LUXEMBURG
DANIEL OLY

Bei der Cyberverteidigung ist ein Team gefordert - ein Interview

Aus Hollywood-Filmen sind die Szenen bekannt: Hacker wollen das Stromnetz lahmlegen und liefern sich einen erbitterten Kampf mit den Sicherheits-Leuten im Cyberspace. Gigantische Angriffe sollen Satelliten abstürzen lassen oder Raketen umprogrammieren - all das ist natürlich, wie so oft bei der Traumindustrie aus Hollywood, reine Fantasie. Reale Cyberverteidigung, die Abwehr von böswilligen Faktoren im Cyber-Raum, ist ganz anders: Sie beschäftigt sich eher mit Widerstandsfähigkeit und Aufklärung und setzt auf Zusammenarbeit der unterschiedlichen Experten. Das bedeutet auch: Der abgedunkelte Arbeitsraum mit hundert Bildschirmen und grünem Code ist der Dramatik halber ebenso frei erfunden wie die Horrorszenarien, die sich in den Filmen abspielen. Die Realität sieht anders aus, wie die Verantwortliche für Cyberverteidigung in der Verteidigungsdirektion, Sheila Becker, erklärt. Sie belegte zuvor bei der luxemburgischen Armee denselben Posten.

Wie sah die Rekrutierung bei der Armee aus?

Sheila Becker Ich habe keine militärische Grundausbildung hinter mir, also keine Soldatenausbildung. Anfang 2016 habe ich mich als Staatsbeamtin auf einen der neu entstandenen Posten im Cyber-Bereich bei der Armee beworben. Zu repräsentativen Zwecken wurde ich kommissioniert, das heißt ich habe das Recht erhalten, den Titel Kapitän zu tragen, um bei internationalen Treffen die Armee vertreten zu können.

Wie unterscheidet sich die Stelle bei der Armee von der Arbeit bei der „Direction de la Défense“?

Becker Ich wurde im September 2017 von der Armee in die „Direction de la Défense“ detachiert, während der Kollege bei der Armee auch weiterhin dort arbeitet. Zuvor waren wir beide bei der Armee, beschäftigten uns aber schon von Anfang an mit unterschiedlichen Thematiken. Während die Armee eher auf Dinge wie operationelle Cyberverteidigung blickt, wie der Situation direkt vor Ort, die Absicherung der Kommunikationsverbindungen der Soldaten oder ähnlichem, beschäftigt sich meine Arbeit viel stärker mit der konzeptuellen Verteidigungsstrategie des Landes. Das hat sich auch nicht geändert, sodass der Kollege sich auch weiterhin mit der praktischen Anwendung von Cyberabwehr beschäftigt, und auf einer taktischen, operationellen Ebene arbeitet, die eher eine Mission, einen Einsatz betrifft, geht es bei meiner Arbeit um die strategisch-politischen Gebiete.

Also „konzeptuelle Verteidigungsstrategie“ - was ist damit gemeint?

Becker Es handelt sich hierbei nicht um eine technische Arbeit, ich programmiere nicht und analysiere nicht die technischen Eigenschaften von Malware. Es geht also stattdessen um die methodische Herangehensweise an eine Problemstellung. Das beinhaltet auch das Verfolgen von internationalen Geschehnissen. Da es im digitalen Raum eigentlich keine Grenzen mehr zwischen Ländern gibt, ist es wichtig, zusammen an einem Strang zu ziehen. Deswegen muss man auch wissen, welche Initiativen die EU oder die NATO gerade im Cyberbereich startet. Hinzu kommt natürlich, dass es keinen rein militärischen Cyberraum gibt. Der Cyberraum wird gleichzeitig von der Zivilbevölkerung genau wie von der Wirtschaft benutzt.

Die wichtigste Frage ist, wie kann die Verteidigung dabei helfen, Luxemburg als Land vor Cyberbedrohungen zu schützen. Wir stellen da nur ein Stück vom Puzzle dar, und nur zusammen mit den anderen nationalen Akteuren ist das Puzzle zusammenzustellen. Eine enge Zusammenarbeit zwischen den Akteuren ist unabdingbar. Die konzeptuelle Arbeit soll die genaue Form des Puzzlestücks definieren.

Stichwort „andere Akteure“: Wie sieht die Kooperation mit Experten in Luxemburg aus?

