchgeführt. Obwohl es vor
2011 bereits mehrere Flugzeugentführungen gab, waren die Cockpits der
Piloten zu diesen Zeitpunkt nicht besonders gesichert und die Mitnahme
8 Vgl.
9 Vgl.
[46]
[68, S. 115]
1.5 Reaktion der Sicherheitspolitik auf die neue Bedrohung: Der Terrorismus.
Seite 17
dieser Werkzeuge gestattet.10 Hier wurde wahrscheinlich das Risiko durch
Flugzeugentführungen seitens der Sicherheitspolitik falsch bewertet.
Nach dem Anschlag des 11. Septembers wurde die Sicherheitsgesetze
Amerikanische Sicher-
in den USA und auch Deutschland verschärft. Die USA erließen am 25.
heitsgesetzgebung:
Oktober 2001 den Patriot Act, der die Bürgerrechte von US-Amerikanern
Patriot Act
umfangreich eingeschränkt und die Rechte der Geheimdienste und Strafverfolgungsbehörden für Überwachungsmaßnahmen bzgl. der Internet
und Telekommunikation erweitert. Des Weiteren bedarf die Überprüfung
finanzieller Transaktion keiner richterlichen Zustimmung und staatliche
Stellen erhielten Befugnisse ausländische Terrorverdächtige ohne Anklageerhebung oder richterliche Prüfung für einen beliebigen Zeitraum festzuhalten.11 So werden die Freiheitsrechtes des Einzelnen Bürgers eingeschränkt,
um dem gesellschaftlichen Ziel der freiheitlichen Grundordnung zu schützen. Dies stellt die Sicherheitspolitik unserer heutigen Gesellschaft vor ein
Dilemma.
Auch in Deutschland wurden die Gesetze als Reaktion auf den Terror-
Deutsche Sicherheits-
anschlag des 11. Septembers umfangreich geändert. In den Jahren 2001
gesetzgebung:
sowie 2002 wurden die Sicherheitspakete I und II verabschiedet. Diese Ge-
Sicherheitspaket I und
setze stellen unter anderem die Mitgliedschaft und die Unterstützung einer
terroristischen Vereinigung unter Strafe. Des Weiteren bilden sie die Grundlage für verlängerte Speicherfristen von personenbezogene und für die
erweiterten Zugriffsrechte auf Bank-, Post- und Telekommunikationsdaten.
Diese Gesetze wurden 2006 erweitert. So wurde z.B. die anlassunabhängige Vorratsdatenspeicherung eingeführt.12 Diese wurde jedoch im März
2010 durch das Bundesverfassungsgericht in ihrer vorgelegten Form für
verfassungswidrig und damit unzulässig erklärt, da diese gegen §10 des
Grundgesetzes (dem Post- und Fernmeldegesetz) verstößt. Damit hat das
Bundesverfassungsgericht die Sicherheitspolitik Grenzen aufgezeigt und
die Freiheitsrechte des Bürgers gewahrt. Dabei merkten die Richter an,
dass die Vorratsdatenspeicherung nicht grundlegend Verfassungswidrig
ist. Sie definierten Vorbedingungen, die der Gesetzgeber für die Durchführung einhalten muss. Für detaillierte Informationen empfiehlt es sich den
Auszug aus dem Urteil des Bundesverfassungsgerichts im Exkurs 1.1 zu
betrachten.
10 Vgl.
[85]
[98]
12 Vgl. [67]
11 Vgl.
II
Seite 18
E
Exkurs 1.1: Urteil vom Bundesverfassungsgericht zur Vorratsdatenspeicherung
Die verfassungsrechtliche Unbedenklichkeit einer vorsorglich anlasslosen Speicherung der Telekommunikationsverkehrsdaten setzt vielmehr voraus, dass diese eine Ausnahme bleibt. Sie darf auch nicht im
Zusammenspiel mit anderen vorhandenen Dateien zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen. Maßgeblich für
die Rechtfertigungsfähigkeit einer solchen Speicherung ist deshalb
insbesondere, dass sie nicht direkt durch staatliche Stellen erfolgt,
dass sie nicht auch die Kommunikationsinhalte erfasst und dass auch
die Speicherung der von ihren Kunden aufgerufenen Internetseiten
durch kommerzielle Diensteanbieter grundsätzlich untersagt ist. Die
Einführung der Telekommunikationsverkehrsdatenspeicherung kann
damit nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen, sondern zwingt den Gesetzgeber
bei der Erwägung neuer Speicherungspflichten oder -berechtigungen
in Blick auf die Gesamtheit der verschiedenen schon vorhandenen
Datensammlungen zu größerer Zurückhaltung. Dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden
darf, gehört zur verfassungsrechtlichen Identität der Bundesrepublik
Deutschland (vgl. zum grundgesetzlichen Identitätsvorbehalt BVerfG,
Urteil des Zweiten Senats vom 30. Juni 2009 - 2 BvE 2/08 u.a. -, juris,
Rn. 240), für deren Wahrung sich die Bundesrepublik in europäischen
und internationalen Zusammenhängen einsetzen muss. [. . . ]
Zusammenfassend ist eine sechsmonatige Speicherung der Telekommunikationsverkehrsdaten in dem vom Gesetzgeber in § 113a Abs.
1 bis 8 TKG vorgesehenen Umfang unter den gegenwärtigen Umständen nicht von vornherein unverhältnismäßig. Für ihre verfassungsrechtliche Unbedenklichkeit ist allerdings Voraussetzung, dass
die Ausgestaltung der Speicherung und der Verwendung der Daten
dem besonderen Gewicht einer solchen Speicherung angemessen
Rechnung trägt.
Quelle: [45]
1.6 Ein neues Phänomen: Die Bedrohung aus dem Cyberraum
Kontrollaufgabe 1.4
Seite 19
K
Schildern Sie die sicherheitspolitischen Maßnahmen der Politik in
Bezug auf den Terrorismus.
1.6 Ein neues Phänomen: Die Bedrohung aus dem
Cyberraum
Abb. 1.4: Darstellung der ermittelten
Cybercrime-Straftaten
von 2007 bis 2013.
Datenquelle: [24, 25, 26, 27]
Die Vorratsdatenspeicherung wurde nicht ausschließlich für die Ermittlung
im Fall von Terrorismus eingeführt, sondern wird ebenfalls für die Eindämmung von Cyberkriminalität eingesetzt. Die Abbildung 1.4 zeigt die Anzahl
an Cyberkriminalfällen in den Jahren von 2007 bis 2013. Es ist zu erkennen,
dass sich die Anzahl der Straftaten seit 2007 nahezu verdoppelt hat. §202c
im Strafgesetzbuch eingeführt. Dieser Paragraph stellt die Vorbereitung
des Ausspähens und Abfangens von Daten unter Strafe. Dazu zählt unter
anderem auch die Verbreitung von Programmen, die ein Ausspähen ermöglichen. Die Definition 1.5 gibt den Gesetzestext des Hackerparagraphen
wieder.
Definition 1.5: §202c StGb - Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
D
Seite 20
2. Computerprogramme, deren Zweck die Begehung einer solchen
Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe
bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Der Definition nach ist nicht nur das Ausspähen von Daten unter Strafe
gestellt, sondern auch das Herstellen bzw. Verbreiten von Computerprogrammen, die solch eine Tat ermöglichen. Diese Formulierung muss jedoch
in jedem Einzelfall kritisch hinterfragt werden. Unter Umständen könnte
sie IT-Sicherheitsexperten kriminalisieren, die Produkte oder Netzwerke
mit Hilfe dieser Programme auf Sicherheitslücken überprüfen. So könnte
ein Sicherheitsfachmann beispielsweise ein Tool für das Überprüfen und
Aufzeigen einer Sicherheitslücke nicht Kollegen zur Verfügung stellen, ohne
sich selber Strafbar zu machen. Damit erhöht das Gesetz nur anscheinend
die Sicherheit, aber verringert die Möglichkeit von Sicherheitsfachmännern
ihre eigenen Systeme auf Schwachstellen zu analysieren.
Die deutsche Sicherheitspolitik hat folglich versucht der Bedrohung durch
eine Gesetzesnovelle zu begegnen, die Schadprogramme verbietet und somit Angriff auf PCs erschweren soll. Solch ein Verbot mag vielleicht im
Kontext von Schusswaffen funktionieren, um das Erlangen von Waffen
wesentlich aufwendiger für Täter zu gestalten. Jedoch ist solch ein Verbot in Zeit des globalisierten Internets wenig sinnvoll. Denn zum einem
ist es schwer bestimmte Programme aufgrund ihres Dual-Use-Characters
als Schadprogramme einzuschätzen und zum anderen können solche Programme von Personen sehr einfach über ausländische Server publiziert
oder heruntergeladen werden, die sich teilweise dem deutschen Recht entziehen.
Bevor das Gesetz verabschiedet wurde, gab es im Bundestag eine Expertenanhörung zu dem geplanten Paragraphen §202c StGB. Verschiedene
Experten aus der IT-Sicherheitsindustrie und aus dem akademischen Bereich haben ähnlich gelagerte Bedenken, wie vorab beschrieben, geäußert.
Dennoch wurde das heftig umstrittene Gesetz in seiner Form im Jahr 2007
verabschiedet. Dieses Beispiel ist guter Indikator für das mangelnde technisches Verständnis der Sicherheitspolitik und die daraus resultierenden
Folgen in der Form von mangelhaft umgesetzten Gesetzen.
Seite 21
Im darauf folgenden Jahr kam es zu einer Verfassungsbeschwerde gegen
den Hackerparagraphen. Eine der ältesten Hacker Vereinigungen, der Chaos Computer Club e.V. (CCC), hat eine Stellungnahme an das Bundesverfassungsgericht übermittelt. Einen Ausschnitt aus dieser Stellungnahme
können Sie dem Exkurs 1.2 entnehmen.
Exkurs 1.2: Stellungnahme des CCC gegen den § 202c StGB
Auszug aus der Stellungnahme des CCC anläßlich der Verfassungsbeschwerde gegen den § 202c StGB:
Eine Unterscheidung, welchen Zweck eine Software verfolgt, ist aus
informationstechnischer Sicht nicht möglich. Es gibt keine objektiven
Kriterien, anhand derer sich festmachen ließe, daß ein Programm
ausschließlich legalen oder illegalen Absichten dient. Wie bei einem
mechanischen Werkzeug, etwa einem Skalpell oder einem Hammer,
entscheidet erst die Verwendung durch den Anwender über den
Zweck und die mögliche Strafbarkeit des damit ausgeführten Handelns.
Angesichts der Verschiedenartigkeit und Komplexität von Computern und Netzwerken ist eine unüberschaubare Vielfalt von Programmen und Softwarekomponenten entstanden, die für den Betrieb von
IT-Systemen notwendig sind, sich aber auch für illegale Zwecke einsetzen lassen. Die Mehrzahl der Angriffe im Internet erfolgt mit Hilfe
solcher dual-use- Werkzeuge – bis hin zum normalen Webbrowser. Beruhend auf dem Recht zum digitalen Selbstschutz, das sich aus dem
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme ergibt, müssen die Bürger und die
Wirtschaft in der Lage bleiben, ihre Computersysteme auf Sicherheitslücken zu testen. Dazu ist der Besitz von Angriffswerkzeugen unabdingbar notwendig. Für IT-Berater und IT-Sicherheitsfirmen besteht
der Bedarf, die sogenannten Angriffswerkzeuge zu besitzen sowie
mit ihnen zu experimentieren und sie weiterzuentwickeln. Weiterhin
ist es unabdingbar, sich (auch öffentlich) mit anderen IT-Spezialisten
über Sicherheitslücken und Wege zu ihrer Ausnutzung auszutauschen. Dazu muß den Computersicherheitsexperten die Möglichkeit
eröffnet bleiben, eigene Erweiterungen von Angriffssoftware sowie
Anregungen für zukünftige Angriffe öffentlich publizieren und diskutieren zu können.
E
Seite 22
Nur hierdurch ist es möglich, aus eigenen Fehlern zu lernen, sich selbst weiterzubilden und Wissen sinnvoll in ITSicherheitsabteilungen und Unternehmen anzuwenden. Dies gilt
gleichermaßen für externe Berater und für interne Mitarbeiter eines
Unternehmens, ebenso für sich selbst weiterbildende Studierende
und Berufseinsteiger. Neu gefundene Sicherheitslücken müssen in
der Regel durch Testsoftware, die diese Schwachstellen ausnutzen,
belegt werden, da sonst nicht die notwendige Aufmerksamkeit und
Reaktion von Herstellern und Anwendern zu erreichen ist.
Der Besitz und Austausch von Software, für die sich ein überwiegend
schädlicher Charakter begründen läßt, wie etwa Viren und Trojaner,
ist für den Erhalt der Systemsicherheit ebenfalls zwingend notwendig,
da nur durch die Analyse dieser Software ihre Verbreitung durch Gegenmaßnahmen einzudämmen ist. Diese Gegenmaßnahmen werden
zunehmend von den betroffenen Unternehmen, wie etwa Banken,
selbst entwickelt. Eine Kriminalisierung des Umgangs mit Schadsoftware führt daher zu einer direkten Senkung des allgemeinen Niveaus
der IT-Sicherheit in Deutschland.
Quelle: [80]
Die Beschwerdeführer waren unter anderem ein IT-Sicherheitsexperte und
ein Dozent einer Hochschule für IT-Sicherheit. Beide argumentierten, dass
Sie bedingt durch Ihre Tätigkeit dritten Personen Software, die für eine
Straftat genutzt werden könnte, zur Verfügung stellen, wodurch sie sich
gemäß §202c StGB strafbar machen würden. Dies würde in der Konsequenz
die freie Berufsausübung und die freie Forschung beeinträchtigen. Die
Verfassungsbeschwerde wurde jedoch vom Bundesverfassungsgericht als
unzulässig zurückgewiesen. Als Begründung führte das Gericht an, dass
die Beschwerdeführer nicht unmittelbar von dem Gesetz betroffen sind, da
ihnen der erforderliche Vorsatz einer Straftat während ihrer Tätigkeit als ITSicherheitsexperte oder Lehrkraft fehlen würde.13 Ein weiterer interessanter
Fakt ist, dass bis jetzt noch kein öffentlicher Fall bekannt geworden ist, bei
dem eine Person Aufgrund eines Verstoßes gegen den §202c StGB verurteilt
worden ist. Entweder scheint das Gesetz tatsächliche Kriminelle abzuschrecken oder das Gesetz kann nur schwer durch die Strafverfolgungsbehörden
umgesetzt werden. Es bleibt an dieser Stelle dem Leser überlassen, sich ein
eigenes Urteil zu bilden.
13 Vgl.
[44]
Grundsätzlich muss die Sicherheitspolitik auf verschiedene Bedrohungen
von verschiedenen Akteuren aus dem Cyber-Raum reagieren. Die Bundesakademie für Sicherheitspolitik hat die verschiedenen Cyber-Konflikttypen
definiert und ihrem Arbeitspapier Arbeitspapiere Sicherheitspolitik, Ausgabe
2/2014, zusammengefasst:14
Definitionen von Cyber-Konflikttypen
Gefahren aus dem Cyber-Raum können in unterschiedlichen Ausprägungen auftreten, die nicht immer leicht zu differenzieren sind. Absolute Trennschärfe in der
Cyber-Terminologie wird kaum zu erreichen sein. Allerdings erscheint es zweckmäßiger auf nicht ganz präzise Definitionen zurückzugreifen, als ganz auf sie zu
verzichten. Als Grundlage für zukünftige Diskussionen sind sechs Konflikttypen
denkbar, die auf den amerikanischen Sicherheitsexperten James A. Lewis und die
Schweizer Wissenschaftlerin Myriam Dunn Cavelty zurückgehen.
(1) Hacktivismus und Cyber-Vandalismus
Das Wort Hacktivismus setzt sich aus den Begriffen „Hacking“ und „Aktivismus“
zusammen. Es bezeichnet Aktivitäten von Privatpersonen oder staatlich unabhängigen Gruppen, die Computer oder Computernetzwerke für politischen Protest
nutzen. Hacktivisten zielen darauf ab, mittels verschiedener Hacking-Methoden den
Zugriff auf Informationen im Internet zu stören. Sie verändern beispielsweise den
Inhalt von Internetseiten oder unterbinden den Zugriff auf Online-Dienste. Demgegenüber stehen hinter Cyber-Vandalismus keine politischen Ziele. Die Motive
sind im Bedürfnis des Hackers zu suchen, die Grenzen seines Könnens auszutesten
und Selbstbestätigung zu erfahren.
(2) Cyber-Kriminalität
Cyber-Kriminelle agieren als Einzeltäter oder in Gruppen, die mehr oder weniger
gut organisiert und ausgerüstet sind. Ihre illegalen Aktivitäten im Cyber-Raum
sind darauf aus, finanzielle Gewinne zu erzielen. Dabei können sowohl Einzelpersonen als auch Unternehmen geschädigt werden. Die Straftaten weisen eine
große Bandbreite auf und umfassen Delikte wie zum Beispiel Kreditkarten- und
Warenbetrug, Identitätsdiebstahl und Erpressung.
(3) Cyber-Spionage
14 [70,
S. 3ff]
Seite 23
Seite 24
Es gibt zwei Ausprägungen von Cyber-Spionage: zum einen Wirtschaftsspionage
und zum anderen politisch-militärische Spionage. Im ersten Fall sind die Akteure
Unternehmen, die hoch entwickelte IT-Methoden für Spionagezwecke nutzbar
machen: Sie versuchen, an vertrauliche Geschäftsinformationen und intellektuelles
Firmeneigentum von hohem ökonomischen Wert zu gelangen. Im zweiten Fall
sind die Akteure Staaten, insbesondere Nachrichtendienste oder hochprofessionelle
private Hacker, die in staatlichem Auftrag Spionage über den Cyber-Raum betreiben.
Im Zentrum ihrer Aktivitäten stehen die verdeckte und illegale Beschaffung von
sensiblen und klassifizierten Informationen ausländischer Regierungsinstitutionen
und deren Streitkräfte. Attraktiv sind beispielsweise Informationen über militärische
Kapazitäten und Strategien sowie Verteidigungskonfigurationen von einzelnen
Zielcomputern oder ganzen Systemen.
(4) Cyber-Sabotage
Auch mit Blick auf Cyber-Sabotage muss man zwischen wirtschaftlichen und
politisch-militärischen Absichten unterscheiden. Die Grenzen zwischen CyberSpionage und Cyber-Sabotage sind indes nicht leicht festzumachen: Zum einen
sind bei beiden Konflikttypen dieselben Akteure aktiv. Zum anderen dienen die
Informationen, die durch Cyber-Spionage gewonnen werden, als Grundlage für
Cyber Sabotageaktionen. Letztere nutzen solche Erkenntnisse über Sicherheitslücken und Verteidigungskonfigurationen aus. Somit richtet sich Cyber-Sabotage
gegen die Integrität und Verfügbarkeit von wichtigen IT-Systemen und Prozessen.
Dies führt zur Zerstörung oder massiven Schädigung von technischer Ausrüstung
oder gespeicherten Informationen. Dahinter stehen zumeist politische Ziele. CyberSabotage ist – im Unterschied zu Cyber-Vandalismus – relevant für die nationale
Sicherheit. Die Schwelle zum Cyber-Krieg wird jedoch nicht überschritten.
(5) Cyber-Terrorismus
Terroristische Netzwerke und Gruppen sowie radikalisierte Individuen können
über den Cyber-Raum ihre politischen und ideologischen Ziele verfolgen. Mittels systematisch geplanter Gewaltaktionen, die zu materieller Zerstörung führen,
wollen Cyber-Terroristen Aufmerksamkeit auf ihre Ideale und Werte lenken. Potentielle Ziele, die sie über den Cyber-Raum angreifen können, sind vor allem
kritische Infrastrukturen. Terroristische Cyber-Anschläge können beispielsweise
Trinkwasservorräte kontaminieren oder Flugzeugabstürze und massive Stromausfälle verursachen. Sie haben somit das Potential nicht nur kostspielige Störungen
hervorzurufen, sondern vielmehr zu Personen- oder Sachschäden zu führen.
(6) Cyber-Krieg
Nationale Streitkräfte oder staatlich finanzierte militärische Einheiten und andere
offiziell autorisierte Gruppen, wie zum Beispiel so genannte „Cyber-Milizen“,
können Cyber-Techniken einsetzen, um eine kriegerische Auseinandersetzung zu
führen. Diese aggressiven Aktivitäten im Cyber-Raum haben massive physische
Auswirkungen auf die reale Welt.
Anhand der definierten Cyber-Bedrohung von der Cyber-Kriminalität bis
hin zum Cyber-Terrorismus können wir erkennen, dass die Ursachen der
Bedrohung und deren Auswirkungen sehr vielseitig sind. Eine interessante
Dimension dieser Bedrohung ist die Gefahrenabwehr. Wie eingangs aufgezeigt, steigt die Komplexität der Software und folglich die Anfälligkeit
für Cyber-Angriffe. So versuchen Systemadministratoren ihre Systeme vor
Bedrohungen mit ihren Mitteln zu schützen, jedoch nur gegen bestimmte
Angreifermodelle, die nach Kosten und Nutzen ausgewählt werden. Staatliche Institutionen haben ein hohes Schutzbedürfnis, aber können dieses
nicht in einem bestimmten Kostenrahmen realisieren und wissen um ihre Verwundbarkeit. Dies führt dazu, dass die Staaten auf Abschreckung
durch den Aufbau eigener offensiven Cyber-Fähigkeiten setzen. So sollen
andere Staaten von einem Angriff abgebracht werden, da sie mit einem
verheerenden Gegenschlag rechnen müssen.
Daher verwundert es nicht, dass viele Staaten den Aufbau von offensiven
Cyber-Fähigkeiten innerhalb ihrer Streitkräfte betreiben. Eine Untersuchung
des United Nation Institute for Disarmment Research aus dem Jahr 2011 hatte
ergeben, dass 68 der 193 UN-Mitglieder Cybersecurity-Programme betreiben. Von diesen 68 Nationen unterhalten 32 Nationen explizit militärische
Vorhaben. Eine weitere Befragung im August 2012 ergab erstaunliches. Die
Anzahl der Länder mit einem Cybersecurity-Programm ist gegenüber der
vorherigen Umfrage von 68 auf 114 gestiegen. Von diesen 114 Nationen
verfügen nun 47 Staaten auch über militärische Cybersecurity-Programme.
Dies entspricht einem Anstieg von 47% gegenüber den Werten aus 2011.
Nur 67 der befragten Staaten verfügten zu diesem Zeitpunkt über rein
zivile Cyber-Security-Programme. Zusätzlich hat sich die Anzahl der Staaten von 12 auf 27 erhöht, die explizit spezifische Cyberwarfare Einheiten
unterhalten. Medienberichte lassen laut der UN vermuten, dass 17 von
diesen Staat auch an offensiven Fähigkeiten arbeiten.15 Die Ergebnisse der
Untersuchungen der UN und die steigenden militärischen CybersicherheitProgramme zeigen, dass die Cybersicherheit in der Sicherheitspolitik eine
immer wichtigere Rolle spielt. Ein weiterer Beleg dafür ist die Äußerung
15 Vgl.
[119]
Seite 25
Seite 26
des Verteidigungsministers der Vereinigten Staaten von Amerika Chuck
Hagel aus dem Jahr 2014. Dieser kommunizierte, dass die Streitkräfte des
U.S. Cybercommands im Jahr 2016 eine Stärke von 6000 Personen aufweisen
wird.16
Andere Staaten wie Russland oder China sollen über ähnliche CyberStreitkräfte verfügen. Verlässliche Zahlen lassen sich jedoch kaum finden.
Die Abteilung Computer Netzwerk Operationen (CNO) des Kommandos Strategische Aufklärung (KSA) der Bundeswehr verfügt über ungefähr 60 Personen mit offensiven Cyber-Fähigkeiten. Laut der Aussage des Kommandeurs
der KSA wäre ein Einsatz der Cyber-Soldaten in Afghanistan möglich, da
das Mandat des Bundestags alle notwendigen Mittel für einen Einsatz erlaubt.17 Die Truppenstärke der CNO der Bundeswehr ist im Verhältnis
zu der der USA um den Faktor 100 kleiner. Eine Vermutung ist, dass die
Bundeswehr im Gegensatz zu den USA die militärischen Hacker als eine
reine unterstützende und nicht alleinstehende Kraft ansieht. Ob sich dies
in Deutschland ändern wird, werden wir in der Zukunft sehen.
Abb. 1.5: Verbbandsabzeichen des US
Cyber Commands
(links) und des Kommandos Strategische
Aufklärung (rechts).
Quelle: [2, 6]
Inwiefern können mi-
Aus technischer Sicht ist es schwer bei einem Cyber-Angriff festzustellen,
litärische oder zivile
ob Kriminelle oder ein Staat hinter dem Angriff steckt. Dies beginnt mit dem
Kräfte bei einem Cy-
Problem, den Ursprung des Angriffs exakt zu bestimmen. So könnte z.B.
berangriff reagieren?
ein russischer Angreifer einen Server in der Schweiz kompromittieren und
diesen für den Angriff auf Deutschland nutzen. Die deutschen Behörden
würden in den ersten Untersuchungen zu dem Ergebnis kommen, dass der
Angriff aus der Schweiz kam. Sicherlich wird sich herausstellen, dass der
schweizer Server von Russland aus kompromittiert worden ist, jedoch ist
damit immer noch nicht klar, woher der Angriff eigentlich stammt. Denn
auch der russische Server könnte von einem Akteur aus einem anderen
Land kompromittiert worden sein, usw. Die Politik steht also vor dem
Problem einer großen internationalen Bedrohung gegenüber, wobei die
Protagonisten sowohl kriminelle Vereinigungen und/oder Staaten sein
16 Vgl.
17 Vgl.
[84]
[66]
Seite 27
können. Dies führt auch zu einem Problem der Zuständigkeiten innerhalb
der Sicherheitsarchitektur eines Staates.
So sind für die Bekämpfung der Kriminalität die Bundes- und Landespolizei zuständig. Für die Bekämpfung von staatlicher Spionage ist der
Verfassungsschutz oder der Militärische Abschirmdienst (MAD) zuständig.
Wobei hier bereits unterschieden werden muss. Der Militärische Abschirmdienst ist im Gegensatz zum Verfassungsschutz nur für gegen die Bundeswehr gerichtete Spionagetätigkeiten zuständig. Der Verfassungsschutz
unterteilt sich in Deutschland in den Bundesverfassungsschutz und in die
Verfassungsschutzbehörden der jeweiligen Bundesländer. Die Besonderheit
der Verfassungsschutzbehörden im Gegensatz zur Polizei ist die Möglichkeit bekannte Straftaten nicht gegenüber der Polizei anzuzeigen oder zu
verfolgen. Man nennt dies auch das Opportunitätsprinzip. Wird folglich
ein Unternehmen angegriffen hat es mehre mögliche Ansprechpartner. So
kann sich das Unternehmen an die Landes- und Polizei oder den Landes
bzw. Bundesverfassungsschutz wenden. Aufgrund der Tatsache, dass Unternehmen Reputationsverlust bei einem möglichen Bekanntwerden eines
digitalen Einbruchs befürchten, wenden sich diese wahrscheinlich eher an
die Verfassungsschutzorgane. Interessant ist jedoch die Frage, bei wem die
Zuständigkeit für staatlich beauftragte Söldner liegt, die Wirtschaftsspionage betreiben. Wahrscheinlich dürften in solch einem Fall die verschiedenen
Behörden je nach Kenntnisstand miteinander kooperieren.
Für viele Personen ist die Gefahr eines Cyberangriffs auf z.B. kritische
Abstraktheit der
Infrastrukturen eine abstrakte Gefahr, weil diese in einen virtuellem Raum
Cyber-Bedrohung
