Mehr Transparenz bei der Cyber-Attribution
Nach dem Beispiel von Intrusion Truth sollten die Regierungen ihre Aussagen über die Urheberschaft bösartiger Cyberoperationen mit Informationen aus offenen Quellen untermauern, argumentiert Eugenio Benincasa in dieser Ausgabe der CSS Policy Perspectives Reihe.
Kernpunkte
- Viele Staaten zögern, böswillige Cyber-Operationen, die auf sie abzielen, zuzuordnen, da sie technische Beschränkungen haben und das Risiko besteht, geheime Quellen und Methoden preiszugeben. Diejenigen, die eine Zuordnung vornehmen, halten aus denselben Gründen der Geheimhaltung oft umfangreiche Beweise zurück.
- Seit 2017 hat Intrusion Truth mehr als 30 Cyber-Agenten des chinesischen Geheimdienstes identifiziert, indem es in erster Linie Open-Source-Informationen nutzte. Sie veröffentlichen ihre Erkenntnisse auch in ihrem Blog.
- Die Enthüllungen von Intrusion Truth hatten greifbare operative Folgen, die den chinesischen Bedrohungsakteuren technische und sozioökonomische Kosten verursachten und die politische Diskussion beeinflussten.
- Regierungsbehörden sollten Open-Source-Informationen in ihre öffentlichen Zuordnungsprozesse und Erklärungen integrieren, um übergreifende Herausforderungen zu bewältigen.
Regierungen zögern im Allgemeinen, böswillige Cyberoperationen, die gegen sie gerichtet sind, einem bestimmten Land, einer Einrichtung oder einem Betreiber zuzuordnen. Dies ist häufig auf technische Hindernisse wie begrenzte forensische Fähigkeiten und das Risiko der Preisgabe geheimer Quellen und Methoden zurückzuführen. Wenn Staaten eine Zuordnung vornehmen, fürchten sie aus denselben Gründen der Geheimhaltung die Veröffentlichung umfangreicher Beweise. Infolgedessen mangelt es den öffentlichen Zuschreibungen (siehe Glossar auf Seite 2) von Cybervorfällen oft an Transparenz. Kann dieses Vorgehen als verantwortungsvolles staatliches Verhalten im Cyberspace angesehen werden?
Im April 2017 gründete eine anonyme Online-Gruppe namens Intrusion Truth einen Online-Blog. Seit seiner Gründung hat der Blog die wahren Identitäten von mehr als 30 chinesischen staatlich gesponserten Cyber-Agenten in mehreren chinesischen APT-Gruppen (Advanced Persistent Threat, siehe Glossar) aufgedeckt. Intrusion Truth ist es auch gelungen, diese Agenten mit dem Ministerium für Staatssicherheit (MSS) und seinen regionalen Büros in Tianjin, Jinan, Hainan und anderswo in Verbindung zu bringen.
Intrusion Truth stützt sich bei all seinen Ermittlungen in erster Linie auf Open-Source Intelligence (OSINT, siehe Glossar) und veröffentlicht in seinem Blog eine umfassende Darstellung seiner Ergebnisse in einer schrittweisen Vorgehensweise. Die Fähigkeit von Intrusion Truth, OSINT zuverlässig und konsistent für evidenzbasierte, hochgradig vertrauenswürdige öffentliche Zuordnungszwecke zu nutzen, bleibt einzigartig. Es ist nicht bekannt, wer hinter Intrusion Truth steckt und wie viele Personen daran beteiligt sind. Es ist zwar möglich, dass Geheimdienst- oder Strafverfolgungsbeamte aktiv mit Intrusion Truth zusammenarbeiten oder Teil von Intrusion Truth sind, doch gibt es bisher keine Beweise, die eine solche Behauptung stützen.
Dennoch bieten die Aktivitäten von Intrusion Truth wertvolle Lehren für Regierungsbehörden. Durch die Optimierung des Einsatzes und der Integration von OSINT in Attributionsprozesse und -erklärungen können Regierungsbehörden dazu beitragen, Transparenzprobleme bei der öffentlichen Attribution zu lösen.