Sollten schädliche Codes als militärische Waffe eingesetzt werden? Das ist keine hypothetische Grübelei, sondern eine Frage, mit der sich Militärs und Diplomaten seit einiger Zeit ernsthaft auseinandersetzen. Seit Edward Snowdens Enthüllungen wissen wir, dass die NSA schon seit mehreren Jahren Netzwerkangriffe einsetzt, um Informationen abzugreifen.

Ich gehe mal davon aus, dass es allgemein bekannt ist, dass es im Militär der Vereinigten Staaten einige Leute gibt, die Malware gern in ihr Waffenarsenal integrieren würden. Und ich bin mir sicher, dass das genauso für andere Länder gilt. Hierbei ist der Reiz, digitale Systeme infiltrieren und stören zu können, ohne ein sichtbares Risiko für die eigenen Truppen einzugehen, mit Sicherheit sehr groß. Befragt man aber die Leute, die sich alltäglich mit der Abwehr von Malware-Angriffen auseinandersetzen, bekommt man einige Gründe zu hören, weshalb die militärische Nutzung von Schadcodes durchaus riskant ist.

Natürlich – und glücklicherweise – gibt es auch Leute beim Militär, die dies verstehen. Um sie zu unterstützen und die Diskussion über Malware im Kontext von Cyberkämpfen voranzutreiben, haben Andrew Lee, CEO von ESET Nord Amerika, und ich zusammen einen Artikel zu diesem Thema verfasst: Malware is Called Malicious for a Reason: The Risks of Weaponizing Code (PDF).

cycon-book-243x300

Der Artikel wurde vor kurzem in den 6th International Conference on Cyber Conflict (CyCon) Proceedings (herausgegeben von P. Brangetto, M. Maybaum und J. Stinissen) veröffentlicht. Der gesamte Bericht der diesjährigen Konferenz sowie Berichte von vorherigen Konferenzen werden bald im Internet verfügbar sein. Am Thema Interessierten kann ich die Lektüre wärmstens empfehlen.

Ich hatte die Ehre, den Artikel bei der diesjährigen CyCon Konferenz in Estland persönlich präsentieren zu dürfen. Die Konferenz wird organisiert vom NAT Coorperative Cyber Defense Centre of Excellence (CCDCoE).

Das CCDCoE ist auch verantwortlich für das Projekt, im Zuge dessen The Tallinn Manual on the International Law Applicable to Cyber Warfareerstellt wurde. Bereits das Inhaltverzeichnis und die Liste der beteiligten Experten lassen die Ernsthaftigkeit erkennen, mit der das Thema bearbeitet wurde. Die Auseinandersetzungen beinhalten rechtliche, ethische, technische, strategische, ökonomische, militärische und diplomatische Perspektiven.

Das menschliche Netzwerk, das bei der CyCon entstand, gab mir die Möglichkeit, meine Bedenken bezüglich eines Defizits im Risikobewusstsein zu überprüfen. Oftmals liegt der Fokus der Diskussion allein auf der Rechtfertigung der Nutzung schädlicher Codes. Dabei wird auf die „rechtschaffende“ Absicht verwiesen. Wie wir in unserem Artikel argumentieren, gehen mit der Nutzung von Schadcodes aber auch Risiken einher: Die Konsequenzen können nicht vorausgesagt werden und es besteht die Möglichkeit, dass man die Kontrolle über den Code verliert. Cyberkriminelle lassen sich nicht so schnell von damit verbundenen moralischen Dilemmata beeindrucken und abschrecken. Die Kollateralschäden sind ihnen egal. Wenn sich aber staatliche Organisationen an einer solchen Strategie versuchen, sollten sie sich über die Probleme bezüglich des Umfangs, der Zielobjekte, der Kontrolle, des Rückschlags und der eventuellen „Bewaffnung des Feindes“ bewusst sein.

In unserem Artikel untersuchen wir Open-Source-Literatur zu diesem Thema und überprüfen die Argumente für und gegen die Nutzung von „schädlichen“ Codes für „rechtschaffende“ Absichten. Für dieses Phänomen haben wir den Ausdruck „rechtschaffende Malware“ eingeführt. Vesselin Bontchey hat bereits in seinem 1994 erschienenen EICAR-Artikel die Einsprüche der Antiviren-Community analysiert (Are ‘Good’ Computer Viruses Still a Bad Idea?). Interessant ist, dass die Argumente nicht nur noch immer gültig sind, sondern zum Teil sogar prophezeienden Charakter haben.

Wir hoffen, dass unser Artikel dazu beiträgt, die Leute zu informieren und die Debatte rund um die Nutzung von Schadcodes im Cyberkampf anzuregen. Wenn Sie möchten, können Sie sich die Folien meiner Präsentation des Artikels herunterladen (auch verfügbar auf slideShare). Zusätzlich lege ich Ihnen Andrew Lees Virus Bulletin Artikel aus dem Jahre 2012 ans Herz: Cyberwar: Reality, Or a of Weapon of Mass Distraction?

(Ich bedanke mich bei allen, die mir Input für diesen Artikel geliefert haben: Lysa Myers, David Harley, Aryeh Goretsky, Cameron Camp und Righard Zwienenberg.)