#20: Wenn Bits und Bytes zur Waffe werden

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT -Secure Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Heute spreche ich mit der Cyberkonflikt -Forscherin Dr. Kerstin Zettl-Schabath von der Universität Heidelberg. Ich freue mich sehr, dass sie als Expertin für die politische Dimension von Cyberattacken hier zu Gast ist. Wir haben uns kennengelernt im Rahmen der BKA C3 -Konferenz im Mai 2024 und hatten da schon hitzige Diskussionen zum Thema, warum Cyberkriege gerade so präsent sind und ob sie tatsächlich das sind, was sie vorgeben zu sein oder was sie zu sein scheinen. Kerstin arbeitet mit mehreren KollegInnen an dem Forschungsprojekt European Repository of Cyber Incidents, kurz EuRepoC, und sie beschäftigen sich intensiv mit der Analyse von Cybervorfällen. Diese Welt ist ja sehr vielfältig. Auf der einen Seite gibt es eben Staaten wie China, die mit Hackern geistiges Eigentum ausspionieren. Es gibt Russland, das versucht, liberale Demokratien zu destabilisieren. Und es gibt natürlich auch Nordkorea, die mit ihren Gruppen, wie zum Beispiel der Lazarus Group, das eigene Atomprogramm finanzieren. Warum ist das so, dieser Frage wollen wir heute nachgehen. Und natürlich gibt es neben diesen politischen Dimensionen auch organisierte Hacker, die einfach kriminelle Energien haben und in der Regel Unternehmen erpressen, eben Geld zu verdienen. Aber es gibt halt eben auch immer mehr Cyberangriffe, die in eine politische Dimension oder politisch motiviert. Die USA sind ja oftmals in solchen Dingen Vorreiter, die haben bereits eine Cyber -Sicherheitsstrategie beschlossen und auch Deutschland will eine Cybernation werden. Claudia Plattner, die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI, hat gemeint, dass es nicht mehr so leicht sein darf, uns anzugreifen. Doch bevor ich an dieser Stelle zu viel von unserem spannenden Thema vorwegnehme, Kerstin, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und erzähle uns mehr über euer Forschungsprojekt. Was war die Motivation hinter dem Projekt EuRepoC?

Kerstin: Kerstin Vielen Dank Lisa erst mal für die Einladung. Ich freue mich sehr heute hier in deinem spannenden Podcast zu Gast sein zu dürfen. Du hast ja das meiste schon gesagt. Ich arbeite seit 2018, 2019 an der Universität Heidelberg, habe da Politikwissenschaften studiert und mich im Rahmen meines Masterstudiums schon so bisschen in den Cyberkonfliktbereich orientiert. Habe davor eigentlich gar nichts mit dem Thema IT und so am Hut. Hab dann aber eben festgestellt, dass natürlich auch aus politikwissenschaftlicher Perspektive das ganze Thema der Cyber -Sicherheit immer relevanter wird. 2017 oder auch 2016, 2017, da hatten wir auch sehr schwerwiegende und aufsehenerregende Vorfälle verzeichnet. Natürlich die russische Wahlbeeinflussung in den USA. Darüber habe ich auch die Masterarbeit geschrieben und 2017 dann zum Beispiel auch mit den weltweiten Kampagnen WannaCry und NotPetya auch zum Nachschauen. Das hat doch sehr, sehr große Schäden hervorgerufen und deswegen ist auch immer dieses Thema Cyberoperation, gerade auch im Hinblick auf Cyberoperation mit einer gewissen politischen Motivation, staatlichen Beteiligung, auch gesellschaftspolitisch immer relevanter und brisanter geworden. Dann habe ich mich entschieden, auch zu promovieren in dem Bereich und habe zusammen mit Sebastian Harnisch an der Universität Heidelberg einen ersten Cyber-Konflikt-Datensatz erstellt. Den habe ich dann auch im Rahmen einer Promotion erstmals ausgewertet, eben auch überhaupt mal eine empirische Datengrundlage zu schaffen. Weil wir hatten so bisschen natürlich am Anfang auch eine vor allen Dingen wissenschaftlich geprägte Motivation zu sagen, im Gegensatz oder im Kontrast zum konventionellen Konfliktbereich haben wir für den Cyberkonfliktbereich natürlich auch, weil die Domäne noch nicht so alt ist, ist natürlich auch völlig klar, haben wir noch keine wirkliche empirische Datengrundlage,

Lisa Froehlich: Lisa Froehlich Mmh.

