NATO Paper on the TALLIN MANUAL Paper 8 The Role of Offensive Cyber Operations in Nato`s Collective Defence ( Zusammenfassung) deutsch

Die rolle von offensiven Cyberoperationen im Rahmen der kollektiven Verteidigung der NATO

Rechner, die zum hacken genutzt werde, stellen - militärisch gesehen - neue Technologie das und haben einen destabilisierenden Effekt. Die NATO integriert Cybersicherheit in ihren Planungsprozess und sieht in ihrer Cyberpolicy Vorbeugung, Aufpürung, Resilienz und Wiederherstellung vor. Cybervertedigung ist eine Priorität und wurde eine zentrale Komponente der Planung der NATO. Alle ungeschützten Systeme mit Verbindung zum Internet müssen als potentiell kompromittiert angesehen werden.Laut dem US Nachrichtenwesen stellt Russland die größte Spionagebedrohung für die Netzwerke der NATO dar. Ein Mangel an öffentlichem Diskurs über offensive Cyberoperationen unterminiert die Legitimität solcher Operationen, bedingt durch das Scheitern, Verständnis in der Öffentlichkeit zu schaffen und lässt die NATO ungeschützt gegenüber feindlichen Absichten.Die Ablehnung offensiver Kapazitäten erscheint nicht angemessen, wenn zwei NATO-Staaten weltweit führend sind in CO.
Die NATO plant CO sowohl mit strategischen, als auch taktischen Nutzen, über den nur wenige NATO-Partner verfügen. Keine moderne Luftwaffe würde einen Konflikt eingehen und dabei auf Fähigkeiten in der elektronischen Kampfführung verzichten. CO und EW verschmelzen zusehens, daher besteht auch hier ein Bedarf an Cybersupport. Offensive Cyberfähigkeiten werden das Schlachtfeld der Zukunft prägen. Die potentiellen Gegner der NATO werden hybride Kriegsführung einsetzen ( Iran, Nordkorea oder auch nichtstaatliche Organisationen wie die Syrian Electronic Army).

Offensive Cyber Operationen

Cyberoperationen dienen mehreren Absichten und richten weniger Zerstörungen an als ein kinetischer Angriff: Es werden Daten und Dienstleistungen gestört, Verwirrung gestiftet und Netzwerke wie Computer beschädigt.
Offensive Cyberoperationen werden militärische, regierungs- und vielleicht zivile Ziele wie KRITIS betreffen. Taktisch werden Kampftruppen unterstützt durch das Behindern von Kommandostrukturen und Waffensoftware. Taktische und operative Aktionen richten sich dabei gegen Command & Control Systeme (inkl.Sensoren und Computernetzwerke und gegen Software die fortgeschrittene Waffensysteme steuert wie SAM`s oder Kampfflugzeuge.  Strategische Operationen werden gegen die rückwärtigen Räume des gegnerischen Staates geführt werden, inkl. ziviler Ziele, mit der Absicht Dienstleistungen zu unterbrechen und die Moral zu schädigen, dabei sollen große Zerstörungen vermieden werden. Für Cyberangriffe bleiben zivile Ziele attraktiv um militärische Operationen zu unterstützen: Kriegsfördernde Infrastruktur, Kraftwerke, Umspannwerke, Fernmelde- Finanz- und Transportsysteme oder Regierungsnetzwerke.

Gegnerischer Einsatz von Cyberoperationen

Die doktrien möglicher aktueller Gegner beinhalten den Einsatz von Cyberattacken um die Anfangsphase eines Konfliktes zu bestimmen und Gegenmaßnahmen der NATO zu unterbinden. Angriffe auf zivile Ziele lassen jeden Konflikt eskalieren, aber eine gegnerische Macht, mag eine Eskalation als akzeptabel einstufen, wenn der Kontext einen entsprechenden Rahmen vorsieht: Eine Offensive etwa gegen einen kleineren baltischen Staat, der im Zuge dieser überrannt und besetzt werden soll. Cyberangriffe auf zivile Ziele auf einen solchen Staat hätten eine Störung von einigen Stunden bis tagen zur Folge, die in einen echten Vorteil für offensive Operationen, die auf die Dauer von ein oder  zwei Tagen ausgerichtet sind. Cyberaktionen Degen unterstützende Infrastruktur der Zielnation, um eine Reaktion zu unterbinden sind ebenso wahrscheinlich aber ein Gegner wird hier möglicherweise die Entscheidung treffen den Effekt eines solchen Angriffes zu mindern um das Risiko einer Eskalation zu reduzieren.

 Stabilisierend oder nicht

Täuschung ist ein wesentlicher Bestandteil hybrider Kriegsführung. Europa und die USA begegnen heutzutage einer weitaus ausgeklügelter als die plumpen sowjetischen Versuche während des kalten Krieges. Der russische Standpunkt ist, dass die neue Cyberdoktrien der NATO destabilisierend ist, weil sie dazu führt konventionelle oder nukleare Reaktionen zu provozieren. Russland und andere NATO Gegner scheinen die Fähigkeiten der NATO sich zu koordinieren und Fähigkeiten zu überschätzen und gleichzeitig den Willen der NATO Staaten zu kämpfen zu unterschätzen. Die Entscheidung der NATO wie Cyberattacken Artikel 5 auslösen könnten hat einen stabilisierenden Effekt. Die Entscheidung machte potentiellen Gegnern klar, dass Cyberattacken nicht risikofrei sind.

Der Cyberclub

Ein gewisses Niveau von Cyberfähigkeiten wird in allen fortgeschrittenen Streitkräften benötigt und ungefähr ein Dutzend Staaten aus öffentlich zugänglichen Quellen identifiziert werden, die offensive Cyberfähigkeiten entwickeln - inklusive einiger NATO-Mitglieder. Ähnlich wie bei Kernwaffen sind die Staaten mit diesen Fähigkeiten ein Club innerhalb des NATO-Club mit nahezu den gleichen Mitgliedern: USA, GB und F. Deutschlands Militär werden möglicherweise ebenso offensive Fähigkeiten entwickeln. Ähnlich gut sind diese Staaten in Bezug auf Cyberspionage vernetzt. Die Partnerschaft hat ihren Kern in der Zusammenarbeit zwischen der US-amerikanischen NSA und dem British Government Communications Headquarters (GCHQ), beides Nachrichtendienste mit einer langen Geschichte der Unterstützung von militärischen Operationen. Bis es bessere Vorhersagemöglichkeiten gibt und Risiken wie Folgen besser beurteilt werden können, bleiben Cyberoperationen eine politische sensible Entscheidung, vor allem in der Abwägung zwischen politischem Preis und dem eigentlichen Nutzen.