stattfindet und schwer vorstellbar ist. Ein Anschlag eines Terroristen ist
jedoch wesentlich greifbarer und durch die bisherigen Terroranschläge in
Paris, New York, London und Madrid vorstellbarer. Diese abstrakte Wahrnehmung der Cyber-Gefahren und die mangelnde technische Verständnis
der führenden Politiker, führt zu einer sehr langsamen Reaktion, seitens
der Sicherheitspolitik. Ein guter Beleg dafür ist, dass erst im Jahr 2015 ein
Gesetz zur IT-Sicherheit und Schutz der kritischen Infrastrukturen von der
Bundesregierung verabschiedet worden ist, obwohl in der Vergangen bereits mehre Cyber-Vorfälle stattgefunden haben.18 Einen Überblick über die
Sicherheitsarchitektur Deutschlands, die Zuständigkeiten der Behörden bei
Cyber-Vorfällen und die Bedeutung des neuen IT-Sicherheitsgesetzes wird
der zweite Studienbrief geben.
18 Vgl.
[36]
Seite 28
1.7 Zusammenfassung
Der Wandel der Sicherheitspolitik hat gezeigt, dass die Politik immer reaktiv und selten proaktiv auf Bedrohungen regiert. Es dauert immer eine
gewisse Zeit bis ein Problem von der Politik wahrgenommen wird. Meistens
wird seitens der Politik erst aktiv nach einem akuten oder bedeutenden
Vorfall diverse Handlungsimpulse unternommen. So wurde das Problem
des Terrorismus am Anfang unterschätzt und die Folgen von Flugzeugentführungen falsch eingeschätzt. Erst das Attentat auf das World Trade
Center am 11. September 2001 hat ein Umdenken in der Sicherheitspolitik bewirkt. In der Folge wurden viele neue Sicherheitsgesetze in den
USA und in Europa erlassen, die jedoch auch im Interessenskonflikt mit
der Freiheit ihrer Bürger standen. Im Bereich der Cyber-Sicherheit scheint
sich diese Geschichte zu wiederholen. Die nationale und internationale
Politik hat das Problem wahrgenommen, jedoch noch keine umfassend
wirkenden Maßnahmen ergriffen. Die Globalisierung und Vernetzung der
Gesellschaft nimmt zu, womit die Gesellschaft auch abhängiger von der
Informations- und Kommunikationstechnologie wird. Wahrscheinlich muss
erst ein großer Cyber-Vorfall geschehen, bis die Informationssicherheit die
Beachtung in der Gesellschaft erhält, die sie für die Sicherstellung unserer
freien Lebensausführung benötigt.
Ü
Übung 1.1
Warum ist der Sicherheitsbegriff in der Bevölkerung so umstritten?
Erläutern Sie dies anhand eines Beispiels.
Ü
Übung 1.2
Wie bestimmen Sie das benötigte Sicherheitsniveau für ein System?
Ü
Übung 1.3
Wie hat sich die Bedrohungslage über den Verlauf der Geschichte in
der Nachkriegszeit verändert?
Seite 29
2.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2
Was bedeutet eines freien Internet für die Sicherheitspolitik? . . . . 30
2.3
Der Europarat und das Budapester Übereinkommen über Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
2.4
Cyber-Security und Interpol . . . . . . . . . . . . . . . . . . . . . .
34
2.5
Cyber-Security und die Organisation for Security and Co-operation
in Europe (OSCE) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
2.6
Cyber-Security und die Vereinten Nationen . . . . . . . . . . . . . .
44
2.7
Cyber-Security und die NATO
. . . . . . . . . . . . . . . . . . . . . 49
2.7.1
Das Tallinn Manual - Die Staatsverantwortung (Regel 1 - 9) . 53
2.7.2
Das Tallinn Manual - Die Anwendung von Gewalt (Regel 10
- 12) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.8
2.1 Lernziele
• Verständnis über Herausforderungen an die Sicherheitspolitik des 21.
Jahrhunderts
• Erkenntnisse über die Arbeitsweise der internationalen Politik in den
jeweiligen überstaatlichen Organisationen wie z.B. der UN, OSCE
und des Europäischen Rats
• Verstehen welche politischen Maßnahmen innerhalb dieser überstaatlichen Organisationen für die Cyber-Sicherheit getroffen worden sind
• Erkenntnisse über die Cyber-Security-Maßnahmen von Interpol und
der NATO erlangen.
• Wissenserlangung über eine mögliche Interpretation des internationales Rechts in Bezug zu Cyber-Operationen
Seite 30
2.2 Was bedeutet eines freien Internet für die
Sicherheitspolitik?
Die zunehmende Vernetzung der Gesellschaft schafft kurze Kommunikationswege und erhöht die Effizienz unserer Gesellschaft. So schätzt die
Unternehmensberatung Boston Consulting Group, dass die Webwirtschaft
im Jahr einen Umsatz von insgesamt 2,3 Billionen US-Dollar erreicht hat.
Dies ist mehr als das gesamte Bruttoinlandsprodukt (BIP) Italiens oder
Brasiliens. Im Jahr 2016 wird die Webwirtschaft schätzungsweise 4,2 Billionen US-Dollar umsetzen. Damit würde die globale Webwirtschaft mehr
erwirtschaften als alle Industrien in Deutschland.1
Neben der wirtschaftlichen Bedeutung des Internets hat es auch eine große
Bedeutung für die Gesellschaft. So verfügen bereits über drei viertel aller
Haushalte in der EU über einen Internetanschluss. Das Medium Internet ermöglicht nicht nur das Konsumieren von Informationen sondern auch das
Produzieren von Informationen. Somit wird der Internet-Nutzer zu einem
Prosumenten. Laut einer Umfrage von IBM sind 40% der unter 30-Jährigen
bereits Prosumenten oder zumindest daran interessiert.2 Der Zugriff auf
das Internet ermöglicht der Bevölkerung sich unabhängig von etablierten
Medien zu informieren. Ein gutes Beispiel ist das soziale Netzwerk Facebook
mit über 1.4 Milliarden Nutzern. So war Facebook ein wichtige Plattform
während des arabischen Frühlings, bei dem die Bevölkerungen von einigen
autoritär geführten arabischen Staaten sich gegen die Obrigkeit aufgelehnt
und teilweise sogar gestürzt hat. Es ist belegt, dass das Internet mit seinen
sozialen Netzwerken eine bedeutende Rolle bei effektiven Organisation
der Protestbewegungen und den Regierungsumstürzen gepielt hat.3 Aus
diesem Grund sehen einige Staaten das Internet nicht nur als Chance, sondern auch als Bedrohung ihrer Souveränität über die Deutungshoheit von
Ergebnissen mithilfe von staatlichen Medien. Somit zensieren Nationen
wie die Türkei, Russland oder China Teile des Internets um ungewollte Informationen nicht in die Bevölkerung dringen zu lassen. Damit versuchen
diese Staaten ihre eigene Ordnung und Sicherheit zu zu wahren, während
die westlichen Nationen das Internet prinzipiell als ein freies Medium für
den Austausch von Informationen betrachten. Aufgrund der unterschiedlichen Interessenslagen ist das Feld der internationalen Sicherheitspolitik
sehr schwierig, weil sich oft grundlegende Interessen diametral gegenüber
stehen. In den folgenden Kapiteln werden die verschiedenen internationa1 Vgl.
[13]
[71]
3 Vgl. [99]
2 Vgl.
2.3 Der Europarat und das Budapester Übereinkommen über Computerkriminalität
Seite 31
len Gremien, Institutionen, Abkommen und deren Wirkung in Bezug zur
Cyber-Sicherheit analysiert.
Kontrollaufgabe 2.1
K
Warum stellt ein freies unzensiertes Internet für einige Staaten eine
Gefahr dar?
2.3 Der Europarat und das Budapester Übereinkommen über
Computerkriminalität
Der Europarat besteht heute aus Vertretern von über 47 Staaten mit insgesamt 820 Millionen Bürgern und wurde am 05.05.1949 von 10 Staaten
gegründet. Zu den Gründungsstaaten gehörten unter anderem Schweden,
Italien und das vereinigte Königreich. Abbildung 2.1 zeigt eine umfassende
Übersicht über die Mitgliedsstaaten und deren Eintrittsdatum.
Abb. 2.1: Der Europarat und seine
Mitgliedsländer.
Quelle: [124]
Der Europarat stellt ein Forum für zwischenstaatliche Diskussionen zur
Wahrung der Menschenrechte dar. So haben alle 47 Mitgliedsstaaten des Europarats die Europäische Menschenrechtskonvention unterzeichnet. Weitere Staaten können auf Einladung des Europarats ebenfalls dem Abkommen
beitreten. Deutschland hat dieses Abkommen im Jahr 2009 ratifiziert. Des
Seite 32
Weiteren setzt sich der Europarat auch für die demokratische Sicherheit ein
und arbeitet dafür auch mit anderen internationalen Organisationen wie
der OECD und den Vereinten Nationen zusammen. Der Gesamthaushalt
des Europarates 2015 beläuft sich auf 416.981.300 €.
Durch die vielen verschiedenen Gesetzgebungen der einzelnen Nationen im
Bereich der Cyberkriminalität ist eine einheitliche Strafverfolgung zwischen
den Staaten nur schwer durchzusetzen. Da jedoch die Cyberkriminalität
ein häufig international auftretendes Phänomen ist, muss dieses auch auf
internationaler Ebene adressiert werden. So ist es wichtig, dass die Gesetzgebung der Nationen bzgl. der Computerkriminalität harmonisiert wird.
Ansonsten nutzen Cyberkriminelle unter Umständen Gesetzesschlupflöcher in einem Staat aus, um Verbrechen in einem anderen Staat zu begehen,
ohne dass sie eine Strafverfolgung befürchten müssen.
Aus diesem Grund hat der Europarat im Jahr 2001 das Budapester Übereinkommen über Cyberkriminalität verabschiedet. Die Mitglieder verpflichten
sich durch ihre Zustimmung die Regelungen des Übereinkommens in die
jeweilige nationale Gesetzgebung zu überführen.
Im 1. Abschnitt des Übereinkommens werden in den Artikeln 2 bis 6 die
Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von
Computerdaten und -systemen definiert. So werden in diesen Artikel der
rechtswidrige Zugang zu Computersystemen, das rechtswidrige Abfangen
von Computermitteilungen, der unbefugte Eingriff in Daten und Systeme
unter Strafe gestellt. Vom besonderen Interesse ist der 6. Artikel, der den
Missbrauch von Vorrichtungen unter Strafe stellt. Dieser ähnelt sehr dem
bereits im 1. Studienbrief erläuterten Hackerparagraphen 202c StGB, wie
sie sich selbst im Exkurs 2.1 überzeugen können.
E
Exkurs 2.1: Übereinkommen über Cyberkriminalität
Auszug aus dem Übereinkommen über Cyberkriminalität
Artikel 6 – Missbrauch von Vorrichtungen
1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen
und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen
Recht als Straftaten zu umschreiben:
2.3 Der Europarat und das Budapester Übereinkommen über Computerkriminalität
• a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen
– i) einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder
hergerichtet worden ist, eine nach den Artikeln 2
bis 5 umschriebene Straftat zu begehen;
– ii) eines Computerpassworts, eines Zugangscodes
oder ähnlicher Daten, die den Zugang zu einem
Computersystem als Ganzem oder zu einem Teil
davon ermöglichen mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen
Straftat zu verwenden, und
• b) den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu
verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser
Mittel eintritt.
2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er
die strafrechtliche Verantwortlichkeit in Fällen, in denen das
Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der
Besitz nach Absatz 1 nicht zum Zweck der Begehung einer
nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines
Computersystems erfolgt.
3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1
nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen,
Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1
Buchstabe a Ziffer ii bezeichneten Mittel betrifft.
In den weiteren Abschnitten der Budapester Übereinkunft werden die Straftatbestände der computerbezogenden Fälschung und des Betrugs näher
erläutert. Des Weiteren wird explizit das Herstellen, Anbieten oder sonstige
Seite 33
Seite 34
Verbreiten von Kinderpornographie unter Strafe gestellt.4 Wie die internationale Bekämpfung von Cyber-Kriminalität funktioniert wird im folgenden
Kapitel anhand von Interpol betrachtet werden.
Kontrollaufgabe 2.2
K
Warum ist ein zwischenstaatliches Abkommen über CyberKriminalität wichtig?
2.4 Cyber-Security und Interpol
Die Internationale Organisation Interpol (International Criminal Police Organization) dient zur Intensivierung der Zusammenarbeit zwischen den
Polizeibehörden von verschiedenen Nationen. Interpol ist eine der größten
zwischenstaatlichen Organisationen, besitzt 190 Mitglieder die über den
gesamten Globus verteilt sind und verfügte im Jahr 2015 über ein Budget
von rund 64,663 Millionen Euro.5
Historie von Interpol
Die Idee von Interpol ist im Jahr 1914 auf dem 1st International Criminal
Police Crongress in Monaco entstanden. Dort wurden 12 Wünsche formuliert,
deren Erfüllung die Zusammenarbeit der verschiedenen nationalen Polizeibehörden verbessern sollte. Dazu zählten unter anderem eine gemeinsame
offizielle internationale Sprache, die kostenneutrale Verwendung von internationalen Post - und Telefondienstleistungen für polizeiliche Zwecke
sowie die Errichtung eines gemeinsamen standardisierten Identifikationssystems.
Im Jahr 1923 wurde auf Basis der Initiative des Wiener Polizeipräsidenten
die International Criminal Police Commission (ICPC) gegründet. Zurzeit des
II. Weltkrieges wurde die ICPC von Deutschland kontrolliert, wodurch
die internationale Akzeptanz abnahm. 1946 wurde Interpol führend durch
Belgien wieder aufgebaut und zur International Criminal Police Organization
umbenannt. 25 Jahre später wurde Interpol von den Vereinten Nationen als
internationale Organisation anerkannt.
Bekämpfung
Interpol bezeichnet das Phänomen der Cyber-Kriminalität als schnell
von Cybercrime
wachsend. Die Polizeiorganisation ist sich bewusst, dass Kriminelle die
Geschwindigkeit und Anonymität des Internets für ein weitreichendes
Portfolio von grenzübergreifenden kriminellen Aktivitäten nutzen. Dabei
4 Vgl.
5 Vgl.
[59]
[76, 77]
2.4 Cyber-Security und Interpol
Seite 35
Abb. 2.2: Logo von Interpol (oben). Übersicht über die Mitgliedsstaaten von
Interpol (unten).
Quelle: [7, 3]
registriert Interpol eine zunehmende Rolle der organisierten Kriminalität
im Cyberspace.6
Interpol unterscheidet die Cyber-Kriminalität in drei folgenden Hauptkategorien:
• Angriffe gegen Computer Hard- und Software, durch z.B. Botnetze,
Malware und Netzwerkinfiltrationen
• Finanzkriminalität und Korruption, durch z.B. Online-Betrug und
Einbruch in online verfügbare Finanzdienste
• Misshandlung in der Form von sexueller Kontaktanbahnung und
weiteren Delikten besonders in Verbindung mit Minderjährigen
Interpol sieht sich selbst bezüglich der Cyber-Kriminalität in der Rolle als
globale Koordinationseinrichtung für die Erkennung und Vorbeugung von
digitalen Verbrechen. Aus diesem Grund fokussieren sich die Aktivitäten
von Interpol auf die Harmonisierung der internationalen Bemühungen,
6 Vgl.
[74]
Seite 36
den Aufbau von Kapazitäten und die Unterstützung von forensischen Aktivitäten.
Harmonisierung
Interpol strebt an die öffentlichen Institutionen sowie den privaten als auch
akademischen Sektor in seine Bemühungen zur Bekämpfung von Cyberkriminalität einzubeziehen. Dabei sollen sich überlappende Tätigkeiten der
einzelnen Akteure vermieden werden.
Zu den expliziten Maßnahmen der Harmonisierung zählt unter anderem
die Durchführung einer Analyse und konstruktive Bewertung von nationalen Gesetzgebungen und Polizeistrukturen, die Entwicklung von globalen
Cyber-Sicherheitsstrategien und die Beratung von Nationen für ihre nationalen Strategien. Des Weiteren will Interpol die Polizeiforschung mit
Aktivitäten aus anderen Bereichen kombinieren.7
Aufbau von
Damit die Polizeibehörden mit dem schnellen Wandel der Technik mit-
Kapazitäten
halten können, bietet Interpol eine Reihe von Seminaren und Schulungen
an. Die Schulungen umfassen technische Themen von digitale Forensik bis
hin zu Trendanalysen im Bereich der Cyber-Kriminalität. Die Formen der
Schulungen umfassen, von e-Learningangebote bis hin zu Workshops, eine
große Vielfalt und werden dabei vom privaten und akademischen Sektor
unterstützt.8
Operative und foren-
Mit dem Aufbau des Interpol Global Complex for Innovation (IGCI) in Singa-
siche Unterstützung
pur wird Interpol über eine Forschungs- und Entwicklungseinrichtung für die
Ermittlung von Kriminalität und Kriminellen, innovativem Training, operativer
Unterstützung und Kooperation9 verfügen. Zu dem IGCI wird auch das Interpol Digital Crime Center gehören, das über ein eigenes digitales forensisches
Labor verfügt. Das Labor soll sich zu einem Kompetenzzentrum für die
globale Forensik-Community entwickeln.10
Operation Strikeback
Als Beispiel für die Tätigkeit von Interpol kann die von Interpol koordinierte Operation Strikeback aus dem Jahr 2014 angeführt werden. Bei dieser
Operation wurde ein kriminelles Netzwerk zerstört, welches Personen mithilfe von sexuell kompromittierenden Bilder über das Internet erpresst hat.
Ziel der Gruppe war es von den jeweiligen Opfern das Übersenden von
Geld oder sexuelle Handlungen zu erzwingen. In einem ersten Schritt haben
Interpol und die Polizeikräfte von Singapur, Hongkong, den Philippinen,
7 Vgl.
8 Vgl.
[73]
[72]
10 Vgl.
[78]
9 [14]
2.5 Cyber-Security und die Organisation for Security and Co-operation in Europe (OSCE)
Seite
den Vereinigten Staaten von Amerika sowie dem Vereinigten Königreich Informationen ausgetauscht. In den weiteren Ermittlungen konnten ungefähr
200 Personen identifiziert werden, die für das kriminelle Netzwerk tätig
waren. Die philippinische Polizei war die ausführende Kraft der Operation
Strikeback und konnte 58 Personen sowie 250 elektronische Geräte in Form
von Computern, Smartphones, Switches und anderen Geräten sicherstellen.
Anhand der forensischen Daten konnten neben den bereits bekannten Fällen im dreistelligen Bereich aus Hongkong und Singapur auch potentielle
Opfer nach Australien, Korea und Malaysia zurück verfolgt werden. Die
kriminelle Gruppe war sehr professionell organisiert. So verfügte sie über
eine Art Call-Center und führten sogar Schulungen für ihre Mitstreiter
durch. Einige erhielten sogar Boni in Form von Geld- oder Sachgeschenken,
wenn die finanziellen Ziele erreicht worden sind.11 Die Ergebnisse dieser
Operationen belegen die zunehmende professionelle und organisierte Kriminalität im Internet, die nur durch eine verstärkte Zusammenarbeit der
verschiedenen Staaten effektiv bekämpft werden kann.
Kontrollaufgabe 2.3
Inwiefern unterstützt Interpol die nationalen Polizeibehörden?
2.5 Cyber-Security und die Organisation for Security and
Co-operation in Europe (OSCE)
Die OSCE (deutsche Abkürzung: OSZE) ist die größte Sicherheitsorganisation innerhalb Europas. Sie besteht zur Zeit aus 57 Mitgliedsstaaten,
die aus Europa, Zentralasien und Nordamerika stammen. Die OSCE verfügt über ein Budget von 124.300.100 €, beschäftigt über 500 Personen in
ihren verschiedenen Institutionen und über 2000 Personen in den FieldOperations.12
Zu den wichtigsten Zielen der OSZE gehören die Schaffung von umfassender
und ungeteilter Sicherheit sowie Konfliktprävention und Konfliktmanagement in
allen Phasen von Konflikten und Krisen im OSZE-Raum, die Pflege von wirtschaftlichen Entwicklungen, die Wahrung von nachhaltiger Nutzung natürlicher
Ressourcen, der Schutz von Menschenrechten und Grundfreiheiten, Abrüstung,
vertrauensbildende Maßnahmen sowie Terrorismusbekämpfung.13
11 Vgl.
[75]
[96]
13 [106]
12 Vgl.
K
Seite 38
Abb. 2.3: Logo
der OSCE (oben).
Übersicht über die
Mitgliedsstaaten
der OSCE (grün)
und der Partnerstaaten (orange).
Quelle: [4, 123]
Die OSCE ist zur Zeit des kalten Krieges entstanden. Damals hieß Sie noch
Conference for Security and Co-Operation in Europe (CSCE) und bestand aus
einer Folge von Konferenzen. Die erste Konferenz fand am 03.07.1973 in Helsinki statt. Ziel der dort stattfindenden Verhandlungen war es die Konflikte
zwischen den Ost- und Westblock abzumildern, die Sicherheit in Europa
zu stabilisieren und die internationale Zusammenarbeit in verschiedenen
Gebieten wie z.B. der Wirtschaft, Wissenschaft und Umwelt zu verstärken. Am 01.08.1975 wurde die Schlussakte der CSCE, ein umfassendes
Vertragswerk, von den Staatsoberhäuptern unterzeichnet. Es folgten in den
nächsten Jahren weitere Konferenzen in Belgrad, Madrid und Wien, die für
einen Austausch zwischen den Staaten sorgten. Im Jahr 1990 beschlossen
die Staaten die Konferenzplattform zu institutionalisieren. Infolgedessen
wurde dieses politische Diskussionsforum im Jahr 1994 zur Organization for
Security and Co-Operation in Europe (OSCE) umbenannt.
Cyber-Security
Die Organization for Security and Co-Operation in Europe hat sich mit dem
und die OSCE
Thema der Cyber-Sicherheit im Kontext von Anti-Terrorismusmaßnahmen
und der Bekämpfung von Cyberkriminalität auseinander gesetzt. Im Jahr
2004 und 2006 hat sich der OSCE Ministerial Council (übersetzt: Ministerrat),
bestehend aus den Außenministern der Mitgliedsstaaten, zusammengesetzt
und Maßnahmen gegen die Instrumentalisierung des Internets für terroristische Zwecke beschlossen. Die Maßnahmen sind zum einem Aufrufe an
die Mitgliedsstaaten bestimmte Regelungen umzusetzen oder zielen auf die
bessere Kooperation zwischen den jeweiligen Mitgliedsstaaten der OSCE
Abb. 2.4: Unterzeichnung der Schlussakte
der CSCE am 01. August 1975. Helmut
Schmidt (Bundeskanzler der BRD), Erich
Honecker (Staatsvorsitzender der DDR) und
U.S. Präsident Gerald
Ford (von links nach
rechts).
Quelle: [23]
ab. In dem Beschluss von 2004 DECISION No. 3/04, COMBATING THE USE
OF THE INTERNET FOR TERRORIST PURPOSES wurde aufgeführt, wie
Terroristen das Internet für ihre Zwecke nutzen können:14
• Identifizierung und Rekrutierung von potentiellen Mitgliedern
• Eintreiben und Transfer von Geldmitteln
• Organisation von terroristischen Akten
• Anstiftung zur terroristischen Anschlägen, insbesondere durch die
Nutzung von Propaganda
Als Maßnahme wurde ein Experten-Workshop in Zusammenarbeit mit
Interpol vorgeschlagen, um Informationen auszutauschen und um über
weiterführende konkrete Maßnahmen zu beraten. Der Workshop wurde
dann am 13. und 14. Oktober 2005 durchgeführt. Die Ergebnisse sind anschließend in den Beschluss des OSCE Ministerial Council’s vom 05.12.2006
DECISION No. 7/06 COUNTERING THE USE OF THE INTERNET FOR
TERRORIST PURPOSES eingeflossen.15 Interessanterweise wurde diesmal
nicht nur der Terrorismus adressiert, sondern auch mögliche terrorbezogene Hackerangriffe wie aus dem Exkurs 2.2 entnommen werden kann.
Damit wird erstmalig die Bedrohung des Cyber-Terrorismus aufgeführt
14 Vgl.
15 Vgl.
[94]
[95]
Seite
Seite 40
und erkannt, dass dies kritische Infrastrukturen und Finanzinstitutionen
beeinträchtigen kann.
E
Exkurs 2.2: Auszug aus dem OSCE Ministerial Council Beschluss vom
05.12.2006
Auszug aus dem OSCE Ministerial Council Beschluss vom
05.12.2006:16
[. . . ] Taking into account different national approaches to defining
“illegal” and “objectionable” content and different methods of dealing with illegal and objectionable content in cyberspace, such as the
possible use of intelligence collected from Internet traffic and content
to closing websites of terrorist organizations and their supporters,
Concerned with continued hacker attacks, which though not terrorism related, still demonstrate existing expertise in the field and thus
providing a possibility of terrorist cyber attacks against computer
systems, affecting the work of critical infrastructures, financial institutions or other vital networks, [. . . ] .
In seinen Beschlüssen war das Ministerial Council von 2006 konkreter als
noch 2004. So wurden unter anderem folgende Punkte beschlossen:17
• Intensivierung der Aktivitäten der OSCE und seiner Mitgliedsstaaten
gegen die Nutzung des Internets durch den Terrorismus.
• Aufforderung an die Mitgliedsstaaten Maßnahmen für den Schutz
von kritischen Infrastrukturen und Netzwerken gegen mögliche
Cyber-Angriffe zu unternehmen.
• Aufforderung an die Mitgliedsstaaten sich dem Budapester Übereinkommen gegen Cyberkriminalität anzuschließen und die dort
beschlossenen Maßnahmen national umzusetzen.
• Aufforderung an die Staaten alle Maßnahmen gegen illegale Inhalte
zu ergreifen die sich in der jeweiligen nationalen Jurisdiktion befinden
und mit anderen Staaten diesbezüglich zu kooperieren.
• Erhöhung der Überwachung der Websites von terroristischen oder
gewaltextremistischen Organisationen.
16 Vgl.
17 Vgl.
ebd., S. 6
ebd.
Seite
Das einmal in der Woche tagende OSCE Permanent Council der OSCE in Wi-
