Zugriff im Netz – Die Cyber-Operation

Eine dünne Staubschicht bedeckt den Boden. Lange war niemand mehr in diesem Keller, in dem einige Server stehen. Bis auf das Surren ihrer Lüfter scheint es friedlich. Niemand, der diesen Keller betritt, mag ahnen, dass hier – im übertragenen Sinne – bald eine hochspezialisierte militärische Operation stattfinden wird.

Für die Angehörigen des Zentrum Cyber-Operationen (ZCOZentrum Cyber-Operationen) der Bundeswehr ist nicht der Keller selbst von Interesse. Was sie suchen, befindet sich nicht in der physischen Welt, denn sie operieren im Cyber- und Informationsraum. Für einen Zugriff brauchen sie keine räumliche Nähe zum Speicherort, also den Servern, in diesem fiktiven Übungsszenario.  Alles, was sie brauchen, ist eine Internetverbindung und sie sind drin.

So ein Eindringen in fremde Systeme, weithin als „Hacken“ bekannt, nennt sich in der Bundeswehr offensive Cyber-Operation. Allerdings mit wesentlichen Unterschieden: Cyber-Operationen sind keine kriminellen Taten, sondern ein wichtiges Werkzeug innerhalb der militärischen Operationsführung. Sie unterliegen damit strengen politisch-rechtlichen Regeln. Bevor also ein System angegriffen wird, bevor überhaupt daran gedacht wird, muss es eine rechtliche Grundlage und ein politisches Mandat geben. 

Phase 1 – Aufklärung und Vorbereitung

Teils monatelange Vorbereitung und Aufklärung sind der Beginn jeder Cyber-Operation. Zusammen mit anderen Behörden, militärischen Dienststellen, aber auch mit hauseigenen Fachleuten, wird hier aus einer nichttechnischen Forderung nach einem Effekt eine Handlungsmöglichkeit des ZCOZentrum Cyber-Operationen. Konkret heißt das: Die politische Forderung wird niemals ein Eindringen als Selbstzweck und ohne Rücksicht auf Konsequenzen sein, wie es Cyberkriminelle zumeist machen. Das ZCOZentrum Cyber-Operationen bekommt vielmehr den Auftrag, eine ganz bestimmte Information zu suchen oder einen Effekt in einer der anderen Dimensionen – Land, Luft, Weltraum oder See – auszulösen und damit einen Beitrag zur dimensionsübergreifenden Operationsführung zu leisten. Im eingangs erwähnten Szenario ist der gewünschte Effekt simpel: Die Kommunikation in einem feindlichen Stützpunkt zu unterbrechen, kurz bevor das Heer einen Angriff beginnt. 

Für die Aufklärung – noch vor dem konkreten, technischen Kontakt mit dem Zielsystem – gilt: je gründlicher und umfangreicher, desto besser. Auf welchem technischen Niveau bewegen sich Maßnahmen der Informationssicherheit im Zielland? Welche Wechselwirkungen mit der Zivilgesellschaft kann es bei einem Entdecken geben? Lassen sich Personenkreise identifizieren, die direkt mit dem Auftragsziel interagieren und können diese vorher beeinflusst werden? Welche Sprachen sprechen die Menschen, in welchen Sprachen wurde programmiert? Die Ziele: Die beste Schwachstelle für den Einstieg in das System zu finden und die Cyber-Operateure möglichst gut auf das vorzubereiten, was sie im System erwarten könnte. 

Phase 2 – Der Zugriff

Der Moment der Wahrheit: Ein schlecht gesicherter Zugang eines Mitarbeiters im Umfeld des Ziels wurde als Schwachstelle zum Einstieg ausgewählt. Vergleichbar mit Spezialkräften, die eine Tür öffnen, um zum Ziel zu gelangen, ist dieser Kontakt ein Moment größter Anspannung. Egal wie gut die Vorbereitung war, erst wenn sie die Türschwelle überquert haben, wenn sie im System sind und einen echten Blick auf das Netzwerk richten können, wissen sie wirklich, was auf der anderen Seite liegt. Während des Zugriffes und darüber hinaus sind die Rechtsberatung und eine enge politische Kontrolle immer mit dabei. Diese werden immer wieder an weiteren Entscheidungen beteiligt und haben jederzeit die Möglichkeit einzuschreiten.