Whiskey und Romeo

Die Gemeinsamkeit zwischen Cyberoperationen und Kernwaffen liegt nicht in der zerstörerischen Kraft verortet - Eine Cyberattacke wurde nicht die Zerstörungen verursachen, den schon ein kleiner nuklearer Sprengkopf verursachen wurde, sie gleichen sich jedoch in der Notwendigkeit politischer Kontrolle in Anwendung und Gebrauch. Der Effekt einer Cyberattacke ist, wenn auch in begrenztem Rahmen schwer vorhersagbar. Das Risiko von Kollateralschäden ist schwer einzuschätzen. Computernetzwerke folgen manchmal unerwarteten Gesetzmäßigkeiten, daher könnten wir ein Netzwerk angreifen mit der Folge eine dritte Partei zu schädigen. Diese Unsicherheit bezüglich der Effekte ist ein contraint in Cyberoperationen. Cyberattacken haben mehrere Stadien: Aufklärung, um die Schwachpunkte des Gegners zu identifizieren, einen waffenfähigen Code entwickeln, einbrechen, einbringen der Software Payload und das Auslösen - alles ohne entdeckt zu werden. Die schädlichsten Cyberattacken, wie Stuxnet, die physischen Schaden auslösen, sind immer noch eine hohe Kunst zu der nur wenige Nationen fähig sind.

 
Jenseits der nuklearen Präzedenz

Die NATO könnte also davon profitieren, dass ihre Übungen offensive Cyberkomponenten beinhalten, auch ein Cyberangriff setzt eine Cyberkomponente voraus. Die NATO wird den Konflikt nicht beginnen, aber wenn der Konflikt von einem Gegner begonnen wird, wird der Verteidigung der NATO am besten gedient sein, wenn eine Cyberkomponente in die Planungen und Operationen einbezogen wird.

Der Aufbau einer aktiven Cyberverteidigung

Die Natur der Kriegsführung ist im Wandel, da Gegner die westlichen Militärmächte einzuschließen durch politische Täuschung, Spezialkräfte, Kleinkrieg und irreguläre Einheiten. Was Russland gelegentlich hybride Kriegsführung nennt wird die Verteidigungsplanung der NATO herausfordern. Die NATO würde nie auf den Einsatz von Kampfflugzeugen verzichten, weil sie offensiven Absichten dienen könnten und sich rein auf Luftabwehr durch Flugkörper und Damage Control verlassen, um mit der Bedrohung durch Luftangriffen zurecht zu kommen. Auch würde man nicht auf gepanzerte Fahrzeuge verzichten und sich stattdessen auf statistische Verteidigung verlassen. Ein Verteidigungsansatz der auf offensive Aktionen verzichtet ist grundsätzlich nicht mehr als eine "Cyber-Maginot-Linie". Eine solche Orientierung dient niemandem außer dem Gegner. Offensive CO sind ein Teil der Kriegsführung, auf die keine fortgeschrittenen Streitkräfte verzichten kann.

NATO Paper on the TALLIN MANUAL Papier 1 Pandemonium Zusammenfassung Deutsch

Pandemonium


RUSSLAND

Russlands Hacker gehören zu den besten der Welt. Sie operieren auch derzeit und sind schwer zu fassen. Russland war, zumindest am Rande, an einigen der bekanntesten Fällen internationaler Cyberkonflikte beteiligt war: Aus dem Tschetschenienkrieg ist der Hauptschluss zu ziehen, dass im Zeitalter des WWW die Propagandaschlacht um die Herzen, Gedanken und Brieftaschen Website für Website geführt wird. Als 1998 Serbien als russischer Verbündeter von der NATO angegriffen wurde, fluteten proserbische Hacker die NATO-Netzwerke mit DDoS Angriffen und mindestens 25 virenverseuchten Mails. 2007 war Russland der Hauptverdächtige für die berühmteste internationale Cyberattacke - den Angriff auf Estland als Reaktion auf die Umsetzung eines Kriegerdenkmals aus der Sovietzeit. 2008 gab es Hinweise auf eine unterstützende Rolle von Cyberkomponenten, um russische Geländegewinne vorzubereiten. Die USB-Vektor Attacke aus des US-Central Command (CENTCOM), welche als bedeutenster Zugriff auf US Militärcomputer bisher bezeichnet wurde, wird ebenso Russland zugeschrieben, wie auch die Affaire um die den Climagate Skandal, dessen Ziel es war, die internationalen Verhandlungen zum Klimawandel zu unterminieren. Im Hinblick auf zukünftige Cyberkonflikte bilden Russland, Brasilien, die USA und China ( auch mittlerweile Deutschland UV) Einheiten zur Cyberkriegsführung  auf und kaufen altmodische Schreibmaschinen.