Vertrauensbildende
en hat am 03.12.2013 einen Katalog von vertrauensbildenden Maßnahmen
Maßnahmen der OSCE
beschlossen (VBMs), welche die mit der Information- und Kommunikationstechnologie verbundenen Risiken vermindern soll.18 Die Beschlüsse von
2004 und 2006 der OSCE haben sich stärker auf den Bereich des Terrorismusbekämpfung im Internet konzentriert. Der Beschluss von 2013 hingegen
ist weiter gefasst und wesentlich umfangreicher. Zwar sind die meisten der
elf niedergeschriebenen Maßnahmen auf einer freiwilligen Basis und damit
nicht verpflichtend, dennoch belegt es die Existenz eines größeren Problembewusstseins der Politik im Vergleich zu den vorherigen Jahren. Besonders
starken Fokus legen die Maßnahmen auf den Aufbau von Plattformen für
den Informationsaustausch von nationalen Zuständigkeiten, Organigrammen und Strategien. Die Exkurse 2.3 beinhalten die deutsche Übersetzung
der vertrauensbildenden Maßnahmen. Es empfiehlt sich diese Maßnahmen
durchzulesen, um einen Eindruck von internationalen Vereinbarungen und
deren politischer Ausgestaltung zu erhalten.
Exkurs 2.3: Vertrauensbildenden Maßnahmen der OSCE
Ausschnitt der vertrauensbildenden Maßnahmen der OSCE (Maßnahme
1-4).
1. Die Teilnehmerstaaten stellen ihre nationalen Sichtweisen zu verschiedenen Aspekten nationaler und grenzüberschreitender Bedrohungen für die ICTs [Anm.: information and communication technologies] und deren Nutzung auf freiwilliger Basis zur Verfügung.
Den Umfang dieser Informationen bestimmen die bereitstellenden
Staaten.
2. Die Teilnehmerstaaten erleichtern auf freiwilliger Basis die Zusammenarbeit zwischen den zuständigen nationalen Dienststellen und
den Informationsaustausch betreffend die Sicherheit der ICTs und
von deren Nutzung.
3. Die Teilnehmerstaaten führen auf freiwilliger Basis und auf geeigneter Ebene Konsultationen durch, um das Risiko von Fehleinschätzungen und möglichen politischen oder militärischen Spannungen oder Konflikten, die sich aus der Nutzung von ICTs ergeben
18 Vgl.
[93]
E
Seite 42
könnten, zu vermindern und kritische nationale und internationale
ICT-Infrastrukturen, einschließlich deren Integrität, zu schützen.
4. Die Teilnehmerstaaten tauschen auf freiwilliger Basis Informationen über die von ihnen veranlassten Maßnahmen zur Gewährleistung
eines offenen, interoperablen, sicheren und verlässlichen Internets
aus.
5. Die Teilnehmerstaaten nützen die OSZE als Plattform für Dialog,
den Austausch bewährter Methoden, Bewusstseinsbildung und Information über den Aufbau von Kapazitäten betreffend die Sicherheit
der ICTs und von deren Nutzung, einschließlich wirksamer Maßnahmen gegen diesbezügliche Bedrohungen. Außerdem werden sie
Möglichkeiten überlegen, wie die Rolle der OSZE in diesem Bereich
ausgebaut werden kann.
6. Den Teilnehmerstaaten wird nahegelegt, für zeitgemäße und wirksame nationale Rechtsvorschriften zu sorgen, die die bilaterale Zusammenarbeit und einen wirksamen zeitnahen Informationsaustausch
zwischen den zuständigen Behörden der Teilnehmerstaaten, einschließlich der Strafvollzugsorgane, auf freiwilliger Basis erleichtern,
um die Nutzung der ICTs zu terroristischen oder kriminellen Zwecken zu verhindern. Die OSZE-Teilnehmerstaaten sind sich darin
einig, dass die OSZE die über bestehende Strafverfolgungskanäle
laufenden Bemühungen nicht duplizieren darf.
7. Die Teilnehmerstaaten informieren auf freiwilliger Basis über ihre
nationale Organisation sowie über ihre nationalen Strategien, politischen Konzepte und Programme – auch hinsichtlich der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor –, die
für die Sicherheit der ICTs und von deren Nutzung von Belang sind;
den Umfang dieser Informationen bestimmen die bereitstellenden
Staaten.
8. Die Teilnehmerstaaten bestimmen eine Kontaktstelle, um zweckdienliche Mitteilungen und den einschlägigen Dialog über die Sicherheit der ICTs und von deren Nutzung zu erleichtern. Sie geben auf
freiwilliger Basis die Kontaktdaten bestehender amtlicher nationaler
Einrichtungen bekannt, die mit Zwischenfällen im ICT-Bereich befasst
sind und entsprechende Reaktionen koordinieren, um einen direkten
Dialog zu ermöglichen und das Zusammenwirken zwischen den zuständigen nationalen Dienststellen und Experten zu erleichtern. Die
Teilnehmerstaaten werden die Kontaktinformationen jährlich aktualisieren und Änderungen spätestens dreißig Tage nach Eintritt der
Änderung bekanntgeben. Die Teilnehmerstaaten ergreifen freiwillig
Maßnahmen zur Gewährleistung einer schnellen Kommunikation
auf politisch zuständiger Ebene, damit Bedenken auf der nationalen
Sicherheitsebene zur Sprache gebracht werden können.
9. Um die Gefahr von Missverständnissen, die sich durch das Fehlen
vereinbarter Begriffsbestimmungen ergeben können, möglichst gering zu halten und im Interesse der Kontinuität des Dialogs stellen
die Teilnehmerstaaten als ersten Schritt freiwillig eine Liste ihrer im
Inland im Zusammenhang mit der Sicherheit der ICTs und von deren
Nutzung verwendeten Begriffe samt einer Erklärung oder Definition
der einzelnen Begriffe zur Verfügung. Jeder Teilnehmerstaat wählt
dazu auf freiwilliger Basis jene Begriffe aus, deren Weitergabe er
für besonders zweckmäßig hält. Auf längere Sicht nehmen sich die
Teilnehmerstaaten vor, ein einvernehmliches Glossar zu erstellen.
10. Zur Erleichterung der Kommunikation über die VBMs nutzen
die Teilnehmerstaaten für ihren freiwilligen Meinungsaustausch –
vorbehaltlich des einschlägigen OSZE Beschlusses - die Plattformen und Mechanismen der OSZE, unter anderem das vom Konfliktverhütungszentrum des OSZE-Sekretariats betriebene OSZEKommunikationsnetz.
11. Die Teilnehmerstaaten treten auf Ebene der benannten nationalen
Experten alljährlich mindestens dreimal im Rahmen des Sicherheitsausschusses und von dessen mit Beschluss Nr. 1039 des Ständigen
Rates eingesetzter Informeller Arbeitsgruppe (IWG) zusammen, um
die ausgetauschten Informationen zu besprechen und Überlegungen
über eine entsprechende Weiterentwicklung der VBMs anzustellen.
Kandidaten für die weitere Prüfung durch die IWG könnten unter anderem Vorschläge aus der vom Vorsitz der IWG am 9. Juli 2012 unter
der Dokumentennummer PC.DEL/682/12 verteilten konsolidierten
Liste sein, über die nach entsprechender Diskussion mit Konsens zu
entscheiden sein wird.
Quelle: [92]
Seite
Seite 44
K
Kontrollaufgabe 2.4
Warum sind die Beschlüsse der OSCE weitgehend unverbindlich für
Staaten und dennoch wichtig?
2.6 Cyber-Security und die Vereinten Nationen
Abb. 2.5: Logo von der
United Nations (oben).
Übersicht über die Mitgliedsstaaten der United Nations (unten).
Quelle: [5, 122]
Die United Nations (deutsch: Vereinte Nationen (VN)) ist die größte interstaatliche Organisation der Welt. Insgesamt sind 193 Staaten Mitglied
der United Nations (UN). Die Organisation der Vereinten Nationen verfügte 2013 über ein netto Jahresbudget von 2,6 Milliarden US-Dollar. Die
wichtigsten Organe der UN stellen der UN Sicherheitsrat und die UN Generalversammlung dar. Dabei muss berücksichtigt werden, dass im Gegensatz
zur UN Generalversammlung die Beschlüsse des Sicherheitsrates einstimmig erfolgen müssen und völkerrechtlich bindend sind. Die Resolutionen
der Generalversammlung haben dagegen eher einen nicht zu vernachlässigenden empfehlenden Charakter und stellen die Mehrheitsmeinung der
UN Mitglieder dar. Die UN wurde nach dem II. Weltkrieg im Jahr 1945
gegründet und strebt die Sicherung des Weltfriedens, den Schutz der Menschenrechte und die Einhaltung des Völkerrechts an.
Seite 45
Viele Resolutionen werden nicht in der Generalversammlung erarbeitet
sondern von den sechs Ausschüssen der UN. Die folgenden zwei Ausschüsse haben sich mit dem Thema der Cyber-Sicherheit verstärkt auseinander
gesetzt:
• First Committee - Disarmament and International Security Committee
• Second Committee - Economic and Financial Committee
Der erste Ausschuss der UN beschäftigt sich in der Regel mit Fragen zur
Abrüstung und Rüstungskontrolle. Des Weiteren beschäftigt sich dieser Ausschuss mit den Bedrohungen und Herausforderungen an die internationale
Sicherheit der Staatengemeinschaft und zugehörigen Lösungsansätzen.
Im Jahr 1998 wurde durch die Initiative der Russischen Föderation im 1.
Aktivitäten des UN
Ausschuss der UN ein Resolutionsentwurf mit dem Titel Developments in the
Disarmament and
field of information and telecommunications in the context of international security
International Security
eingebracht, der sich das erste mal in der Geschichte der UN mit dem Thema
Committee’s
der Cyber-Sicherheit auseinander gesetzt hat. In dieser Resolution wird es
als notwendig erachtet, den Missbrauch von Informationstechnologien zu
verhindern, deren Anwendung die Sicherheit eines Staates beeinträchtigen
kann. Dabei wird auch auf die mögliche Ausnutzung dieser Technologien
von Kriminellen oder Terroristen hingewiesen, die es ebenfalls zu verhindern gilt. Aus diesem Grund werden, neben anderen Maßnahmen innerhalb der Resolution, die UN Mitgliedsstaaten aufgerufen auf verschiedenen
multilateralen Ebenen miteinander über existierende und mögliche Bedrohung auf dem Feld der Informationssicherheit zu diskutieren.19 Die nicht
bindende Resolution wurde von der Generalversammlung mit wenigen
Änderungen übernommen.20
Es wurden seitdem weitere Resolutionen bezüglich des Themas der CyberSicherheit von dem ersten Ausschuss initialisiert und von der Generalversammlung der UN verabschiedet. So wurde im Jahr 2001 von der Generalversammlung beschlossen, dass 2004 eine Group of Governmental Experts
(GGE) einberufen werden soll, welche die Entwicklung von Cyber-Security
Normen vorantreiben sollte. Die Experten sollten aus 15 verschiedenen Staaten kommen, die unter der Berücksichtigung einer fairen geographischen
Verteilung ausgewählt werden. Jedoch konnte die Expertengruppe sich in
wichtigen Punkten nicht einigen. So kam es, dass kein gemeinsamer Report
19 Vgl.
20 Vgl.
[110]
[111]
Seite 46
der Gruppe veröffentlicht worden ist.21 Dies zeigt auf einer sehr plastischen
Art und Weise wie die internationale Zusammenarbeit von Staaten im Bereich der Sicherheit funktioniert. Die Staaten arbeiten gemeinsam an einem
Strang zusammen solange keine eigene Interessen betroffen sind oder die
resultierenden Arbeitsergebnisse in der Konsequenz einen verbindlichen
Charakter erhalten.
Folglich wurde 2005 beschlossen eine neue Group of Governmental Experts
zu 2009 einzuberufen.22 Aus folgenden Nationen wurden die Experten berufen: Weißrussland, Brasilien, China, Estland, Frankreich, Deutschland,
Indien, Israel, Italien, Katar, der Republik Korea, der Russischen Föderation, Südafrika, das Vereinigte Königreich und die Vereinigten Staaten von
Amerika.
Im Jahr 2010 konnte diese zweite Expertengruppe im Gegensatz zur ersten
GGE einen gemeinsamen Abschlussbericht vorlegen, welcher einige Feststellungen beinhaltete aber keine neuen konkreten Maßnahmen vorschlug,
außer dass der Informationsaustausch und der Diskurs weitergeführt werden soll. In diesem Bericht wurde unter anderem festgehalten, dass es
Indizien für terroristische Angriffsversuche gegen die Informations- und
Kommunikationsinfrastruktur und die Nutzung von Informationstechnologien für terroristische Operationen gibt. Zusätzlich wird betont, dass
sich dieser Trend in der Zukunft verstärken könnte.23 Die Expertengruppe
sollte mit dem terroristischen Cyber-Angriff auf den französischen Fernsehsender TV5 im Frühjahr 2015 recht behalten, welcher den Sender für
mehrere Stunden außer Betrieb setzte und die Arbeit der folgenden Tage
stark beeinträchtigte, in dem die internen IT-Systeme und Sendeanlagen
unbrauchbar gemacht worden sind. Zusätzliche wurden auch die Facebook
und Twitter-Accounts übernommen und für islamistische Propaganda der
Terrororganisation Islamischer Staat missbraucht.
2011 wurde von der Generalversammlung beschlossen eine dritte Group of
Governmental Experts ab dem Jahr 2012 einzuberufen, welche im Jahr 2013
ihren Abschlussbericht vorlegte.24 Im Gegensatz zu dem vorherigen Bericht
war dieser wesentlich konkreter. So wurden Empfehlungen für Normen,
Prinzipien, Regeln und vertrauensbildende Maßnahmen erarbeitet. Eine
Regel besagt zum Beispiel, dass ein Staat für eine Handlung, die gegen inter21 Vgl.
[109, S. 8ff]
[113]
23 Vgl. [114]
24 Vgl. [116]
22 Vgl.
Seite 47
nationales Recht verstößt, keinen Proxy verwenden darf. Des Weiteren wird
bestimmt, dass ein Staat innerhalb seines Gebietes bestmöglich sicherstellen
sollte, dass nichtstaatliche Akteure Informationssysteme nicht für ungesetzliche Handlungen nutzen können. Eine vertrauensbildende Maßnahme
stellt der verbesserte Austausch von Cyber-Vorfällen dar. Dazu wird explizit
der Aufbau eines Frühwarnsystem und die Verbesserung des Informationsaustausch innerhalb der verschiedenen Computer Emergency Response
Teams (CERTs) vorgeschlagen. Zusätzlich wird eine erhöhte Kooperation
von Cyber-Vorfällen bei kritischen Infrastrukturen gefordert. Der Fokus
liegt dabei besonders auf die digitalen industriellen Kontrollsysteme.25
In einer weiteren Resolution im Jahr 2013 wurde beschlossen eine 4. Expertengruppe im Jahr 2014 einzuberufen. Das Ergebnis dieser GGE ist aktuell
noch nicht veröffentlicht worden, wird aber noch im Jahr 2015 erwartet.26
Der Zweite UN Ausschuss behandelt Wirtschafts- und Finanzfragen. In
Aktivitäten des UN
diesem Kontext hat sich der Ausschuss mehrfach mit dem Thema der Cyber-
Economic and Financi-
sicherheit auseinander gesetzt, da die Informationstechnologie einen großen
al Committee’s
Einfluss auf die Wirtschaft hat. Folglich würde eine Beeinträchtigung von
Informations- und Kommunikationssystemen auch einen wirtschaftlichen
Schaden bedeuteten. Aus diesem Grund hat sich der 2. UN Ausschuss in seinen Resolutionen von 2003 und 2004 für die Förderung einer Cyber-Security
Kultur und für den Austausch von Best-Practices von Staaten, die bereits
eine Cyber-Security-Strategie entwickelt haben, ausgesprochen. In der Resolution von 2004 wurden auch konkrete Maßnahmen für den Schutz von
kritischen Infrastrukturen, wie zum Beispiel die Errichtung eines Krisenund Kommunikationsnetzwerks, vorgeschlagen. Die Liste der konkreten
Maßnahmen können Sie dem Exkurs 2.4 entnehmen.
Exkurs 2.4: Maßnahmen der UN zum Schutz kritischer Infrastrukturen
Auszug aus der Resolution Creation of a global culture of cybersecurity
and the protection of critical information infrastructures:27
1. Have emergency warning networks regarding cyber-vulnerabilities,
threats and incidents.
2. Raise awareness to facilitate stakeholders’ understanding of the
25 Vgl.
26 Vgl.
[117]
[118]
E
Seite 48
nature and extent of their critical information infrastructures and the
role each must play in protecting them.
3. Examine infrastructures and identify interdependencies among
them, thereby enhancing the protection of such infrastructures.
4. Promote partnerships among stakeholders, both public and private,
to share and analyse critical infrastructure information in order to
prevent, investigate and respond to damage to or attacks on such
infrastructures.
5. Create and maintain crisis communication networks and test them
to ensure that they will remain secure and stable in emergency situations. 6. Ensure that data availability policies take into account the
need to protect critical information infrastructures.
7. Facilitate the tracing of attacks on critical information infrastructures and, where appropriate, the disclosure of tracing information to
other States.
8. Conduct training and exercises to enhance response capabilities and
to test continuity and contingency plans in the event of an information
infrastructure attack, and encourage stakeholders to engage in similar
activities.
9. Have adequate substantive and procedural laws and trained personnel to enable States to investigate and prosecute attacks on critical
information infrastructures and to coordinate such investigations with
other States, as appropriate.
10. Engage in international cooperation, when appropriate, to secure
critical information infrastructures, including by developing and coordinating emergency warning systems, sharing and analysing information regarding vulnerabilities, threats and incidents and coordinating
investigations of attacks on such infrastructures in accordance with
domestic laws.
11. Promote national and international research and development
and encourage the application of security technologies that meet
international standards.
2.7 Cyber-Security und die NATO
Seite 49
In dem Jahr 2009 hat der zweite UN Ausschuss eine weitere Resolution
verabschiedet, die sich mit dem Thema der Cyber-Sicherheit auseinander
gesetzt hat. Die Besonderheit dieser Resolution ist die Veröffentlichung
eines freiwilligen Selbstbewertungswerkzeugs in der Form eines Maßnahmenkatalogs. Diese Maßnahmen sollen Staaten dabei unterstützen, die
nationalen Anstrengungen für den Schutz der kritischen Informationsinfrastrukturen zu unterstützen, indem diese Staaten ihre eigenen Bemühungen
und Prozesse strukturiert anhand dieser Anleitung aufbereiten. So enthält
der Katalog beispielsweise als eine der ersten Maßnahmen die Bedeutung
und Risiken der Informations- und Kommunikationstechnik für die Wirtschaft, die nationalen Sicherheit, die kritischen Infrastrukturen und die
Zivilgesellschaft zu ermitteln. Eine weitere Bestimmung stellt die Bestandsaufnahme von nationalen CERTs dar. Dabei werden deren Aufgaben und
Verantwortungsbereiche, verfügbare Ansprechpartner und Mittel sowie
Maßnahmen für den Schutz der Regierungsnetzwerken festgestellt und
dokumentiert. Im Fall eines Cyber-Angriffs dürften diese Informationen
für ein reibungsloses Krisenmanagement unabdingbar sein.28
Kontrollaufgabe 2.5
Welche Gremien der UN haben sich mit dem Thema der CyberSecurity auseinander gesetzt und welche Bedeutung haben diese
innerhalb der UN?
Die NATO (North Atlantic Treaty Organization) ist ein Verteidigungsbündnis, welches aus 28 Mitgliedsstaaten besteht. Die NATO wurde 1949 von 12
Staaten gegründet. Darunter befanden sich unter anderem die Vereinigten
Staaten von Amerika, das Vereinigte Königreich, Italien und Frankreich. Im
Mai 1955 ist auch die Bundesrepublik Deutschland dem nordatlantischen
Verteidigungsbündnis beigetreten. Die NATO verfügt im Jahr 2015 über ein
ziviles Budget von ca. 200 Millionen € und über ein militärischen Budget
von 1.2 Milliarden €. Zu den größten Geldgebern der NATO zählen die
USA, Deutschland, das Vereinigte Königreich und Frankreich.29
Auf dem Prager NATO Gipfel im Jahr 2002 wurde das Thema der Cyber
Sicherheit bzw. Verteidigung das erste mal auf die politische Agenda gesetzt.
27 [112]
28 Vgl.
29 Vgl.
[115]
[88]
K
Seite 50
Abb. 2.6: Logo der
NATO (oben) und die
geografische Verteilung der Mitgliedsstaaten von 2011 (unten)
Quelle: [1, 121]
Außer der Absicht die Cyber-Abwehr zu stärken wurden keine weiteren
Maßnahmen beschlossen.30 Im Jahr 2007 wurde Estland Opfer von Cyber
Angriffen bei denen die Websites von Medien, Ministerien, Parteien und
auch Banken durch Denial-of-Service (DoS) Angriffe überlastet worden
sind. Der Grund für die Angriffe war die Versetzung eines sowjetischen
Grabdenkmals in der Form eines Soldaten aus Bronze, das an die Befreiung
Estlands durch die Rote Armee im Jahr 1944 erinnern sollte. Jedoch wurde
das Denkmal seitens einiger Esten eher als Erinnerung an die sowjetische Besatzung wahrgenommen. Da besonders Russland die Verlegung kritisierte
und mit Konsequenzen drohte, wird vermutet, dass die Angriffe einen russischen Ursprung hatten. Ob jedoch Privatpersonen oder staatliche Akteure
hinter den Cyber-Angriffen steckten, konnte abschließend nie aufgeklärt
werden.31 Zwar hielten sich die Schäden der Angriffe in Grenzen, jedoch
sorgte dies für ein Umdenken bei dem Verteidigungsbündnis. So wurde im
Jahr 2008 die erste NATO Cyber Defence Policy entworfen und das Cooperative Cyber Defence Centre of Excellence (CCDCOE) in Estland gegründet. Das
CCDCOE ist gemäß des Memorandum of Understanding eine Einrichtung die
von der NATO akkreditiert worden ist jedoch nicht zur Kommandostruktur
gehört. Das CCDCOE versteht sich selbst als Forschungs- und Trainingseinrichtung. Dabei werden neben der Durchführung von Workshops und
30 Vgl.
31 Vgl.
[90]
[105, 104]
Seite 51
Cyber-Übungen auch politische, rechtliche und militärtechnische Fragestellungen erforscht.
Im Jahr 2010 wurde Cyber Defence in das stragische Konzept der NATO
integriert. 2011 und im September 2014 wurde die Cyber Defence Policy der
NATO aktualisiert. Auch hier zeigt sich, dass die Sicherheitspolitik reaktiv
und nicht proaktiv tätig geworden ist. Denn die NATO hat das Themenfeld
der Cyber-Verteidigung erst nach den Cyber-Angriffen auf Estland aktiv
bearbeitet.
Die NATO Cyber Defence Policy konzentriert sich auf den Schutz der NATOeigenen Netzwerke und etabliert die Cyber-Verteidigung als eine Kernaufgabe, damit die Wehrfähigkeit des Bündnisses gewahrt bleibt. Darüber
hinaus entwickelt die NATO minimale Cyber-Security Anforderungen an
nationale Netzwerkinfrastrukturen, die NATO-Informationen verarbeiten
oder anderweitig mit der NATO in Verbindung stehen. Es wird ebenfalls erwähnt, dass die NATO zusammen mit internationalen Organisationen und
Partnern aus dem privaten sowie akademischen Bereich den Bedrohungen
aus dem Cyberraum gemeinsam gegenüber treten will. Zusätzlich wird
die NATO die eigenen Frühwarn- sowie Analysefähigkeiten ausbauen und
ihre Mitglieder beim Aufbau von Cyber-Abwehr Maßnahmen unterstützen.
So hat beispielsweise das NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) das National Cyber Security Framework Manual veröffentlicht,
welche die Mitgliedsstaaten bei der Entwicklung und Umsetzung ihrer
nationalen Cyber-Sicherheitsstrategien unterstützen soll.32
Abb. 2.7: Logo des NATO Cooperative Cyber
Defence Centre’s of
Excellence
Quelle: [52]
Im Rahmen der NATO Cyber Defence Policy wurde auch die Weiterentwicklung von Cyber-Komponenten im Rahmen von NATO-Übungen definiert.
So hat das NATO CCDCOE seit 2010 insgesamt vier Cyber-Übungen durchgeführt. Die vergangenen Übungen zeichneten sich dadurch aus, dass zwei
Team im Rahmen eines definierten Szenarios gegeneinander antreten. Dabei
gibt es mehrere Blaue und ein Rotes Team. Das Blaue Team (BT) wird mit der
Verteidigung einer vorgegebenen Netzwerkinfrastruktur beauftragt. Das
32 Vgl.
[89, 87]
Seite 52
Rote Team wird mit dem Angriff auf diese Netzwerke beauftragt. Die Ziele
des Roten Teams reichen von Verunstaltung von Website (Defacements) bis
hin zu Angriffen auf Industrial Control Systems (ICS), die Kraftwerksanlagen oder Kühlungen von Serverräumen steuern. Je nach Szenario handelt
es sich bei dem zu verteidigenden Netzwerk beispielsweise um ein Kraftwerk, einer Hilfsorganisationen im Rahmen einer UN Mission im Ausland
oder um Netzwerke von Internet Service Providern.33 Das zu verteidigende
Netzwerk mit seinen Routern und Servern wird jedoch vorher von den
Organisatoren des Manövers mit Software versehen die bekannte Schwachstellen aufweist. Zusätzlich werden einige Server mit Backdoors versehen
um so einen möglichen Innentäter abzubilden. Die Übung geht sogar so
weit, dass einfache Nutzer simuliert werden, die beliebige e-Mail-Anhänge
ausführen. Dies ermöglicht dem Roten Team Schadsoftware zu verteilen,
da Anti-Viren-Programme mit gewissen Maßnahmen umgangen werden
können.
Abb. 2.8: Logo
der NATO CCDOE
Cyber-Übungen
Locked Shields.
Quelle: [8]
Die Cyber-Übungen Baltic Shield 2010, Locked Shield 2012 und Locked Shield
2013 bezogen sich auf Szenarien bei denen politische Gruppen ihre Interessen durch Cyber-Angriffe durchsetzen wollten. Die Übung im Jahr 2014
Locked Shield 2014 bezog sich jedoch auf einen Cyber-Angriff gegen einen
fiktiven Staat namens Berylia.34 Während der Übung wurde das erste mal
