Welche Implikationen Cybersicherheit und die Attribution von Angriffen für die innere und äußere Sicherheit haben, hat im letzten Jahr eine Cyberkampagne gegen Albanien gezeigt. Diese legte im Juli zahlreiche staatliche Server im Land lahm und war so schwerwiegend, dass Premierminister Edi Rama laut eigener Aussage sogar in Erwägung zog, Artikel 5 im NATO-Vertrag anzuwenden und den Bündnisfall auszulösen. Sowohl die Regierung als auch verbündete Staaten sind überzeugt, dass iranische Akteure dahintersteckten. Als Reaktion auf den Vorfall brach Albanien die diplomatischen Beziehungen zu Iran ab. Eine drastische politische Maßnahme, die durch die Attribution des Vorfalls legitimiert war.
Die sogenannte Attribution umfasst die technische Zuordnung und politische Zuschreibung einer Cyberoperation zu einem Bedrohungsakteur und ist essenziell für die Legitimation von politischen Reaktionen, wie etwa Sanktionen, aber auch strafrechtliche Konsequenzen in Form von Haftbefehlen oder Anklagen. Langfristig ermöglicht die politische Zuschreibung von Operationen zudem die Normenbildung. Doch auch kurzfristig erhöht das Teilen von Informationen mit Akteuren der Gesellschaft und Wirtschaft die Awareness für Cybergefahren und hat somit signifikante positive Effekte auf die Cybersicherheit. Zudem ist eine Attributionsstrategie von Bedeutung, um behördliche Interessenskonflikte zwischen Nachrichtendienten, Ermittlungs- und Sicherheitsbehörden zu moderieren, einen funktionierenden Austausch mit Gesellschaft und Wirtschaft zu etablieren und Ressourcen effektiv zu nutzen.
Auch Deutschland wurde wiederholt Opfer von Cyberoperationen. Kriminelle bedrohen regelmäßig die kritische Infrastruktur,der Schaden für die deutsche Wirtschaft beträgt im Jahr über 200 Milliarden Euro. Dass die Bundesregierung sich des hohen Stellenwertes dieser Thematik bewusst ist, zeigt die Tatsache, dass die kürzlich veröffentlichte Nationale Sicherheitsstrategie „Integrierte Sicherheit für Deutschland“ (im Folgenden NSS) feststellt, dass angesichts der Bedeutung des digitalen Raums „Cybersicherheit ein essenzieller Teil von integrierter Sicherheit“ sei. (S. 59) Weiterhin heißt es dort:
„Deutschland wird regelwidriges und aggressives Verhalten von Cyberakteuren nicht hinnehmen. Wo immer möglich wird die Bundesregierung die Urheber von Cyberangriffen ermitteln und durch Attribuierung auf nationaler Basis, gemeinsam mit EU-Partnern, unseren Verbündeten in der NATO oder anderen betroffenen Staaten benennen und mittels Sanktionen gezielt gegen sie vorgehen“ (NSS, S.60)
Dennoch ist die deutsche Attributionsstrategie weiter klassifiziert und bezieht zentrale Akteure nicht ein. Denn nicht-staatliche Akteure, wie Universitäten, Krankenhäuser oder Unternehmen, die zentral im Fokus von Hackern stehen, werden aktuell in der Struktur und den Prozessen der Attribution nicht ausreichend berücksichtigt. Dass aus nachrichtendienstlichen Abwägungen die Strategie nicht vollumfänglich veröffentlich werden kann, ist hierbei nachvollziehbar – dennoch zeigt die EU mit der Publikation von Kriterien für die Klassifizierung von Cybervorfällen und Reaktionsoptionen, dass mehr Transparenz möglich und nötig ist.
Zuständigkeit für Attribution
Die „Attribution (Zuordnung) [von Cyberangriffen] zu einem Staat, einer APT-Gruppierung oder die Benennung beteiligter Personen an einem konkreten Cyberangriff“ liegt in Deutschland in der Zuständigkeit der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV). Der Verfassungsschutz ist damit in der Cyberabwehr jener Akteur, der für die Zuordnung von gegen Deutschland gerichteten Aktivitäten zuständig ist, wobei im Kontext von Cyberkampagnen mit kriminellem Hintergrund („Cybercrime“) die Polizeibehörden verantwortlich sind. Im 2021 festgelegten, jedoch klassifizierten nationalen Attribuierungsverfahren koordiniert das Auswärtige Amt unter Beteiligung aller relevanten Fachressorts die Zuschreibung der Verantwortung für „erhebliche Cyberattacken internationalen Ursprungs.“ Während das Auswärtige Amt seine Zuständigkeit für die Bereiche Cyber-Außenpolitik und Cyber-Sicherheitspolitik kommuniziert, finden sich keine Informationen über das 2021 festgelegte Attribuierungsverfahren – weder in der 2021 erlassenen Cybersicherheitsstrategie noch in der 2022 veröffentlichen Cybersicherheitsagenda des Innenministeriums (BMI).