CHINA

Chinas enorme Bevölkerung und die schnell wachsende Wirtschaft haben einen enormen Informationshunger, der durch Industriespionage gestillt wird. Einige dieser Spionageaktionen scheinen in der Nationalen Sicherheit begründet, welche das Kräftegleichgewicht im Pazifik verändern könnten. Schon 1999 glaubte das US Energieministerium, dass die Cyberaktivitäten der Chinesen eine akute Bedrohung der US Kernenergie darstelle. Nach der Kollision einer EP3 (SIGINT) mit einer chinesischen J8II und der verzögerten Freilassung der amerikanischen Crew nahmen Hacker beide Seiten den Konflikt in eigene Hände. China wird von US Seite vorgeworfen, die Pläne der F35 gestohlen zu haben ebenso Daten von u.a. Google, Intel, Adobe, RSA, Lockheed Martin, Northrop Grumman, New York Times, Wallstreet Journal und der Washington Post. In Bezug auf KRITIS vermutet man, dass chinesische Hacker zwei Dutzend Gasleitungsbetreiber ( möglicherweise im Zusammenhang mit Sabotage), wie auch die Liste der Damme des US-Pioniercorps gehackt zu haben. Hinzu kommen ein Einbruch in die  Datennetzwerke des britischen Unterhauses 2006, des Bundeskanzleramtes 2007, der Diebstahl von klassifizierten Dokumenten in Japan 2011, eines Indischen Marinehauptquartieres 2012 und sowohl der südkoreanischen Regierung, als auch der australischen Nachrichtendienste. als Antwort äußerten chinesische Vertreter, dass ganze Datenberge über US Cyberattacken auf China existierten ( Anteil 42% Taiwan und 25% USA) 2013 veröffentlichte Edward Snowden.

USA

Ralph Langner, der erfahrenste Forscher in Sachen Stuxnet, fasste zusammen, dass nur eine Cyber Supermacht in der Lage wäre, einen solchen Angriff auszuführen: die USA. Anhand der Auswirkungen ist Stuxnet eine der wenigen echten Cyberattacken.
Analysten sprechen über die Entwicklung und Eleganz von Stuxnet in halbwegs religiöser Weise: Mehrfach Zero Day Exploids, kryptografisch erzwungene Hash collision und Sabotage unter dem Deckmantel sonst ordnungsgemäßer Daten. Die Malware ist so genau, dass sie in bestimmten Netzwerken aktiv wird und in Teilen noch unverstanden und unentschlüsselt ist. Anders als in den fällen von Code Red und Slammer hat Stuxnet nicht so viele Rechner wie möglich komprommitiert, sondern so wenig wie möglich. Als Gegenangriff gilt der Shamoon Virus mit dem die Gruppe "Cutting Sword of Justice" den saudischen Ölriesen Aramco angriff, mithilfe des Iran.

Mittlerer Osten

2013 berichteten iranische Medien, dass die syrische armee einen Cyberangriff auf die Wasservorräte der israelischen Stadt Haifa ausgeführt hat. Dieser Bericht wurde von israelischer Seite bestritten, aber äußerte die Meinung, dass Cyberangriffe auf KRITIS eine reale und gegenwärtige Bedrohung seien. 2012 komprommitierte   der unbeholfen geschriebene Mhadi Malware indestens 54 Ziele in Israel. Während Israels Invasion im Gaza 2009 überschütteten Pro-Gaza- Hacker israelische Regierungsseiten mit einer DDoS Attacke, die von mindestens einer halben Million Rechenrn ausging. Aufgrund der großen technischen Ähnlichkeit mit der Cyberattacke auf Georgien durch Russland nimmt man in Israel an, dass die Attacke von russischen Kriminellen ausgeführt und von Hamas oder Hizbollah bezahlt wurde.

Nordkorea

Aufgrund der globalen und regionalen Spannungen ist alles, was Nordkorea tut, im Interesse seiner nationalen Sicherheit, besonders, was asymmetrische Fähigkeiten wie Massenvernichtungswaffen und Computerhacking angeht. Nordkorea führte seine ersten Cyberangriffe aus US und südkoreanische Websites 2009 durch, der Schaden war nicht allzu groß, jedoch bekam der Zwischenfall weltweite Aufmerksamkeit. 2013 waren die Nordkoreanoer weiter: Eine Gruppe, "The Darkseoul Gang" genannt wird, wurde verantwortlich gemacht für high Profile Operationen gegen Südkorea über die Periode von mindestens 4 Jahren inkl. DDoS Attacken und Malcode Einschleusungen, die Festplatten in Banken, Medienhäusern, Finanz- und Telekommunikationsfirmen mit politischen Parolen überschrieben. Es wird angenommen, dass nordkorea US Ziele inklusive Militäreinheiten in Südkorea, dem Komitee für Menschenrechte in Nordkorea und dem Weißen Haus. Diese Angriffe fanden an bedeutenden Feiertagen, wie dem Unabhängigkeitstag am 4.Juli statt. Nordkoreanische Defektoren sprechen von einer Cyberabteilung von 3000 Personen-vermutlich in Russland oder China ausgebildet.
Für Nordkorea ist insbesondere die kosteneffektivität verlockend - gerade in Bezug auf überlegene Gegner durch psychologischen Druck auf den Westen. Nordkorea stellt seinerseits sicher, dass die eigenen nationalen Server nicht mit dem Internet verbunden sind, bei gleichzeitigem Aufbau eines Angriffsnetzwerkes.
Nordkorea ist dennoch Opfer von Cyberangriffen, von denen sich Südkorea distanzierte.

Indien und Pakistan

Wenn sich auch die starkbefestigte Grenze zwischen Indien und Pakistan ruhig präsentiert, engagieren sich beide Seiten gegeneinander im Internet, auch in Friedenszeiten. so kam es 2009 offenbar zu einem Malwareangriff auf eine indische Downloadseite für Musik. 2010 schaltete die Pakistanische Cyber Armee die Website des Central Bureau of Investigation ab. 2012 wurden über 100 indische Regierungsseiten kompromittiert. Andererseits scheint Indien für Operation Hangover verantwortlich zu sein, im Zuge derer pakistanische Informationstechnologie, Justiz, Lebensmittelbranche, Militär und Finanznetzwerke ausspioniert wurden.

Weltkarte

Fire Eye nannte 2013 die Top 10 Staaten, die C&C Infrastruktur beherbergen: USA 24,1 % Deutschland 5,6 %, Südkorea 5,6 %, China 4,2%, Holland 3,7%, UK 3,5%, Russland 3,2 %, Kanada 2,9% Frankreich 2,7 % Hong Kong 1,9%. C&C Infrastruktur ermöglichst es, weltweit Cyberangriffe auszuführen oder den Angreifer mit einer anderen Nationalität auszustatten. Kein Ort der Welt ist wirklich frei von Malware.


