13 Hack back oder aktive Cyber-Abwehr einmal durchdacht

Hack backs, bzw. aktive Cyber-Abwehr werden in Deutschland seit
einer Weile als Mittel der Cyber-Sicherheitspolitik beworben.
Diese sollen irgendwie dabei helfen, die Cyber-Sicherheit zu
erhöhen wobei selten erklärt wird, wie genau das funktionieren
soll. Häufig wird auf rein taktische Aspekte, wie etwa das
„Zurückstehlen“ von Daten, oder das kurzzeitige Ausschalten von
Angriffs-Servern abgehoben. Was komplett fehlt ist eine
strategische Diskussion, was genau wir mit diesem Mittel
erreichen wollen und ob Hack backs überhaupt ein geeignetes
Mittel für diese Ziele sind. Sie eignen sich nämlich mal besser
mal schlechter für bestimmte sicherheitspolitische Ziele.
Komplett ignoriert wird auch der strategische Kontext sowie
Cyber-Konfliktdynamiken, die maßgeblich darüber bestimmten ob
Hack backs unsere Sicherheit erhöhen oder eher riskieren. Ein
Hack back gegen chinesische Nachrichtendienste hat eventuell
andere Implikationen als gegen russische Hacker, die weitaus
eskalationsbereiter sind und vermutlich ihrerseits wieder zurück
hacken. Schwups ist man in einer Eskalationsschleife gefangen und
wir haben keinerlei Plan, wie wir da wieder raus kommen wollen.
Andere Länder denken da drüber bereits drüber nach äußern
konkrete Bedenken über die Effektivität von Hack backs. Das hat
damit zu tun, dass westliche, industrialisierte Staaten bei
Eskalationsdynamiken viel zu verlieren haben. Sind wir bereit
eine Eskalation zu ertragen, wo doch genügend Infrastrukturen wie
Krankenhäuser in Deutschland notorisch unsicher sind? Wie sieht
das Ganze eigentlich rechtlich aus? Ab wann sind Hack backs vom
Völkerrecht gedeckt? Woher wissen wir eigentlich, dass ein Hack
back sein Ziel erreicht? Was für Ziele kann ein Hack back
erreichen? Wie hacken wir eigentlich zurück, sofern wir uns
entschließen das zu tun? Welche Ziele wählen wir aus? All diese
Fragen werfe ich in einem Vortrag auf, den ich vor kurzem in
Berlin gehalten habe. Die Folien findet ihr in den Shownotes.
Hoffentlich kommt die Diskussion damit etwas voran.
Shownotes

DefensiveCon 2020 in Berlin

Folien zum Vortrag auf Prezi

Hackerangriffe auf den Bundestag 2015

Seehofer wollte den digitalen Gegenangriff starten

Mueller Report

OP Glowing Symphony – How US military claims to have
disrupted ISIS ‘s propaganda

OPM Breach

Persistent Engagement, Agreed Competition and Deterrence in
Cyberspace

CIA pulled officers from Beijing after breach of federal
personnel records

WHAT A U.S. OPERATION IN RUSSIA SHOWS ABOUT THE LIMITS OF
COERCION IN CYBER SPACE

Why the US Explored “Cyber War” Against Libya, And Why It
Backed Down

The “Social Bot” Fairy Tale

Cyber Deterrence is Overrated

Walking in your enemy’s shadow: when fourth-party collection
becomes attribution hell

North Korea’s Ruling Elite Adapt Internet Behavior to Foreign
Scrutiny

A Global Cyber-Attribution Organization – Thinking it through

Russland will russische Apps zur Pflicht mache

Hinweise

Im Vortrag ist ein Versprecher: Statt Operation Odyssey Dawn
meinte ich Glowing Symphony. Siehe links. Danke an Honkhase und
ijon,


Kommentare und konstruktives Feedback bitte auf percepticon.de
oder via Twitter. Die Folge erscheint auf iTunes, Spotify,
PocketCast, Stitcher oder via RSS Feed.
Copyright

Modem Sound, Creative Commons.

Vint Cerf, „Internet shows up in December 1975“, in: IEEE
Computer Society, Computing Conversations: Vint Cerf on the
History of Packets, December 2012.

L0pht Heavy Industries testifying before the United States
Senate Committee on Governmental Affairs, Live feed from CSPAN,
May 19, 1998.

Barack Obama, Cybersecurity and Consumer Protection Summit
Address, 13 February 2015, Stanford University, Stanford, CA.

Michael Hayden, „We kill people based on meta-data,“ in: The
Johns Hopkins Foreign Affairs Symposium Presents: The Price of
Privacy: Re-Evaluating the NSA, April 2014.

Bruce Schneier, „Complexity is the enemy of security, in IEEE
Computer Society, Bruce Schneier: Building Cryptographic Systems,
March 2016.

Beats, Bass & Music created with Apple GarageBand