die Verhinderung von BGP-Hijacking behandelt. Mittels BGP-Hijacking
gibt ein Angreifer sich als ein bestimmtes Netzwerk innerhalb des Internets
aus. Dies kann dazu führen, dass Daten in oder durch sein Netzwerk hindurch geleitet werden, obwohl sie vorher eine andere oder direkte Route
genommen hätten. Dies gibt einem Angreifer neben dem Abfangen von
Daten auch die Möglichkeit IP-Adressen und mit weiteren Techniken sogar
ganze Identitäten von Firmen, wie z.B. Banken oder Medienanstalten zu
fälschen. Dies könnte zum Beispiel für eine psychologische Kriegsführung
im Falle eines Cyber-Angriffs genutzt werden, indem falsche Informationen
über gekaperte Informationswebseiten veröffentlicht werden.
Das Tallinn Manual
Diese Übungen zeigen, dass die NATO und ihre Organisationen sich aus-
Ein unverbindli-
gereifte Gedanken über einen möglichen Cyber-Angriff machen. Dabei
ches Handbuch
für den Cyberwar
33 Vgl.
34 Vgl.
[49, 50, 51]
[52]
Seite 53
handeln die Szenarien von politischen Gruppen (Hacktivisten) bis hin elektronischer Spionage und Sabotage gegen die Industrie eines Landes. Doch
ab wann muss die NATO von einem Cyber-Angriff ausgehen und wie wird
sie adäquat auf diesen reagieren? Auf welcher völkerrechtlichen Basis darf
bzw. kann die NATO im Falle eines Cyber-Angriffs überhaupt tätig werden?
Um diese Fragen beantworten zu können, hat das CCDCOE der NATO
eine internationale 40 Personen starke unabhängige Expertenkommission
aus den Bereichen Recht, Militär und Technik zusammengesetzt. Denn die
bestehenden internationalen Abkommen des humanitären Völkerrechts
wie z.B. der Genfer-Konventionen oder der Charta der Vereinten Nationen
lassen sich nicht direkt auf den Cyberraum übertragen. Aus diesem Grund
erarbeitet die Kommission unter Berücksichtigung des internationalen humanitären Völkerrechts die sogenannte Tallinn Manual, die explizit kein
rechtlich bindendes Dokument ist oder die Ansicht der NATO oder eines
der NATO Staaten repräsentiert.
Kontrollaufgabe 2.6
Welche Maßnahmen hat die NATO durchgeführt um die CyberSicherheit der Bündnispartner zu verbessern?
2.7.1 Das Tallinn Manual - Die Staatsverantwortung (Regel 1
- 9)
Die Tallinn Manual stellt eine unverbindliche auf Expertenmeinung basierende Handlungsempfehlung für Entscheidungsträger dar.35 Dabei konzentriert sich die Tallinn Manual auf sogenannte Cyber-to-Cyber Operationen.
Damit ist der Angriff von einem informationstechnischen System gegen
ein anderes informationstechnisches System gemeint. Eine andere nicht
von der Tallinn Manual adressierte Angriffsart stellt die Kinetic-to-Cyber
Operation dar, bei der beispielsweise durch einen Bombenabwurf ein informationstechnisches System oder ein gegnerisches Cyber Control Center
zerstört wird.
Allgemein versucht dieses Dokument Regeln zu definieren unter welchen
Umständen ein Cyberangriff einem betroffenen Staat das Recht zu einem
Gegenschlag bzw. Führen eines Krieges gibt. Dies wird im Allgemeinen
auch als jus ad bellum der Prinzipien zum Recht des Krieges definiert. Die
35 Vgl.
[53]
K
Seite 54
Prinzipien des Rechtes zum Krieg besagen das für das Führen eines Krieges
unter anderem folgende Punkte erfüllt sein müssen:36
• Es muss ein aggressiver Kriegsgrund vorliegen wie z.B. die Verletzung
der Grenzen eines Staates durch Gewalteinwirkung.
• Der Krieg muss von einer staatlichen legitimierten Autorität erklärt
werden.
• Die Ziele des Kriegs müssen einer gerechten Sache und der Wiederherstellung des Zustandes vor dem Konflikt (status quo ante bellum)
dienen.
• Der Krieg darf nicht mehr Leben kosten und Schaden verursachen
als das wiederherzustellende Gut wert ist.
• Es muss sicher gestellt werden, dass der Krieg das letzte verfügbare
Mittel darstellt.
Zusätzlich definiert das Tallinn Manual die Anwendung des Kriegsvölkerrechts im Bezug zu Cyber-Operationen. Dabei wird unter anderem geregelt
was ein Cyber-Angriff ist und welche Personen unter bestimmten Bedingungen Kombattanten (aktive Kriegsteilnehmer) oder Zivilisten sind. So wird
auch geregelt welche Ziele mit Hilfe von Cyber-Operationen angegriffen
werden dürfen und welche nicht. Besonders hervorzuheben sind die Anmerkungen zu den jeweiligen Regeln der Experten. Wenn eine Regel nicht
einstimmig beschlossen worden ist, werden die Bedenken oder Sichtweisen
der nicht zustimmenden Experten sorgfältig aufgeführt. Diese sachliche
Darstellung ermöglicht es sich selbst ein umfassendes Meinungsbild zu
erstellen. Um die Bedeutung einiger Regeln besser verstehen zu können
wurden diese teilweise mit Fallbeispielen untermauert, die auch zum Teil
in der folgenden Zusammenfassung der Regeln eingeflossen sind.
Als Ausgangspunkt definiert die Tallinn Manual in den ersten fünf Regeln
die Souveränität, Jurisdiktion und die Kontrolle des Cyber-Infrastrukturen
eines Landes. So wird festgelegt dass ein Staat in der Lage ist die Kontrolle
über seine Cyber-Infrastrukturen und deren Aktivitäten auszuüben. Dazu
gehört auch die Ausübung der richterlichen Gewalt (Jurisdiktion) über
Personen und Infrastrukturen auf seinem Gebiet, die in Cyber-Aktivitäten
involviert sind. Cyber-Infrastrukturen die sich in Flugzeugen, Schiffen oder
anderen Plattformen im internationalen Luftraum, Seegebieten oder Weltall
36 Vgl.
[60, S. 27ff]
befinden fallen unter die Gerichtsbarkeit des jeweiligen Flaggenstaates. Ein
Flaggenstaat ist ein Staat bei dem das betreffende Objekt registriert worden
ist und es daher Flagge des registrierenden Staates tragen muss.
Es wird ebenfalls definiert das beeinträchtigende Cyber-Aktivitäten gegen
Objekte, die unter die staatliche Immunität fallen, wie z.B. Kriegsschiffe
oder Militärsatelliten, die Souveränität des zugehörigen Staaten verletzten.
Dies behält jedoch nur seine Gültigkeit, wenn das Objekt ausschließlich
staatlich und nicht kommerziell genutzt wird.
In der 5. Regel der Tallinn Manual wird beschrieben, dass ein Staat nicht wissentlich beeinträchtigende Maßnahmen gegen andere zulassen soll, wenn
diese von Cyber-Infrastrukturen ausgeführt werden, die sich auf seinem
Gebiet befinden oder exklusiv von der Regierung des Staates betrieben
werden. Somit wären bewusst gedulde Cyber-Angriffe von Terroristen, die
von dem Gebiet eines Staates ausgehen und gegen einen anderen Staat
gerichtet sind, ein Verstoß gegen diese Regel.
Die Regeln sechs bis acht handeln über die Verantwortung der Staaten. So
wird definiert das ein Staat die international rechtliche Verantwortung für
ihn zurechenbare Cyber-Operationen trägt wenn sie gegen internationales
Recht verstoßen.
Allerdings wird auch definiert, dass eine Cyber-Operation, die von einer
staatlichen Einrichtung ausgeht oder gestartet wurde, keinen ausreichenden
Beweis für die Zurechnung der Operation zu dem jeweiligen Staat darstellt.
Es ist jedoch ein Indiz dafür, dass der infrage kommende Staat mit dem
Angriff in Verbindung steht.
Wenn eine Cyber-Operation über eine Cyberinfrastruktur geroutet wurde,
die sich innerhalb eines Staates befindet, ist es ebenfalls ist kein gültiger
Beweis für eine Zuordnung der Cyber-Operation zu dem Staat.
In der neunten Regel wird erstmals definiert, dass ein Staat Gegenmaßnahmen wie z.B. Cyber-Operation durchführen gegen einen anderen Staat
durchführen darf, wenn der Aggressor gegen internationales Recht verstößt.
Für eine besseres Verständnis betrachte man das folgende Szenario:
Ein Staat A greift mit Hilfe einer Cyber-Operation ein Wasserkraftwerk
von Staat B an. Ziel des Angriffes ist es Staat B dazu zu zwingen mehr
Wasser in den Fluss einzulassen, der durch beide Staaten fließt. Staat B
Seite 55
Seite 56
kann somit rechtmäßig als verhältnismäßige Gegenmaßnahme eine CyberOperation gegen die Kontrollsysteme der Bewässerungsanlage von Staat A
durchführen.
2.7.2 Das Tallinn Manual - Die Anwendung von Gewalt (Regel
10 - 12)
Die 10. Regel der Tallinn Manual definiert das Verbot der Gewaltanwendung
gegen andere Staaten. Dabei bezieht sie sich indirekt auf die Charta der
Vereinten Nationen. Der Exkurs 2.5 zeigt eine Gegenüberstellung der Tallinn
Manual mit der Charta der Vereinten Nationen. Es ist sehr gut zu erkennen,
dass sich die Regel 10 von 4. Absatz des 2. Artikels der UN Charta ableitet.
E
Exkurs 2.5: Tallinn Manual Rule 10
Tallinn Manual Rule 10:
A cyber operation that constitutes a threat or use of force against the
territorial integrity or political independence of any State, or that is
in any other manner inconsistent with the purposes of the United
Nations, is unlawful.
United Nations Charter Article 2 (4):
All Members shall refrain in their international relations from the
threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the
Purposes of the United Nations.
Zusätzlich definiert die UN Charta als auch das Tallinn Manual, dass nicht
nur die Anwendung von Gewalt sondern auch deren Androhung gegen
einen Staat unrechtens ist. Es bleibt jedoch die Frage übrig, wie der Begriff
der Gewaltandrohung und der Gewaltausübung im Cyber-Kontext zu verstehen ist. Die Autoren der Tallinn Manual haben die Antworten auf diese
Frage in den Regeln 11 und 12 niedergeschrieben.
E
Exkurs 2.6: Tallinn Manual Rule 11, 12
Rule 11:
A cyber operation constitutes a use of force when its scale and effects
are comparable to non-cyber operations rising to the level of a use of
force.
Rule 12:
A cyber operation, or threatened cyber operation, constitutes an unlawful threat of force when the threatened action, if carried out, would
be an unlawful use of force.
Es handelt sich um eine Ausübung von Gewalt im Cyber-Kontext, wenn das
Ausmaß und Effekt der Cyber-Operation vergleichbar sind mit bekannten
Mitteln der Gewaltausübung, die keinen Cyber-Bezug besitzen. Das gleiche gilt für die Androhung solch einer Cyber-Gewaltausübung. Hier wird
jedoch das hypothetische Ausmaß der Gewaltandrohung als Bezugsgröße herangezogen. Mithilfe dieses Konstruktes des Vergleiches der Folgen
eines Cyber-Angriffes mit bestehenden Nicht-Cyber-Operation verlagern
die Autoren der Tallinn Manual die Problematik aus dem Cyber-Raum in
den Raum der konventionellen Mittel. Dies erscheint sinnvoll, weil es für
den konventionellen Bereich bereits unverbindliche Kriterien existieren,
die Entscheidungsträgern bei der Einschätzung unterstützen ob es sich um
eine Gewaltanwendung im Sinne des internationalen Rechts handelt oder
nicht. Aus diesem Grund werden im weiteren Verlauf acht wichtige Kriterien beziehungsweise Fragestellungen für die Evaluierung einer möglichen
Gewaltanwendung vorgestellt, die in der Tallinn Manual zu finden sind
und teilweise zusammengefasst sowie mit eigenen Ergänzungen übersetzt
wurden:
Das Ausmaß: Wurden in der Folge einer feindlichen Operation physischer
Schaden verursacht, Menschen verletzt oder getötet kann die Operation mit
einer hohen Wahrscheinlichkeit als eine Anwendung von Gewalt eingestuft
werden. Sorgt eine Operation jedoch nur für Verwirrung und Komplikationen bzw. Unannehmlichkeiten handelt es sich nicht um eine Anwendung
von Gewalt. Jedoch sind die Grenzen zwischen diesen beiden Indikatoren
fließend. So kann man sich vorstellen, dass Cyber-Operationen als Gewaltanwendung eingestuft werden, wenn sie zu einer gesellschaftlichen Bedrohung werden und somit gegen kritische nationale Interessen verstoßen. Ein
Beispiel wäre eine Cyber-Operation auf bekannte Medienplattformen mit
anschließender Verbreitung von Falschmeldungen, die zu starken Verwerfungen auf den Finanzmärkten führen könnten. Es müssen folglich der
Seite 57
Seite 58
Umfang, die Dauer und die Intensität der Folgen für die Einschätzung einer
Operation berücksichtigt werden. Das Ausmaß eines Angriff ist mit das
wichtigste Kriterium für die Einschätzung ob es sich um eine Anwendung
von Gewalt im Sinne des internationalen Rechts handelt oder nicht.
Die Unmittelbarkeit: Je schneller die Folgen einer Operation eintreten, desto
weniger Zeit und Möglichkeiten hat ein Staat einen Konflikt friedlich beizulegen oder die schädlichen Effekte des Angriffs zu verhindern. Aus diesem
Grund werden (Cyber-)Operation mit einer höheren Wahrscheinlichkeit
als eine Gewaltanwendung betrachten werden, wenn die zu erwartenden
Konsequenzen schnell eintreten. Wird jedoch eine langsame Effektzeit von
mehreren Wochen oder Monaten erwartetet, ist die Wahrscheinlichkeit
geringer.
Die Direktheit: Je stärker die Verbindung zwischen einer Aktion und deren Auswirkung ist, desto höher ist die Wahrscheinlichkeit, dass der Akt
als eine Anwendung der Gewalt betrachtet wird. Ein gutes Beispiel sind
ökonomische Sanktionen gegen einen Staat, weil die messbaren Konsequenzen für die Wirtschaft erst nach einigen Wochen oder Monaten eintreten. Eine bewaffnete Aktion, die zum Beispiel zu einer Explosion führt
und Menschen verletzt, ist sehr direkt in ihrer Wirkung. Folglich werden
Cyber-Operationen bei denen Ursache und Wirkung sehr stark mit einander
verknüpft sind mit einer höheren Wahrscheinlichkeit als eine Gewaltanwendung eingestuft.
Die Invasivität: Die Invasivität bezeichnet den Grad mit dem CyberOperationen gegen die Interessen eines Staates in dessen Cyber-Systeme
eindringen. Allgemein gilt, je sicherer ein System gestaltet wurde, desto
höher ist die Besorgnis über ein mögliches Eindringen in jenes System.
So ist ein Eindringen in ein zertifiziertes militärisches Hochsicherheitssystem mehr invasiv als die Kompromittierung eines Servers einer zivilen
Universität oder eines Kleinbetriebes. Jedoch muss dies im Cyber-Kontext
vorsichtig betrachtet werden. Denn das Eindringen in Netzwerke für Spionagezwecke in einem gewissen Rahmen der noch nicht die Anwendung
von Gewalt erreicht stellt keine Gewaltanwendung dar. So wird zum Beispiel das Deaktivieren von IT-Sicherheitsmaßnahmen für das Aufzeichnen
von Tastaturanschlägen, unabhängig von der Invasivität der Maßnahme,
eher unwahrscheinlich als eine Anwendung von Gewalt klassifiziert. Eine
möglicherweise gegensätzliche Bewertung würde ein anderer Fall erhalten,
bei dem die elektronische Spionage von einem Flugzeug durchgeführt wird,
welches dafür den Luftraum des auszuspionierenden Staates verletzt.
Messbarkeit der Effekte: Traditionell werden Gewaltanwendungen von bewaffneten Kräften ausgeführt und deren Kampfwirkung gemessen. Meistens
wird im Falle eines Gefechtes der verursachte Schaden gemessen. Bei CyberOperationen ist es jedoch nicht sofort ersichtlich ob und wenn ja wie viel
Schaden entstanden ist. Je einfacher die Folgen einer Cyber-Operationen
identifiziert und quantifiziert werden können, desto einfacher kann der betroffene Staat die Situation bewerten und Schlussfolgern ob es sich um eine
Anwendung von Gewalt handelt oder nicht. Möglichkeiten der Quantifizierbarkeit stellen bei einer Cyber-Operation die Menge der korrumpierten
Daten, der Anteil der nicht mehr nutzbaren Server oder die Anzahl der
gestohlenen Geheiminformationen dar. Ist ein Staat nicht in der Lage die
Folgen eine Cyber-Operation zu ermessen, ist es unwahrscheinlich, dass
dieser die Cyber-Operation als eine Anwendung von Gewalt einstuft.
Militärischer Charakter: Ein möglicher Zusammenhang zwischen einer CyberOperation und einer militärischen Operation erhöht die Wahrscheinlichkeit
der Einordnung als Gewaltanwendung.
Involvierung eines Staates Der Umfang mit dem ein Staat in eine CyberOperation involviert sein kann, fängt bei staatlichen Operationen seines
Militärs oder Nachrichtendienste an und hört in Bereichen auf, bei denen
der Staat nur peripher beteiligt ist. Je offensichtlicher und näher eine Verbindung zwischen einem Staat und einer Cyber-Operation ist, desto höher
ist die Wahrscheinlichkeit, dass der betroffene Staat die Cyber-Operation
als eine Anwendung von Gewalt klassifiziert.
Vermutung der Rechtmäßigkeit: Internationales Recht ist allgemein als verbietend beziehungsweise prohibitiv zu betrachten. Somit wird in internationalen Verträgen oft definiert, welche Aktionen, Maßnahmen oder Unterlassungen einen Verstoß darstellen. Folglich sind nicht verbotene Handlungen
erlaubt. So verbietet internationales Recht nicht Propaganda, psychologische Operationen oder Spionage. Aus diesem Grund sind Operationen,
die in diese Kategorie fallen vermutlich legal, weshalb diese eher mit einer
geringen Wahrscheinlichkeit als eine Anwendung von Gewalt eingestuft
werden.
Die genannten Kriterien sind nicht allumfassend. Des Weiteren sind die
begleitenden Umstände ebenfalls relevant. So ist das Zusammenspiel aus
Seite 59
Seite 60
allen Faktoren entscheidend für die Bewertung ob es sich um eine Anwendung von Gewalt handelt. Ein hoch invasiver Angriff, der nur temporär
die Verfügbarkeit eines Systems beeinträchtigt, dürfte weit weniger als eine
Anwendung von Gewalt betrachtet werden als eine großflächig angelegte
Operation, welche die Wirtschaft eines Landes zum erliegen bringt. Obwohl
wirtschaftliche Druckausübung auf einen Staat eigentlich keine Anwendung von Gewalt darstellt. Es ist wahrscheinlich nicht wirklich möglich rein
objektive Maßstäbe zu setzen, um diese anschließend für eine Bewertung
heranzuziehen. Es spielen zu viele subjektive Faktoren eine Rolle. Dennoch
stellen die genannten Kriterien eine gute Hilfestellung für die Bewertung
einer Cyber-Operation dar und unterstützen somit die Entscheidungsträger
bei ihrer Bewertung der Lage und der zur Verfügung stehenden Optionen.
Ü
Übung 2.1
Stellen Sie sich vor, Sie müssten einem Cyber-Angriff prüfen, ob die
acht Kriterien für die Klassifizierung eines Cyber-Angriffes für die
Anwendung von Gewalt erfüllt worden sind. Welche Fragen müssen
Sie sich stellen?
Aufgabe:
Erstellen Sie einen Fragenkatalog mit je zwei bis drei Fragen pro
Kriterium, die einen Entscheidungsträger bei der Einschätzung eines
Angriffes unterstützen.
2.8 Zusammenfassung
Die internationale Politik tut sich schwer mit der Reaktion auf neue Erscheinungen wie die des Internets. Es dauert zum einem sehr lange bis ein
Problem erkannt wird und dann dauert es umso länger bis dagegen erste
Maßnahmen unternommen werden. Oft fällt es sehr schwer gemeinsame Initiativen oder nur Stellungnahmen der verschiedenen Staaten zu erreichen.
Dies ist oft in den verschiedenen Interessenslagen der jeweiligen Nationen
begründet. Aus diesem Grund sind viele verabschiedete internationale
Maßnahmen oder Resolutionen sehr unverbindlich gehalten, damit die beteiligten Staaten nicht allzu stark in ihrer Handlungsfreiheit eingeschränkt
werden. Das Budapester Abkommen über Computerkriminalität ist ein erster
großer Erfolg der internationalen Sicherheitspolitik. Jedoch müssen weitere
Abkommen dieser Dimension für mögliche staatliche oder terroristische
2.8 Zusammenfassung
Cyber-Angriffe geschlossen werden, denn das aktuelle existierende internationale Recht deckt dies nur unzureichend ab. Die Tallinn-Manual könnte
eine gute Grundlage für solch ein zukünftiges internationales Abkommen
darstellen. Die Bemühungen der Vereinten Nationen sind wahrnehmbar
und werden stetig konkreter in ihren Forderungen und Maßnahmen. Dies
liegt sicherlich auch an dem zunehmenden Handlungsdruck, der durch die
zahlenmäßig zunehmenden Cyber-Vorfälle stärker wird. Es bleibt zu hoffen,
dass die internationale Sicherheitspolitik bald einem gemeinsames Verständnis von Cyber-Sicherheit erlangt und die notwendigen Maßnahmen
für die Friedenssicherung in der Welt und im Cyberspace umsetzt.
Seite 61
Seite 63
3.1
Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.2
Entwicklung der Cybersicherheitspolitik . . . . . . . . . . . . . . . .
64
3.2.1
Politische Wahrnehmung
64
3.2.2
Strategien zur Cyber-Sicherheitspolitik . . . . . . . . . . . . 68
3.3
3.4
3.5
3.6
3.7
. . . . . . . . . . . . . . . . . . .
Entscheidende Einrichtungen . . . . . . . . . . . . . . . . . . . . . 75
3.3.1
Bundesministerium des Inneren (BMI) . . . . . . . . . . . . 75
3.3.2
Bundesamt für Sicherheit in der Informationstechnik (BSI) .
77
Unterstützende Einrichtungen . . . . . . . . . . . . . . . . . . . . . 79
3.4.1
Bundesministerium der Verteidigung (BMVg) . . . . . . . . 79
3.4.2
Auswärtiges Amt (AA) . . . . . . . . . . . . . . . . . . . . .
3.4.3
Bundesministerium für Wirtschaft und Energie (BMWi) . . . 83
3.4.4
Bundesministerium für Bildung und Forschung (BMBF) . . .
84
Koordinierende Einrichtungen . . . . . . . . . . . . . . . . . . . . .
87
3.5.1
Nationales Cyber-Abwehrzentrum (NCAZ) . . . . . . . . . .
87
3.5.2
Nationaler Cyber-Sicherheitsrat (Cyber-SR)
Exekutierende Einrichtungen
81
. . . . . . . . . 90
. . . . . . . . . . . . . . . . . . . . . 92
3.6.1
Bundeskriminalamt (BKA) . . . . . . . . . . . . . . . . . . . 92
3.6.2
Bundesamt für Verfassungsschutz (BfV) . . . . . . . . . . . 93
Die Bundesrepublik verfolgt bzgl. der Cybersicherheit den Ansatz der
vernetzten Sicherheitspolitik1 . Wir schauen uns daher die Ziele, Akteure
und Ansätze der deutschen Cybersicherheitspolitik an.
3.1 Lernziele
• Entwicklung/Geschichte der Cybersicherheitspolitik Deutschlands
• aktueller Stand der Cybersicherheitspolitik in der Bundesrepublik
1 http://de.wikipedia.org/wiki/Vernetzte_Sicherheit
und http://www.bmvg.de/po
rtal/a/bmvg/!ut/p/c4/RcsxEkAwFEXRtdhAfq-zCzSZ4OFN-EzyxYzV05lbnOpKL18aCpdg
PDRs0ko3sh5uN-xlcZnjirSCls9jozE6UHOwx88Xkp-gfk7EpytICnsM_r_kjE31Asp8jXw!/
Seite 64
• geplante Weiterentwicklung durch das IT-Sicherheitsgesetz
• Übersicht der handelnden staatlichen Akteure (BSI, BMI, BMVg,
BKA,LKA, Verfassungsschutz etc.)
• Erweiterte Problemdarstellung der deutschen Cybersicherheitspolitik
– keine eindeutigen Zuständigkeiten für Cybersicherheit
– unnötige Kompetenzredundanzen der einzelnen Behörden
– erheblicher Ressourcenmangel (Fachkräfte, Ausrüstung)
3.2 Entwicklung der Cybersicherheitspolitik
Die Sicherheitspolitik wird stark durch die Problemwahrnehmung bestimmt. Erst wenn wenn Sicherheitsdefizite erkannt werden, wird die Politik
aktiv und versucht diesen erkannten Problemen zu begegnen.
3.2.1 Politische Wahrnehmung
Die gewählte Bundesregierung legt die Grundzüge ihrer Politik für die Legislaturperiode in einem Koalitionsvertrag fest. Sie Verträge zeigen grob wie
IT-Sicherheit von der Politik wahrgenommen wird und welche Maßnahmen
sie zur Verbesserung dieser unternehmen. Bereits 1994 erkannte das letzte
Kabinett von Bundeskanzler Helmut Kohl, dass „[d]ie Zukunftschancen neuen
Technologien [. . . ] offensiv genutzt werden [müssen]“2 da den „modernen elektronischen Kommunikationsmitteln [. . . ] weltweit eine immer größere Bedeutung zu
[kommt]“3 . Ähnliche Phrasen finden sich ebenfalls in dem Koalitionsvertrag
der ersten Bundesregierung unter Gerhard Schröder4 , jedoch wurde ein
Schutzbedürfnis der Informations- und Kommunikationstechnologie (IKT)
noch nicht festgestellt. IT- bzw. Cybersicherheit wurde erstmals in der folgenden Koalitionsvereinbarung erwähnt, jedoch nicht weiter thematisiert:
„Wir werden die Sicherheit der Versorgungsinfrastruktur verstärken, insbesondere
wo sie IT-abhängig ist.“5 . In dem folgenden Koalitionsvertrag wurde dem
Bundesministerium des Inneren die Weiterentwicklung des IT-Strategie
und IT-Sicherheit aufgetragen 6 . Erst in der Koalitionsvereinbarung von 2009
wird die IT-Sicherheit umfassender thematisiert: „Eine vertrauenswürdige,
leistungsfähige und sichere Informations- und Kommunikationstechnik ist für unser Hochtechnologieland und den Wirtschaftsstandort Deutschland unverzichtbar.
2 [55,
S. 17]
3 Ebd.
4 Vgl.
[102, S. 20]
S. 66]
6 Vgl. [54, S. 109]
5 [103,
Wir werden die IT gegen innere und äußere Gefahren schützen, um die wirtschaftliche Leistungsfähigkeit und administrative Handlungsfähigkeit zu erhalten.“7 Zwei
Maßnahmen um dies zu erreichen werden besonders hervorgehoben
1. Verbesserung der Strafverfolgung im Internet, wie z.B. „Internetstreifen
durch die Polizei, Schwerpunktstaatsanwaltschaften für Kriminalität im
Internet oder erleichterte elektronische Kontaktaufnahme mit der Polizei“8 .