Kerstin: Kerstin aus statistischer Sicht Aussagen irgendwie treffen zu können. Und da sind wir reingegangen, haben eben diesen Datensatz geschaffen und den habe ich dann eben auch im Rahmen meiner Promotion ausgewertet im Hinblick auf die Rolle von Cyberproxies. Da können wir ja später denke ich auch noch bisschen drauf eingehen. Genau. Und im Verbund mit anderen Projektpartnern, die dann eben jetzt aktuell gemeinsam mit uns das European Repository of Cyber Incidence Consortium stellen, nämlich zum Beispiel die Stiftung Wissenschaft und Politik in Berlin, auch die Universität Innsbruck, der Cyber Policy Institute in Estland. Mit diesen Partnern haben wir entschlossen, diesem Datensatz auch noch ein umfassenderes Repositorium zu schaffen, weil wir eben gesagt haben, okay, neben wissenschaftlichen Stakeholdern ist natürlich auch die breite Öffentlichkeit, sind Industriegesellschaft, Zivilgesellschaft, aber natürlich auch politische Entscheidungsträger grundlegend daran interessiert, eine breitere Informationsbasis über Cyberreaktionen erhalten zu können. Deswegen haben gefördert durch das Außerirdische Amt noch bis Ende dieses Jahres diesen Datensatz in das Repositorium umgewandelt. Wir natürlich auch viel an der Methodik verändert, unseren internen Abläufen, haben eine eigene Projektwebpage mit einem Cyber Incident Dashboard, mit vielen weiteren Visualisierungs - und Analysetools und bieten ebenso der Öffentlichkeit unterschiedlichen Stakeholdern täglich aktualisierte Vorfallsdaten zu öffentlich bekannt gewordenen. Das sind unterschiedliche Motivlagen, einerseits natürlich ein wissenschaftlicher Anspruch, andererseits aber auch eine empirische Datengrundlage, politische Entscheidungsträgerinnen bieten zu können für wirklich auch transparente und nachvollziehbare Entscheidungen in dem Bereich.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, das ist total spannend, weil ich denke, wie du schon gesagt hast, es gibt natürlich, sag ich mal, Datenzahlen, Fakten zu der klassischen Konfliktforschung, ja, en masse, weil einfach das Thema Konflikte zwischen Ländern, Bürgerkriege, etc., pp., das ist ja nahezu so alt wie die Menschheit selbst und auch die, sozusagen, ja, Historie dazu, dass eben auch Geschichten oder eben Fakten niedergeschrieben wurde, die gibt es ja schon sehr lange. ich glaube, kann durchaus über bestimmte Konflikte schon sehr viel lesen und man hat eben auch diesen Cyberbereich, der wie du gesagt hast, ja vollkommen neu ist in diesem Bereich. Also ich habe die sehenswerte Dokumentation Putins Bären geschaut und die ist in der ARD-Mediathek. Das verlinken wir auch genauso wie eure EuRepoC-Seite in den Show Notes. Das heißt, euch ging es in erster Linie darum, wichtige Fragen hinsichtlich der Cyberkonflikte, fakten und datenbasiert zu beantworten. Es wird ja besonders im Zusammenhang mit dem Russischen Angriffskrieg in der Ukraine, wurde ja vielfach in den Medien auch schon von einem Cyberkrieg gesprochen und eben auch in der Dokumentation Putins Bären. Da hast du dich ja auch ein bisschen davon distanziert, dass sozusagen Cyberkrieg zu nennen, weil das ja vielleicht gar nicht das ist, worum es eigentlich geht. Wie wird denn entschieden von eurer Seite, ob ein Cyber-Vorfall eine politische Dimension hat und warum ist diese Unterscheidung so wichtig?

Kerstin: Kerstin Wenn ich von Krieg spreche, dann wende ich die klassische Kriegsdefinition an, nämlich dass damit eben tatsächlich irgendwie zum Beispiel ein Territorium eingenommen wird oder dass zum Beispiel eben im Rahmen eines Konflikts tatsächlich auch Tote und Verletzte zu verzeichnen sind. Das wäre die klassische Kriegsdefinition. Deswegen, wenn ich an einen Cyberkrieg denke, denke ich tatsächlich an Cyberoperationen, die eben regelmäßig zu solchen Auswirkungen führen. Und das ist bislang zum Glück noch nicht der Fall.

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Mhm.

Kerstin: Kerstin sprechen wir lieber von Cyberkonflikten, die verschiedene Intensitäten aufweisen. Bislang der Befund der Cyberkonfliktforschung der letzten 15 Jahre, dass Cyberoperationen regelmäßig eher ihre disruptiven Auswirkungen hervorrufen können, wenn sie in dieser Grauzone zwischen Krieg und Frieden operieren. Gerade in diesem ganzen hybriden Konfliktbereich spielt Cyberoperation eine wichtige Rolle.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Kerstin: Kerstin Weil du auch die Ukraine angesprochen hast. Ich will natürlich nicht jetzt hier irgendwie sagen, dass Cyberoperationen da keine Rolle spielen. Das ist natürlich ganz und gar nicht so. Natürlich benutzen beide Seiten Cyberoperationen zur Aufklärung, Informationsgewinnung, natürlich auch disruptive Operationen, gerade wenn auch ganzen Hektivisten ins Spiel kommen. Aber da flankieren Cyberoperationen zumeist eben konventionelle militärische Konfliktaustragungsmittel. es kurz zu machen.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Kerstin: Kerstin Wenn man irgendwie Territorium einnehmen würde, wenn man politischen Gegner besiegen möchte, dann ist es eben zumeist effektiver und auch kostengünstiger, irgendwie eine Bombe drauf zu schmeißen, als sich da jetzt irgendeine komplexe Cyberoperationsstruktur zu überlegen. Das ist die eine Sache. Zu der anderen Sache, da muss ich vielleicht kurz ausholen, ist ja auch immer so eine Frage, wenn man einen Datensatz erstellt, die man sich grundlegend stellen muss, was will man überhaupt erfassen?

Lisa Froehlich: Lisa Froehlich Mhm.