Becker Wir haben in Luxemburg eine recht einzigartige, beispielhafte Situation. In anderen Ländern haben die verschiedenen Akteure, und somit auch das Militär, getrennte Netzwerke und Infrastrukturen. Bei uns ist das anders, durch die Größe des Landes sind Synergien aufgebaut worden. So sind die Netzwerke und Infrastrukturen, die die Verteidigung nutzt, die gleichen wie beim restlichen Staat, und diese sind unter der Obhut des „Centre des Technologies de l’Information de l’Etat“ (CTIE). Malware und Incidents werden vom staatlichem Computer Emergency Response Team (GOVCERT) analysiert und behandelt. Sensibilisierungskampagnen werden unter anderem von SECURITYMADEIN.lu für den Staat ausgeführt. Das sind nur einige der nationalen Akteure. Diese Aufteilung hat zur Folge, dass wir nicht die gleichen Kapazitäten nochmals aufbauen müssen. So zum Beispiel konnten wir mit Hilfe der Zusammenarbeit vom GOVCERT und Securitymadein.lu (bzw CIRCL) 2017 beim Cybercoalition Exercise der NATO teilnehmen. Wir haben also eine gute Zusammenarbeit - aber das ist auch nötig, denn hierzulande müssen wir einfach eng zusammen arbeiten. Es wäre beispielsweise kontraproduktiv, wenn es neben GOVCERT noch ein militärisches Responseteam bräuchte. Damit würden wir unsere Expertise streuen, statt sie zu bündeln.

Wie sieht es mit der Infrastruktur aus? Gibt es dabei bereits Vorgaben der NATO?

Becker Ja, die NATO hat tatsächlich Vorgaben, wie die eigene Infrastruktur auszusehen hat, um einen Minimum an Sicherheit zu gewährleisten. Bei Missionen wird für uns die Umsetzung verschiedener Vorgaben vereinfacht, da unser Kontingent an Soldaten normalerweise immer Teil eines anderen Bataillons sind. Da werden unsere Leute bei anderen Ländern integriert, dadurch müssen wir auch keine eigene Infrastruktur stellen und haben somit weniger Vorgaben zu erfüllen, da das meist dann von der Hostnation übernommen wird.

Gleichzeitig gibt es einen regen Informationsaustausch der NATO-Mitglieder untereinander. Sowie einen „Cyberdefense Pledge“, der eine einheitliche Sensibilisierung und Training anstrebt.

Wie sehen Sie die Weltraumaktivitäten? Spielt das für Ihre Abteilung eine Rolle?

Becker Bei den Weltraumressourcen nicht, aber beim jüngst gestarteten Satelliten stellen sich in der Tat Fragen der Sicherheit, sobald sich Luxemburg dazu entscheiden würde, den Satelliten im Rahmen seiner Verteidigungsstrategie zu nutzen. Bislang betrifft es uns aber noch nicht.

Zu Ihnen: Was muss man für diesen Job mit sich bringen, welches Vorwissen?

Becker Ich habe ein Doktoratsstudium in der Informatikwissenschaft absolviert, aber einen Computer-Wissenschaft-Abschluss benötigt man nicht unbedingt für die Ausarbeitung einer konzeptuellen Verteidigungsstrategie. Stattdessen geht es eher um Problemlösungs-Skills; die Fähigkeit, sich in ein Szenario hinein zu versetzen und sich dann eine Lösung auszudenken.

Im Allgemeinen benötigen die verschiedenen Arbeitsmöglichkeiten im Cyberbereich sehr verschiedene Anforderungen. Da wird eine Verallgemeinerung des nötigen Vorwissens schwierig. Ein technisches Verständnis ist allerdings die absolute Basis.

Was wäre das „Worst-Case-Szenario“?

Becker Meiner Meinung nach wird vor allem die Cyberkriminalität weiter zunehmen. Da hilft nur, sich mit Prävention vorzubereiten, indem man auf Resilienz setzt, und insgesamt mehr Aufklärungsarbeit und Sensibilisierung der Bevölkerung leistet. Vor allem die heutige Jugend ist sich oft nicht bewusst, dass durch das Benutzen verschiedener „kostenloser“ Apps, sie dennoch diese Nutzung durch ihre privaten Daten bezahlen. Die privaten Daten sind so dann nicht mehr privat und können weiterverkauft werden.

Ein offener Cyberkrieg zwischen zwei Staaten, vergleichbar zu einem Krieg in anderen Bereichen (Land, Wasser, Luft) ist für mich unvorstellbar und gehört eher in einen Fantasyfilm.

Zuletzt machten veröffentlichte Bewegungskarten eines Fitnessanbieters - sogenannte Heatmaps - die Runde. Sehen Sie da ein akutes Problem?

BECKER Ich denke, das ist ein allgemeines Problem, das inzwischen Teil der Realität geworden ist und eher schwer in den Griff zu bekommen sein dürfte. Wir sind mittlerweile ganz vernetzt, alles wird getracked und geshared (bewusst oder unbewusst). Es ist jedenfalls etwas, das wir im Auge behalten müssen, ob im militärischen oder zivilen Bereich.