Die Bundesregierung fordert ebenfalls „eine Stärkung der IT-Kompetenz
und entsprechend ausgebildetes Personal bei den Sicherheitsbehörden für
eine Verbesserung der Anwendung des geltenden Rechts zur Verfolgung von
Kriminalität im Internet sorgen“9
2. Die IT-Sicherheit soll gestärkt werden, „um vor allem kritische ITSysteme vor Angriffen zu schützen“10 . Dazu soll das Bundesamt für
Sicherheit in der Informationstechnik (BSI) als „zentrale CyberSicherheitsbehörde“11 ausgebaut werden, „um insbesondere auch die
Abwehr von IT-Angriffen koordinieren zu können“12 . Das BSI soll ebenfalls
„die Menschen zu mehr Selbstschutz und [der] Nutzung sicherer IT-Produkte
[anregen]“13 .
Im Koalitionsvertrag von 2013 wird das Thema IT-Sicherheit nochmals
deutlich aufgewertet. Eine der wichtigsten Maßnahmen ist die Schaffung
eines „IT-Sicherheitsgesetz[es] mit verbindlichen Mindestanforderungen an die
IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle“14 . Des Weiteren tritt die Bundesregierung für eine europäische Cybersicherheitsstrategie ein15 . Um die verlorene
technologische Souveränität zurückzugewinnen wird „die Entwicklung vertrauenswürdiger IT- und Netz-Infrastruktur sowie die Entwicklung sicherer Softund Hardware und sicherer Cloud-Technologie“16 unterstützt. Es wird ebenfalls
geprüft, „inwieweit ein Ausverkauf von nationaler Expertise und Know-how in
Sicherheits-Schlüsseltechnologien verhindert werden kann“17 .
7 Vgl.
[56, S. 102f]
S. 101]
9 Ebd.
10 Ebd., S. 102
11 Ebd. S. 103
12 Ebd.
13 Ebd.
14 [57, S. 84]
15 Vgl. ebd.
16 Ebd.
17 Ebd.
8 [56,
Seite 65
Seite 66
Anhand der Koalitionsverträge lässt sich deutlich zeigen, dass das Thema ITSicherheit bis 2009 eine nebensächliche Rolle gespielt hat. Dies hat vielfältige
Gründe. Zum einem liegt es daran, dass bis zum Beginn der 2000er Jahre
das Technologieverständnis bzgl. IT und Internetangelegenheiten seitens
der Politik größtenteils fehlte18 . Der fehlende Sachverstand erschwert das
Verständnis der komplexen Problemstellungen die mit der IKT einhergehen
und behindert die Formulierung einer effizienten Sicherheitspolitik. Zum
anderen war der Verbreitungsgrad sowie die Nutzung des Internets noch
ziemlich niedrig. Während der Anteil Deutscher Internetnutzer im Jahr
2001 noch 38,8% betrug, hat er sich 2014 mehr als verdoppelt.
Abb. 3.1: Anteil der
Internetnutzer in
Deutschland von
1997 bis 2014. Quelle:
Statista. Zugriff am
29. März 2015. Verfügbar unter http:
//de.statista.com/
statistik/daten/st
udie/36009/umfrag
e/anteil-der-inter
netnutzer-in-deuts
chland-seit-1997/.
Durch die zunehmend stärkere Nutzung wurde das Internet ebenfalls ein
entscheidender Faktor für die Wirtschaft.
Insgesamt kann konstatiert werden, dass sich die Gesellschaft mehr und
mehr im Internet als Cyberraum verbreitet hat und diesen ebenfalls beeinflusst. Um diesen digitalen Wandel besser abschätzen zu können, hat der 13.
Bundestag die Enquete-Kommission Zukunft der Medien in Wirtschaft und
Gesellschaft – Deutschlands Weg in die Informationsgesellschaft einberufen. Sie
hat die Aufgabe, „die sich aus dem Einsatz der neuen Informations- und Kommunikationstechnologien ergebenden politischen Konsequenzen darzustellen und
parlamentarische Initiativen vorzuschlagen, die notwendig sind, um die Chancen
der Informationsgesellschaft umfassend zu nutzen und die Risiken beherrschbar zu
machen“19 . Die Kommission stellte fest, dass „die Bedeutung der IT-Sicherheit
häufig noch nicht hinreichend berücksichtigt. Mangelndes Risikobewußtsein, zu
18 Vgl.
19 [65,
[69, S. 80]
S. 7]
Seite 67
Abb. 3.2: B2C-ECommerce-Umsatz
in Deutschland 1999
bis 2014 und Prognose
für 2015 (in Milliarden
Euro). Quelle: Statista.
Zugriff am 29. März
2015. Verfügbar unter
http://de.statista.
com/statistik/date
n/studie/3979/umfr
age/e-commerce-ums
atz-in-deutschland
-seit-1999/.
geringe Berücksichtigung von Sicherheitsbelangen bei IT-Systemen und ein nachlässiger Umgang mit Sicherheitstechniken sind Ausdruck dieses Defizits.“20 . So
fordern sie insbesondere für sensitive IT-Systeme die Formulierung von
Sicherheitsanforderungen um zu einem angemessenen Sicherheitsniveau
zu gelangen21 .
Ein wesentlicher Motivator für die politische Auseinandersetzung mit der
Cybersicherheit war der 1997 erschienene Bericht der US-amerikanischen
Kommission zum Schutz kritischer Infrastrukturen, der vor allem die Verletzlichkeit vernetzter IT-Systeme thematisierte: „This interlinkage has created
a new dimension of vulnerability, which, when combined with an emerging constellation of threats, poses unprecedented national risk.“22 Daraufhin richtete das
Bundesinnenministerium Ende 1997 die Arbeitsgruppe KRITIS (AG KRITIS) ein. Sie hat die Aufgabe, „potentielle Bedrohungsszenarien zu bestimmen,
über Informationstechnik angreifbare kritische Infrastrukturen auf entsprechende
Schwachstellen hin zu prüfen, Möglichkeiten zur Abdichtung solcher Schwachstellen und der Vermeidung oder Minderung eines Schadens zu benennen sowie
einen Vorschlag hinsichtlich der Errichtung eines ggf. erforderlichen Frühwarnund Analysesystems zu erarbeiten.“23 . Die Arbeitsgruppe erkannte viele mögliche Gefahrenpotentiale, konnte jedoch nicht bestimmen inwiefern diese in
der Praxis zutreffen. So ist einerseits nicht klar wie verwundbar die untersuchten kritischen Infrastrukturen sind, da es eine geringe Bereitschaft gibt
Schwachstellen in der IT-Infrastruktur offen zu legen24 . Auf der anderen
20 Ebd.,
S. 15
ebd.
22 [97, S. ix]
23 [11, Kap. 1.2]
24 Vgl. ebd., Kap. 3.3
21 Vgl.
Seite 68
Seite bestanden ebenfalls Unklarheiten über die aktuelle Bedrohungslage,
d.h. welche Akteure aus welchen Gründen die Verwundbarkeit der Systeme
ausnutzen könnten25 . Der Entwurf ihres Abschlussberichtes benennt daher
die folgenden weiterführenden Ziele26 :
• Fertigung einer Bedrohungsanalyse für kritische Infrastrukturbereiche in
Deutschland im Hinblick auf ihre IT-Verletzlichkeit
• Fertigung einer IT-Verletzlichkeitsanalyse der für Deutschland wichtigen
Infrastrukturbereiche Telekommunikation, Energie und Verkehrswesen
• Ausbau und Fortentwicklung des IT-Grundschutzes speziell für Zwecke des
Schutzes kritischer Infrastrukturbereiche
• Konzipierung eines Lage- und Informationssystems KRITIS mit seinen
technischen und organisatorischen Komponenten
• Ausbau und Förderung der KRITIS-orientierten Kooperation zwischen staatlichen und privatwirtschaftlichen Stellen
• Fortführung und Ausbau der Aufgabe KRITIS beim BSI
3.2.2 Strategien zur Cyber-Sicherheitspolitik
Die Erkenntnisse aus den Berichte der Enquete-Kommission und der AG
KRITIS wurden lange Zeit politisch nicht aufgearbeitet und in eine konkrete
Sicherheitspolitik überführt. Dies mag vor allem daran liegen, dass alleine die Umsetzung der formulierten Ziele von AG KRITIS eine erhebliche
Menge an Ressourcen gebunden hätte und aus Sicht der Politik dazu kein
akuter Handlungsbedarf vorhanden war27 .
Nationaler Plan zum Schutz der Informationsinfrastrukturen
(NPSI)
Erst 2005 entstand unter Federführung des BMI ein „Nationaler Plan zum
Schutz der Informationsinfrastrukturen (NPSI)“28 . Da ein Großteil der kritischen Infrastrukturen, ca. 80 Prozent, von privaten oder privatisierten
Unternehmen betrieben wird29 , ist eine enge Kooperation zwischen Staat
25 Vgl.
ebd., Kap. 4
Kap. 5
27 Vgl. [100]
28 [17]
29 Vgl. [19, S. 1]
26 Ebd.
und Wirtschaft geplant30 . Im NPSI wurden zum Schutz der kritischen Infrastrukturen Ziele in drei strategischen Bereichen vorgegeben: Prävention,
Reaktion und Nachhaltigkeit31 . Zur Prävention gehört u.a. eine breite Sensibilisierung und Aufklärung über IT-Risiken, der Einsatz sicherer IT-Produkte
und -Systeme, die Vorgabe und Umsetzung von IT-Sicherheitskonzepten
und auf internationaler Ebene der Aufbau und die Intensivierung der Beziehungen mit anderen Sicherheitsbehörden32 . Im Bereich der Reaktion
liegt der Fokus auf nationalem IT-Krisenmanagement, d.h. die schnelle
Erkennung, Erfassung und Bewertung von IT-Sicherheitsvorfällen wird
ermöglicht, um koordiniert darauf reagieren zu können33 . Dazu wurde am
BSI ein „ein nationales Lage- und Analysezentrum aufgebaut, das jederzeit über
ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland verfügt und
mit den etablierten Lage- und Krisenzentren anlassbezogen zusammenarbeitet“34 .
Im Bereich der Nachhaltigkeit soll die Fachkompetenz in der Ausbildung,
Entwicklung und Forschung gestärkt werden und vertrauenswürdige ITDienstleistungen und -Sicherheitsprodukte auf nationaler und europäischer
Ebene gefördert werden35 .
Umsetzungsplan KRITIS
Der Umsetzungsplan KRITIS (UP KRITIS) schlägt freiwillige Maßnahmen
vor, um auf Grundlage der im NPSI gesteckten Ziele einen branchenübergreifenden hohen Schutz der Kritischen Infrastrukturen zu erreichen36 . Er
richtet sich an die privatwirtschaftlichen Betreiber der definierten Kritischen Infrastrukturen (siehe Abbildung 3.3), für die Bundesverwaltung gilt
der Umsetzungsplan Bund (UP Bund)37 .
Zur Vorbeugung von Störungen sollen die Betreiber brancheninterne sowie branchenübergreifende Sicherheitsstandards definieren und umsetzen38 . Dementsprechend ist es notwendig die Mitarbeiter für das Thema
IT-Sicherheit zu sensibilisieren39 . Zur weiteren Vorsorge werden Notfallund Krisenpläne erstellt40 , die bei Notfall- und Krisenreaktionsübungen,
30 Vgl.
[17, S. 8]
ebd., S. 6
32 Vgl. ebd., S. 10-13
33 Vgl. ebd., S. 14f
34 Ebd.
35 Vgl. ebd., S. 16ff
36 Vgl. [18]
37 Vgl. ebd., S. 8
38 Vgl. ebd., S. 13f u. S. 17f
39 Vgl. ebd., S. 18
40 Vgl. ebd., S. 16f
31 Vgl.
Seite 69
Seite 70
Abb. 3.3: Sektoren und
Branchen der Kritischen Infrastrukturen.
Quelle: [18, Abb. 1]
wie z.B. den regelmäßig stattfindenden LÜKEX-Übungen, auf ihre Wirksamkeit geprüft und daraufhin verbessert werden41 .
Um bei sicherheitsrelevanten Vorfällen angemessen reagieren zu können,
wird ein leistungsfähiges Notfall- und Krisenmanagementsystem geschaffen. Bei relevanten IT-Sicherheitsvorfällen ist eine direkte Kommunikation
zwischen den KRITIS-Betreibern und dem Lagezentrum des BSI notwendig,
um ein aktuelles IT-Sicherheitslagebild vorzuhalten, damit Krisen rechtzeitig erkannt und bewältigt werden können42 . Um den notwendigen gegenseitigen Informationsaustausch gewährleisten zu können, sollen feste Kontaktstellen, sogenannte Single Point of Contact (SPOCs), auf Unternehmensoder Branchenebene etabliert werden43 (siehe Abb. 3.4).
Abb. 3.4: Ablauf
der Kommunikation zwischen KRITISBetreibern und dem
Lagezentrum des BSI.
Quelle: [18, Abb. 3]
41 Vgl.
ebd., S. 19f
[18, S. 29]
43 Ebd.
42 Vgl.
Seite 71
Cyber-Sicherheitsstrategie
Im Februar 2011 wurde von Bundeskabinett die „Cyber-Sicherheitsstrategie
für Deutschland“44 beschlossen. Sie baut auf den Umsetzungsplänen KRITIS
und Bund auf und löst den NPSI als neue Sicherheitsstrategie ab. Zuallererst
fällt auf, dass der Sicherheitsbegriff von der technischen auf die räumliche
Ebene erweitert wurde. So wird anstelle des Begriffes IT-Sicherheit fortan
von Cybersicherheit gesprochen. Diese wird definiert als „der anzustrebende
Zustand der IT-Sicherheitslage, in welchem die Risiken des deutschen Cyber-Raums
auf ein tragbares Maß reduziert sind. Cyber-Sicherheit (in Deutschland) entsteht
durch die Summe von geeigneten und angemessenen Maßnahmen.“45 . Die Bundesregierung möchte mit der Cyber-Sicherheitsstrategie „einen signifikanten
Beitrag für einen sicheren Cyber-Raum [. . . ] leisten“46 , wobei sich „Zustand eines
sicheren Cyber-Raums [. . . ] dabei als Summe aller nationalen und internationalen
Maßnahmen [ergibt]“47 . Der Informationsaustausch und die Koordinierung,
welche mit den beiden Umsetzungsplänen begonnen wurde, soll weiter
intensiviert werden48 . Das Hauptaugenmerk liegt hierbei auf zivile Ansätze und Maßnahmen, militärische werden nur ergänzend eingesetzt49 .
Die Cyber-Sicherheitsstrategie enthält zehn Strategische Ziele und Maßnahmen50 , die im Exkurs 3.1 zusammengefasst werden.
Exkurs 3.1: Zentrale Maßnahmen der Cyber-Sicherheitstrategie
1. Schutz kritischer Infrastrukturen
• Ausbau der bereits bestehenden systematischen Zusammenarbeit zwischen dem Bund und der Wirtschaft auf
Basis des UP KRITIS
2. Sichere IT-Systeme in Deutschland
• Bündelung von bedarfsgerechten Informationen über Risiken im Umgang mit IT-Systemen (Awareness-Stärkung)
44 [20]
45 Ebd.,
46 Ebd.,
47 Ebd.
48 Vgl.
S. 15
S. 4
ebd., S. 5
ebd.
50 Vgl. ebd., S. 6-12
49 Vgl.
E
Seite 72
• Einrichtung der Task Force „IT-Sicherheit in der Wirtschaft“ im BMWi
3. Stärkung der IT-Sicherheit in der öffentlichen Verwaltung
• Schaffung einer gemeinsamen, einheitlichen und sicheren Netzinfrastruktur der Bundesverwaltung („Netze des
Bundes“)
4. Nationales Cyberabwehrzentrum
• Einrichtung eines Nationalen Cyberabwehrzentrums zur
besseren operativen Zusammenarbeit und Koordinierung
staatlicher Stellen gegen IT-Vorfälle
• Federführung: BSI
• direkte Beteiligung: BfV, BBK
• Zusammenarbeit: BKA, BPol, ZKA, BND, Bundeswehr,
Unternehmen
5. Nationaler Cybersicherheitsrat
• Einrichtung eines Cybersicherheitsrats auf Staatssekretärebene
• direkte Beteiligung: BKAmt, AA, BMI, BMVg, BMWi, BMJ,
BMF, BMBF, Vertreter der Länder (Kreis erweiterbar)
• assoziierte Mitglieder: Wirtschaftsvertreter; bei Bedarf
Wissenschaft
6. Wirksame Kriminalitätsbekämpfung im Cyberraum
• Stärkung der Fähigkeiten der Strafverfolgungsbehörden,
des BSI sowie der Wirtschaft
• Einsatz für eine weltweite Harmonisierung des Strafrechts
7. Effektives Zusammenwirken für Cybersicherheit in Europa und
weltweit
• Entwicklung einer deutschen Cyberaußenpolitik
• enge Koorperation mit ENISA, OECD, NATO, OSZE, G8,
VN
• Einsatz für einen „Cyber-Kodex“ für stattliches Verhalten
im Cyberraum
8. Einsatz verlässlicher und vertrauenswürdiger IT-Systeme
• Stärkung der technologischen Souveränität und wissenschaftlichen Kapazitäten Deutschlands
9. Personalentwicklung der Bundesbehörden
• Ausbau und Austausch der personellen Kapazitäten der
Behörden der Cybersicherheit
10. Instrumentarium zur Abwehr von Cyberangriffen
• Schaffung geeigneter Instrumente und Schutzmaßnahmen für die Abwehr von Cyberangriffen
Quelle: [79, S. 94]
IT-Sicherheitsgesetz
Auf Grundlage der Cyber-Sicherheitsstrategie und des Umsetzungsplans
KRITIS hat das Bundesinnenministerium im März 2013 den „Entwurf eines
Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme
(IT-Sicherheitsgesetz)“51 erarbeitet. Gegenwärtig befindet sich dieses Gesetz
zwar noch im Gesetzgebungsverfahren52 , doch es ist davon auszugehen,
dass die wesentlichen Punkte erhalten bleiben.
Das geplante IT-Sicherheitsgesetz knüpft an den Umsetzungsplan KRITIS
an und macht einige Empfehlungen daraus verpflichtend. So fordert es von
den Betreibern kritischer Infrastrukturen „die Einhaltung eines Mindestniveaus an IT-Sicherheit“53 , die durch regelmäßige Sicherheitsaudits nachgewiesen werden sollen54 . Die Betreiber und ihre Branchenverbände dürfen
zwar ihre Sicherheitsstandards selbst festlegen, das BSI muss jedoch prüfen
51 [43]
52 Bundestag
und Bundesrat haben zu dem Entwurf schon Stellung bezogen. Die erste
Lesung im Bundestag fand am 20.3.2015 statt, vgl. [62].
53 Vgl. ebd., S. 20 u. S. 10 Art. 1 Abs. 7 (§8a Abs. 1)
54 Vgl. ebd., S. 20 u. S. 11 Art. 1 Abs. 7 (§8a Abs. 3)
Seite 73
Seite 74
ob diese ausreichend sind55 . Die Betreiber werden ebenfalls verpflichtet,
„erhebliche IT-Sicherheitsvorfälle“, d.h. Störungen, die einen Ausfall oder eine
Beeinträchtigung nach sich ziehen, an das BSI zu melden56 . Das BSI wertet
diese Meldungen aus, stellt sie im Gegenzug anderen Betreibern zur Verbesserung ihres Schutzes zur Verfügung57 . Damit zwischen den Betreibern
und dem BSI eine ständige Verbindung besteht, müssen die Betreiber eine
Kontaktstelle unterhalten58 . Welche Betreiber als kritische Infrastruktur
gelten, wird erst später durch Rechtsvorschriften bestimmt59 .
Weitere Maßnahmen sollen vor allem die Bürger schützen, vor allem soll
vermieden werden, dass Rechner mit Schadsoftware infiziert werden und
sie z.B. unfreiwillig Teilnehmer eines Botnetzes werden. So werden Internetprovider (Telekommunikationsanbieter), neben der Einhaltung des
festzulegenden Mindeststandards an IT-Sicherheit, dazu verpflichtet, nach
verdächtigen Datenströmen, die auf Schadsoftware hindeuten, zu untersuchen60 . Werden solche Muster erkannt, dann muss der Nutzer darüber
benachrichtigt werden und sollte darauf hingewiesen werden wie diese
Störung beseitigt werden kann61 .
Des Weiteren werden Telemediendienstanbieter, dazu gehören alle gewerbsmäßig betriebenen Internetseiten in Deutschland, verpflichtet ihre Systeme
nach dem „Stand der Technik“ zu sichern62 . Dies dient sowohl dem Schutz
der personenbezogenen Daten die der Anbieter speichert und verhindert
zudem die missbräuchliche Nutzung bzw. Veränderung des Systems zu
55 Vgl.
ebd., S. 11 Art. 1 Abs. 7 (§8a Abs. 2)
ebd., S. 11 Art. 1 Abs. 7 (§8b Abs. 4)
57 Vgl. ebd. S. 11 Art. 1 Abs. 7 (§8b Abs. 2)
58 Vgl. ebd., S.20
59 Vgl. ebd., S. 9 Art. 1 Abs. 2
60 Vgl. ebd., S. 16 Art. 1 Abs. 2
61 Vgl. ebd. S. 17 Art. 5 Abs. 4b
62 Vgl. ebd., S. 15 Art. 4 Abs. 1
56 Vgl.
3.3 Entscheidende Einrichtungen
Seite 75
schädlichen Zwecken, wie z.B. der Verbreitung von Schadsoftware durch
Drive-by-Downloads.
Übung 3.1
Ü
Zum IT-Sicherheitsgesetz:
Erstellen Sie eine umfassende Kritik über das IT-Sicherheitsgesetz.
Bewerten Sie die Vor- und Nachteile. Berücksichtigen Sie dabei auch
folgende Fragestellung:
Das BSI-Gesetz beinhaltet keine Strafen für Unternehmen, falls diese
sich nicht an die Meldepflicht oder die Auflagen des BSIs halten.
Warum ist das problematisch?
In diesem Abschnitt werden die Bundesorgane dargestellt, die im wesentlichen für die Gestaltung und die Ausführung der Cybersicherheitspolitik
Deutschlands verantwortlich sind.
3.3.1 Bundesministerium des Inneren (BMI)
Das Bundesministerium des Inneren spielt eine zentrale Rolle in der Cybersicherheitspolitik, da es federführend für die innere Sicherheit Deutschlands
zuständig ist. So wurde unter anderem der bereits erwähnte Nationale Plan
zum Schutz der Informationsinfrastrukturen (NPSI) vom BMI herausgegeben.
Im Friedensfall ist das Bundesministerium des Inneren für Schutz und die
Abwehrmaßnahmen im Falle eines Cyberangriffes zuständig. Tritt jedoch
der Verteidigungsfall gemäß §115a GG ein, übernimmt das Verteidigungsministerium formell die Organisation der Abwehr.
Exkurs 3.2: Grundgesetz für die Bundesrepublik Deutschland Art
115a
(1) Die Feststellung, daß das Bundesgebiet mit Waffengewalt angegriffen wird oder ein solcher Angriff unmittelbar droht (Verteidigungsfall), trifft der Bundestag mit Zustimmung des Bundesrates.
Die Feststellung erfolgt auf Antrag der Bundesregierung und bedarf
E
Seite 76
einer Mehrheit von zwei Dritteln der abgegebenen Stimmen, mindestens der Mehrheit der Mitglieder des Bundestages.
(2) Erfordert die Lage unabweisbar ein sofortiges Handeln und stehen
einem rechtzeitigen Zusammentritt des Bundestages unüberwindliche Hindernisse entgegen oder ist er nicht beschlußfähig, so trifft
der Gemeinsame Ausschuß diese Feststellung mit einer Mehrheit von
zwei Dritteln der abgegebenen Stimmen, mindestens der Mehrheit
seiner Mitglieder.
(3) Die Feststellung wird vom Bundespräsidenten gemäß Artikel 82
im Bundesgesetzblatte verkündet. Ist dies nicht rechtzeitig möglich,
so erfolgt die Verkündung in anderer Weise; sie ist im Bundesgesetzblatte nachzuholen, sobald die Umstände es zulassen.
(4) Wird das Bundesgebiet mit Waffengewalt angegriffen und sind
die zuständigen Bundesorgane außerstande, sofort die Feststellung
nach Absatz 1 Satz 1 zu treffen, so gilt diese Feststellung als getroffen
und als zu dem Zeitpunkt verkündet, in dem der Angriff begonnen
hat. Der Bundespräsident gibt diesen Zeitpunkt bekannt, sobald die
Umstände es zulassen.
(5) Ist die Feststellung des Verteidigungsfalles verkündet und wird
das Bundesgebiet mit Waffengewalt angegriffen, so kann der Bundespräsident völkerrechtliche Erklärungen über das Bestehen des Verteidigungsfalles mit Zustimmung des Bundestages abgeben. Unter den
Voraussetzungen des Absatzes 2 tritt an die Stelle des Bundestages
der Gemeinsame Ausschuß.
Dabei kann das Verteidigungsministerium von zivilen Kräften des BMIs
oder anderen staatlichen Stellen unterstützt werden. Handelt es sich nicht
um einen Verteidigungsfall sondern um eine Cyberkriese übernimmt der
Krisenstaab des Bundesministeriums des Inneren die Koordination und
Einleitung weiterer Schritte. Der Krisenstab wird dabei von dem Krisenreaktionszentrum des Bundesamtes für Sicherheit in der Informationstechnik
unterstützt.
Definition 3.1: Cyberkrise
Bei einer Cyberkrise handelt es sich um informationstechnischen
Vorfall, der eine erhebliche Störung des Gesellschaftlichen Lebens zur
Folge hat und damit die nationale Sicherheit bedroht.
Es existieren weitere Behörden, welche dem BMI unterstehen und sich
mit der Thematik der Cyber-Sicherheit beschäftigen. Zu diesen Behörden
gehören unter anderem das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), der Bundesverfassungsschutz (BfV), das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik
(BSI).
3.3.2 Bundesamt für Sicherheit in der Informationstechnik
(BSI)
Das Bundesamt für Sicherheit in der Informationstechnik ist für die operative IT-Sicherheit zuständig und wird als zentraler IT-Sicherheitsdienstleister
des Bundes betrachtet.
Das BSI ist aus der Zentralstelle für das Chiffrierwesen (ZFChi) des Bundesnachrichtendes hervorgegangen. Im Jahr 1986 wurde der Behörde zusätzlich
die Zuständigkeit für Computer-Sicherheit zugerodnet. Fünf Jahre später
wurde das BSI-Errichtungsgesetz verabschiedet, welches die zukünftigen
Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik definierte und somit den Grundstein für dessen Gründung im dem darauf
folgenden Jahr 1991 legte. Das BSI ist dem Bundesministerium des Inneren
untergeordnetet und verfügte im Jahr 2014 über ein Jahresbudget von ca.
80 Millionen Euro.
Für folgende Aufgaben ist das Bundesamt für Sicherheit in der Informationstechnik zuständig: 63
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes
• Prüfung, Bewertung und Zulassung von informationstechnischen
Systemen oder Komponenten sowie die Entwicklung von Anforderungen
63 Vgl.
[21, §3]
Seite 77
D
Seite 78
• Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen
• Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes
• Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes
• automatisierte Auswertung v. Protokolldaten sowie Daten an den
Schnittstellen d. Kommunikationstechnik (z. Abwehr v. Schadprogrammen)
Sammlung, Auswertung, und Untersuchung von Sicherheitsrisiken und
IT-Sicherheitsprodukten + Erkenntnisse zur Verfügung stellen
• Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit
• Beratung und Warnung bzgl. Sicherheitsvorkehrungen
• Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung
der Zusammenarbeit zum Schutz der kritischen Informationsinfrastrukturen im Verbund mit der Privatwirtschaft
unterstützt (bzgl. Tätigkeiten gegen IT-Sicherheit oder die mit IT erfolgen)
• Polizei und Strafverfolgungsbehörden
• Verfassungsschutzbehörden bei der Auswertung und Bewertung von
Informationen
• Bundesnachrichtendienst
Die Abbildung 3.5 zeigt in einer schematischen Darstellungen, wie die
Zusammenarbeit zwischen dem BSI und anderen Behörden des Staates
funktioniert.
Wie bereits im Abschnitt 3.2.2 erläutert, erhält das BSI durch das geplante
IT-Sicherheitsgesetzt neue gesetzlich verankerte Zuständigkeiten für die
Cyber-Sicherheit auf nationale Ebene.
3.4 Unterstützende Einrichtungen
Seite 79
Abb. 3.5: Übersicht der
behördlichen Kooperation des Bundesamtes
für Sicherheit in der
Informationstechnik.
Quelle: (modifiziert)
[79, Abb. 2, S. 109]
Im Folgenden werden Einrichtungen und Behörden aufgeführt, welche