Kerstin: Kerstin Also was sind deine Inklusionskriterien, damit du am Ende nicht irgendwie Äpfel mit Birnen vergleichst? Deswegen haben wir in Heidelberg, als wir 2017, 2018 gestartet sind, was natürlich auch nochmal bisschen anderer Kontext war als heute, haben wir uns vor allem auf solche Cyberoperationen fokussiert, die eine politische Dimension aufweisen. Bedeutet, wenn zum Beispiel der Angreifer irgendwie politisch motiviert war, das können auch nicht staatliche Akteure sein, oder wenn natürlich ein Staat der Angreifer war und oder wenn auf der Opferseite Staaten oder politische Akteure involviert waren. Und auch zum Beispiel, wenn es sich reines Cybercrime gehandelt hat, aber das zum Beispiel auf die politische Agenda gehoben wurde, also wenn der ganze Vorfall politisiert wurde. Das waren anfänglich unsere, oder recht lange, unsere Inklusionskriterien. Wir sind allerdings flexibel und wollen natürlich auch so bisschen Verschiebungen in der Realität und auch in der Bedeutungszuweisung im Cyberkonfliktbereich Rechnung tragen.

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin und haben deswegen zum Beispiel auch Anfang letzten Jahres entschieden, erfolgreiche Cyberoperationen, und wenn ich erfolgreich sage, meine ich, dass ein Impact oder eine Verletzung der CIA -Triade der Informationssicherheit festzustellen sein muss, dass wir diese Operation immer erfassen, wenn die kritische Infrastruktur betroffen haben. Weil wir eben gesehen haben, kritische Infrastrukturen sind immer mehr im Fokus, auch zum Beispiel von Ransomware -Gruppierungen, halt so eine hohe gesellschaftliche Brisanz bekommen, auch im politischen Diskurs.

Lisa Froehlich: Lisa Froehlich Mhm.

Kerstin: Kerstin Das erfassen wir jetzt generell, also auch wenn zum Beispiel kein staatlicher Angreifer irgendwie zu erkennen ist. Genau, also so viel so ein bisschen zu unseren Inklusionskriterien ist aus meiner Sicht wie gesagt relativ wichtig, auch in der Nutzung, der Interpretation von Datensätzen, dass man das möglichst transparent macht. Natürlich kann man dadurch gewisse Dinge nicht erfassen, aber das ist eben auch gar nicht unser Anspruch, beziehungsweise unser Anspruch ist möglichst klar zu definieren, auch möglichst transparent zu machen, wie wir auch zu welchen Codierentscheidungen gekommen sind.

Lisa Froehlich: Lisa Froehlich Das heißt, also oft werden Cyberkonflikte offensichtlich sozusagen, wenn es wie beispielsweise im Vorfeld des Einmarschs in die Ukraine zu DDoS -Angriffswellen kommt etc. pp. Also das sind ja durchaus, sind solche Cyberangriffe ja auch Vorboten einer militärischen Eskalation. Natürlich geht es nicht immer nur in erster Linie darum, Kommunikation mit der Außenwelt zu verhindern oder eben auch die Kommunikation des gegnerischen Militärs zu unterbrechen, was ja ein logisches Ziel einer militärischen Invasion ist, sozusagen die Gegenwehr entsprechend gering oder gestört wird. Jetzt ist es natürlich auch so, und das hast du auch angesprochen, dass mittlerweile ja Staaten oder politisch motivierte oder beziehungsweise staatlich subventionierte Hackergruppen Einfluss nehmen auf Wahlen. Wie gesagt, auch in der Dokumentation, Putin's Bären zu sehen, ist da ein Bild gezeichnet und du hattest es auch schon angesprochen mit der Wahl in Amerika 2016. Und ich persönlich finde das bedenklich auf der einen Seite, weil auch in der Dokumentation Putin's Beeren zu sehen, ist ein Bild gezeichnet, wo es auch schon angesprochen wird, mit der Wahl in Amerika 2016. Und ich persönlich finde das bedenklich auf der einen Seite, weil man ja auch gar nicht mehr wissen kann, welchen Informationsquellen am Ende des Tages kann ich denn wie trauen. Also es ist ja tatsächlich so, dass wir uns aktuell in einer Situation befinden, KI da ja natürlich auch nochmal einen riesen Schub mit reinbringt, dass wir im Grunde nicht mehr dem trauen können, was wir sehen und auch nicht mehr dem trauen können, was wir hören. Und natürlich hat man gesehen, wie Russland Einfluss genommen hat auf die US -Wahlen, indem sie einfach bestimmte...Russland Einfluss genommen hat auf die US -Wahlen, indem sie einfach bestimmte Dateien geleakt haben, Informationen geleakt haben, die zur richtigen Zeit dem richtigen Medium zugespielt haben. jetzt ist es natürlich wichtig, und das finde ich eben das Tolle an eurem EuRepoC, dass man eine Übersicht hat und sozusagen eine Übersicht bekommt, welche Akteure sind denn da gerade irgendwie unterwegs. Es gibt auch bei euch auf der Webseite sozusagen verschiedene Profile von den APT, den Advanced Resistant Threat Gruppen, also die beispielsweise Lazarus Group, die zu Nordkorea assoziiert wird, etc., pp. Und das ist eben so toll, dass ihr dann einen Überblick bietet, welche Akteure zu welchem Zeitpunkt wie agieren, beispielsweise Lazarus, zu Nordkorea assoziiert wird etc. auf BP. das ist eben so toll, dass ihr dann einen Überblick bietet, welche Akteure zu welchen Zeiten wie agieren. Gibt es denn sozusagen aus deiner Erfahrung oder aus eurer Forschung Beispiele, wo du sagst, das hatte wirklich enormen Impact, das hat uns erstaunt, damit haben wir nicht gerechnet. Also gibt es da irgendwas, wo du sagst, das hätten wir so nicht erwartet?