Zusammenfassung:

Es gibt oftmals einen engen Zusammenhang zwischen der Eleganz einer Cyberattacke und dem geopolitischen Kontext. In Bezug auf den Iran lag die Frage auf der Hand, ob es einer Nation erlaubt werden würde ein neuer Player im nuklearen Club zu werden. In diesem Zusammenhang verwundert es nicht, dass Stuxnet die am weitesten entwickelte Malware ist, welche der Öffentlichkeit bekannt ist.
In der nahen Zukunft wird die Größe der internationalen Cyberbühne und die Zahl der Akteure steigen. Die Regierungen werden ihre Cybermuskeln trainieren und ein gewisses Maß an Schutz vor Cyberattacken entwickeln.




 

NATO Paper on the TALLIN MANUAL Paper 6 Responsible Attribution: A Prerequisite For Accountability ( Summary) english

Responsible Attribution: A Prerequisite For Accountability

Jeffrey Carr

Executive Summary

 

Yet another complication is an over-reliance upon signals intelligence (SIGINT) without physical corroboration through human intelligence (HUMINT). Then there is the matter of an insecure global network, which unfortunately is considered by many to be an asset. Intelligence agencies prefer weak encryption standards to strong because the former are easier to break.

It Depends on What Is Menat by “Attribution”

themselves. For example, the FBI, in cooperation with various foreign counterparts, has been successful in catching many members of the Anonymous collective who were allegedly involved in criminal acts in cyberspace.

Training, tools, budgets, professionalism and sheer guesswork may all play a part in whether any attempt at attribution will be successful or not. This paper will grant that attribution is straightforward for low-hanging fruit like amateur hacktivists or bored Chinese soldiers with inadequate operational security. Instead, it will examine the challenge of assigning attribution when a skilled, disciplined, and well-funded team of state or non-state actors has launched a cyber attack of significance, such as one potentially causing long-term serious damage to a nation’s power, water, banking or transportation systems

Complicating Factor I

accumulates nth level effects (chaos, looting, rioting, etc.) with human casualties can be carried out in an entirely covert manner without being part of a corresponding kinetic attack or military operation.􀀃

In the recent past, military operations (e.g., 2002 Russian-Chechen war; 2007 Israeli strike against Syria; 2008 Russian invasion of Georgia; 2009 Israel’s Operation Cast Lead; 2014 Israeli-Hamas war: 2014 Russia-Ukraine conflict) have been accompanied by cyber attacks, making the attribution problem relatively moot. Stuxnet, on the other hand, was a stealth attack and while attribution by intuition laid the blame either on the U.S. or Israel or both, there was no hard evidence until the White House initiated multiple leak investigations,8 validating journalist David Sanger’s identifying claims made in his 2012 book on U.S. clandestine operations and the accompanying New York Times articles.9

If no overt hostilities or geopolitical tension exist between the victim of a cyber attack and the attacker, the victimised government must rely on its security and intelligence services to discover the responsible actor.

It is neither sufficient nor legally justifiable to simply trace an attack to a server located in a foreign country. This has been acknowledged in Rule 8 of the Tallinn Manual, which states that “the fact that a cyber operation has been routed via the cyber infrastructure located in a State is not sufficient evidence for attributing the operation to that State.

Comlicating Factor II

A cyber attack may be timed to take advantage of geopolitical tensions between two adversary states by an unknown third state or non-state actor.

It is quite easy to take over a computer in a government office and convert it to a command and control server, especially if one of the two states that is being manipulated has many of its nation’s computers already compromised by malware.

Complicating Factor III

Much of what is presumed to be known about cyber threat actors originates from the private sector and is based almost solely upon common technical indicators12 rather than first-person knowledge gained from human intelligence operations or criminal prosecutions.

The process that private cyber security firms use to identify and name cyber threat actors is arbitrary and lacks any centralised oversight or validation:

“Overall, the key findings indicate that organizations use a diverse array of approaches to perform cyber intelligence. They do not adhere to any universal standard for establishing and running a cyber intelligence program, gathering data, or training analysts to interpret the data and communicate findings and performance measures to leadership.”13

In fact, names like Comment Crew, APT1, Soy Sauce, GIF89a, Shanghai Group, and Comment Panda all represent the same “group”; a group that may or may not actually exist as a hacker organisation or military unit.14 Even if it does, no one knows who the members are (with a handful of notable exceptions15), or whether they have moved on to other groups. Hundreds of such made-up monikers have been created and no one knows if they represent actual groups, duplicates of other groups, or the product of overly presumptive cyber security companies competing with one another to sell cyber security intelligence. Some of the classified cables which surfaced during the Wikileaks revelations contained much of the same information that was previously shared by cyber security companies in public press releases and unclassified reports. This suggests that at least some of the classified threat intelligence that the U.S. Government has on Chinese hackers originated from the private sector, ostensibly with no oversight and little to no source validation.

Complicating Factor IV

When Stuxnet was developed in 2007 or 2008, it took several years and millions of dollars to create, and the malware succeeded in destroying just under 1,000 of Iran’s nuclear enrichment centrifuges at Natanz. In 2012, Shamoon was created by one or more hackers of moderate skill who tried to reverse-engineer the Wiper virus allegedly created by the same lab which created Stuxnet.16 It destroyed 2,000 servers and 32,000 workstations at Saudi Arabia’s national oil company Saudi Aramco, thereby impacting its business operations for weeks.

Think of an unregistered gun which may be used by one person to commit a crime and is then left on the street for someone else to pick up and use in a different crime, and so on.