unterstützenden im Bereich der Cyber-Sicherheit tätig sind.
3.4.1 Bundesministerium der Verteidigung (BMVg)
Das Bundesministerium der Verteidigung ist Zuständig für militärische
Verteidigung, dazu gehört die Organisation und Weiterentwicklung der
Bundeswehr sowie die Gestaltung der Verteidigungspolitik. Im Verteidigungsfall übernimmt das BMVg die formelle organisatorische Verantwortung bei Cyberangriffen.
Eine Analyse der offiziellen Dokumente zur Sicherheitspolitik des BMVg
zeigt, dass die Thematik der Cyber-Sicherheit bis jetzt nur unzureichend
thematisiert worden ist. Dies lässt sich an dem zur Zeit des Entstehens dieses Buches aktuellsten Weißbuch von 2006 erkennen, welches das oberste
sicherheits- und verteidigungspolitische Grundlagendokument der Bundesregierung darstellt.64 In diesem Weißbuch werden Cyberbedrohungen nicht
als gesonderte Bedrohungsform thematisiert, zumindest aber erwähnt: Als
Folge sind Deutschlands politische und wirtschaftliche Strukturen sowie seine kritische Infrastruktur verwundbarer geworden, nicht zuletzt mit Blick auf kriminelle
Aktivitäten, terroristische Anschläge oder militärische Angriffe aus dem oder gegen
den Cyber-Raum.65
64 [33]
65 Ebd.,
S. 19
Seite 80
Weiterhin beschreibt das Weißbuch, dass eine vernetzte Operationsführung
angestrebt wird. Jedoch wird dabei nicht im Ansatz auf die Risiken wie
z.B. die Abhängigkeit, Störanfälligkeit oder die neue digitale Angriffsfläche,
die solch ein System bietet, eingegangen: Die vernetzte Operationsführung
ermöglicht Führung und Einsatz von Streitkräften auf der Grundlage eines alle
Führungsebenen übergreifenden und interoperablen Informations- und Kommunikationsverbundes. Dieser verbindet alle relevanten Personen, Truppenteile, Einrichtungen, Aufklärungs- und Waffensysteme.66 So zeigt der Befall mehrerer
hundert Bundeswehrrechner durch den Wurm Conficker, dass auch die
Netzwerke der Bundeswehr gefährdet sind67
Die Verteidigungspolitischen Richtlinien von 2011 beschreiben den Auftrag und die Aufgaben der Bundeswehr für den Schutz der Bundesrepublik.68 Somit definieren Sie auch die Sicherheitspolitischen Zielsetzungen
der Bundesregierung. Die Verteidigungspolitischen Richtlinien heben im
Gegensatz zu dem Weißbuchs die Vulnerabilität der vernetzten Gesellschaft
gesondert hervor: Informationsinfrastrukturen gehören heute zu den kritischen
Infrastrukturen, ohne die das private und öffentliche Leben zum Stillstand käme.
Angriffe darauf können aufgrund ihrer engen Verflechtung zur Destabilisierung
auch unseres Staates mit gravierenden Auswirkungen für die nationale Sicherheit
führen.69
So wird auch die Möglichkeit einer militärischen Auseinandersetzung im
Cyber-Raum erstmals thematisiert: Die Möglichkeit, ‚Cyber-Angriffe‘im Nachhinein zu bestreiten, gehört bereits heute zum strategischen Kalkül einer neuen,
computergestützten Auseinandersetzung auch zwischen Staaten.70 Dennoch wird
daraus nicht die Notwendigkeit abgeleitet, ebenfalls militärische Kapazitäten in diesem Bereich aufzubauen. Sie wird im besten Fall nur angedeutet:
Die Bundeswehr muss für Einsätze im gesamten Intensitätsspektrum bis hin zu Beobachtermissionen, Beratungs- und Ausbildungsunterstützung sowie präventiver
Sicherheitsvorsorge befähigt sein.71
Die IT-Strategie des Bundesministeriums der Verteidigung stellt die die
Schaffung einer konzeptionellen Grundlage für die Informationstechnik der Bundeswehr dar.72 Die Strategie sieht die Vereinheitlichung der Bundeswehr-IT,
66 Ebd.,
S. 99
67 http://www.heise.de/security/meldung/Hunderte-Bundeswehr-Rechner-von-Confi
cker-befallen-195953.html
68 [34]
69 Ebd.,
S. 3
71 Ebd.,
S. 15
70 Ebd.
72 [63]
die das IT-System der Bundeswehr als Ganzes in den Blick nimmt und eine Gesamtarchitektur entwickelt.73 Des Weiteren wird als Ziel die Stärkung der ITbzw. Cyber-Sicherheit hervorgehoben. Dabei wird erkannt, dass die Bedrohung aus dem Cyberraum zunimmt und deshalb das Computer Emergency
Response Team (CERT) personell und technisch gestärkt werden muss. Zeitgleich wird die Problematik des Wettbewerbs mit der Wirtschaft um gutes
Fachpersonal thematisiert und geschlussfolgert, dass die Attraktivitätssteigerung der Laufbahnen im IT-Bereich notwendig ist.74
3.4.2 Auswärtiges Amt (AA)
Die technische und normative Kontrolle des Internets war für eine lange Zeit in den Händen der USA. Doch mittlerweile bewegen wir uns zu
einen gemeinschaftlich kontrollierten Cyberraum nach dem sogenannten
Multi-Stakeholder-Ansatz. Es gibt natürlich viele Akteure die ihren Einfluss
geltend machen wollen. Teile der Wirtschaft plädieren dafür die Netzneutralität aufzuheben, viele Bürger möchten ihre Grundrechte im Netz gewahrt
wissen, einige Staaten möchten das Internet zensieren, andere Staaten wollen Ausländer ausspähen und Cyberkriminelle sind schwer verfolgbar. So
ist es notwendig, dass sich Deutschland international in die Gestaltung des
Cyberraums einbringt.
Das Auswärtige Amt ist für die deutschen Außenpolitik, und damit auch
der Cyber-Außenpolitik, zuständig. Es wird derzeit ein eher defensiver
Politikansatz verfolgt, der durch folgende fundamentale Prinzipien geleitet
wird75 :
• Der Schutz der Freiheit hat oberste Priorität bei allen Internetangelegenheiten. Es ist das Ziel sie zu erhalten und auszubauen.
• Gefahren des Cyberraums eindämmen und die wirtschaftlichen Chancen des Internets ausbauen
• Die bisher stattfindende Selbstregulierung soll fortgeführt werden.
Diese muss jedoch verantwortungsbewusst erfolgen. Eine staatliche
Regulierung wird erst erwogen, wenn demokratische Grundwerte
verletzt oder gefährdet werden.
73 Ebd.
74 Ebd.
75 Vgl.
[64, 12]
Seite 81
Seite 82
• Transparenz,
globales
Teilen
von
Informationen
(Cyber-
Entwicklungshilfe) sollen die vorherigen Prinzipien unterstützen
und diese im Rahmen internationaler Beteiligung vorantreiben
Das AA hat im Jahr 2011 einen Koordinierungsstaab für Cyberaußenpolitik gegründet und im zwei Jahre Später einen Sonderbeauftragten für die CyberAußenpolitik berufen. An diesen Maßnahmen lässt sich die wachsende
Bedeutung der Cyber-Außenpolitik für das Auswärtige Amt erkennen.
Deutschland ist ein aktives Mitglied in verschiedenen internationalen Vereinigungen wie beispielsweise der UN oder der OSCE. So ist es ein großer
Erfolg der deutschen Außenpolitik, dass zu allen vier Group of Governmental
Experts (GGE) zur internationalen Cyber-Sicherheit der UN deutsche Experten eingeladen worden sind. Deutschland ist damit die einzige Nation,
die als nicht permanentes Mitglied des UN-Sicherheitsrates zu allen GGEs
eingeladen worden ist. 76 Ein Bericht der 4. Expertengruppe wird im Jahr
2015 erwartet.77
Bei dem im zweiten Studienbrief bereits erwähnten Beschluss über die
vertrauensbildende Maßnahmen der OSCE war die Bundesrepublik Mitinitiator. Eine der Maßnahmen war unter anderem de regelmäßigen Informationsaustausch zu Bedrohungen sowie die Benennung von zentralen Ansprechpartnern. Die Umsetzung der vereinbarten Maßnahmen sind bereits
2014 angelaufen. So hat Deutschland als einer ersten Staaten Schlüsseldokumente mit dem OSCE-Teilnehmerstaaten ausgetauscht.
Das AA veranstaltete im Dezember des Jahres 2014 den Global Cyberspace
Cooperation Summit 2014 gemeinsam mit dem New Yorker EastWest Institute78 Über 300 Teilnehmern aus 40 verschiedenen Ländern nahmen an
der Konferenz teil und diskutierten unter anderem über die Möglichkeiten der Cyber-Kooperaion in der Zivilgesellschaft, Politik und Wirtschaft.
Zusätzlich arbeitet das Auswärtige Amt mit dem Institut für Abrüstungsforschung der Vereinten Nationen (UNIDIR) zusammen und beteiligte
sich an der 2014 UNIDIR-Konferenz über neue Herausforderungen in der
Sicherheitspolitik79
76 Antwort
des Auswärtiges Amts vom 21.04.2015
S. 11]
78 Vgl. ebd., S. 62
79 Ebd.
77 [42,
3.4.3 Bundesministerium für Wirtschaft und Energie (BMWi)
Das Bundesministerium für Wirtschaft und Energie beschäftigt sich mit der
Cyber-Sicherheit in den Bereichen der Energieversorgung und Telekommunikation sowie für die Unterstützung von KMUs in Form der Task Force
IT-Sicherheit in der Wirtschaft. Durch diese Zuständigkeit für Telekommunikationssektor und die Energieversorgung kommt dem BMwi eine wichtige
Rolle im UP Kritis und dem IT-Sicherheitsgesetz zu.
Im Bereich der Energie ist die dem BMwi nachgelagerte Bundesnetzagentur für die Einhaltung der definierten Sicherheitsstandards zuständig.80
Folglich führt die Bundesnetzagentur Audits bei den jeweiligen Betreibern
durch. Sollten Cyber-Sicherheitsvorfälle wahrgenommen werden, dann
sollen diese von den Betreibern der kritischen Infrastrukturen im Energiesektor zuerst an das Bundesamt für Sicherheit in der Informationstechnik
übermittelt werden.81 Anschließend wird das BSI die Vorfälle an die Bundesnetzagentur weiterleiten.
Im Bereich der Telekommunikationsunternehmen verhält es sich leicht anders im Vergleich zum Energiesektor, denn hier werden aufgedeckte Mängel
im Rahmen eines sich alle zwei Jahre wiederholenden Audits der Bundesnetzagentur an das Bundesamt für Sicherheit in der Informationstechnik
weitergeleitet. 82 83
Zusätzlich müssen Sicherheitsvorfälle der Bundesnetzagentur übermittelt
werden, welche diese anschließend an das BSI und gegebenenfalls an weitere zu EU-Staaten gehörenden Behörden oder der ENISA weiterleitet. 84
Der Unterschied zwischen dem Energie- und Telekommunikationssektor
liegt folglich in der Reihenfolge der Benachrichtigungskette zwischen der
Bundesnetzagentur und dem BSI. Warum nicht in beiden Fällen zuerst das
BSI oder die Bundesnetzagentur informiert wird, bleibt offen und konnte
bis zum Abschluss dieses Buches nicht näher geklärt werden.
„Das Bundeswirtschaftsministerium hat die Initiative ‘IT-Sicherheit in der Wirtschaft‘mit dem Ziel eingerichtet, das IT-Sicherheitsniveau bei kleinen und mittelständischen Unternehmen zu verbessern. Die Initiative bündelt die bestehenden
Aktivitäten von herstellerneutralen IT-Sicherheitsinitiativen unter einer Dachmarke
80 Vgl.
[43, S. 12 Art. 3 Abs. 1 (§11 Abs. 1b)]
ebd., S. 15 Art. 3 Abs. 1 (§11 Abs. 1c)
82 Vgl. ebd., S. 16 Art. 5 Abs. 3b (§109 Abs. 4 Satz 7)
83 Vgl. ebd., S. 17 Art. 5 Abs. 3 (§109 Abs. 8)
84 Vgl. ebd., S. 16 Art. 5 Abs. 3c (§109 Abs. 5)
81 Vgl.
Seite 83
Seite 84
und erarbeitet konkrete Maßnahmen zur Unterstützung des deutschen Mittelstandes.“85 Zu den beteiligten Institutionen gehören unter anderem:
• Bundesministerium des Innern
• Bundesverband IT-Mittelstand e.V. (BITMi)
• BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
• Nationalen Initiative für Informations- und Internetsicherheit e.V.
(NIFIS e.V.)
• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Bundesverband mittelständische Wirtschaft e.V. (BVMW)
• eco - Verband der deutschen Internetwirtschaft e.V.
• Bundesverband der Deutschen Industrie e.V. (BDI)
• Zentralverband des Deutschen Handwerks (ZDH)
• TeleTrusT - Bundesverband IT-Sicherheit e.V.
3.4.4 Bundesministerium für Bildung und Forschung (BMBF)
Das Bundesministerium für Bildung Forschung wirkt mit Förderung- und
Forschung in allen Bereichen der Cybersicherheitspolitik. Einerseits werden
Sicherheitslösungen erforscht, andererseits werden die Weichen gestellt
für die Ausbildung benötigter Fachkräfte. Jedoch muss angemerkt werden,
dass das BMBF keinen direkten Einfluss auf die Bildungspolitik besitzt,
denn diese obliegt den Bundesländern.
Zu den Förderinhalten gehören verschiedene Aspekte der Cyber-Sicherheit
zu der die Prävention, Reaktion und Nachhaltigkeit gehören. Im Folgenden
werden die verschiedenen Förder- und Rahmenprogramme des Bundesministeriums für Bildung und Forschung vorgestellt.
IKT 2020
Von 2007 bis 2011 wurden im Rahmen des Forschungsprogramms IKT 2020
jährlich 300 Millionen Euro vom BMBF und 80 Millionen Euro vom BMWi
für die Anwendungsforschung im Bereich der Informations- und Kommunikationstechnologien vorgesehen. Das Programm hatte als Ziel eine Brücke
zwischen neuen Technologien und deren Anwendung zu schlagen.
85 [40]
Seite 85
Dabei konzentrieren sich die Forschungsthemen unter anderem auch auf
Architekturen für ein sichereres und zuverlässigeres Internet.
86
Zusätzlich wird
als Qualitätsziel neben der Wirtschaftlichkeit, Nutzerfreundlichkeit und
Resscourceneffizienz auch explizit die Sicherheit genannt. 87
Im Jahr 2010 wurde vom BMBF die Hightech-Strategie 2020 vorgestellt. Die
Strategie sieht vor neue Kompetenzen in den Märkten der Zukunft in folgenden Bedarfsfeldern zu bilden:
Abb. 3.6: Die 5 Bedarfsfelder der
Hightech-Strategie
Quelle: [38]
Die Ausrichtung der Strategie erfolgt auf sogenannte zentrale Missionen
bzw. Zukunftsprojekte, die konkrete Ziele wissenschaftlicher, technologischer
und gesellschaftlicher Entwicklungen über einen Zeitraum von zehn bis fünfzehn
Jahren verfolgen. 88 Als ein Zukunftsprojekt wird innerhalb der HightechStrategie 2020 explizit der effektive Schutz für Kommunikationsnetze gegen
Terrorismus und Kriminalität genannt. Einen Auszug aus der Strategie zu
diesem Zukunftsprojekt können Sie dem Exkurs 3.3 entnehmen
Exkurs 3.3: Hightech-Strategie 2020 zum Schutz der Kommunikationsnetze
Auszug aus der Hightech-Strategie 2020 des Bundesministerium für
Bildung und Forschung von 2010. 89
Die Ergebnisse der Sicherheitsforschung sollen dazu beitragen, unsere
Informations- und Kommunikationsnetze gegen Beeinträchtigungen
– zum Beispiel durch Terrorismus und Kriminalität – zu schützen.
Es sollen Neue Akzente effiziente Organisationsformen und technische Mittel zur Prävention sowie zur Abwehr und Bewältigung
86 [37],
S. 37
Ebd., S. 4
88 Ebd. S 6
87 Vgl.
E
Seite 86
von Beeinträchtigungen oder Ausfällen entwickelt werden. Es gilt,
Kommunikationsnetze umfassend zu nutzen, neue, bedarfsgerechte
Dienste auf Grundlage neuer Technologien zu etablieren und den demokratischen Grundwerten entsprechende Lösungen zu entwickeln.
Relevante Forschungsrahmenprogramme Basierend auf der Hightech-Strategie
2020 hat das BMBF für den Zeitraum von 2015 bis 2020 ein Forschungsrahmenprogramm aufgelegt, das explizit die IT-Sicherheit adressiert :
Das Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit hat ein
Volumen 180 Millionen Euro. 90 Das Programm setzt explizit Schwerpunkte
auf die Cyber-Sicherheit.
Im Folgenden Forschungsthemen werden mitunter gefördert:91
• Hardwarebasierte Sicherheitsanker
• Digitales Identitätsmanagement
• Langfristig sichere und effiziente Kryptografie
• Quantenkommunikation
• Transparenz und Benutzerfreundlichkeit
• Schutz vor Internet-Angriffen
• Nachweisbare IT-Sicherheit
• IT-Sicherheit in heterogenen Systemstrukturen
• Wissens- und Produktschutz
• IT-Sicherheit für Industrie 4.0
• Privatheit und Big Data
Von der Benutzbarkeit über Kryptografie bis hin zur nachweisbaren ITSicherheit sind sehr viele und wichtige Themen der IT-Sicherheit in diesem
Rahmenprogramm vertreten. Dabei werden bei einzelnen Themen sehr
konkrete Vorstellungen über mögliche Forschungsthemen genannt. Im Bereich der nachweisbaren IT-Sicherheit wird beispielsweise die statische und
89 Ebd.
90 [39]
91 [39]
S.7
3.5 Koordinierende Einrichtungen
Seite 87
dynamische Codeanalyse von Software genannt, welche die höchstmögliche Fehlerfreiheit und Wirksamkeit gewährleisten soll. 92 Auch die Vorstellungen über
die Kryptographieforschung sind sehr konkret in dem sie unter anderem
die Erforschung von Quantencomputer-resistente Algorithmen fördern.
Dies ist besonders wichtig, da durch aufkommende Technologie der Quantencomputer der Aufwand für das Brechen gängiger bzw. weit verbreiteter
kryptografischer Verfahren rapide sinken wird.
Das Bundesministerium für Bildung und Forschung wird den Anforderungen an den digitalen Wandel der Gesellschaft gerecht und fördert aktiv
durch die Finanzierzung von Forschungsvorhaben die IT-Sicherheit und
somit auch den Wirtschaftsstandort Deutschland.
3.5.1 Nationales Cyber-Abwehrzentrum (NCAZ)
Abb. 3.7: Das Logo
des Nationales CyberAbwehrzentrums
Das Nationale Cyberabwehrzentrum wurde gemäß Punkt 4 der Cybersicherheitsstrategie „zur Optimierung der operativen Zusammenarbeit aller
staatlichen Stellen und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Vorfälle [. . . ]“93 eingerichtet. Es handelt sich bei dem NCAZ
nicht um eine eigenständige Behörde, denn es basiert nur auf Kooperationsvereinbarungen zwischen den verschiedenen beteiligten Behörden. Das
Cyberabwehrzentrum ist beim BSI angesiedelt und wurde am 16.06.2011
von dem damaligen Innenminister Hans-Peter Friedrich (CSU) eröffnet. 94
Einen Ausschnitt der Eröffnungsrede des Cyberabwehrzentrums des offiziellen NCAZ Sprechers und gleichzeitigen Präsidenten des BSIs Michael
Hange können Sie dem Exkurs 3.4 entnehmen.
92 Ebd.,
93 [20,
94 [35]
S. 12
S. 8]
Seite 88
Exkurs 3.4: Rede zur Eröffnung des Nationalen Cyberabwehrzen-
E
trums
Aussage von Michael Hange, Präsident des BSI und Sprecher
des Cyber-Abwehrzentrums, zur Eröffnung des Nationalen
Cyberabwehrzentrums95 :
Um Informationsinfrastrukturen erfolgreich vor Angriffen zu schützen, setzen wir auf Prävention, Reaktion und Frühwarnung. Wir tun
dies schon seit etlichen Jahren durch unterschiedliche Maßnahmen
und Initiativen für Bund, Wirtschaft und Bürger. Die Angriffe werden
jedoch zunehmend komplexer und orientieren sich naturgemäß nicht
an der Zuständigkeit einzelner Behörden. Deshalb ist die Etablierung
des Nationalen Cyber-Abwehrzentrums ein wichtiger Schritt, um die
Cyber-Sicherheit in Deutschland voranzutreiben.
Zu den Mitgliedern des NCAZ gehören folgende Behörden:
• BSI federführend
• Bundesamt für Verfassungsschutz (BfV)
• Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
• Bundeskriminalamt (BKA)
• Bundespolizei (BPol)
• Zollkriminalamt (ZKA)
• Bundesnachrichtendienst (BND)
• Bundeswehr
Informations-
Die zugrunde liegende Idee des NCAZ ist es nicht, wie der Name es ver-
lagezentrum
muten lässt, Cyber-Gefahren aktiv abzuwehren. Das Konzept sieht eher vor,
eine Schnittstelle zwischen den Behörden zu schaffen, damit ein gemeinsames Lagebild für eine bessere und effizientere Koordinierung entsteht. So
soll sich das NCAZ mit groß angelegten Angriffen, globalen Wurmattacken
und Katastrophenfällen beschäftigen.96 Innerhalb des NCAZ wird dem BSI
die Führungskompetenz zugesprochen. Zusätzlich bringt das als Kernbehörde BSI seine technische Expertise zur Bewertung von Vorfällen ein. Der
95 Ebd.
96 [101]
Seite 89
Bundesverfassungsschutz bringt als Kernbehörde seine Erkenntnisse im
Rahmen seiner Möglichkeiten ein ob es sich bei dem zu Untersuchenden
Vorfall um einen staatlich motivierten Angriff handelt. Das Bundesamt für
Bevölkerungsschutz wird als Kernbehörde die möglichen Auswirkungen eines Cyber-Vorfalls auf die kritischen Infrastrukturen bzw. die Bevölkerung
analysieren. Die anderen beigeordneten Behörden werden ihre Erkenntnisse über Angriffswerkzeuge und -wege ebenfalls einbringen, damit ein
möglichst umfassendes Lagebild entsteht.
In den Jahren 2011 bis Anfang 2013 hat das NCAZ insgesamt 900 nationale
Kurzbilanz - NCAZ
und internationale IT-Sicherheitsvorfälle bewertet. Dabei war ein Großteil
der Vorfälle kriminell motiviert und besaßen das Ziel sich einen finanziellen
Vorteil zu verschaffen. Allerdings konnte auch ein Zuwachs von Angriffen
sogenannter Hacktivisten verzeichnet werden, die aus gründen des Protests
gegen bestimmte Umstände Unternehmen und staatliche Stellen angreifen
und diese durch erbeutete Daten bloßstellen.97
Laut Presseberichten vom 06.06.2014 rügt der Bundesrechnungshof in
einem geheimen Bericht das Nationale Cyber-Abwehrzentrum.98 In dem
Bericht wird angeblich kritisiert, dass zum einem das NCAZ kaum als kompetenter Ansprechpartner wahrgenommen wird. So sollen Vertreter des
Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe und des Zollkriminalamtes nur sehr selten und später gar nicht mehr an den täglichen
Lagebesprechungen teilgenommen haben. Des Weiteren wird kritisiert,
dass es an konkreten Aufgaben, außer der täglichen Lagebesprechung, fehlt.
Der gewichtigste Kritikpunkt ist jedoch, dass das NCAZ nicht mal vom
federführenden BSI ernsthaft angesprochen wird, da es eher auf eigene
Ressourcen wie das IT-Notfallzentrum oder das Computer Emergency Response Team des Bundes zurück greift. Die Kritik des Bundesrechnungshofes
kritisiert die vielen parallelen Strukturen und Zuständigkeiten bzgl. der
Cyber-Gefahrenabwehr in Deutschland. Durch die Redundanzen werden
unnötig Steuergelder verbraucht. Aus diesem Grund fordert der Bundesrechnungshof die Neuordnung des Nebeneinanders und fordert: Das CyerAbwehrzentrum sollte mit eigenen Aufgaben und Kompetenzen für die Abwehr
von Cyberangriffen ausgestattet sein.
Abgesehen von der Rüge des Bundesrechnungshofes muss das CyberAbwehrzentrum auch verfassungsrechtlich kritisch betrachtet werden. Denn
in Deutschland gibt es aufgrund der negativen Erfahrung mit der Geheimen
97 [16]
98 [107]
Kritik am NCAZ
Seite 90
Staatspolizei (Gestapo) des Nazi-Regimes eine klare Trennung zwischen
den Polizeibehörden und den Nachrichtendiensten bzgl. ihrer Befugnisse
oder bitte um Amtshilfe. Diese wird umgangssprachlich meist als Trennungsgebot bezeichnet wird. Im Exkurs 3.5 wird anhand des Bundesverfassungsschutzgesetzes das Trennungsgebot indirekt definiert. Jedoch gibt es
keine eindeutiges Gesetz, welches die Trennung zwischen Geheimdiensten
und der Polizei direkt vorschreibt.
Exkurs 3.5: Bundesverfassungsschutzgesetz
E
Gesetz über die Zusammenarbeit des Bundes und der Länder in
Angelegenheiten des Verfassungsschutzes und über das Bundesamt
für Verfassungsschutz (Bundesverfassungsschutzgesetz - BVerfSchG)
§ 2 Verfassungsschutzbehörden
(1) Für die Zusammenarbeit des Bundes mit den Ländern unterhält
der Bund ein Bundesamt für Verfassungsschutz als Bundesoberbehörde. Es untersteht dem Bundesministerium des Innern. Das Bundesamt
für Verfassungsschutz darf einer polizeilichen Dienststelle nicht angegliedert werden. (2) Für die Zusammenarbeit der Länder mit dem
Bund und der Länder untereinander unterhält jedes Land eine Behörde zur Bearbeitung von Angelegenheiten des Verfassungsschutzes.
Trennungsgebot
Ähnlich wie beim Gemeinsamen Terror-Abwehrzentrum (GTAZ) in Berlin
droht auch beim Cyber-Abwehrzentrum das Trennungsgebot zwischen Polizei und Nachrichtendiensten systematisch unterlaufen zu werden. Denn
sowohl das TAZ als auch NCAZ bilden eine Schnittstelle zwischen den Geheimdiensten und der Polizei und sollen die Zusammenarbeit verbessern.
Hier lässt sich der schwierige Drahtseilakt der Sicherheitspolitik erkennen.
Zum einem will Sie die Bürger vor Bedrohungen, die ihre Freiheit und Unversehrtheit gefährden, beschützen. Zum anderem beugt sie dafür teilweise
bestehendes Recht, das ebenfalls zum Schutz der Bevolkerung geschaffen
worden ist.
3.5.2 Nationaler Cyber-Sicherheitsrat (Cyber-SR)
Der Cyber-Sicherheitsrat wurde auf der Basis der Cyber-Sicherheitsstrategie
Deutschlands gegründet. 99 Das Ziel des Cyber-SR ist es die Zusammen99 Vgl.
[20, S. 9]
arbeit zwischen der Bundesregierung, dem Staat und Wirtschaft zu stärken. Somit hat der Cyber-Sicherheitsrat die Aufgabe auf einer politischstrategischen Ebene zwischen Staat und Wirtschaft die präventiven Instrumente
und die übergreifenden Politikansätze für Cyber-Sicherheit zu betrachten. 100 Dazu
gehört ebenfalls die Identifikation und Beseitigung struktureller Krisenursachen101 sowie die Verzahnung der IT-Steuerung BUND und dem IT-Planungsrat
im Bereich der Cyber-Sicherheit102 . Der Cyber-Sicherheitsrat tagt dreimal pro
Jahr unter dem Vorsitz der Beauftragten der Bundesregierung für Informationstechnik. Folgende Ministerien und Bundesländer sind in dem CyberSicherheitsrat vertreten:
• Bundeskanzleramt
• Auswärtiges Amt
• Bundesministerium des Innern
• Bundesministerium der Verteidigung
• Bundesministerium für Wirtschaft und Energie
• Bundesministerium der Justiz und Verbraucherschutz