Anders als andere Spezialkräfte, sind die Cyber-Operateure in keinem virtuellen Raum jemals allein. Sie werden sich gleichzeitig und möglichst unbemerkt mit ihren Feinden im System bewegen und müssen verhindern, den Einstieg zu verlieren. Das bedeutet, dass sie, einmal im System, möglichst schnell den Haupteinstieg sichern und von innen heraus weitere alternative Zugänge legen. Die erste Tür wird mit einem digitalen Türstopper versehen und eine zweite Tür unauffällig entsperrt, bevor es an die eigentliche Bewegung im System geht.

Phase 3 – Im System

Über den ungesicherten Mitarbeiterzugang auf einen Computer ist das Team ins System gelangt. Der erste Zugang wurde gesichert und an einer anderen Stelle, die von diesem Einstieg unabhängig ist, wurde ein weiterer Zugang gelegt. Jetzt arbeiten sie sich im übertragenen Sinne von „Raum zu Raum“. Der Drucker im Netzwerk ist schnell entdeckt und mit ihm eine vor Wochen ausgedruckte Liste an E-Mailadressen, die immer noch im Zwischenspeicher liegt. In Verbindung mit den Passwortnotizen auf einer angeschlossenen Netzwerkfestplatte eine Goldgrube, um andere Geräte im System zu entsperren. So gelangen sie in den von außerhalb des Systems noch gut gesicherten Router. Von hier aus eröffnen sich zahlreiche Möglichkeiten in alle Richtungen, zu anderen Geräten, Servern und virtuellen Maschinen, die über den Router angeschlossen sind. Die verschiedenen Spezialisierungen der Teammitglieder, die über das tiefe Wissen, das sie grundsätzlich in allen relevanten Bereichen haben, noch hinausgehen, sind für so ein Vorgehen unverzichtbar. Während eine Systemsperre in einem ungewöhnlichen Betriebssystem durch die Expertin für Betriebssysteme überwunden wird, schafft der Netzwerktechniker an anderer Stelle Zugänge und fertigt eine immer komplexere mehrdimensionale Karte aller Teile des Systems an.

Phase 4 – Die Wirkung

Während der Aufklärung des Zielsystems stößt das Team auf keine direkte Möglichkeit, seinen Auftrag – das Unterbrechen der Kommunikation in einem eng eingegrenzten Gebiet – zu erfüllen. Die Gegenseite hat ihnen nicht den Gefallen getan und einen Selbstzerstörungsmechanismus eingebaut. Sie müssen kreativ werden und eine Möglichkeit finden, mit den Dingen, die sie im System vorfinden, ihre Mission auszuführen. In diesem Fall? Ein nicht abgesicherter Schließmechanismus im Keller und eine Feuerlöschanlage hatten bei der Erfüllung des Auftrages eine nicht unerhebliche Rolle. 

Das oberste Gebot bei jeder offensiven Cyber-Operation: ungewünschte Begleiteffekte beim Auslösen des Effektes ausschließen. Nur das klar definierte Ziel, das der Verhältnismäßigkeit und den Einsatzregeln entspricht, darf erreicht werden. Weitere Nebeneffekte, die Konflikte unnötig verschärfen, Zivilbevölkerung beeinträchtigen oder unnötiges Leid verursachen, dürfen unter keinen Umständen passieren und werden von den Profis des ZCOZentrum Cyber-Operationen nicht akzeptiert.

Phase 5 – Der Rückbau

Nach erfolgtem Effekt bleiben die Operateure nicht im System. Im besten Fall verlassen sie das System wieder so unbemerkt, wie sie eingedrungen sind. Sie hinterlassen dabei keine Spuren und verschließen die Eingänge, die sie genutzt haben. Sich keine Hintertüren offen zu halten, gehört dabei zu ihren Prinzipien. Während der laufenden Operation geht es darum, nicht entdeckt zu werden, hinterher darum, sich nicht attribuieren zu lassen. Das bedeutet, dafür zu sorgen, dass Feinde nicht herausfinden können, von wem und wie der Angriff vorgenommen wurde. Das eingedrungene Team bleibt während der Operation unsichtbar und der Effekt, den es ausgelöst hat, wird nie eindeutig aufgeklärt werden. So können sie ähnliche Methoden nochmals verwenden und erneut operieren, immer dort, wo sie im Rahmen der Landes- und Bündnisverteidigung oder während eines mandatierten Einsatzes der Bundeswehr gebraucht werden. Getreu ihrem Motto: „Keiner hört uns, keiner sieht uns, keiner kennt uns.“

von Kjell Tandetzke  E-Mail schreiben