Attribute with Caution

The attribution of an attack which is destructive enough to justify the victim’s response with force in self-defence must be done in accordance with international law and must reach a high threshold of certainty.17 The digital forensic evidence collected should certainly be shared with other nations’ CERT teams for peer review to avoid confirmation bias. While cyber attacks can be traced to infrastructure located within another state’s borders, that fact alone is not enough to justify a counter-attack. Other possibilities such as the remote control of servers in another state must also be ruled out.18 Even if the server used was connected to another state’s government network, “it is not sufficient evidence for attributing the operation to that State.”19

With respect to the technical challenges of attribution, it is important to note that the advance planning for a computer network attack of this magnitude would involve multiple servers across multiple countries. The attackers would likely also be careful to set up one or more shell businesses with corresponding servers in nations other than their own so that, even if an IP-address could be traced back through multiple hops, its originating source would still not be located in the state that planned and executed the attack. This type of operational security is used by at least one industrial espionage group in China, according to the FBI.20

Unfortunately, the rapid adoption of insecure technologies running critical infrastructure will not be stopped. As the world becomes more digitally connected, it also becomes easier for adversaries to cross physical, financial, and technological barriers that historically have made it difficult or impossible to cause harm in an anonymous manner. However, in today’s global economy, it is highly unlikely that any developed country in the G8 or G20 would attempt to take down another nation’s banking, power, or transportation system because it would serve more as a collective punishment than anything else.

The most likely adversary responsible for a covert attack against those critical systems is an extremist group (religious, political, or anarchist), and the best way to learn which of those groups may have been responsible post-attack is to already have in place a long-term counter-intelligence campaign of infiltration and the development of trusted contacts with access. This cannot be done virtually or from behind a computer. Rather, those intelligence agencies that have yet to devote the bulk of their budget to signals capabilities may be best positioned to tackle the problem of attribution. They understand the need to continue to fund and even expand human intelligence – this is still vital, despite the fact that we are living in the age of Facebook, Twitter and Instagram.

NATO Paper on the TALLIN MANUAL Paper 7 The Law of Cyber Targeting ( Summary) english

Summary of the paper`s background

The Talinn Papers is a peer reviewed publication of the NATO Cooperative Cyber Defense Centre of Excellence, designed to inform strategic dialogue regarding cyber security within the alliance and beyond.

The Law of Cyber Targeting

The war between Russia and Georgia (2008) marked the birth of cyber war ( not hacktivism). Today we see cyber operations (CO) in Syria and Ukraine. Attention must be paid to the law that governs these activities. Given the novelty of CO as a method of warfare during an armed conflict any alleged misuse has the potential for strategic consequences. NATO CCDCE has taken a global lead in addressing this issue. The following questions are asked:

What applies to my operation ?

May I engage the intended target ?

Is the weapon that I use legal ?

What precautions must I take to avoid collateral damage ?

Do the scope and degree of likely collateral damage prohibit me from engaging the target ?

This paper will explain how each is resolved with respect to CO.

The Applicable Law (Part I)

International Humanitarian Law ( IHL ) comes into play when there is an armed conflict in legal parlance ( international and not international). To kill members of the civilian population is a violation of IHL and a war crime. There is no normative or practical logic for distinguishing between an CO and a kinetic operation (e.g. Stuxnet 2010). The enemy must be an organized armed group which is difficult to see in most cyber threats. The group must be armed and not only long to “denial of service actions (Estonia) In simple terms: The cyber conflict must start looking like war.

The Applicable Law (Part II)

Any discussion of targeting begins within the principle of distinction which is codified in Article 48 ( Geneva Conventions). Attacks against civilians and civilian objects are prohibited, indiscriminate attacks are forbidden, parties to a conflict must take precautions to minimize civilian harm when planning and conducting attacks and so forth.

Controversy surrounds the issue of whether the nation attacks should be interpreted more broadly. A CO targeting civilian cyber infrastructure (CCI) without physical effects could be far more detrimental than one causing limited damage. Consider an attack during an armed conflict on the enemy`s CCI: It seems incongruent to prohibit only the latter. If Data is treated as an object any manipulation of civil data would be qualify as unlawful damage or destruction (mind the deletion of a forum or blog post).Unless a CO has consequences that at least affect the functionality of an object it does not qualify as attack and therefore it is not prohibited. During an armed conflict it is generally legal to conduct CO against civilians as long as they are not harmed or injured. Denial of service is lawful until physical effects like starvation or illness.

 

 

The Target

CO must be frequently implicate the prohibition on attacking civilian objects, which are not military ones. Military objects are objects which by their nature, location, purpose or use make an effective contribution to military action and whose total or partial destruction, capture or neutralization in the circumstances ruling the time, offers a definite military advantage. “ A particular location might be to open dame gates to flood an area and deny its use to the enemy. A civilian object can become a military object though purpose: A civilian server farm that will store military data which may be attacked even before data storage begins or air traffic control or airspace management systems ( “war fighting or war supporting objects). Many war sustaining targets cannot be struck kinetically in a fashion that would generate the same effects as cyber attacks (bank systems for example). Persons may qualify as targets like combatants. Civilians qualify as well for the time they are members of an armed organized group with a continuous combat function. All those who conduct CO against the enemy or who defend against hostile operations have a continuous combat function and would be targetable. Analogue to human shields would be the development of more specific to an attack of the enemy system allowing CO to be launched from one`s home or business by others.

The Weapon

While certain uses of cyber weapons (malware) violate OHL such as attacking civilians, cyber weapons may also be unlawful per se. Weapons are prohibited when they:

-Cannot be directed at a specific military objective

-Generate uncontrollable effects

Cyber weapons may at times run afoul of these prohibitions – consider malware intended for use against military cyber infrastructure linked to civilian networks. If the malware is designed to spread randomly though the system into which it is introduced it is indiscriminate by nature and prohibited per se. The most well known indiscriminate  cyber weapon is the malicious but seemingly innocuous e-mail attachment sent to a combatant`s private e-mail account. Since the attacker has no control to whom it might be it would be indiscriminate ( mind of puppy or kitten videos). Restrictions do not bear on malware that does not cause injury, damage or loss of system functionality. Cyber weapons can be employed against closed military systems in which the risk of bleed over into civilian networks is low.

Precautions to avoid Civilian Harm and Collateral Damage

An attacker must take constant care to spare the civilian population, civilians and civilians objects. He must do everything feasible to verify that the target is not protected by IHL select the weapon, tactic and target that will minimize civilian harm without forfeiting military advantage or cancel an attack when reason to believe that the attack may be unlawful comes to light and warn the civilian population of any attack that may affect them.

An attack which may expected to cause incidental loss of civilian life injury o civilians, damage to civilian objects or a combination thereof which would be excessive in relation to the concrete and direct military advantage anticipated is prohibited.