Kerstin: Kerstin Das ist natürlich eine sehr gute Frage. Ich meine, es geht auch so bisschen in die Richtung, welche Prognosen stellt man irgendwie über die Zukunft an. Das finde ich tatsächlich auch immer ein bisschen schwierig. Ich war tatsächlich eher erstaunt, also ich persönlich über die Erwartungshaltung im öffentlichen Diskurs zu Beginn 2022. wie denn eine mögliche russische Invasion der Ukraine ablaufen könnte, als dann eben nach den ganzen Jahren der Cyber-Konflikt -Forschung, die eigentlich schon den Konsens herausgearbeitet hatte, dass es nach wie vor so eine gewisse staatliche Zurückhaltung im Cyberspace gibt. dass, obwohl eigentlich bei vielen Akteuren umfassende Fähigkeiten vorliegen würden, die auch tatsächlich sehr viel destruktivere Cyber-Operationen, gerade gegen kritische Infrastrukturen, gegen militärische Ziele regelmäßig erlauben würden, dass wir nach wie vor so eine gewisse Zurückhaltung sehen, also dass wir eben nicht diesen All -out -Cyberwar oder wie auch immer man dieses Szenario bezeichnen würde, sieht, dass gegen dieses Konsens oder eigentlich dieser empirischen Befunde es trotzdem eben Beobachter gab, die gesagt haben, naja Putin, wenn will, kann er die Ukraine rein mit Cyberoperation einnehmen. Das war so ein bisschen bei mir ein Moment, wo ich gedacht habe, okay, das wundert mich doch jetzt schon. Da gab es sehr viele sehr aufsehenerregende Operationen im Hinblick auf Frage, welchen Impact die jeweils hatten. Es ist natürlich auch immer eine Frage einer möglichen Quantifizierung. Das ist glaube sehr schwer zu beurteilen. ich glaube auch gerade die Frage, welche Schäden und welchen Impact können Cyberoperationen auf unterschiedlichsten Ebenen hervorrufen, womit wir natürlich auch diese Cyberoperationen vergleichen könnten, was natürlich auch im Hinblick auf die Frage

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin möglicher Reaktionsoptionen ganz ganz wichtig ist. Die sollten ja auch proportionell ausgestattet sein. Das ist glaube ich auch nach wie vor eine offene Frage. Wie wichtig es ist, auch offensichtlich aus deutscher Sicht zeigt auch zum Beispiel ein zuletzt gestarteter Aufruf oder eine Ausschreibung der Cyberagentur in Halle, die bewusst eben den Fokus auf diese Schadensbemessung von materiellen und immateriellen Schäden oder Impact durch Cyberoperationen legt. Und wenn man da sich eben die Historie anschaut, welchen

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Mmh.

Kerstin: Kerstin auch physischen Impact Cyberoperationen haben können, hat zuerst, also erstmalig so richtig, tatsächlich die sogenannte Stuxnet -Operation, die 2010 bekannt wurde, gezeigt, wo eben die USA im Verbund mit Israel mutmaßlich iranische Atomwaffenanlage in Natanz gestört haben, mit Hilfe dieser Stuxnet -Matterware, die dann eben wirklich tatsächlich zu einer Dysfunktion der Zentrifugen in dieser Anlage geführt hat. Das war so ein bisschen echt so ein Gamechanger. Auch im Diskurs, da wurde dann eben auch viel von Cyberkrieg gesprochen, weil da eben erstmal nicht so offenbar wurde, was denn alles möglich wäre, aber auch mit einer entsprechenden Vorbereitungszeit. Das war jetzt nichts, was irgendwie innerhalb von einem halben Jahr aufgezogen wurde. Dann hatten wir in der Folge natürlich immer wieder so formative Ereignisse, will ich sie mal nennen, wie natürlich ein DNC -Hack, der aus technischer Sicht jetzt nicht mordsmäßig suffiziziert abgelaufen ist, wo man aber eben gesehen hat, okay, wenn sich Staaten, wenn sich Autokratien wirklich vorab Gedanken darum machen,

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin welche Verwundbarkeiten, welche Konfliktlinien gerade in demokratischen Gesellschaften existieren, wie können wir diese ausnutzen, wie können wir das verstärken, auch mit Hilfe von Social Media. Dann kann man eben mit Cyberoperationen gerade auch auf immaterielle Ebene sehr, sehr große, wenn man Donald Trumps Wahl vielleicht auch als Schaden bezeichnen will, Schäden hervorrufen. Wobei aber da natürlich auch wieder die Frage ist, okay, man kann natürlich nicht zweifelsfrei sagen oder bemessen, welchen Einfluss die Russen tatsächlich auf Donald Trump.

Lisa Froehlich: Lisa Froehlich Mmh...