Das Nationale Cyber-Abwehrzentrum (Cyber-AZ) bietet eine Plattform für den Informationsaustausch der zentralen Behörden für Cybersicherheit. Hier können sich die Nachrichtendienste mit Sicherheitsbehörden wie Polizeibehörden, Bundeswehr oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) austauschen, etwa zu technischen Indikatoren und Ermittlungsergebnissen, was eine Zuordnung von Vorfällen ermöglicht. Die Zuständigkeit für die politische Zuschreibung eines Cybervorfalls ist jedoch abhängig von dessen Einordnung und nur im Fall von „erheblichen Cyberattacken internationalen Ursprungs“ durch das Auswärtige Amt geregelt, welches allerdings nicht im Cyber-AZ vertreten ist. Eine zentrale Koordinationsstelle, die technische Erkenntnisse und politische Verantwortlichkeiten vereint, existiert nicht. Somit findet keine umfassende und transparente Kommunikation über Attributionserkenntnisse statt, die Deutschlands Sicherheitsbehörden vorliegen, obwohl diese für die Verbesserung der allgemeinen Resilienz gegen Cyberbedrohungen wichtig wäre.
Herausforderungen
Die Geografie des Cyberraums zwischen innerer und äußerer Sicherheit
Die Eigenschaften des Cyberraums stellen eine erhebliche Herausforderung für Attributionsbemühungen dar, welche häufig im Nexus von innerer und äußerer Sicherheit sowie krimineller und nicht-krimineller Intention stattfinden. Die in der traditionellen Sicherheitspolitik etablierte Aufgabenteilung in innere und äußere Sicherheit ist im Cyberraum nicht angemessen: Akteure, Infrastruktur und Kampagnen sind transnational aktiv – Zuständigkeiten lassen sich nicht an Landesgrenzen festmachen. Landesverteidigung spielt in der traditionellen Sicherheitsarchitektur eine wesentliche Rolle, ist im Cyberraum aber nicht wirksam möglich. Und so ist die Aufgabe der für die Landesverteidigung maßgeblich zuständigen Bundeswehr im Cyberraum neben den vagen Konzepten von Aufklärung und Wirkung auch in erster Linie die Verteidigung der eigenen Systeme.
Ohne ein koordiniertes Attributierungsvorgehen kann Deutschland nur wenig eigene Akzente setzen
Der Mangel an Koordination ist hierbei besonders herausfordernd. Eine zentrale Koordinationsstelle für Cybervorfälle aller Art fehlt und der Mangel einer transparenten Strategie führt dazu, dass Vorfälle sehr verzögert attribuiert und in der öffentlichen Zuschreibung nicht selten weitere Erkenntnisse aus dem Privatsektor ignoriert werden. Da Cybersicherheit auf zeitnahen Austausch relevanter Informationen angewiesen ist, steht die bisherige Zuschreibungstaktik als zentraler Aspekt für die Cybersicherheit Deutschlands mit den zeitlichen Anforderungen an letztere im Widerspruch. Auch international führt das bisherige Vorgehen zu eingeschränkten Handlungsmöglichkeiten: Ohne ein koordiniertes Attributierungsvorgehen kann Deutschland nur wenig eigene Akzente setzen, beispielsweise in der Entwicklung internationaler Normen.
Interessenskonflikte und ihre Folgen für Deutschlands Cybersicherheit
Die Behörden, die für die Cybersicherheit Deutschlands zuständig sind, verfolgen unterschiedliche Interessen. Diese stehen vor allem im Kontext der Attribution mitunter im Widerspruch zueinander. So wenden Strafverfolgungsbehörden strafrechtliche Konsequenzen an, während diplomatische Akteure politische Reaktionen priorisieren, wobei die legitime Grundlage in beiden Fällen in einer Zuschreibung mit hohem Konfidenzniveau liegt. Hierfür ist eine detaillierte Analyse des Cyberangriffs erforderlich, was bei öffentlicher Zuschreibung den Zugang zu Informationsquellen einschränken kann. Für nachrichtendienstliche Akteure kann eine zu detaillierte Veröffentlichung eine Gefahr für Informationsbeschaffung darstellen und zukünftige Erkenntnisgewinnung und Ermittlungen erschweren. Aus sicherheitstechnischen Gründen sind öffentliche Warnungen und präzise Zuschreibungen von Kampagnen aufgrund detaillierter Analysen wiederum wünschenswert, da so Gefahren besser identifiziert werden können und ein verbessertes Bewusstsein resilienzfördernd wirkt. An vielen Stellen führt der Attributionsprozess selbst somit zu inter-behördlichen Konflikten.