Conlusion

On the one hand options that are in fact lawful are sometimes needlessly taken off the table out of misguided concern as to their legality. On the other hand unlawful options are in times seriously considered thereby risking public and intentional condemnations should they be selected. The normative fog of Cyber war is beginning to clear.

NATO Paper on the TALLIN MANUAL Paper 3 Tallin Paper NATO on Its Way Towards a Comfort Zone in Cyber Defence( Summary) english

Tallin Paper NATO on Its Way Towards a Comfort Zone in Cyber Defence

Hannes Kraus

Executive Summary

 

If NATO truly wants to pursue a collective effort within the cyber realm, which could be anticipated as being its natural comfort zone in cyber defence, its new policy will first have to consider the lessons learnt following the adoption and implementation of the present guidance. The steps it will introduce will have to be gradual and realistic, while still increasing NATO’s collective efforts in cyber defence.

Archievments since 2011

The new NATO policy will not only enable NATO to defend its own networks more quickly and effectively but also provide much more assistance to Allies and Partners in all the three crucial areas of cyber security: prevention, coping with cyber attacks and limiting their impact, and helping countries which are attacked to recover and restore their vital information systems rapidly.

Cyber and Collective Defense

A relatively easy and very NATO-like solution would be to create a commonly funded capability that all Allies could rely on to a certain degree. In fact, in 2011 NATO commenced work on a Rapid Reaction Team concept in which cyber defence experts would be deployed to assist a member state in the event that a cyber attack of national significance had taken place.6 However, either the Rapid Reaction Team concept has not received unanimous support within the Alliance, or progress has stalled for some other reason. It may well be that the uniqueness of cyberspace significantly hampers this solution’s practicability when compared to a traditional military context in which NATO is comfortable operating. For example, the Rapid Reaction Team would first need time to acquaint itself with the targeted information systems, but in the face of an on-going cyber attack action must be taken as quickly as possible. Therefore, alternative and more flexible solutions for cooperative or collective cyber defence should perhaps be considered.

Using NATO`s Defence Planning 

The precondition for an effective use of the defence planning process in cyber defence is not only information about existing capabilities, but also differing national policy, legislative and doctrinal approaches. While today it is natural to imagine NATO asking its members to invest in armoured capabilities or transport planes, it is not so easy with respect to cyber capabilities. For the latter to materialise there is clearly a need for more openness on cyber matters, particularly on national capabilities.

Cyber Defence Exercises

In this context, the Estonian offer to NATO to use its national cyber range as the Alliance’s cyber defence training field, including its use in exercises, should not be overlooked.

While focussed on the practical cyber defence challenges and ways to address them, NATO should not underestimate the political ramifications of advancing its cyber defence exercise programme. Obviously, participants will acquire a better understanding of each other’s capabilities and skill-sets through regular exercises, as is the case with all collective exercises. In cyber defence, such exercises would also result in closer personal relationships, thereby facilitating information sharing at the working level. These, in the long run, build trust-based solid institutional relationships, which are a precondition for any collective approach to cyber defence.

 

 

NATO Paper on the TALLIN MANUAL Paper 8 The Role of Offensive Cyber Operations in Nato`s Collective Defence ( Summary) english

Tallin Paper No 8 Janes A. Lewis

The Role of Offensive Cyber Operations in Nato`s Collective Defence ( Summary)

 

Computers used to a hack are new military technology which are destabilizing. NATO integrate cyber sec into its planning progress. NATO`s cyber policy emphasized “prevention, detection, resilience and recovery. Cyber defence is a priority and become a central component of NATO`s planning. Any unclassified NATO network that is directly connected to the internet should be considered potentially compromised. US intel assesses that Russia given to its records of cyber collection, poses the greatest espionage threat to NATO computer networks. A lack of public discourse on offensive CO undercuts the legitimacy of NATO operations by failing to build public understanding and leaves NATO open to charges of sinister plots. Since denial of offensive capabilities is not credible when two NATO members are world leaders in CO.

The parallel for NATO is that cyber attack is a weapon with both strategic and tactical uses which only a few NATO members posses. No modern air force would enter into combat without electronic warfare capabilities. As Cyber and EW merge into a single activity, air ops will require cyber support. Offensive cyber capabilities will shape the battlefields of the future. NATO`s potential opponents will use hybrid warfare ( Iran, North Korea or none state actors as the Syrian Electronic Army.

Offensive Cyber Operations

Cyber attacks will serve several purposes and will not produce destructive effects similar to kinetic weapons but will seek to disrupt data and services, sow confusion, damage networks and computers. Offensive cyber ops would strike military, government and perhaps civilian targets such as critical infrastructure in opponent homeland used to support war effords. Tactical ops would be support of combat forces and to shape the battlefield by degrading command networks and weapons software. Tactical and operative actions will be used against command and control systems ( incl. sensors and computer network and against software that runs advanced weapons ( SAM or fighter aircraft).

Strategic ops can be used in long range strikes against rear areas of the opponents homeland including civil targets with the intention to disrupt services and degrade moral without mass destruction. Civilian targets remain attractive objectives for cyber attacks in support military ops ( war supporting infrastructure, power grids, power generation facilities, telecommunications, financial and transportation systems or government network).

Opponent use of Cyber Ops

The doctrine of today’s potential opponents includes plans to use cyber attacks to shape the initial phases of conflict and disrupt NATO’s response. Strikes against civilian targets risk escalating any conflict, but an opponent may judge the risk of escalation to be acceptable if the context for cyber attack is an offensive against a smaller nation, such as a Baltic country, that it plans to rapidly overrun and occupy. Cyber strikes against civilian targets in these countries could provide a few hours or even a few days of disruption that would in turn generate real advantage in operations planned to last only a day or two. Cyber actions against NATO’s supporting infrastructure, to slow the response to such an offensive, are also likely, but an opponent may choose to limit the effects of such actions in the hopes of reducing the risk of escalation.