Kerstin: Kerstin Trumps Wahlliste hatten. Ja, ich glaube, das ist ja grundsätzlich auch in unserem Business immer schwer zu bemessen, sozusagen, welchen Impact haben Cyberangriffe. Man kann natürlich klar davon sprechen, wenn es zu DDoS -Angriffen kommt und Webseiten lahmgelegt werden oder Netzwerke lahmgelegt werden. Dann sprechen wir natürlich von gewissen Ausfallzeiten. Ausfallzeiten in bestimmten Bereichen sind mit bestimmten Kosten verbunden und dann gibt es eben Modellrechnungen. Am Ende des Tages geht es aber ja auch sozusagen im kriminellen Bereich ja darum, dass es auch oft Reputationsschäden geht und sozusagen die Beschädigung der Marke als solches oder des Unternehmens, was man ja gar nicht so am Ende des Tages vielleicht nicht so exakt in irgendwelchen Zahlen beziffern kann, weil ja natürlich auch nicht immer klar ist, wie wirkt sich denn so ein Cyberangriff oder ein bekanntgewordener Bereich darum, es auch oft Reputationsschäden geht und die Beschädigung der Marke als solches oder des Unternehmens, was man ja gar nicht so, am Ende des Tages vielleicht nicht so exakt in irgendwelchen Zahlen beziffern kann, weil ja natürlich auch nicht immer klar ist, wie wirkt sich denn so ein Cyberangriff oder ein bekanntgewordener Cyberangriff auf die Unternehmen und sozusagen die zukünftigen Zahlen aus. Das ist natürlich die Frage, wie auch Unternehmen damit umgehen. Und das ist aber ja auch natürlich im staatlichen Bereich nochmal was anderes, weil da geht es ja auch politische Beziehungen, es geht diplomatischen Austausch, es geht möglicherweise Sanktionen etc. Also das ist natürlich klar, dass, sage ich jetzt mal, Länder, in denen Zahlen aus. Das ist natürlich die Frage, wie auch Unternehmen damit umgehen. Das ist aber ja auch natürlich im staatlichen Bereich aber noch was anderes, weil da geht es ja auch politische Beziehungen, geht diplomatischen Austausch, es geht möglicherweise Sanktionen etc. Das ist natürlich klar, dass, sage ich jetzt mal, Länder, denen es vielleicht es vielleicht staatlich gewollter ist, dass es Hackergruppen gibt, die politisch andere Demokratien destabilisieren oder sei es jetzt irgendwie Desinformationen streuen, im Grunde eine gesellschaftliche Bewegung auch vielleicht zu unterstützen oder Mund zuzumachen. ich sage mal so, das Feld an Cyberkonflikten oder an den Vorfällen, die dann tatsächlich stattfinden können, das ist ja auch sehr Konflikten oder an den Vorfällen, die dann tatsächlich stattfinden können, das ist ja auch sehr breit gefächert. Also da haben wir ja tatsächlich, wie du schon sagtest, Stuxnet, dass durch eine Malware das komplette iranische Atomaufbereitungsprogramm quasi lahmgelegt wurde, zumindest an diesem einen Ort. Und dann gibt es aber natürlich auch irgendwelche Desinformationskampagnen, die hauptsächlich über X, Instagram, Facebook und die sozialen Medien laufen. Ich finde das immer spannend, auch der, oder ich fand in der Vorbereitung zu unserer Folge auch so die Frage spannend, welche Rolle sozusagen da auch die Politik hat im Sinne von, wie stelle ich mich denn als Staat auf, bestimmte Abwehrmaßnahmen auch zu implementieren. Weil natürlich kann ich ja nicht immer alles an die große Glocke hängen und für mich, und das kam auch so ein bisschen in der Dokumentation kann ich ja nicht immer alles an die große Glocke hängen und für mich, und das kam auch so ein bisschen in der Dokumentation Putins Bären ans Licht, hat es ja schon auch alles so ein bisschen geheimdienstlichen, militärischen Geheimdienstcharakter und es findet einfach vieles im Verborgenen statt, wohingegen ja auch bei bestimmten Aktionen, Staaten sehr offiziell sozusagen an den Pranger gestellt wurden, dass die Cyberangriffe aus dieser Richtung kommen.

Lisa Froehlich: Lisa Froehlich Wie würdest du das einschätzen? Wie sind diese Entwicklungen im internationalen Cyberspace? Glaubst du, dass man sich da gegenseitig ausspioniert und eigentlich genau weiß, wer da die Akteure sind? Oder glaubst du eher, dass es schwierig ist, sozusagen da in eine Aktion zu kommen? Man spricht ja in Deutschland beispielsweise nicht von aktiver Cyberabwehr, aber es gibt natürlich auch Länder, die da sehr viel aktiver sind, weil sie einfach auch andere Gesetzesgrundlagen haben. ich, wenn ich jetzt an die USA denke und beispielsweise FISA 702, also dem amerikanischen Geheimdienst liegen ja sozusagen Daten offen, die vielleicht in Deutschland gar nicht zugriffstauglich wären. Wie ist deine Einschätzung, welche Rolle spielt das mit Geheimhaltung, mit staatlichen Cyberkonflikten und passiert da mehr im Verborgenen oder glaubst du, dass das mehr so an der Oberfläche auch bekannt wird?

Kerstin: Kerstin Grundlegend ist es, denke ich, jeden Fall so, dass alle Staaten, in gewisser Weise gewisse Cyber -Kapazitäten vorhalten, und das sind natürlich immer mehr, dass die auch Cyberspionage betreiben. Cyberspionage, wenn es sich gegen andere Staaten richtet und es nicht zum Beispiel an Cyberkriminelle weitergegeben wird oder nicht irgendwie genutzt wird, eigene Unternehmen zu pushen, ist jetzt auch vom Völkerrecht nicht verboten. Deswegen wird es beides gehen als Fair Game angesehen. Deswegen ist natürlich schon immer so bisschen die Frage, wenn man die Reaktion von demokratischen Staaten auf so manche Cyberspionage -Operationen von autokratischer Seite sieht, naja, einfach nur zu sagen, das ist eine total böswillige Operation, da wurden Daten gestohlen, zum Beispiel von der Ministerium XY, ob das wirklich so das schlagkräftige Argument ist, auch im Hinblick auf die Etablierung von gewissen Normen verantwortlichen Verhaltens im Cyberspace. Deshalb ist es aus meiner Sicht fraglich, weil man eben in der Historie eine ganze Reihe an anderen Cyberoperationen fortfindet, natürlich in Teilen auch von demokratischer Seite, die grundlegend mal keine unterschiedliche Wirkrichtung oder keine unterschiedlichen Tensionen wahrscheinlich gefolgt haben. Also ich glaube, bei der Reaktion von gerade Demokratien auf autokratische Cyberoperationen natürlich, spielen sehr, viele Dinge mit rein. Die grundlegende Beziehung zwischen der Demokratie und der Autokratie.

