Auf unsichtbarer Mission: Wie offensive Cyberoperationen ablaufen

Eine dünne Staubschicht bedeckt den Boden des Serverraums. Bis auf das Surren der Lüfter scheint es friedlich. Niemand, der den Raum betritt, ahnt, dass hier gerade eine hoch spezialisierte militärische Operation stattfindet. Das Eindringen in fremde Systeme, weithin als „Hacken“ bekannt, nennt sich in der Bundeswehr Offensive Cyberoperation.

Zuständig für die offensiven Cyberoperationen sind die Angehörigen des Zentrums Cyber-Operationen (ZCOZentrum Cyber-Operationen). Was sie bei ihren Missionen suchen, befindet sich nicht in der physischen Welt, denn sie operieren im Cyber- und Informationsraum. Für einen Zugriff müssen sie nicht in räumlicher Nähe zu den Servern sein. Alles, was sie benötigen, ist eine Internetverbindung zum Ziel.

Bei diesen angewiesenen Cyberoperationen handelt es sich nicht um Straftaten, sondern um ein wichtiges Werkzeug innerhalb der militärischen Gesamtoperation. Bevor also einer der Server angegriffen werden darf, muss es dafür ein politisches Mandat geben. Grundlage ist immer ein konkreter Auftrag auf Basis der Operationsplanung.

Phase 1 – Vorbereitung und Aufklärung

Cyberoperationen müssen gründlich vorbereitet werden, da die Ressourcen dafür nur begrenzt verfügbar sind und sie aufgrund ihrer Komplexität in der Vorbereitung oft sehr lange dauern können. Erster Schritt ist die Erstellung eines Missionsplans. Darin ist beschrieben, mit welchen Mitteln ein Team im ZCOZentrum Cyber-Operationen die gestellten Anforderungen erreichen kann.

Die technische Aufklärung beginnt dann mit der Identifikation möglicher Computernetzwerke, die für den Erfolg der Cyberoperation am erfolgversprechendsten sind. Das Ziel wird umfangreich untersucht, um Schwachstellen für einen ersten Zugriff in das Computernetzwerk des Gegners zu identifizieren.

Phase 2 – Der Zugriff

Vergleichbar mit Spezialkräften, die eine Tür aufbrechen, um zum Ziel zu gelangen, ist der erste Zugriff ein Moment größter Anspannung, da noch keiner im Team genau abschätzen kann, was die Operateure im Netzwerk dahinter erwartet. In der Durchführung von Cyberoperationen gilt das Vier-Augen-Prinzip. Keiner der Operateure agiert allein. In entscheidenden Phasen ist die Teamleitung persönlich anwesend. Für Rückfragen zur Vorgehensweise sind immer spezialisierte Rechtsberater und Rechtsberaterinnen erreichbar oder direkt vor Ort zugegen. Im virtuellen Raum muss jeder davon ausgehen, dass er nicht unbemerkt bleibt. Das operierende Team muss sich daher möglichst verdeckt neben dem Gegner im System bewegen.

Phase 3 – Im System

Sobald das Team im System ist, arbeitet es sich im übertragenen Sinne von „Raum zu Raum“. Die dabei gefundenen Informationen werden in einem technischen Lagebild dokumentiert. Die Kenntnisse über das gegnerische Computernetzwerk werden dabei immer umfangreicher und präziser. Beispielsweise werden auf dem Zwischenspeicher eines Druckers Nutzernamen gefunden und auf einer ungesicherten Datenablage Passwortlisten entdeckt, die durch weitere Analysen den Nutzernamen zugeordnet werden können. Mit diesen Zugangsdaten bewegt sich das Team dann „lautlos“ durch weite Bereiche des Netzwerks und sammelt Daten und Informationen.

Die unterschiedlichen Spezialisierungen der Teammitglieder sind für so ein Vorgehen unverzichtbar. Eine Cyberoperation kann nur in einem Team erfolgreich durchgeführt werden. Umso wichtiger ist es, dass das eingesetzte Personal unabhängig vom Dienstgradgefüge funktioniert und jeder dem anderen vertraut.

Phase 4 – Die Wirkung

Wirkung im Cyberraum hat oft den großen Vorteil, dass die Begleitschäden gering gehalten werden können. Es werden in der Regel Daten und in der Folge die auf Informationen basierenden Prozesse des Gegners so beeinträchtigt, dass dieser zunehmend Probleme in seiner eigenen Führungsfähigkeit hat.

Die Wirkung im Zielsystem wird auf Basis der erreichten Zugriffsmöglichkeiten so ausgeplant, dass auch bei Gegenmaßnahmen durch den Gegner die Wirkung für ein bestimmtes Zeitfenster aktiv gehalten werden kann. Beispiele dafür sind:

• Daten des Gegners werden verschlüsselt. Dafür wird der Zugriff des gegnerischen Personals auf Backups verhindert und die Datenwiederherstellung so unterbunden.
• Ein gegnerischer Webauftritt wird manipuliert. Dafür werden die Zugangsdaten auf den Webservern des Gegners verändert, damit keine Korrekturen durchgeführt werden können.

Um auf Gegenmaßnahmen vorbereitet zu sein, werden immer mehrere sich ergänzende Maßnahmen vorbereitet, etwa das Ändern von Zugangsdaten und die Verschlüsselung von Dateninhalten. Teilweise werden neu eingebrachte Inhalte aber auch dazu genutzt, um das Handeln des Gegners infrage zu stellen. Bilder und Texte sollen den Gegner dazu bringen, sein Verhalten zu ändern. Er verliert das Vertrauen in die eigene ITInformationstechnik.

Auch wenn es die gegnerischen Fachkräfte schaffen, die Funktionsfähigkeit der ITInformationstechnik-Systeme wiederherzustellen, werden nicht selten zahlreiche Manipulationen der Operateure übersehen. Diese Fragmente dienen in der Folge dazu, die ITInformationstechnik-Systeme im Rahmen der Aufklärung weiter überwachen zu können, um beispielsweise auf zukünftige Absichten Rückschlüsse ziehen zu können.

Phase 5 – Der Abschluss

Ist ein Konflikt beendet, werden die erfolgten Maßnahmen in der Regel „zurückgebaut“. Spätere Rückschlüsse des Gegners auf den Urheber des Angriffs werden dadurch vermieden. Allerdings können auch Teile der Vorbereitungen im gegnerischen Netz verbleiben, um im erneuten Eskalationsfall zeitliche Vorteile für eine weitere Cyberoperation gegen den gleichen Gegner zu haben. In jedem Fall operieren die Kräfte für Cyberoperationen nach dem Motto: „Keiner hört uns, keiner sieht uns, keiner kennt uns.“

von Presse- und Informationszentrum CIR   E-Mail schreiben