While NATO’s likely opponents include those who will make extensive use of cyber techniques, it is worth bearing in mind that the use of offensive cyber capabilities has been minimal in recent armed conflicts in Europe, and has been used primarily for political coercion, opinion shaping and intelligence gathering. Unless new opponents badly misinterpret NATO’s resolve, a blitzkrieg against NATO states is unlikely; but the kind of hybrid warfare used against Ukraine remains a very real risk. Operations in Georgia and Crimea suggest that we need to adjust our thinking about an opponent’s use of cyber attacks.

Stabilising or Not

Dissimulation is an essential part of hybrid warfare, and Europe and the US face a propaganda barrage that is much more sophisticated than the clumsy Soviet efforts of the Cold War. The Russian position is that NATO’s new cyber doctrine is destabilising as it threatens to use conventional or even nuclear responses (in the Russian description of the new policy towards low-level cyber attacks). Russia, along with NATO’s other potential military opponents, is likely to overestimate both capabilities and coordination among NATO member states and underestimate NATO’s will to defend. NATO’s decision on how cyber attacks could trigger Article 5, while greeted with complaints, had a stabilising effect. It made clear to potential opponents that cyber attacks are not risk-free.

The Cyber Club

Some level of cyber capability is being acquired by all advanced militaries, and perhaps a dozen countries can be identified from public sources as procuring offensive cyber capabilities. These countries include several NATO members. As with nuclear weapons, the capability to undertake offensive cyber operations is a club within a club in NATO, with largely the same membership – the US, the UK and France. Germany’s armed forces may also be developing offensive cyber capabilities. They also have a close partnership in cyber espionage. This partnership is centred on a relationship between the US National Security Agency (NSA) and the British Government Communications Headquarters (GCHQ), both of which are intelligence agencies with a long history of supporting military operations. Until there are better predictive tools and judgments about risk and consequences, offensive cyber operations will require a politically sensitive decision as to when the benefit of an attack outweighs the political risk.

Whiskey and Romeo

The similarity of cyber operations with nuclear weapons lies not in destructive power – a cyber attack would not cause anywhere near the damage that even a small nuclear warhead would produce – but in the need for political control of release and use. The effects of a cyber attack, while limited, are still somewhat unpredictable. The risk of collateral damage is difficult to estimate. Computer networks are connected in strange ways and therefore we could attack one network only to find that third party networks depend on it. This uncertainty about effect is a constraint on offensive cyber operations. Cyber attacks have several stages: reconnaissance to identify the target’s vulnerabilities, developing “weaponized” code, breaking in, delivering the software “payload”, and then “triggering” it – all without being detected. The most harmful cyber attacks – those like Stuxnet that cause physical damage – are still a high art of which only a few nations are capable. While it may eventually be possible to refine the ability to quickly deliver cyber effects and to better. Estimate the potential for collateral damage, the requirements for preparation limit the utility of the nuclear release model for advanced cyber attacks and highlight the need for advance coordination and planning.

Beyond the Nuclear Precedent

NATO could also benefit from ensuring that its exercises include an offensive cyber component. This does not mean, despite Russian suspicions, that NATO will plan offensive cyber operations. It means that just as NATO aircraft are not confined to a defensive tactical role in responding to an attack, a “counter-offensive” capability will require a cyber component. NATO will not initiate conflict, but if conflict is initiated by an opponent, NATO defences will be best served by including an offensive cyber component in its planning and operations. A NATO Cyber Red Team created to test defences would provide an incipient offensive capability, but this by itself is not enough. A Cyber Red Team allows individuals and teams with both the capability to break into networks and the opportunity to practise their techniques, but it does not embed them in a planning and operational context, nor does it connect them to the intelligence needed for a successful cyber attack. Any conflict among advanced military powers will include cyber activities.

Building a Responsive Cyber Defence

The nature of warfare is changing as opponents seek to circumvent Western military power by using a blend of political action, special forces, proxies and irregular units, unconventional tactics and cyber techniques to find a different way of applying force to gain their ends. What Russia sometimes call “hybrid warfare” will challenge NATO defence planning. NATO would never refrain from using fighter aircraft because they can serve offensive purposes, and say it would rely solely on air defence missiles and damage control to deal with the threat of air attack. Nor would NATO renounce armoured vehicles and rely only on static defence. A defensive approach that forsakes the possibility of offensive action is essentially a cyber Maginot Line. This defensive orientation serves no one’s interest except that of our opponents. Offensive cyber operations are similarly a part of warfare that advanced militaries cannot ignore.

Tagesbriefing 24.11.2013 Iran Deal : Iran darf weiter Uran anreichern, innerhalb der Bestandsgrenzen 5/2014

Lieber Leser,

wir werden in den nächsten Tagen in den Nachrichten vom Atomdeal zwischen dem Iran und den 5+1 Staaten China, Russland, Frankreich Großbritannien, USA und Deutschland lesen. Der Spiegel, AFP, sowie die anderen Leitmedien und Presseagenturen ( siehe Ende des Spiegelberichtes) berichten uni sono von den Verhandlungen. Aber geht es wirklich um Atomwaffen ? Was brüskiert Israel und Saudi Arabien so sehr an dem moderaten Vertragsergebnis, an dem China und Russland mitgewirkt haben ? Ein "historischer Fehler" ( Benjamin Nethanjahu ) ?

Atomwaffen für den Iran ?

