Mit ungewöhnlich deutlichen Worten hat eine Sprecherin des Auswärtigen Amtes am 6. September 2021 die Cyberkampagne namens „Ghostwriter“, die im Vorfeld der Bundestagswahl auf Bundestags- und Landtagsabgeordnete verübt worden war, Cyberakteuren des russischen Staates zugeordnet. Anhand von sogenannten Phishing-E-Mails sollen die Angreifer versucht haben, an persönliche Daten der Betroffenen zu gelangen. Nur drei Tage nach der Attribution, am 9. September, hat der Generalbundesanwalt Ermittlungen aufgenommen. Die russische Regierung hat indes jegliche Beteiligung an den Ghostwriter-Operationen zurückgewiesen.
Die Zuordnung einer Cyberoperation ist komplex und benötigt technische Kapazitäten sowie politisches Feingefühl. Eine Cyberoperation kann man einem Computer, einer Person, die die Tastatur bedient, oder einem übergestellten Akteur, der für die Operation verantwortlich ist, zuordnen. Diese Zuordnung kann eine Regierung für sich behalten, mit etwaigen Verbündeten teilen oder auch mit den Urhebern sowie der Öffentlichkeit. Ob und wie diese Attribution Verbündeten, Angreifern oder der Öffentlichkeit vermittelt wird, bleibt letztlich eine politische und strategische Entscheidung.
Deutschland muss in seinen Attributionen transparenter werden
Der Prozess der Attribution wird in Deutschland, so wie in vielen anderen Staaten, von der Terminologie der Nachrichtendienste dominiert. Die Urheberschaft einer Cyberoperation erfolgt mit Hinweis auf ein bestimmtes Konfidenzniveau. So heißt es beispielsweise, man gehe „mit an sicher grenzender Wahrscheinlichkeit davon aus“, dass ein gewisser Akteur hinter einer Cyberoperation stecke. Im Fall Ghostwriter formulierte die Sprecherin des Auswärtigen Amtes, Andrea Sasse, es folgendermaßen:
„Der Bundesregierung liegen verlässliche Erkenntnisse vor, aufgrund derer die Ghostwriter“-Aktivitäten Cyberakteuren des russischen Staates und konkret dem russischen Militärgeheimdienst GRU zugeordnet werden können.“
Das Konfidenzniveau war gemäß dem Ausdruck „verlässliche Erkenntnisse“ hoch. Das Auswärtige Amt erklärt in dieser öffentlichen Stellungnahme jedoch nicht, wie es zu dieser Schlussfolgerung kam oder was konkret unter „verlässlichen Erkenntnissen“ zu verstehen ist. Kürzlich hat die US-amerikanische Cybersicherheitsfirma Mandiant einen Bericht veröffentlicht, der die Urheberschaft im Ghostwriter-Vorfall teilweise auch Weißrussland zuschreibt. Warum diese Information jedoch nicht auch in der offiziellen Mitteilung des Außenministeriums erscheint, ist anhand der formulierten Attribution schwer nachvollziehbar.
Um den Attributionsprozess von Cyberoperationen transparenter zu machen, sollte sich Deutschland an einem Dokument des Direktors der Nationalen Nachrichtendienste der USA orientieren. Dieses erklärt, wie die USA zu ihren jeweiligen Schlussfolgerungen kommen. Zwecks Ermittlung der Urheberschaft einer Cyberoperation verwenden die US-Geheimdienste fünf Kategorien.
Die erste Kategorie zur Recherche der Urheberschaft ist die Spionagepraxis des Angreifers. So kann ein gewisses Verhalten, das wiederholt bei Cyberangriffen oder -spionage verwendet wird, auf die Urheberschaft hindeuten. Zweitens spielen die eingesetzten physischen und/oder virtuellen Kommunikationsstrukturen bei der Durchführung einer Cyberoperation eine wichtige Rolle. Drittens kann auch Schadsoftware, die entwickelt wurde, um nicht autorisierte Funktionen auf einem kompromittierten Computersystem zu ermöglichen, die Urheberschaft einer Operation beleuchten. Viertens könnte, da Aktionen immer wieder im Rahmen von Regionalkonflikten erfolgen, der geopolitische Kontext bei der Attribution helfen. Fünftens stützen die US-Geheimdienste ihre Attributionen auch auf externe Informationsquellen wie die Privatwirtschaft, den akademischen Bereich sowie Medien oder Think Thanks.