• Bundesministerium der Finanzen
• Bundesministerium für Bildung und Forschung
• Bundesland Hessen
• Bundesland Baden-Württemberg
Zusätzlich existieren assoziierte Mitglieder, die hochrangige Wirtschaftsvertreter von Bundesverband Informationswirtschaft, Telekommunikation
und neue Medien (BITKOM), Bundesverband der Deutschen Industrie e.V
(BDI), Deutsche Industrie- und Handelskammertag e. V. (DIHK). Zusätzlich besteht die Möglichkeit dass Vertreter der Wissenschaft hinzugezogen
werden können.
100 [30]
101 Ebd.,
102 [30]
S.9
Seite 91
Seite 92
3.6 Exekutierende Einrichtungen
3.6.1 Bundeskriminalamt (BKA)
Das Bundeskriminalamt untersteht dem Bundesministerium des Innern
und vertritt Deutschland bei Interpol. Das Bundeskriminalgesetz definiert
das BKA als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen
und für die Kriminalpolizei die Polizeien des Bundes und der Länder bei der
Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler
oder erheblicher Bedeutung“103
Das BKA beschäftigte im Jahr 2015 ungefähr 5.500 Mitarbeiter, verfügt über
einen Haushaltsetat von 416 Millionen Euro und unterhält drei Standordte
in Wiesbaden, Meckenheim bei Bonn und Berlin. 104
Das Bundeskriminalamt definiert Cybercrime oder Informations- und Kommunikationskriminalität (IuK-Kriminalität) als alle Straftaten, bei denen Elemente der EDV in den Tatbestandsmerkmalen enthalten sind (Computerkriminalität) oder bei denen die IuK zur Planung, Vorbereitung oder Ausführung einer Tat
eingesetzt wird/wurde, Straftaten im Zusammenhang mit Datennetzen wie z.B.
dem Internet und Fälle der Bedrohung von Informationstechnik. Dies schließt alle
widerrechtlichen Handlungen gegen die Integrität, Verfügbarkeit und Authentizität
von elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeicherten oder übermittelten Daten (Hacking, Computersabotage, Datenveränderung,
Missbrauch von Telekommunikationsmitteln etc.) ein. 105
Der zuständige Fachbereich für Internetkriminalität des BKAs beschäftigt sich mit Lagedarstellungen, Analysen, Bekämpfungskonzepten und
forensischen Datenträgerauswertungen. Im Jahr 1998 wurde das BKA von
der Innenministerkonferenz mit der anlassunabhängigen Recherche im
Internet beauftragt. Als Konsequenz dieser Entscheidung durchstreift das
Bundeskriminalamt das Internet und hält beispielsweise nach illegalen
Kinderpornographischen Inhalten ausschau.
Zusätzlich gibt das BKA jährlich zur verschiedenen Verbrechen, unter denen
auch die Cyber-Kriminalität ausgeführt wird, einen Lagebericht heraus.
106
103 §1
Abs. 1, [15]
10]
105 [28]
106 [29]
104 [31,
„Die deutschen Polizeibehörden sind jedoch noch nicht adäquat auf diesen Paradigmenwechsel in der digitalen Verbrechensbekämpfung eingestellt. In Zukunft
wird daher eine mentale, strukturelle, operative und personelle Neuausrichtung
nicht nur des BKA, sondern auch aller anderen Polizeibehörden auf Bundes- und
Landesebene unausweichlich sein.“107
Die immer noch schwerfälligen Mechanismen internationaler polizeilicher
und justizieller Rechtshilfe, zur Ermittlung eines grenzüberschreitend agierenden Internetkriminellen haben schon anachronistische Züge.
Das kriminalistische Wissen, das geeignet war, Diebe, Räuber und klassische
Betrüger zu überführen, ist immer weniger geeignet, Internetkriminelle zu
überführen.
Die weit verbreitete Polizeiideologie des Einheitspolizisten verhindert die
Professionalisierung der Kriminalitätsbekämpfung in der Bundesrepublik
Deutschland. Vor diesem Hintergrund wird erklärbar, dass sich immer
mehr Unternehmen, die von Internetkriminalität betroffen sind, privaten
Ermittlern oder Wirtschaftsprüfungsorganisationen zuwenden, statt auf
die Strafverfolgungskompetenz der Polizei und Justiz zu bauen.
Wir brauchen einen Perspektivwechsel in der Sicherheitspolitik. viel zu
wenig Fachkräfte: „Nach internen Schätzungen des BKA gibt es insgesamt beim
Bundeskriminalamt und den Landeskriminalämtern jedoch kaum zweihundert Kriminalbeamte mit den notwendigen IT-Kernkompetenzen. Bundesweit fehlen in den
Reihen der Polizei rund 4000 Informatiker. Für ein hochentwickeltes Industrieland
wie Deutschland [. . . ] ist diese Zahl an zur Verfügung stehenden Ermittlungsbeamten für Internetdelikte nicht ausreichend.„108 daher müssen auch externe
Dienstleiter mit IT-Aufgaben betraut werden: „von 2002 bis 2012 wurden
insgesamt 138 Aufträge in einem Gesamtvolumen von 7 275 910 Euro“109 , wobei es sich um „Aufträge, Projekte, Studien, Forschungen und Erprobungen“110
handelt, die der Verschlusssache unterliegen
3.6.2 Bundesamt für Verfassungsschutz (BfV)
Das Bundesamt für Verfassungsschutz ist der inländische Nachrichtendienst des Bundes und untersteht dem Bundesministerium des Innern. Die
107 [79,
S. 141]
S. 142]
109 [41, S. 4]
110 Ebd.
108 [79,
Seite 93
Seite 94
genaue Finanzplanung der Geheimdienste ist nicht öffentlich zugänglich.
Das Bundesministerium der Finanzen veröffentlicht lediglich die Zuschüsse
an das Bundesamt für Verfassungsschutz, welche für das Jahr 2015 insgesamt 230 Millionen Euro betrugen. 111 Zu seinen Hauptaufgaben zählt der
Schutz der freiheitlichen demokratisch Grundordnung und das Sammeln
sowie Auswerten von Informationen aus den zur Verfügung stehenden
Quellen zu denen auch das Internet gehört. Dabei ist der Verfassungsschutz
auch für die Spionageabwehr zuständig und führt neben dem Militärischen
Abschirmdienst (MAD) Sicherheitsüberprüfungen gemäß des Sicherheitsüberprüfungsgesetz durch.112 Der Verfassungsschutz untersucht elektronische Angriffe gegen Behörden. Des Weiteren führt er auch Beratungen
von Unternehmen zur Verhütung von Wirtschaftsspionage und -sabotage
durch.
Der Verfassungsschutz verfügt über keine polizeilichen Befugnisse und
muss keine Straftaten im Gegensatz zur Polizei verfolgen. Denn das Bundesamt für Verfassungsschutz folgt dem Opportunitätsprinzip, welches in
der Definition 3.2 näher bestimmt wird.
D
Definition 3.2: Opportunitätsprinzip
Definition des Opportunitätsprinzip des Bundesamtes für Verfassungsschutz:
Während die Strafverfolgungsbehörden (Staatsanwaltschaft, Polizei)
nach der Strafprozessordnung grundsätzlich verpflichtet sind, bei
Verdacht einer Straftat von Amts wegen einzuschreiten (Legalitätsprinzip), gilt für die Verfassungsschutzbehörden das Opportunitätsprinzip. Hiernach steht die Entscheidung, ob wegen einer Straftat eingeschritten werden soll, im Ermessen. So kann der Verfassungsschutz
wegen einer zu erwartenden relevanten Erkenntnissteigerung auf
ein unmittelbares Einschreiten verzichten. Das Opportunitätsprinzip
ist Grundlage für (oftmals jahrelang) wachsende Vertrauensverhältnisse. Diese ermöglichen dem Verfassungsschutz einen exklusiven
Zugang zu Informationsquellen, seien es V-Leute oder auch Erkenntnisse ausländischer Nachrichtendienste. Damit dies so bleibt, müssen
Nachrichtendienste einen besonderen Wert auf Quellenschutz legen.
Hinweisgeber sind nicht selten Straftäter oder Opfer, die Sanktionen
111 [32]
112 Vgl.
[47, §3 Abs. 1 Satz 1]
Seite 95
der Täter befürchten. Im Zweifel kann ein mögliches Strafverfolgungsinteresse dem Schutz der Quelle untergeordnet werden. Dadurch,
dass der Verfassungsschutz vom Strafverfolgungszwang losgelöst
ist, kann er weitergehend operieren, etwa, um eine extremistische
bzw. terroristische Szene näher aufzuklären oder zur Entschärfung
einer Gefahrensituation, indem er versucht, einzelne Täter aus der
Szene herauszulösen und als Informanten zu gewinnen, um so ferner
die Strukturen der Bestrebung zu schwächen. Ohne Strafverfolgungszwang hat der Verfassungsschutz Raum für umfassende Analysen
und Methodik. Im Gegensatz zur Polizei kann er „flächendeckende“
Strukturerkenntnisse sammeln.
Quelle: [22]
Besonders im Bereich der Cyber-Sicherheit stellt die Möglichkeit des Verfassungsschutzes Straftaten nicht zu verfolgen ein wichtiges Element dar.
Wird ein Unternehmen ein Opfer eines erfolgreichen Cyber-Angriffs, wird
es sich genau überlegen, ob es sich an die Strafverfolgungsbehörden wendet. Denn dies würde unter Umständen bedeuten, dass der erfolgreiche
Cyber-Angriff publik wird und somit eine Vertrauensverlust im Einklang
eines Reputationsverlustes eintritt. Aus diesem Grund können sich Unternehmen an den Verfassungsschutz wenden, wenn der Verdacht besteht,
dass es sich um staatlich motivierten Angreifer handelt. Aufgrund des Attributierungsproblems von Cyber-Angriffen kann selten auf dem ersten
Blick zwischen einem staatlichen oder privat motivierten Angreifer unterschieden werden. Der Verfassungsschutz wird folglich aktiv werden und
erste Untersuchungen zwecks einer Falleinschätzung durchführen.
Gemäß aktueller Medienberichte zur Zeit des Entstehens dieses Studienbriefes soll der Verfassungsschutz eine neue Einheit für die Internetüberwachung erhalten. Diese soll Ërweiterte Fachunterstützung Internet"(EFI)
heißen und aus 75 Experten bestehen. Ein Ziel des Systems soll unter anderem ein System zur Gewinnung, Verarbeitung und Auswertung von großen
Datenmengen aus dem Internet sein. Laut Medienaussagen dient das System
zur Auswertung von veröffentlichten Datenmengen von Extremisten und
Terroristen, da dies nicht mehr manuell durch den Einsatz von Personal
geleistet werden kann. Das Ausmaß der Datenmengen sei einfach zu groß,
sodass diese zuerst in einer Rohform erfasst und aufbereitet werden müssen, um
sie anschließend miteinander in Beziehung setzen zu können. 113 Eine Vorauswer113 [91]
Möglicher Ausbau des
Verfassungsschutzes
Seite 96
tung dieser Daten soll mit Hilfe von intelligenten Werkzeugen umgesetzt
werden. Für die technische Unterstützung soll ein Budget von 2.75 Millionen
Euro veranschlagt worden sein. 114
Sofern diese Medienberichte stimmen, ist erkennbar dass die Sicherheitspolitik im Bereich der Extremismusbekämpfung im Internet aktiv wird und
entsprechende Maßnahmen einleitet. Inwiefern die weitere Überwachung
des Internets die bürgerlichen Freiheitsrechte einschränken bleibt abzuwarten und sollte kritisch beobachtet werden. Da jedoch die Aktivitäten des
Inlandsgeheimdienstes nur schwer für Öffentlichkeit nachvollziehbar sind,
ist dies schwieriges Unterfangen.
3.7 Zusammenfassung
Das politische Bewusstsein für die IT-Sicherheit hat sich erst zum Anfang
dieses Jahrtausends entwickelt. Die hohe Komplexität der IT-Sicherheit
und die mangelnde Fachkenntnisse der Politik erschweren die Entwicklung
einer geeigneten Strategie. Durch die Gründung des Nationalen CyberAbwehrzentrums wurde Versucht auf die steigende Bedrohung aus dem
Cyberraum zu reagieren. Jedoch hat sich das NCAZ aufgrund der mangelnden Führungskompetenz und der mangelnde Personalausstattung als
nicht effektiv herausgestellt. Auch die weiteren Akteure im Bereich der
Cybersicherheit und die teilweise sich überschneidenden Kompetenzen
zeigen, dass eine Kanibalisierung der einzelnen für Cybersicherheit verantwortlichen Behördenstellen stattfinden muss. Daher ist der aktuell verfolgte
politische Ansatz mit dem neuen IT-Sicherheitsgesetz ein Schritt in die richtige Richtung, weil somit dem Bundesamt für Informationssicherheit mehr
Personal und vor allem Führungskompetenz im Bereich der IT-Sicherheit
zugewiesen wird.
114 Vgl.
Ebd
Lösung zu Kontrollaufgabe 1.1 auf Seite 11
Durch die steigende Komplexität in Hardware und Software ist es schwieriger Fehler zu erkennen bzw. das System im ganzen zu betrachten, um
mögliche Fehlerquellen zu identifizieren. Eine formale Verifikation eines
Programms wird aus Kostengründen vermieden. Der Mensch macht Fehler.
Vertraulichkeit: Nur die berechtigten Personen erhalten Zugang zu den
Informationen. Integrität: Die gespeicherten Daten bleiben unversehrt bzw.
konsistent. Systeme sollten sicherstellen, dass eine Veränderung der Daten
erkannt wird. Verfügbarkeit: Systeme sollen für eine bestimmte Zeit einsatzfähig sein. Hier müssen Stromausfälle und Verschleiß berücksichtigt
werden.
Durch den Einsatz der Atombombe im 2. Weltkrieg ist der ganzen Welt
bekannt geworden, dass ein atomarer Krieg die Menschheit in ihrer Existenz
bedroht. Die Großmächte spielten mit dieser Angst, aber wussten beide,
dass ein Angriff mit einem Gegenschlag jederzeit die eigene Auslöschung
bedeutet hätte. So versuchten sie ihre Spannungen in Stellvertreterkriegen
zu lösen.
Die Politik versucht durch das Sammeln von Verkehrsdaten die Kommunikation von Personen zu erfassen, um bestimmte Muster zu identifizieren,
die zu einem Terroranschlag führen. Jedoch konnte auf diese Weise noch
kein Terroranschlag verhindert werden.
Einige Staaten nutzen die zur Verfügung stehenden Medien um die eigene Bevölkerung zu täuschen. So können Regierungsskandale leichter
verschwiegen werden, die sonst zu einem Aufbegehren der Bevölkerung
geführt und somit die Stabilität des Staates gefährdet hätten. Des Weiteren
Seite 97
Seite 98
ermöglicht ein freies Internet der Bevölkerung sich wesentlich schneller zu
organisieren als früher. Mit Hilfe von Webseiten wie Facebook und Twitter
ist eine 1-n Kommunikation kostengünstig über PCs oder Smartphones
möglich, die früher nur über langsamere und teurere Medien wie Flugblätter, Zeitungsannoncen oder Bücher möglich gewesen wäre.
Das Phänomen der Vernetzung der Gesellschaft durch Computer und das
Internet ist aus politischer Sicht noch relativ neu und andersartig. Folglich
entstehen auch neue Möglichkeiten der Verbrechensbegehung, die nur teilweise von den bestehenden Gesetzen als Strafbewährt bestimmt werden.
Aus diesem Grund müssen neue Gesetze erlassen werden, die diese Gesetzeslücken schließen. Jedoch ist die Cyber-Kriminalität grenzübergreifend,
weshalb auch die nationalen Gesetze eine grenzübergreifende Ähnlichkeit
besitzen sollten, damit die Täter internationale verfolgt werden können,
Interpol koordiniert die verschiedene Polizeibehörden bei internationalen
Verbrechensbekämpfungsoperationen und bildet somit auch eine Plattform
für den gemeinsamen Schulungsmaßnahmen sowie den Austausch von
Informationen und Best-Practices.
Die verschiedenen Staaten der OSCE haben verschiedene Interessen und
ein Ausgleich dieser Interessen ist meistens nur unter schwierigen Bedingungen möglich. Aus diesem Grund sind die gemeinsamen Beschlüsse eher
als Absichtserklärungen zu verstehen. Jedoch ist der Prozess der Meinungsfindung und des Informationsaustausches der verschiedenen Nationen von
hoher Bedeutung, weil auf diese Art und Weise mögliche Missverständnisse ausgeräumt und Gemeinsamkeiten identifiziert werden können. Somit
unterstützen diese Beschlüsse auch die politische Stabilität und den Frieden
in Europa.
Innerhalb der UN haben sich hauptsächlich der erste und der zweite UN
Hauptausschuss mit dem Thema der Cyber-Sicherheit auseinander gesetzt. Die Ausschüsse dienen zur inhaltlichen Erarbeitung von Beschlüs-
sen bzw. Resolutionen, die später in der Generalversammlung der UN
beschlossen werden können. Die Beschlüsse der Generalversammlung müssen nicht einheitlich erfolgen und stellen somit die Mehrheitsmeinung der
UN-Mitgliedsstaaten dar. Jedoch sind die Beschlüsse im Gegensatz zu den
Beschlüssen des UN-Sicherheitsrates nicht bindend.
Die NATO hat die Cyber-Sicherheit in ihre Verteidigungsstrategie übernommen und ein eigenes Cyber-Verteidigungsexzellenzzentrum gegründet. Das
Zentrum führt Schulungen und Cyber-Verteidigungsübungen durch. Zusätzlich hat es eine Expertenkommission einberufen, die ein unverbindliches
Handbuch für den Cyberwar unter der Berücksichtigung internationalen
Rechts verfasst hat.
Seite 99
Verzeichnisse
Seite 101
Verzeichnisse
I. Abbildungen
Abb. 1.1: Die San Francisco Konferenz, 25 April - 26 Juni 1945: Die Sowjetunion unterzeichnete
die Charta der Vereinten Nationen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
Abb. 1.2: Zeitliche Darstellung über die Anzahl der weltweiten Terrorangriffe und deren Opferzahlen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Abb. 1.3: Einschlag (Explosion) von Flug UA 175 im Südturm des Word Trade Centers (Aufnahme
von Norden) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
Abb. 1.4: Darstellung der ermittelten Cybercrime-Straftaten von 2007 bis 2013. . . . . . . . .
19
Abb. 1.5: Verbbandsabzeichen des US Cyber Commands (links) und des Kommandos Strategische Aufklärung (rechts). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
Abb. 2.1: Der Europarat und seine Mitgliedsländer. . . . . . . . . . . . . . . . . . . . . . . . .
31
Abb. 2.2: Logo von Interpol (oben). Übersicht über die Mitgliedsstaaten von Interpol (unten). .
35
Abb. 2.3: Logo der OSCE (oben). Übersicht über die Mitgliedsstaaten der OSCE (grün) und der
Partnerstaaten (orange). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
Abb. 2.4: Unterzeichnung der Schlussakte der CSCE am 01. August 1975. Helmut Schmidt
(Bundeskanzler der BRD), Erich Honecker (Staatsvorsitzender der DDR) und U.S.
Präsident Gerald Ford (von links nach rechts).
. . . . . . . . . . . . . . . . . . . . .
39
Abb. 2.5: Logo von der United Nations (oben). Übersicht über die Mitgliedsstaaten der United
Nations (unten). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
Abb. 2.6: Logo der NATO (oben) und die geografische Verteilung der Mitgliedsstaaten von 2011
(unten) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
Abb. 2.7: Logo des NATO Cooperative Cyber Defence Centre’s of Excellence . . . . . . . . . .
51
Abb. 2.8: Logo der NATO CCDOE Cyber-Übungen Locked Shields. . . . . . . . . . . . . . . . . .
52
Abb. 3.1: Anteil der Internetnutzer in Deutschland von 1997 bis 2014. Quelle: Statista. Zugriff
am 29. März 2015. Verfügbar unter http://de.statista.com/statistik/daten/st
udie/36009/umfrage/anteil-der-internetnutzer-in-deutschland-seit-1997/.
66
Abb. 3.2: B2C-E-Commerce-Umsatz in Deutschland 1999 bis 2014 und Prognose für 2015
(in Milliarden Euro). Quelle: Statista. Zugriff am 29. März 2015. Verfügbar unter http://de.statista.com/statistik/daten/studie/3979/umfrage/e-commerc
e-umsatz-in-deutschland-seit-1999/. . . . . . . . . . . . . . . . . . . . . . . . .
67
Abb. 3.3: Sektoren und Branchen der Kritischen Infrastrukturen. Quelle: [18, Abb. 1] . . . . . .
70
Abb. 3.4: Ablauf der Kommunikation zwischen KRITIS-Betreibern und dem Lagezentrum des BSI.
Quelle: [18, Abb. 3] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
Abb. 3.5: Übersicht der behördlichen Kooperation des Bundesamtes für Sicherheit in der Informationstechnik. Quelle: (modifiziert) [79, Abb. 2, S. 109]
. . . . . . . . . . . . . . .
79
Abb. 3.6: Die 5 Bedarfsfelder der Hightech-Strategie . . . . . . . . . . . . . . . . . . . . . . .
85
Abb. 3.7: Das Logo des Nationales Cyber-Abwehrzentrums . . . . . . . . . . . . . . . . . . . .
87
Seite 102
Verzeichnisse
II. Definitionen
Definition 1.1: Vertraulichkeit, Integrität, Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . .
9
Definition 1.2: Stellvertreterkrieg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Definition 1.3: Sicherheitspolitisches Mittel der Abschreckung . . . . . . . . . . . . . . . . . .
14
Definition 1.4: Terroranschlag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Definition 1.5: §202c StGb - Vorbereiten des Ausspähens und Abfangens von Daten . . . . . .
19
Definition 3.1: Cyberkrise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
Definition 3.2: Opportunitätsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
III. Exkurse
Exkurs 1.1: Urteil vom Bundesverfassungsgericht zur Vorratsdatenspeicherung
. . . . . . . .
18
Exkurs 1.2: Stellungnahme des CCC gegen den § 202c StGB . . . . . . . . . . . . . . . . . . .
21
Exkurs 2.1: Übereinkommen über Cyberkriminalität
32
. . . . . . . . . . . . . . . . . . . . . . .
Exkurs 2.2: Auszug aus dem OSCE Ministerial Council Beschluss vom 05.12.2006
. . . . . . .
40
. . . . . . . . . . . . . . . . . . . . .
41
Exkurs 2.4: Maßnahmen der UN zum Schutz kritischer Infrastrukturen . . . . . . . . . . . . . .
47
Exkurs 2.5: Tallinn Manual Rule 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
Exkurs 2.6: Tallinn Manual Rule 11, 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
Exkurs 3.1: Zentrale Maßnahmen der Cyber-Sicherheitstrategie . . . . . . . . . . . . . . . . .
71
Exkurs 3.2: Grundgesetz für die Bundesrepublik Deutschland Art 115a . . . . . . . . . . . . .
75
Exkurs 3.3: Hightech-Strategie 2020 zum Schutz der Kommunikationsnetze
. . . . . . . . . .
85
. . . . . . . . . . . . .
88
Exkurs 3.5: Bundesverfassungsschutzgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
Exkurs 2.3: Vertrauensbildenden Maßnahmen der OSCE
Exkurs 3.4: Rede zur Eröffnung des Nationalen Cyberabwehrzentrums
IV. Kontrollaufgaben
Kontrollaufgabe 1.1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Kontrollaufgabe 1.2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Kontrollaufgabe 1.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Kontrollaufgabe 1.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
Kontrollaufgabe 2.1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Kontrollaufgabe 2.2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
Kontrollaufgabe 2.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Kontrollaufgabe 2.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
Kontrollaufgabe 2.5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
Kontrollaufgabe 2.6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
Tabellen
Seite 103
V. Tabellen
Tabelle 1.1: Anzahl der Lines of Code (LoC) im Verhältnis zur Programmfehlerdichte (Fehler /
1000 LoC).
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
Literatur
Seite 105
Literatur
[1] Datei:NATO OTAN landscape logo.svg. http://de.wikipedia.org/w
iki/Datei:NATO_OTAN_landscape_logo.svg, Abruf: 20.04.2015
[2] File:KdoStratAufkl.svg. http://commons.wikimedia.org/wiki/File:
KdoStratAufkl.svg, Abruf: 09.03.2015
[3] File:Map of the member states of Interpol.svg. http://en.wikipedia.org
/wiki/File:Map_of_the_member_states_of_Interpol.svg, Abruf:
20.04.2015
[4] File:OSCE logo.svg. http://en.wikipedia.org/wiki/File:OSCE_log
o.svg, Abruf: 20.04.2015
[5] File:UN emblem blue.svg. http://commons.wikimedia.org/wiki/Fil
e:UN_emblem_blue.svg, Abruf: 20.04.2015
[6] File:USCYBERCOM Logo.png. http://commons.wikimedia.org/wiki
/File:USCYBERCOM_Logo.png, Abruf: 09.03.2015
[7] Interpol Emblem.
http://raasonews24.net/wp-content/uploads
/2015/01/interpol-2000x1826.jpg, Abruf: 20.04.2015
[8] Locked
Shields
Logo.
http://www.cert.pl/wp-conte
nt/uploads/locked_shields.jpg,
Abruf:
20.04.2015.
–
http://www.cert.pl/news/8647
[9] San Francisco Konferenz.
http://www.unmultimedia.org/photo/g
allery.jsp?query=san%20francisco%20conference&sf=date&so=0,
Abruf: 16.03.2015
[10] Organisation / Aufbau des Bundeskriminalamtes : Organisation /
Aufbau des Bundeskriminalamtes. ttp://www.gesetze-im-interne
t.de/bundesrecht/bkag_1997/gesamt.pdf, Abruf: 24.3.15
[11] AG KRITIS: Kurzbericht der Ressortarbeitsgruppe KRITIS. (1999).
http://userpage.fu-berlin.de/~bendrath/Kritis-12-1999.ht
ml, Abruf: 01.04.2015. – Die ist nur ein Entwurf. Der finale Bericht ist
nicht zur Veröffentlichung freigegeben.
Seite 106
Literatur
[12] Auswärtiges Amt:
Cyber-Außenpolitik.
(2014).
https:
//www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/BSI/bsig
es2009_pdf.pdf?__blob=publicationFile, Abruf: 21.04.15
[13] Bauer, S. ; Schachinger, K.: Amazon, Google & Co.: Zeitenwende
im Internet. http://www.finanzen.net/nachricht/aktien/Big-D
ata-und-big-Money-Amazon-Google-Co-Zeitenwende-im-Interne
t-2493431, Abruf: 19.03.2015
[14] Behörden Spiegel:
Globales Zentrum für Innovationen.
http:
//www.behoerden-spiegel.de/icc/Internet/sub/c29/c2920d
77-7041-4b31-c1a7-f99407b988f2,,,aaaaaaaa-aaaa-aaaa-bbb
b-000000000011&uMen=f6810068-1671-1111-be59-264f59a5fb42&
page=4&pagesize=10&startmon=11&startyear=2012&attr=.htm,
Abruf: 13.04.2015
[15] BKAG:
Bundeskriminalamtgesetz – BKAG.
http://www.gese