Die Behörden, die für die Cybersicherheit Deutschlands zuständig sind, verfolgen unterschiedliche Interessen
Die Abwägung, welche Informationen wann, in welchem Umfang und zu welchem Zweck veröffentlicht werden können und sollen, stellt demnach eine große Herausforderung an die deutsche Attributionsstrategie dar. Das Fehlen einer zentralen Stelle, die Informationen und Interessen der beteiligten Akteure koordiniert, verschärft diese Herausforderung signifikant. All dies führt zu einer Fragmentierung der Entscheidungsprozesse, da die Zuständigkeit für Attribution abhängig davon ist, ob ein Vorfall, schwerwiegend, internationalen Ursprungs oder kriminell motiviert ist.
Die mangelnde Einbeziehung von Wirtschaft und Gesellschaft
Attribution ist kein Privileg, das allein Staaten zur Verfügung steht – jede Organisation und Privatperson kann Informationen zu Vorfällen veröffentlichen und attribuieren. Während Cybersicherheitsfirmen und Forscher:innen Kampagnen aufgrund technischer Indikatoren häufig zuschreiben, attribuieren staatliche Seiten vergleichsweise selten. Insbesondere Deutschland hat dabei in der Vergangenheit mehrfach Erkenntnisse der Privatwirtschaft ignoriert, was für zusätzliche Unsicherheit und Verwirrung sorgt – insbesondere, wenn gängige Hypothesen aus der Cybersicherheitsindustrie überworfen werden ohne Nennung von Details oder Bereitstellung von weiteren Informationen.
Doch auch für den Staat haben Unklarheiten und Unsicherheiten in Gesellschaft und Wirtschaft reale Konsequenzen: Denn ohne eine klare Strategie besteht für nicht-staatliche Akteure keine Klarheit darüber, welche Informationen Behörden für Attributionsprozesse benötigen – und berücksichtigen. Nicht-staatliche Akteure geben Informationen daher eher wenig effizient und effektiv an zuständige staatliche Stellen weiter – auch deshalb, weil sie im Zuge der Meldung von Vorfällen Strafen für nachlässige Datenschutz- oder Sicherheitspraktiken sowie Reputationsschäden befürchten. Gleichzeitig können öffentliche Zuschreibungen von nicht-staatlichen Akteuren eine Gefahr für Ermittlungen oder nachrichtendienstlichen Operationen darstellen, da sie gegebenenfalls Bedrohungsakteure vorzeitig warnen und den Zugang zu Informationsquellen beeinflussen.
Handlungsempfehlungen
Die Leitlinien der Nationalen Sicherheitsstrategie zum „Schutz vor Bedrohungen aus dem Cyberraum“ zeigen, dass die Bundesregierung sich der Gefahr von Cyberangriffen und nötiger Gegenmaßnahmen bewusst ist. Auch scheint den politischen Verantwortlichen klar, dass „Cybersicherheit eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft“ (S.59) ist. Doch damit die Abwehr von Angriffen auch gelingt, bedarf es eines gezielteren Vorgehens.
- Attributionsstrategie transparent kommunizieren
- Die Bundesregierung muss klar kommunizieren, nach welchen Kriterien und mit welchem Konfidenzniveau sie Cyberkampagnen attribuiert, und welchen Effekt sie sich davon erhofft. Wichtig ist hierbei die Abstimmung mit Partnern und Verbündeten sowie die Berücksichtigung von Ermittlungs- und nachrichtendienstlichen Prozessen.
- Gleichzeitig muss die Attributionsstrategie den Informationsaustausch zwischen Behörden, Wirtschaft und Gesellschaft fördern, um Lagebilder zu erstellen und das Problembewusstsein zu verbessern. Wichtig für einen langfristig erfolgreichen Austausch ist der Einbezug nicht-staatlicher Akteure in den Entscheidungsprozess sowie das Berücksichtigen wirtschaftlicher und bürgerrechtlicher Bedenken.
- Eine zentrale Stelle für Attribution einrichten
- Um den Informationsaustausch der verschiedenen Behörden besser zu koordinieren und Interessenskonflikte zu moderieren, sollte die Bundesregierung eine zentrale Stelle für Attribution einrichten, die sowohl die Interessen staatlicher als auch nicht-staatlicher Akteure umfasst.
- Das Cyber-Abwehrzentrum würde sich hier besonders als Forum für die technische Zuordnung eignen. Der unabhängige Nationale Cyber-Sicherheitsrat, dem alle Ministerien und ausgewählte Wirtschaftsverbände als strategische Ratgeber der Bundesregierung angehören, wäre gut geeignet, auf Basis dieser technischen Zuordnung die öffentliche Zuschreibung von Kampagnen vorzunehmen und dabei Interessenkonflikte zu moderieren.
- Informationen und Erkenntnisse nicht-staatlicher Akteuren müssen zudem besser in der Attribution berücksichtigt werden, indem das BSI zum zentralen Ansprechpartner ausgebaut und durch eine klare Kommunikation bessere Anreize zum Informationsaustausch geschaffen werden.