Lisa Froehlich: Lisa Froehlich Mmh.

Kerstin: Kerstin Natürlich ist gerade wenn man sich jetzt zum Beispiel die EU anschaut oder auch Deutschland das Verhältnis zu China vielleicht in gewisser Weise noch mal sehr viel komplexer aufgrund der wirtschaftlichen Verknüpfung als jetzt zu Russland. Russland hat sich natürlich selbst komplett ins Aus geschossen durch die Invasion. Deswegen hat man da vielleicht auch in gewisser Weise so ein bisschen die die die Vorsicht über Bord geworfen oder auch gewisse

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin gewisse Befürchtungen im Hinblick auf Eskalation, wenn man dann eine Cyberoperation öffentlich macht. Also wir sehen jetzt schon in den letzten Jahren immer proaktiveres gerade Attributionsverhalten von demokratischen Staaten gerade zum Beispiel gegenüber Russland. Das haben wir vor, ich sage mal, fünf oder sechs, sieben Jahren waren der Staat noch weitaus zurückhaltender. Da gibt es natürlich ganz, ganz viele verschiedene Gründe dafür, auf die ich jetzt in der Tiefe auch gar nicht eingehen will. Aber natürlich waren Eskalationsbefürchtungen da immer auch an der Tagesordnung auch so bisschen wahrscheinlich ein fehlendes Verständnis darüber, wie denn eine Attribution, wie auch ein öffentlicher Attribution Zonesprozess auszusehen hat. Da werden Staaten, ich meine, sieht man jetzt gerade auch bei Deutschland, an Alena Baerbock, die den APT 28 Fall öffentlich attipiert hat, die werden ja immer proaktiver.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin Die Frage stellt sich allerdings immer, ob eine Attributionsaussage per se ausreicht, die jeweiligen Ziele zu verfolgen. Klar, man kann mit Attributionen komplett unterschiedliche Ziele verfolgen, gerade gegenüber der eigenen Bevölkerung, gegenüber dem Angreifer. Also unterschiedliche Signaling -Strategien, man da. Eine Attribution kann einfach nur den Zweck haben, zeigen der eigenen Bevölkerung, wir sind jetzt nicht irgendwie so komplett lost, sondern wir wissen schon, was da abgeht, wir wissen schon, von wem wir angegriffen werden.

Lisa Froehlich: Lisa Froehlich Mmh.

Kerstin: Kerstin Gleichzeitig kann man das eben auch dem Angreifer signalisieren wollen. Hey, wir wissen schon, was ihr da treibt. Natürlich kann Attribution auch in den Hinterzimmern fungieren. So kann man natürlich auch Fernab der Öffentlichkeit gewisses gewisses Wissen dem anderen signalisieren. deswegen. Geheimhaltung ist sehr, komplex. Es gibt auch verschiedene Offenlegungs -Dilemma, die da irgendwie wirken. Gewisse Informationen möchte man natürlich nicht regelmäßig öffentlich machen. Eigentlich bräuchte man sie allerdings gewisse, auch Reaktionen zu rechtfertigen. das ist alles sehr, komplex. Grundlegend glaube ich, dass immer mehr Cyberoperationen einen öffentlichen Charakter haben. Natürlich alle Ransomware -Operationen oder sehr, sehr viele Ransomware -Operationen, die ja gerade auch mit Double-Extortion, aber auch mit Triple und Quadruple und was da alles gibt. Extortion ja oftmals bewusst auch die Öffentlichkeit suchen.

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin und auch diesen öffentlichen Druck auf mannvisierte Unternehmen zum eigenen Vorteil ausnutzen. Deswegen glaube ich, da in letzten Jahren im Cyber -Konfliktbereich schon immer mehr aus dem verborgenen Bereich in den öffentlichen Bereich reingezogen. Die grundlegende Frage ist, haben sich die Verhältnisse auch verändert? das, was oberhalb der Wasserfläche ist, ist das größer geworden oder ist gleichzeitig auch das unterhalb der Fläche auch proportional größer geworden? Das ist aus meiner Sicht nach wie vor...

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Kerstin: Kerstin eine offene Frage. Aber es beschäftigen sich natürlich grundlegend auch immer mehr Akteure mit Cyberoperationen. meine, zum Beispiel so ein Projekt wie wir, wir können da natürlich auch breitere Öffentlichkeit dafür schaffen, breiteres öffentliches Wissen generieren, aber natürlich auch zum Beispiel im journalistischen Bereich. Da werden natürlich auch immer mehr Anstrengungen verfolgt, Dinge an die Öffentlichkeit treten zu lassen.