Ob der Iran Atomwaffen zur Einsatzfähigkeit bringen wollen weiss ich nicht. Doch ist man in Theran weder wahnsinnig noch irrational. Eine Rückversicherung gegen einen Angriff auf den Iran erscheint mir persönlich sinnvoll, aber bis auf die beiden  Kriegsverbrechen gegen Hiroshima und Nagasaki im Zweiten Weltkrieg sind Atomwaffen noch nie eingesetzt worden. Ein relatives Gleichgewicht der Atommächte ergab eine Putsituation. Das logische Ergebnis ist, dass Kriege und Konflikte niederer Intensität konventionell geführt werden und nur Länder betroffen sind, die nicht über Streitkäfte verfügen, die auf Dauer die Grenzen und die öffentliche Sicherheit schützen können. Atomwaffen werden heutzutage nicht entwickelt um eingesetzt zu werden, sondern um das Kernland vor direkten übergriffen zu schützen. Auch von einem Iran mit Atomwaffen würde keine atomare Gefahr für Israel ausgehen, da die Antwort die Auslöschung der iranischen Großstädte wäre. Atomwaffen im Iran würde natürlich das Ringen um die Hegemonialmacht zugunsten des Irans verschieben, da kein Staat in der Region über eine schlagkräftigere Armee, größere Reserven an Personal, Industrie, Boden und Energie zur gleichen Zeit verfügen würde. Andere Staaten in der Region könnten der Kontrolle des Westens langsam entgleiten. Der Iran selbst bestreitet bis heute die Entwicklung von Atomwaffen. Mir drängt sich die Frage auf wieviele Sprengköpfe der Iran produzieren müsste, um der USA, Israel und anderen Staaten die den USA zur Seite stehen gefährlich zu werden. Die Menge wäre - gemessen an der aktuellen Menge von 0 Sprengköpfen - absurd groß und mittelfristig nicht zu produzieren.

Atomkraft als Wirtschaftswaffe

Der Iran verfügt selbst über Uranvorkommen, könnte also seine Industrie unabhängig vom Ausand und relativ sauber, zu einem bestimmten Anteil, mit günstiger Energie versorgen. Abgesehen von Atomsprengköpfen als Rückversicherung für einen Militärschlag gegen den Iran, könnte sich die iranische Wirtschaft durch billige Energie ( und dadurch freiwerdenden Exportmengen) wirtschaftlich extrem weiterentwickeln. Ein wirtschaftlich sehr starker Iran könnte die israelische Wirtschaft schwächen und würde eine weitere Modernisierung der iranischen Armee begünstigen. Ein wirtschaftlich geschwächter Iran wäre jedoch andererseits ein leichteres Ziel für westliche Interventionen. Vorher jedoch müsste der Iran innerlich gespalten und die Armee aufgerieben werden und das geschieht als Vorbote für eine Intervention nicht. Iran: ein harter Brocken. In jedem Fall hat der Iran ein berechtigtes Interesse an einer erstarkten Wirtschaft, wie jede andere Staat auch. Es erscheint natürlich, dass die Türkei, Israel und Saudi Arabien als Konkurrenten um die Hegemonialrolle des Nahen Ostens dem Atomprogramm begegnen wollen. Da der Iran bisher den US-amerikanischen "Umstrukturierungsversuchen" und "Anpassungen" erfolgreich widerstanden hat und die USA an Israel ( als Fußabdruck der USA im Nahen Osten) als Hegemon der Region ein starkes Interesse haben, unterminieren diese natürlich auch den Aufstieg der iranischen Wirtschaft. Banal gesagt unterstelle ich den USA, gemäß ihren Doktrien, den Wunsch die Wirtschaft und Rohstoffvorkommen des Irans unter ihre Kontrolle zu bekommen. Dies war trotz rigider Handelsembargos bisher nicht umsetzbar.

Quelle: Rianovisti

Es ist natürlich im Rahmen des Containments für die USA untragbar, die Landbrücke zwischen dem Irak und Afghanstan, wesentliche Teile des kaspischen Meeres und des Golfes nicht unter ihre Kontrolle bekommen zu haben. Die Kontrolle des Irans würde die Ausschaltung eines Partners Russlands, die Kontrolle über die mögliche Drehscheibe des arabischen Öls zwischen Ost und West sowie die kostengünstige Erschließung des kaspischen Öls und immenses Kreditvolumen US-amerikanischer Banken in dieser Region bedeuten. Darin mag ein Grund liegen den Iran zu dämonisieren. Interessant vor diesem Hintergrund ist die Haltung Israels, sich nicht an die getroffene Einigung dem Iran, eine begrenzte Anreicherung zuzugestehen,  gebunden zu sehen.  Ein erneuter Sonderweg Israels ? Liegt also der von Nethanjahu geäußerte Vorwurf des historischen Fehlers in der fehlenden Entsprechung der strategischen Interessen Israels ?  Der Spiegel-Online behauptet gar: "Die Weltgemeinschaft verdächtigt die Regierung in Teheran, nach Atomwaffen zu streben, was diese bestreitet."  Man könnte nun zynisch fragen, wer diese Weltgemeinschaft ist. Der Duden gibt darauf Antwort. Russland und China zum Beispiel verdächtigen den Iran jedoch nicht dieser Handlungen. Die Tagesschau hingegen berichtet von erfolgreichen Gesprächen.Der SRF hält sich bezüglich der Interessen des Westens ein wenig zurück und berichtet gewohnt moderat von den Verhandlungen. 

Einigungsinhalt

"Der Iran hat sich verpflichtet, bestimmte Grenzen bei der Urananreicherung einzuhalten und einen Teil des höher angereicherten Uran zu neutralisieren", so der US-Präsident. Teheran werde die bereits installierte neue Generation von Zentrifugen zur Urananreicherung nicht nutzen, außerdem keine neuen Zentrifugen installieren und seine Zentrifugen-Produktion insgesamt begrenzen, fügte Obama hinzu. Außerdem würden die Arbeiten an Irans Plutoniumreaktor in Arak eingestellt. Ob sich die Regierung im Iran an diese konkreten Zusagen halte, könne die internationale Gemeinschaft überprüfen - und zwar durch den erweiterten Zugang von Inspektoren zu allen Nuklearanlagen." (Vergl. Tagesschau )

US-Außenminister Kerry sagte jedoch auf CNN, der Iran habe kein Recht weiteres Uran anzureichern, dies sei nicht Inhalt des Abkommens. 

 Einblick in das Vertragsdokument ist jetzt hilfreich, denn offenbar ist man am Ende doch nicht zu einer Einigung gekommen, wenn der Iran bestätigt und die USA verneint, dass Uran angereichert werden dürfte.
Das Factsheet des Weißen Hauses zum Vertragsinhalt sagt aus, der Iran dürfe weiterhin Uran anreichern, entgegen der Aussage Herrn Kerrys, jedoch nur innerhalb der Grenzen des Bestandes, der  am Ende der kommenden sechs Monate besteht.