tze-im-internet.de/bundesrecht/bkag_1997/gesamt.pdf, Abruf:
14.3.15
[16] BMI: Nationales Cyber-Abwehrzentrum. http://www.bmi.bund.de/
DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherhe
itsstrategie/Cyberabwehrzentrum/cyberabwehrzentrum_node.ht
ml, Abruf: 16.3.15
[17] BMI: Nationaler Plan zum Schutz der Informationsinfrastrukturen
(NPSI). (2005). http://www.bmi.bund.de/cae/servlet/contentblo
b/121734/publicationFile/13577/Nationaler_Plan_Schutz_Inf
ormationsinfrastrukturen.pdf, Abruf: 2.4.15
[18] BMI:
Umsetzungsplan KRITIS des Nationalen Plans zum
Schutz der Informationsinfrastrukturen.
(2007).
http:
//www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/
2007/Kritis.pdf?__blob=publicationFile, Abruf: 5.4.15
[19] BMI: Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement. (2008). https://www.bmi.bund.de/SharedDocs/Downloads/D
E/Broschueren/2008/Leitfaden_Schutz_kritischer_Infrastruk
turen.pdf?__blob=publicationFile, Abruf: 2.4.15
[20] BMI: Cyber-Sicherheitsstrategie für Deutschland. (2011). http://www.
Literatur
Seite 107
bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/
Informationsgesellschaft/cyber.pdf?__blob=publicationFile,
Abruf: 6.4.15
[21] Bundesamt für Sicherheit in Informationstechnik:
Gesetz zur
Stärkung der Sicherheit in der Informationstechnik des Bundes –
BSI-Gesetz. (2009). https://www.bsi.bund.de/SharedDocs/Downl
oads/DE/BSI/BSI/bsiges2009_pdf.pdf?__blob=publicationFile,
Abruf: 4.3.15
[22] Bundesamt für Verfassungsschutz: Opportunitätsprinzip/Legalitätsprinzip . (2015). http://www.verfassungsschutz.de/de/servic
e/glossar/_lO, Abruf: 24.4.15
[23] Bundesarchiv, Bild 183-P0801-026 / CC-BY-SA: Datei:Bundesarchiv
Bild 183-P0801-026, Helsinki, KSZE-Konferenz, Schlussakte.jpg.
http://de.wikipedia.org/wiki/Datei:Bundesarchiv_Bild_183-P
0801-026, _Helsinki, _KSZE-Konferenz, _Schlussakte.jpg, Abruf:
20.04.2015
[24] Bundeskriminalamt:
Cybercrime
Bundeslagebild
2010.
http://www.bka.de/nn_231576/SharedDocs/Downloads/DE/Pu
blikationen/JahresberichteUndLagebilder/Cybercrime/cybercr
imeBundeslagebild2010,templateId=raw,property=publicationF
ile.pdf/cybercrimeBundeslagebild2010.pdf, Abruf: 06.03.2015
Cybercrime
Bundeslagebild
2011.
Cybercrime
Bundeslagebild
2012.
Cybercrime
Bundeslagebild
2013.
Seite 108
Literatur
[28] Bundeskriminalamt: Internetkriminalität / Cybercrime . (2015).
http://www.bka.de/DE/ThemenABisZ/Deliktsbereiche/Internet
Kriminalitaet/internetKriminalitaet__node.html?__nnn=true,
Abruf: 24.4.15
Lagebilder Cybercrime (früher IuK-
Kriminalität) .
http://www.bka.de/nn_193360/DE/Pub
(2015).
likationen/JahresberichteUndLagebilder/Cybercrime/cybercri
me__node.html?__nnn=true, Abruf: 24.4.15
[30] Bundesministerium
den
Cyber-Sicherheitsrat.
Innern:
http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cyb
ersicherheit/Cybersicherheitsstrategie/Cybersicherheitsrat
/cybersicherheitsrat_node.html, Abruf: 22.04.15
[31] Bundesministerium der Finanzen: Finanzplan des Bundes 2014 bis
2018. (2014). http://www.bundesrat.de/SharedDocs/drucksache
n/2014/0301-0400/351-14.pdf?__blob=publicationFile&v=1, Ab-
ruf: 4.3.15
[32] Bundesministerium der Finanzen:
Bundeshaushalt 2013 .
(2015). http://www.bundeshaushalt-info.de/startseite/#/2015/
soll/ausgaben/einzelplan/0626.html, Abruf: 24.4.15
[33] Bundesministerium der Verteidigung: Weißbuch 2006 zur Sicherheitspolitik Deutschlands und zur Zukunft der Bundeswehr. (2006).
http://www.bmvg.de/resource/resource/MzEzNTM4MmUzMzMyMmUzM
TM1MzMyZTM2MzEzMDMwMzAzMDMwMzAzMDY3NmE2ODY1NmQ2NzY4MzEyMDI
wMjAyMDIw/WB_2006_dt_mB.pdf, Abruf: 10.4.15
[34] Bundesministerium der Verteidigung:
Verteidigungspolitische
Richtlinien. (2011). http://www.bmvg.de/resource/resource/MzEz
NTM4MmUzMzMyMmUzMTM1MzMyZTM2MzEzMDMwMzAzMDMwMzAzMDY3NmY2O
DMyNzU3OTY4NjIyMDIwMjAyMDIw/Verteidigungspolitische%20Ric
htlinien%20(27.05.11).pdf, Abruf: 10.4.15
[35] Bundesministerium des Innern: Pressemitteilung: Bundesinnenminister Dr. Hans-Peter Friedrich eröffnet das Nationale Cyber-Abwehr-
Literatur
Seite 109
zentrum. (2011). http://www.bmi.bund.de/SharedDocs/Pressem
itteilungen/DE/2011/mitMarginalspalte/06/cyber.html, Abruf:
22.04.15
[36] Bundesministerium des Innern: Bundesregierung beschließt IT-Sicherheitsgesetz. (2014). https://www.bmi.bund.de/SharedDocs/Kur
zmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-s
icherheitsgesetz.html, Abruf: 09.03.2015
[37] Bundesministerium für Bildung und Forschung: IKT 2020 – Forschung für Innovationen. (2007). http://www.bmbf.de/pubRD/ik
t2020.pdf, Abruf: 12.4.15
[38] Bundesministerium für Bildung und Forschung: Ideen. Innovation.
Wachstum – Hightech-Strategie 2020 für Deutschland. (2010). http:
//www.bmbf.de/pub/hts_2020.pdf, Abruf: 12.4.15
[39] Bundesministerium für Bildung und Forschung: Selbstbestimmt
und sicher in der digitalen Welt 2015-2020 – Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit. (2015). http://www.
bmbf.de/pub/Forschungsrahmenprogramm_IT_Sicherheit.pdf, Ab-
ruf: 12.4.15
[40] Bundesministerium für Wirtschaft und Energie:
Initiative “IT-
Sicherheit in der Wirtschaft“. http://www.bmwi.de/DE/Themen/Digi
tale-Welt/Digitale-Wirtschaft/it-sicherheit,did=362756.ht
ml, Abruf: 12.4.15
[41] Bundesregierung: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan Korte, Steffen Bockhahn, Ulla Jelpke, weiterer Abgeordneter und der Fraktion DIE LINKE – Drucksache 17/9545.
http://dip21.bundestag.de/dip21/btd/17/100/1710077.pdf, Ab-
ruf: 15.4.15
[42] Bundesregierung:
Stand
der
Bericht
Bemühungen
tung
und
Nichtverbreitung
der
Streitkräftepotenziale
um
der
Bundesregierung
Rüstungskontrolle,
sowie
über
die
zum
Abrüs-
Entwicklung
(Jahresabrüstungsbericht
2014).
http://www.auswaertiges-amt.de/cae/servlet/contentblob/
699620/publicationFile/203106/150304-JAB_2014.pdf,
16.4.15
Abruf:
Seite 110
Literatur
[43] Bundesregierung: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). (2015).
http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf, Ab-
ruf: 5.3.2015
[44] Bundesverfassungsgericht: Beschluss vom 18. Mai 2009 - 2 BvR
1151/08.
http://www.bundesverfassungsgericht.de/SharedDo
cs/Entscheidungen/DE/2010/03/rs20100302_1bvr025608.html,
Abruf: 09.03.2015. – ECLI:DE:BVerfG:2009:rk20090518.2bvr223307
[45] Bundesverfassungsgericht:
Urteil vom 02. März 2010 - 1 BvR
256/08. http://www.bundesverfassungsgericht.de/SharedDocs/E
ntscheidungen/DE/2010/03/rs20100302_1bvr025608.html, Abruf:
06.03.2015. – ECLI:DE:BVerfG:2010:rs20100302.1bvr025608
[46] Bundeszentrale für politische Bildung: Die Geschichte der RAF – Reaktionen des Staates. http://www.bpb.de/geschichte/deutsche-g
eschichte/geschichte-der-raf/49232/reaktionen-des-staates,
Abruf: 05.03.2015
[47] BVerfSchG: Gesetz über die Zusammenarbeit des Bundes und der
Länder in Angelegenheiten des Verfassungsschutzes und über das
Bundesamt für Verfassungsschutz. http://www.gesetze-im-inter
net.de/bundesrecht/bverfschg/gesamt.pdf, Abruf: 15.4.15
[48] Böckenförde, Stephan ; Gareis, Sven B.: Deutsche Sicherheitspolitik.
Herausforderungen, Akteure, und Prozesse. 2. Auflage. Verlag Barbara
Budrich, 2014. – ISBN 978–3–8252–8511–1
[49] CCDCOE: Baltic Cyber Shield Cyber Defence Exercise 2010 After
Action Report. https://ccdcoe.org/publications/BCS2010AAR.p
df, Abruf: 29.03.2015
[50] CCDCOE: Cyber Defence Exercise Locked Shields 2012 After Action
Report. https://ccdcoe.org/publications/LockedShields12_AAR.
pdf, Abruf: 29.03.2015
[51] CCDCOE: Cyber Defence Exercise Locked Shields 2013 After Action
Report. https://ccdcoe.org/publications/LockedShields13_AAR.
pdf, Abruf: 29.03.2015
Literatur
[52] CCDCOE:
Seite 111
Locked
Shields
2014
After
Action
Report.
https://ccdcoe.org/sites/default/files/documents/LS14_
After_Action_Report_Executive_Summary.pdf, Abruf: 29.03.2015
[53] CCDCOE: Tallinn Manual on the International Law Applicable to
Cyber Warfare. (2013). https://ccdcoe.org/tallinn-manual.html,
Abruf: 20.03.2015
[54] CDU, CSU und FDP: Koalitionsvertrag von CDU, CSU und SPD.
http://www.cdu.de/system/tdf/media/dokumente/05_11_11_Koal
itionsvertrag_Langfassung_navigierbar_0.pdf?file=1&type=n
ode&id=1100, Abruf: 26.3.15
[55] CDU, CSU und FDP:
Koalitionsvereinbarung für die 13. Le-
gislaturperiode des Deutsches [sic] Bundestages.
(1994).
http://www.kas.de/upload/ACDP/CDU/Koalitionsvertraege/K
oalitionsvertrag1994.pdf, Abruf: 25.3.15
[56] CDU, CSU und FDP: Koalitionsvertrag zwischen CDU, CSU und FDP.
(2009). http://www.bmi.bund.de/SharedDocs/Downloads/DE/Mini
sterium/koalitionsvertrag.pdf?__blob=publicationFile, Abruf:
26.3.15
[57] CDU, CSU und SPD: Koalitionsvertrag zwischen CDU, CSU und SPD.
(2013). https://www.cdu.de/sites/default/files/media/dokumen
te/koalitionsvertrag.pdf, Abruf: 26.3.15
[58] Clausewitz, Carl von: Vom Kriege http://www.hs-augsburg.de/~har
sch/germanica/Chronologie/19Jh/Clausewitz/cla_kri0.html
[59] Convention Committee on Cybercrime: Übereinkommen über Computerkriminalität. (2001). http://conventions.coe.int/treaty/g
er/treaties/html/185.htm, Abruf: 20.03.2015
[60] Cook, Martin L. ; Dorff, Robert H. ; Jablonsky, David u. a.: U.S. Army
War College Guide to Strategy http://www.au.af.mil/au/awc/awcga
te/ssi/00354.pdf. – ISBN 9781428910539
[61] Coverity, Inc.:
Coverity Scan: 2013 Open Source Report.
http://softwareintegrity.coverity.com/rs/coverity/image
s/2013-Coverity-Scan-Report.pdf, Abruf: 03.03.2015
Seite 112
Literatur
[62] Deutscher Bundestag: Plenarprotokoll 18/95 – 95. Sitzung. http:
//dipbt.bundestag.de/dip21/btp/18/18095.pdf, Abruf: 7.4.15
[63] Dietmar Theis:
Die neue IT-Strategie des Ministeriums: Der
IT-Direktor im Interview. (2011). http://www.bmvg.de/portal/a/b
mvg/!ut/p/c4/NYvBCsIwEET_aDcRhOLNUAWvImi9pW0IK82mrJt68eNN
Ds7AO8xj8Im17DeKXimzX_CBw0SH8QNj2iK8cpG6QiKmtwahkvDePnOAK
XPQRg2sVBnFaxZYs-jSTBGpBmjGwdjeGWv-sd_udjq7Xbe3_cVdcU3p-A
MogIqx/, Abruf: 10.4.15
[64] Dr. Sandro Gaycken: Shifting the cybersecurity paradigm. In: The
Security Times (2013). http://www.the-atlantic-times.com/downl
oad/Security_Times_Feb2013.pdf, Abruf: 11.4.15
[65] Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft“:
Schlußbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft. (1998). http://dip21.bundestag.de/dip21/btd/13/110/
1311004.pdf, Abruf: 31.3.15
[66] Fischer, Michael: Bundeswehr zieht ohne Frauen in den Cyber-Krieg.
In: DIE WELT (2013). http://www.welt.de/wirtschaft/webwelt/a
rticle116042275/Bundeswehr-zieht-ohne-Frauen-in-den-Cyber
-Krieg.html, Abruf: 09.03.2015
[67] Fischer, Susanne ; Klüfers, Philipp ; Masala, Carlo ; Wagner, Katrin: (Un-)Sicherheitswahrnehmung und Sicherheitsmaßnahmen
im internationalen Vergleich.
In: Schriftenreihe Sicherheit Nr. 14
(2014). http://www.sicherheit-forschung.de/schriftenreihe/s
r_v_v/sr_14.pdf, Abruf: 05.03.2015
[68] Graf, Walther: Rasterfahndung und organisierte Kriminalität. ForumVerlag Godesberg, 1997. – ISBN 978–3–9309–8224–0
[69] Hans-Jürgen Lange, Astrid B. (Hrsg.): Studien zur Inneren Sicherheit.
Bd. 18: Cyber-Sicherheit. Springer Fachmedien Wiesbaden, 2015 http:
//link.springer.com/book/10.1007/978-3-658-02798-8. – ISBN
978–3–658–02798–8
[70] Hegenbart, Christine: Cyber-Security – Eine Frage der Begriffe. In: Ar-
Literatur
Seite 113
beitspapiere Sicherheitspolitik, Ausgabe 2/2014 (2014). https://www.baks
.bund.de/sites/baks010/files/baks_arbeitspapier_2_2014.pdf,
Abruf: 09.03.2015
[71] IBM Global Business Services ; Universität Bonn: IBM Medienstudie:
Aus Konsumenten werden Prosumenten. http://www-05.ibm.com/
de/media/news/medienstudie-28-04-08.html, Abruf: 19.03.2015
[72] INTERPOL: Activities – Capacity building. http://www.interpol.i
nt/Crime-areas/Cybercrime/Activities/Capacity-building, Ab-
ruf: 13.04.2015
[73] INTERPOL: Activities – Harmonization. http://www.interpol
.int/Crime-areas/Cybercrime/Activities/Harmonization, Abruf:
13.04.2015
[74] INTERPOL: Cybercrime. http://www.interpol.int/Crime-areas
/Cybercrime/Cybercrime, Abruf: 13.04.2015
[75] INTERPOL: INTERPOL-coordinated operation strikes back at ‚sextortion‘networks. http://www.interpol.int/News-and-media/New
s/2014/N2014-075, Abruf: 13.04.2015
[76] INTERPOL: Overview. http://www.interpol.int/About-INTERPO
L/Overview, Abruf: 13.04.2015
[77] INTERPOL:
Programme of Activities and Draft Budget
for 2015 - Budget Indications for 2016 and 2017.
http:
//www.interpol.int/content/download/26856/362945/versio
n/4/file/AG-2014-RES-14%20E%20PROG%20ACTIVITIES%20AND%20D
RAFT%20BUDGET%202015%20(02%2011).pdf,
Abruf: 13.04.2015. –
AG-2014-RES-14
[78] INTERPOL:
The INTERPOL Global Complex for Innovati-
on. http://www.interpol.int/content/download/18668/166651/
version/9/file/IGC_trifold_EN_2015_LR.pdf, Abruf: 13.04.2015
[79] Kullik, J.: Vernetzte (Un-)Sicherheit?: Eine politisch-rechtliche Analyse
der deutschen Cybersicherheitspolitik. Kovac, Dr. Verlag, 2014 (Schriftenreihe Chemnitzer Schriften zur europäischen und internationalen
Politik). http://www.verlagdrkovac.de/978-3-8300-7649-0.htm. –
ISBN 9783830076490
Seite 114
Literatur
[80] Kurz, Constanze ; Lindner, Felix ; Rieger, Frank ; Schröder, Thorsten: Stellungnahme anläßlich der Verfassungsbeschwerde gegen den
§ 202c StGB – Derzeitige und zukünftige Auswirkungen der Strafrechtsänderung auf die Computersicherheit. http://dasalte.ccc.
de/202c/202cStellungnahme.pdf?language=de, Abruf: 09.03.2015
[81] McCandless, David:
Codebases – Million lines of Code.
http://www.informationisbeautiful.net/visualizations/mi
llion-lines-of-code/, Abruf: 03.03.2015
[82] Meier, Ernst-Christoph ; Hannemann, Andreas ; Felde, Rainer Meyer
zum: Wörterbuch zur Sicherheitspolitik: Deutschland in einem veränderten
internationalen Umfeld. 8. Auflage. Verlag E.S. Mittler & Sohn, 2012. –
ISBN 978–3–8132–0933–4
[83] Microsoft: A history of Windows. http://windows.microsoft.co
m/en-AU/windows/history#T1=era6, Abruf: 03.03.2015
[84] Nakashima, Ellen: U.S. cyberwarfare force to grow significantly, defense secretary says. In: The Washington Post (2014). http://www.wash
ingtonpost.com/world/national-security/us-cyberwarfare-for
ce-to-grow-significantly-defense-secretary-says/2014/03/
28/0a1fa074-b680-11e3-b84e-897d3d12b816_story.html,
Abruf:
09.03.2015
[85] National Commission on Terrorist Attacks Upon the United States:
The Aviation Security System and the 9/11 Attacks – Staff Statement
No. 3. http://www.9-11commission.gov/staff_statements/staff
_statement_3.pdf, Abruf: 05.03.2015
[86] National Consortium for the Study of Terrorism and Responses to Terrorism (START): Global Terrorism Database globalterrorismdb_0814dist.xlsx. (2014). http://www.start.umd.edu/gtd, Abruf: 03.03.2015
[87] NATO: Cyber security. http://www.nato.int/cps/en/natohq/top
ics_78170.htm, Abruf: 29.03.2015
[88] NATO: Funding NATO. http://www.nato.int/cps/en/natolive/t
opics_67655.htm, Abruf: 27.03.2015
Literatur
[89] NATO:
Seite 115
National
Cyber
Security
Framework
Manual.
https://ccdcoe.org/publications/books/NationalCyberSec
urityFrameworkManual.pdf, Abruf: 29.03.2015
[90] NATO: Prague Summit Declaration. http://www.ccdcoe.org/sites
/default/files/documents/NATO-021121-PragueSummitDeclarati
on.pdf, Abruf: 22.04.2015
[91] Netzpolitik.org : Geheimer Geldregen: Verfassungsschutz arbeitet
an „Massendatenauswertung von Internetinhalten“ .
(2015).
https://netzpolitik.org/2015/geheimer-geldregen-verfassun
gsschutz-arbeitet-an-massendatenauswertung-von-interneti
nhalten/, Abruf: 24.4.15
[92] OSCE: BESCHLUSS Nr. 1106 – VORLÄUFIGER KATALOG VON VERTRAUENSBILDENDEN MASSNAHMEN DER OSZE ZUR VERMINDERUNG DER MIT DER NUTZUNG DER INFORMATIONS- UND
KOMMUNIKATIONSTECHNOLOGIEN VERBUNDENEN KONFLIKTRISIKEN. http://www.osce.org/de/pc/109644?download=t
rue, Abruf: 10.04.2015
[93] OSCE: DECISION No. 1106 – INITIAL SET OF OSCE CONFIDENCEBUILDING MEASURES TO REDUCE THE RISKS OF CONFLICT
STEMMING FROM THE USE OF INFORMATION AND COMMUNICATION TECHNOLOGIES. http://www.osce.org/pc/109168?
download=true, Abruf: 10.04.2015
[94] OSCE: DECISION No. 3/04 – COMBATING THE USE OF THE
INTERNET FOR TERRORIST PURPOSES. http://www.osce.org/m
c/42647?download=true, Abruf: 08.04.2015
[95] OSCE: DECISION No. 7/06 – COUNTERING THE USE OF THE
INTERNET FOR TERRORIST PURPOSES. http://www.osce.org/m
c/23078?download=true, Abruf: 09.04.2015
[96] OSCE: Funding and Budget. http://www.osce.org/budget, Abruf:
08.04.2015
[97] President’s Commission on Critical Infrastructure Protection: Critical Foundations – Protecting America’s Infrastructures. (1997).
https://fas.org/sgp/library/pccip.pdf, Abruf: 1.4.15
Seite 116
Literatur
[98] Pöhle, Sven: Das sicherheitspolitische Vermächtnis von 9/11. In:
Deutsche Welle http://dw.de/p/19d6U, Abruf: 05.03.2015
[99] Rosiny, Stephan:
Ein Jahr „Arabischer Frühling“: Auslöser,
Dynamiken und Perspektiven.
In: GIGA Focus Nahost (2011).
http://www.giga-hamburg.de/de/system/files/publications/g
f_nahost_1112.pdf, Abruf: 20.03.2015
[100] Schulze, Tillmann: Bedingt abwehrbereit. VS Verlag für Sozialwissenschaften, 2006. – ISBN 978–3–531–90130–5
[101] secupedia: Nationales Cyber-Abwehrzentrum. http://www.secupe
dia.info/wiki/Nationales_Cyber-Abwehrzentrum, Abruf: 17.3.15
[102] SPD und B90/Grüne:
Koalitionsvereinbarung zwischen der
Sozialdemokratischen Partei Deutschlands und BÜNDNIS 90/DIE
GRÜNEN. (1998). https://www.gruene.de/fileadmin/user_uploa
d/Bilder/Redaktion/30_Jahre_- _Serie/Teil_21_Joschka_Fische
r/Rot-Gruener_Koalitionsvertrag1998.pdf, Abruf: 25.3.15
[103] SPD und B90/Grüne:
Koalitionsvertrag 2002 - 2006.
(2002).
http://www.boell.de/sites/default/files/assets/boell.de
/images/download_de/stiftung/2002_Koalitionsvertrag.pdf,
Abruf: 26.3.15
[104] SPIEGEL ONLINE: Cyber-Angriffe: Estland schwächt Vorwürfe
gegen Russland ab. http://www.spiegel.de/netzwelt/web/cybe
r-angriffe-estland-schwaecht-vorwuerfe-gegen-russland-a
b-a-483583.html, Abruf: 29.03.2015
[105] SPIEGEL ONLINE International:
Deadly Riots in Tallinn:
Soviet Memorial Causes Rift between Estonia and Russia.
http://www.spiegel.de/international/europe/deadly-riots
-in-tallinn-soviet-memorial-causes-rift-between-estonia-a
nd-russia-a-479809.html, Abruf: 29.03.2015
[106] Ständige Vertretung der Bundesrepublik Deutschland bei
der OSZE:
OSZE-Ziele, Instrumente und Institutionen.
http://www.wien-osze.diplo.de/Vertretung/wienosce/de/
02/OSZE-Ziele_2C_20Instrumente_20und_20Institutionen.html,
Abruf: 08.04.2015
Literatur
[107] Süddeutsche
Seite 117
Zeitung:
Rechnungsprüfer
halten
Cyber-
Abwehrzentrum für nicht gerechtfertigt. (2014). http://www.suedde
utsche.de/digital/behoerde-in-bonn-rechnungspruefer-halte
n-cyber-abwehrzentrum-fuer-nicht-gerechtfertigt-1.1989433,
Abruf: 22.04.15
[108] TheMachineStops: File:UA Flight 175 hits WTC south tower 9-11
edit.jpeg. https://commons.wikimedia.org/wiki/File:UA_Flight_
175_hits_WTC_south_tower_9-11_edit.jpeg, Abruf: 09.03.2015
[109] Tikk-Ringas, Eneken: Developments in the Field of Information and
Telecommunication in the Context of International Security: Work of
the UN First Committee 1998-2012. (2012). http://www.ict4peace
.org/wp-content/uploads/2012/08/Eneken-GGE-2012-Brief.pdf,
Abruf: 15.04.2015
[110] UN General Assembly: Russian Federation: draft resolution – Developments in the field of information and telecommunications in
the context of international security.
http://www.un.org/en/ga
/search/view_doc.asp?symbol=A/C.1/53/L.17, Abruf: 15.04.2015. –
A/C.1/53/L.17
[111] UN General Assembly: Russian Federation: revised draft resolution – Developments in the field of information and telecommunications in the context of international security. http://www.un.org/e
n/ga/search/view_doc.asp?symbol=A/C.1/53/L.17/Rev.1, Abruf:
15.04.2015. – A/C.1/53/L.17/Rev.1
[112] UN General Assembly: Resolution adopted by the General Assembly
on 23 December 2003. (2004). http://www.un.org/ga/search/view_
doc.asp?symbol=A/RES/58/199, Abruf: 15.04.2015. – A/RES/58/199
[113] UN General Assembly: Developments in the field of information and telecommunications in the context of international security. (2006). http://www.un.org/en/ga/search/view_doc.asp?symbo
l=A/RES/60/45, Abruf: 15.04.2015. – A/RES/60/45
[114] UN General Assembly:
Group of Governmental Experts on
Developments in the Field of Information and Telecommunications in the Context of International Security.
(2010).
http://www.unidir.org/files/medias/pdfs/information-sec
Seite 118
Literatur
urity-2010-doc-2-a-65-201-eng-0-582.pdf, Abruf: 15.04.2015. –
A/65/201
[116] UN General Assembly: Resolution adopted by the General Assembly on 2 December 2011. (2011). http://daccess-dds-ny.un.org/d
oc/UNDOC/GEN/N11/460/26/PDF/N1146026.pdf?OpenElement, Abruf:
15.04.2015. – A/RES/66/24
[117] UN General Assembly: Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the
Context of International Security. (2013). http://www.un.org/ga/se
arch/view_doc.asp?symbol=A/68/98, Abruf: 15.04.2015. – A/68/98*
[119] UNIDIR: The Cyber Index – International Security Trends and Realities. (2013). http://www.unidir.org/files/publications/pdfs/c
yber-index-2013-en-463.pdf, Abruf: 09.03.2015. – UNIDIR/2013/3
[120] US Departement of State: Treaty Between the United States of America
and the Union of Soviet Socialist Republics on the Limitation of Anti-Ballistic
Missile Systems. http://www.state.gov/t/isn/trty/16332.htm, Abruf: 04.03.2015
[121] User:Addicted04: Datei:North Atlantic Treaty Organization (orthographic projection).svg. http://de.wikipedia.org/wiki/Datei:
North_Atlantic_Treaty_Organization_%28orthographic_projec
tion%29.svg, Abruf: 20.04.2015
[122] User:Lateiner:
File:United Nations Members.svg.
http://en
.wikipedia.org/wiki/File:United_Nations_Members.svg, Abruf:
20.04.2015
[123] User:Sven: File:OSCE members and partners.svg. http://en.w
ikipedia.org/wiki/File:OSCE_members_and_partners.svg, Abruf:
20.04.2015
Literatur
[124] Wikipedia: Europarat. http://de.wikipedia.org/wiki/Europarat,
Abruf: 20.04.2015
Seite 119
Glossar
Seite 121
Glossar
Begriff
Erklärung
AA
Auswärtiges Amt
BfA
Bundesamt für Verfassungsschutz
BKA
Bundeskriminalamt
BBK
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
BPol
Bundespolizei
ZKA
Zollkriminalamt
BDI
Bund der Industrie
BMI
Bundesministerium des Inneren
BMBF
Bundesministerium für Bildung und Forschung
BMWi
Bundesministerium für Wirtschaft und Energie
BMVg
Bundesministerium der Verteidigung
BND
Bundesnachrichtendienst
BSI
2 Bundesamt für Sicherheit in der Informationstechnik
BVerG
Bundesverfassungsgericht
CCDCOE
Cooperative Cyber Defence Centre of Excellence (CCDCOE)
Cyber-SR
Nationaler Cyber-Sicherheitsrat
GTAZ
Gemeinsames Terrorismusabwehrzentrum
LKA
Landeskriminalamt
LOC
Lines of code
NATO
North Atlantic Treaty Organization
NCAZ
Nationales Cyber-Abwehrzentrum
NPSI
Nationaler Plan zum Schutz der Informationsinfrastrukturen
RAF
Rote Armee Fraktion
OSCE
Organization for Security and Co-operation in Europe
Seite 122
Glossar
TKG
Telekommunikationsgesetz
VN
Vereinte Nationen (United Nations)
Glossar
Seite 123

Cyber-Security aus Sicht der Sicherheitspolitik

Transcription

Similar documents

52 VGT 2014 AvD Stellungnahmen

Diplomarbeit - Institut für Informatik

Systemnahe Programmierung [Sysprog] - IT

Bericht Innere Sicherheit 2008

Die eID-Funktion als Vertrauensanker

License Reconciliation Service

HerzLicH wiLLkommeN! - NachbarschaftsEtage Fabrik Osloer Straße

Amtsblatt Nr. 9

Social Hacking Revisited

ePub Institutional Repository

4. Mit Charakterstärke und Integrität übernommene Verantwortung im

Privacy-Initiativen des Europarats, Entwurf einer Cybercrime

Certified Fraud Manager

Die Sichere Stadt als interdisziplinäre Aufgabe

Market Report Retail Stuttgart 2015

GK 031 Zweiradhandel - GENO-Star

Journal of European Integration History, vol. 8 (2002), number 1

Das Positionspapier als PDF - CDU Bezirksverband Ostwestfalen

Hackerangriff auf TV5Monde: Ein Weckruf für

Die 360° NATO

Spam [Spam] - Lehrstuhl für Netz- und Datensicherheit

Regenbogen-Parade - LAMBDA