Lisa Froehlich: Lisa Froehlich Ja, es geht ja auch gerade im staatlich-politischen Bereich das Thema der Cyber-Souveränität, also wie souverän trete ich als Staat eben auf, weil natürlich will man sich als demokratischer Staat ja nicht von autokratischen Staaten sozusagen in Anführungsstrichen auf der Nase rumtanzen lassen. Und ich glaube, dass es tatsächlich da ganz unterschiedliche Konzepte gibt, was Cyber-Souveränität oder was eben die Cyber-Sicherheit in Regimen angeht oder eben in demokratischen Staaten, weil es will sich ja am Ende des Tages eigentlich niemand so genau in die Karten gucken lassen, wie weit man sich denn da im Grunde aus dem Fenster lehnen kann. Ich habe auf einer Veranstaltung 2023 den, ich glaube, war der Vizechef des Bundesnachrichtendienstes in einem Vortrag gehört und für den war ganz klar, also es gibt irgendwie fünf große Gefahren weltweit. ist ein Terrorismus, das ist das Klima, ist China, Cyber und ich weiß jetzt gar nicht mehr, was das fünfte war, aber Cyber war auf jeden Fall unter den Top 5 Gefahren, was sozusagen bundesnachrichtlich, dienstlich oder geheimdienstlich entsprechend bewertet wurde. Jetzt will ich von dir nochmal zum Abschluss wissen, weil wir uns ja gerade mit der Eskalation von Konflikten, und du hattest es eben angesprochen, dass das auch manchmal so bisschen schwelt. Und je nachdem, wie die Öffentlichkeit auch eine Aufmerksamkeit dafür bekommt, geht man ja gegebenenfalls auch mit Konflikten oder mit Ängsten, die da geschürt werden, anders Zum Abschluss würde ich gerne wissen, wie kontrollieren deiner Meinung nach Staaten die Eskalation von Konflikten im Cyberspace? Ist da überhaupt eine Kontrollfunktion möglich? wie können sozusagen auch nichtstaatliche Akteure wie ihr zum Beispiel oder die Öffentlichkeit, du hast die Medien angesprochen, dabei eine Rolle spielen?

Kerstin: Kerstin Ja, da kann ich vielleicht auch so bisschen Bezug nehmen auf meine Promotion, auf mein Promotionsvorhaben, weil in der Arbeit habe ich mich darauf fokussiert, die Rolle von nichtstaatlichen Akteuren als staatliche Stellvertreter, also als sogenannte Cyberproxies herauszuarbeiten. Also welche Funktionen erfüllen regelmäßig zum Beispiel irgendwelche Hacker, irgendwelche Cyberkriminellen für autokratische Regime im Offensivbereich und zum Beispiel kommerzielle Fred -Enthorations -Unternehmen für Demokratien eher auf der Defensivseite. Da habe ich mir eben angeschaut, Wenn man davon nutzussprechen will, wie nutzen z .B. Russland und China, das waren die konkreten Fallstudien, wie nutzen die diese Cyberproxies, einerseits Demokratien immer stärker anvisieren zu können im digitalen Raum, da eben diesen großen Verbundbarkeitsvektor, diesen großen Angriffsvektor auf demokratischer Cyber aufgrund des sehr viel weniger restriktiven Zugangs zum Internet, wir wollen ja eigentlich ein freies, offenes Internet haben, was eben auch die Prosperität stärkt etc. das eben ausnutzen zu können, gleichzeitig aber eine gewisse, da spricht man immer von plausible deniability, aufrechterhalten zu können. Also dafür eben nicht offen irgendwie angeklagt werden zu können. Und da kamen immer wieder diese Cyberproxies ins Spiel, also diese nichtstaatlichen Akteure, wie zum Beispiel auf russischer Seite Cyberkriminelle, die eben auch natürlich unter einer gewissen staatlichen Kontrolle stehen, wenn sie eben zum Beispiel vom russischen Territorium aus fungieren.

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin natürlich auch so bisschen von der Gunst der russischen Sicherheitsbehörden abhängig sind. Da gibt es natürlich so ein bisschen so ein Deal, okay, ihr könnt hier von Russland aus operieren, wir stören euch nicht wirklich, insofern ihr keine russischen Entitäten angreift und insofern ihr von Zeit zu Zeit eben auch zum Beispiel Aufträge für uns übernehmt, also ganz überspitzt formuliert. Und das hat eben die Funktion auch eines gewissen Eskalationsmanagements, weil man so eben Autokratien regelmäßig angreifen kann.

Lisa Froehlich: Lisa Froehlich Hmm.

Kerstin: Kerstin attackieren kann im Cyberspace, ohne aber den Konflikt vollends irgendwie eskalieren zu lassen oder eben auch dafür wirklich irgendwie blank werden zu können. Natürlich ist fraglich mittlerweile, inwiefern gerade auf russischer Seite von plausible deniability noch zu sprechen ist. Ich glaube, es ist ja auch in Putins Bern in der Doku gut rausgekommen. Also mittlerweile gibt es einfach so umfassende Beweise dafür, dass APT 28, APT 29 etc., dass sie eben alle unter de facto russischer staatlicher Kontrolle stehen. Also inwiefern man da noch von plausible sprechen kann, ist die Frage. Ich glaube, gerade auf russischer Seite geht es auch viel Signaling einer gewissen Ohnmacht demokratischer Staaten. Also dass man einfach auch so bisschen zeigt, de facto, okay, ihr wisst zwar alle, dass wir es waren, aber machen können wir es trotzdem. Also ich glaube, das ist auch wirklich ein nicht zu vernachlässigender psychologischer Aspekt. Das so ein bisschen zur russischer Seite.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Ja, das denke ich