Des Weiteren definiert das Dokument auch das Konfidenzniveau einer Attribution. So wird detailliert erläutert, was genau unter „an sicher grenzender Wahrscheinlichkeit“ zu verstehen ist, nämlich: Analysten haben alle Beweise sowie den Kontext beurteilt und sind zu der Schlussfolgerung gelangt, dass es keine vernünftige alternative Erklärung gibt, die in Betracht gezogen werden kann. Ein Beispiel dafür könnte vorliegen, wenn die Behörden Informationen dazu haben, wie sich Angreifer explizit über die Art und Weise, mit der sie eine Operation durchgeführt haben, austauschen. Ebenso enthält das Dokument die Definitionen eines „gemäßigten“ sowie „niedrigen“ Konfidenzniveaus.
Warum mehr Transparenz (nicht nur) Deutschland nützen würde
Die Offenlegung des Entscheidungsfindungsprozesses hätte den Vorteil, den Attributionsprozess demokratischer zu gestalten und damit auch das Vertrauen in Deutschlands Attributionspolitik zu stärken. Die Nachvollziehbarkeit einer solchen Zuordnung ist zudem insbesondere dann wichtig, wenn diese zu Sanktionen führt und folglich auch eine Legitimation erforderlich wäre. Gleichzeitig würde mehr Transparenz nachrichtendienstliche Operationen nicht gefährden, da zwar Erklärungen für Entscheidungen publik gemacht werden würden, aber nicht die Details zu den technischen Fertigkeiten der Angreifer.
Hat Deutschland darüber hinaus einmal Normen für sich selbst aufgestellt, könnte dies zur internationalen Normenbildung beitragen. Sobald die Kategorien und das Konfidenzniveau einer Attribution definiert sind, könnten sich weitere Staaten veranlasst sehen, dem Beispiel folgen. Das Ergebnis wäre der Beginn einer globalen Normenbildung im Bereich der Cyberattributionspolitik.
Internationale Standardsetzung
Deutschland sollte jedoch nicht darauf warten, dass andere Staaten nachziehen. Nachdem es Attributionsnormen für sich definiert hat, kann es mit Klarheit für diese Normen international werben und Gemeinsamkeiten mit anderen Staaten erörtern. Der Prozess der internationalen Normenfindung sollte über zwei Prozesse verlaufen: internationale Koalitionen und Cyber Capacity Building. Diese zwei Prozesse könnten in Zukunft zur Bildung einer Attributionsorganisation beitragen.
Internationale Koalitionen
Ähnlich wie die von den USA initiierte Ransomware Coalition könnte Deutschland eine „Cyber Attribution Coalition“ bilden. Dies wäre ein Forum, in dem sich gleichgesinnte Staaten regelmäßig treffen, um gemeinsame Normen in der Attributionspolitik zu definieren.
In der Gruppe sollte diskutiert werden:
- wie schwerwiegend eine Operation sein sollte, um eine öffentliche Attribution einzuleiten
- wie Konfidenzniveaus definiert werden sollten
- wie Cyberoperationen benannt werden sollten, um somit eine gemeinsame Nomenklatur zu schaffen
- welche Kategorien an Beweisen in Betracht gezogen werden und
- wie diese Beweise gewichtet werden
Die Koalition könnte in einem ersten Schritt aus gleichgesinnten Bündnissen wie der EU, NATO, den Five Eyes Staaten sowie Japan und Südkorea bestehen. Gleichzeitig sollte die Gruppierung auch weiteren interessierten Staaten offenstehen.
Capacity Building
Deutschlands Koalitionsbildung sollte mit existierenden bilateralen Cyber Capacity Building Programmen integriert werden. In diesen Programmen sollten mit Staaten Best Practices in der Zuordnung von Cyberoperationen geteilt werden. Jene Staaten mit schwächeren Kapazitäten könnten auch Teil der Koalition werden, wobei in diesen Staaten gleichzeitig aber Kapazitäten aufgebaut würden.
Eine Organisation für Cyberattributionen
Die oben angeführte Strategie der nationalen und internationalen Normbildung in der Attributionspolitik sollte als komplementär zu Plänen für permanente Cyberattributionsstrukturen betrachtet werden. Konzepte für solche Strukturen wurden bereits vor Jahren unter anderem von Microsoft, dem Atlantic Council sowie der RAND Corporation und der ICT4Peace Foundation vorgeschlagen, jedoch bislang noch nicht umgesetzt, da Staaten Cyberattribution als eine Domäne der nationalen Souveränität und Sicherheit betrachten. Diese Pläne sollten mittelfristig verfolgt werden. Kurzfristig umsetzbar ist für die Bundesregierung die zuvor ausgeführte Strategie, die sowohl Deutschlands Umgang mit Cyberoperationen als auch seine Rolle als internationaler Standardsetzer in der Attribution von Cyberaktivitäten stärken würde.