Kerstin: Kerstin es nicht zu einem zu großen Exkurs werden zu lassen. chinesischer Seite spielen andere Akteure regelmäßig, nämlich die Rolle im Eskalationsmanagement, aber auch einfach in der staatlichen Cyber -Konflikt -Strategie, zum Beispiel nämlich eben Unternehmen. Also die chinesische Strategie der letzten Dekaden hat eben vorgesehen, die eigene Wirtschaft zu stärken, aber auch zu modernisieren. Und dafür hat eben China auch sehr, sehr viel Wert auf den Aufbau eigener Technologieunternehmen gelegt, die dann aber eben auch regelmäßig integriert wurden in den eigenen Cyber -Konfliktaustrag, die dann eben regelmäßig auch im Auftrag des Status gehackt haben. Das ist eben zum Beispiel auch im Rahmen von öffentlich gemachten US -Anklagerhebungen auch wirklich belegt worden. Und jetzt vielleicht auch noch kurz zu den Demokratien. Also soll jetzt nicht der Eindruck entstehen, dass natürlich so Staaten wie die USA nicht auch offensiv im Cyberspace agieren würden. Also ich denke, wenn man sich dieses Narrativ irgendwie überstört, dann ist man wahrscheinlich auf dem falschen Weg. Natürlich sind die USA auch offensiv im Cyberspace aktiv. Aber was ich gerade eben versucht habe, meiner Arbeit herauszuarbeiten, ist, dass natürlich trotzdem durch das demokratische Setting, durch demokratische Leitlinien, durch institutionelle Beschränkungen etc. Gerade nicht die Statue -Aktöre dann regelmäßig andere Rolle spielen im Cyberkonflikt -Austrag. Natürlich gibt es die ganzen Contractor etc. Die sind aber grundlegend eher in der Vorbereitung von Cyberoperationen, in der Begleitung zuständig. Es gibt nach wie vor das staatliche Gewaltmonopol, das auch im Cyberspace gelten sollte. Und deswegen sollten in Demokratien für offensive Cyberoperationen nach wie vor auch wirklich staatliche Akteure verantwortlich sein. Und da spielen eben nichtstaatliche Akteure für Demokratien, haben sie in der Vergangenheit regelmäßig eher eine andere Rolle gespielt, im Eskalationsmanagement, nämlich, dass sie zum Beispiel stellvertretend für Regierung Attributionen vorgenommen haben. Weil man Argument war oder ist zu sagen, vor allen Dingen in den letzten Jahren, und wie gesagt, hat sich jetzt bisschen gewandelt in letzten zwei bis drei Jahren, haben wir aber eben demokratische Regierungen regelmäßig davor zurückgeschreckt, eine Attributionen vorzunehmen, öffentlich, da gibt es eben wie gesagt ganz, ganz viele Gründe dafür. Dennoch hat natürlich eine öffentliche Attribution eine wichtige Funktion für Demokratien.

Kerstin: Kerstin Signaling etc. auch gegenüber der eigenen Bevölkerung. Und da waren natürlich eben oder sind oftmals eben auch Attraktionen von glaubwürdigen Threat Intelligence Unternehmen, Sicherheitsunternehmen, die können so bisschen in diese Lücke reingehen, diese Lücke füllen und eben auch diese Verantwortung zuweisen und zumindest öffentlich machen. Genau, also so viel vielleicht zur Frage, okay, welche Rolle spielen Proxies auf den unterschiedlichen Seiten oder nicht statische Akteure? Wann können sie oder in welcher Funktion zu Proxies werden.

Lisa Froehlich: Lisa Froehlich Also Kerstin, vielen, vielen Dank für deine tiefen Einblicke in den Bereich der politischen Dimension von Cyber -Vorfällen aller Art. Ich finde das hochspannend, weil mir tatsächlich auch diese Dokumentation ein bisschen die Augen geöffnet hat. Also ich meine, klar weiß man irgendwie, ja, natürlich sind da staatliche Akteure unterwegs, aber da war es einfach so deutlich, welche direkten Kontakte und ich erinnere mich an die Quittung, die eingereicht werden musste, wo die Hacker quasi in Holland oder zum Flughafen auf dem Weg nach Amsterdam eine Quittung aufgehoben haben, die eindeutig zuordnet werden konnte und man eben herausgefunden hat, zu wem diese Hackergruppe am Ende des Tages eigentlich gehört. Also wie gesagt, da draußen ist im Cyberspace jede Menge los, Sowohl Cyberkriminelle, die schwer aktiv sind, ihre Konto mit Bitcoin zu füllen. Und auf der anderen Seite haben wir, wie du es schon angesprochen hast, Cyber-Spionage als sozusagen guten Ton im politischen Bereich. Und dann gibt es natürlich eben auch die Forcierungen, wie können Konflikte vielleicht zu einer Eskalation geführt werden, die natürlich begleitend im Cyberraum entsprechend, ja, entsprechende Aktionen mit sich ziehen. Glücklicherweise wird die Aufmerksamkeit darauf immer größer und auch euer Projekt sorgt ja dafür und an dieser Stelle bleibt mir nur zu sagen vielen, vielen Dank für die wertvollen Einblicke und ja für euch da draußen. Ich werde auf jeden Fall das EuRepoC verlinken. Ich werde die Dokumentation verlinken in den Show Notes. Wenn euch der Podcast gefällt, dann lasst gerne ein Like da, abonniert ihn oder empfiehlt ihn euren Freunden und eurer Familie weiter. Und an dieser Stelle bleibt mir nur zu sagen, Keep calm, get protected. Danke, bis zum nächsten Mal.