Wie sich die NATO gegen Cyber-Angriffe wappnet Dr. Manfred Boudreaux-Dehmer, NATO Chief Information Officer, über die Herausforderungen in der IT-Sicherheit und den Umgang mit Cyber-Risiken am öffentlichen Online-Event vom 27. Februar 2024

Im digitalen Zeitalter gehören die Fortschritte in der künstlichen Intelligenz (KI) und die Bedrohung von Cyber-Risiken zu den vorherrschenden Themen in der Wirtschaft, Gesellschaft und Politik. Die Frage stellt sich: Wie schützen sich Unternehmen vor einem Hacker-Angriff und welche Rolle spielt dabei die KI? An einem kürzlich durchgeführten Online-Event der Kalaidos Fachhochschule stand Dr. Manfred Boudreaux-Dehmer, Chief Information Officer bei der NATO (North Atlantic Treaty Organisation), Rede und Antwort, wie sie die Herausforderungen in der IT-Sicherheit bezüglich versteckter Kriegsführung meistert. Durch die Fachveranstaltung führte Prof. Dr. Yoshija Walter, Studiengangsleiter und Dozent am Institut für Management und Digitalisierung.

Welchen Zweck verfolgt die NATO?

Die NATO ist eine Allianz von europäischen und nordamerikanischen Ländern. Dazu zählen mittlerweile 31 Mitgliedstaaten. Zweck der NATO ist es, mit politischen und militärischen Mitteln die Freiheit und Sicherheit ihrer Mitglieder zu garantieren. Zu den Kernaufgaben der NATO gehören Abschreckung und Verteidigung, Krisenprävention und Krisenmanagement sowie kooperative Sicherheit. Durch ihre Diskussionen und Partnerschaften trägt die NATO zur Konfliktverhütung innerhalb und ausserhalb der Grenzen ihrer Mitgliedsstaaten bei. Alle Entscheidungen in den NATO-Gremien werden im Konsens, das heisst einstimmig, getroffen. Ein "NATO-Beschluss" ist daher der Ausdruck des kollektiven Willens aller 31 Mitgliedsstaaten.

Wie reagiert die NATO auf die aktuelle weltpolitische Gefahrenlage?

Die Verschärfung der weltpolitischen Gefahrenlage stellt nicht nur weltweit, sondern auch für die NATO eine zunehmende Bedrohung dar. Die Bedrohungen werden immer häufiger und raffinierter. Sie erweitern sich mehr und mehr auf den Cyberspace und äussern sich durch die böswillige Nutzung neuer Technologien in Form von Malware und Social Engineering Phishing bis hin zu DNS-Spoofing und Botnetzen. Spionage, Identitätsdiebstahl und Rufschädigung sind die Hauptmotive der Hacker.

Boudreaux zufolge stehen folgende geopolitische Entwicklungen damit im Zusammenhang:

• Russlands erweiterte Besetzung der Ukraine: Bereits innerhalb der ersten 48 Stunden nach dem Einmarsch der Russen wurden weltweit 800 Prozent mehr Cyberangriffe verzeichnet. Seitdem werden massive Desinformationskampagnen im Internet beobachtet. Auch wurde schon mehrmals versucht, die UNO-Website zu hacken und dem Image der NATO zu schaden.
• Israel / Hamas-Konflikt: Seit Oktober 2023 ist ein stetiger Strom von Cyber-Operationen durch Iran und Hisbollah verbundene Gruppen zu beobachten.
• Nord-Korea: Das Land hat eine eingeschränkte Teilhabe am Welthandel und setzt deshalb vor allem Ransomware ein, um an Geld zu kommen. Bei der NATO ist Ransomware (Freigabe von verschlüsselten Daten nach Bezahlen eines Lösegelds) allerdings kein Thema.
• China: Von hier kommt die grösste Bedrohung: Mittlerweile wurden 40 eigenständige sogenannte «Advanced Persistant Threat Groups» identifiziert, die mittels diverserer Cyber-Methoden Informationen – insbesondere US-Technologien – beschaffen. Diese sollen der chinesischen Regierung und staatseigenen Unternehmen politische, wirtschaftliche oder militärische Vorteile verschaffen.

So wie sich die Art und Häufigkeit der Bedrohungen ändern, hat auch die NATO ihre Massnahmen zur Erhaltung des Friedens verändert und intensiviert. Die NATO setzt zur Verteidigung zwar nach wie vor auf multinationale und multidisziplinäre Ansätze zur Bekämpfung von Sicherheitsbedrohungen wie Nachschub von Waffen, militärische Simulationen etc. Doch fliessen immer mehr Ressourcen auch in die Cyber-Sicherheit. Hier setzt die NATO zum einen den Fokus auf den Schutz der eigenen Netzwerke sowie auf spezialisierte Dienstleistungen zur Vorbeugung, Erkennung, Reaktion auf und Wiederherstellung nach Cybersicherheitsvorfällen. Zum andern bietet sie ihren Verbündeten Hilfe zur Stärkung der nationalen Widerstandsfähigkeit an und dient als Plattform für Konsultationen und gemeinsames Handeln.

Wie sichert die Nato ihre Daten?

Die NATO verfügt über ein datenzentriertes Sicherheitskonzept auf dem Objekt-Level. Ziel ist die Kennzeichnung aller Daten im System. Die Meta-Daten der NATO enthalten unter anderem:

• Dateneigentümer
• Merkmale zur Auffindbarkeit
• Aufbewahrungszeitraum und Disposition
• Regeln zur Wiederverwertung
• Vertraulichkeitsstufe

Voraussetzung dafür sind ein zentrales Identitäts- und Zugriffssystem, ein automatischer Cross-Domain-Datenaustausch und eine kryptographische Verschlüsselung («geheim»/ «streng geheim»). Hinzu kommt eine «Zero-Trust»-Strategie. Diese geht davon aus, dass die Daten nicht sicher sind – auch nicht hinter der Firewall. Für jede Person wird ein Profil erstellt mit Aktivitäten, die für diese Person «normal» sind. Ein KI-Tool analysiert laufend Vorgänge im Netzwerk, stellt Korrelationen zu Personen her und identifiziert für Personen unübliche Aktivitäten als Bedrohung. Zur Erkennung von Abweichungen von Verhaltensmustern dienen Faktoren wie Zugriffsmethode, Hardware etc.

Inwiefern erhöhen KI-Instrumente die Gefahr vor Cyber-Attacken?

KI kann nicht nur zum Schutz von Daten genutzt werden, sondern auch um Daten anzugreifen. Die NATO versucht potenziellen Angreifern immer einen Schritt voraus zu sein. So führt sie sogenannte «Adversary Emulations» durch, eine KI-basierte Methode zur Bewertung der Cybersicherheit. Diese testet die Sicherheitskontrollen der NATO-Daten mittels von realen Bedrohungsakteuren verwendeten Taktiken, Techniken und Verfahren. Dabei wird ein gezielter Angriff beispielsweise zwischen zwei Teams (rot und blau) simuliert. Für jedes Instrument, das zum Stilllegen des Gegners eingesetzt wird, ordnet ein KI-Modell die Erfolgswahrscheinlichkeit zu. Ferner verbessert sich die NATO laufend im «Threat Hunting». Dabei werden von automatisierten Sicherheitssystemen mithilfe von KI eine systemweite Suche nach bösartigen Akteuren durchgeführt.

Welche weiteren Instrumente gibt es, um die Cyber-Sicherheit aller Mitgliedstaaten zu stärken?

Die NATO vertraut auf kollaborative Instrumente: Seit 2016 verpflichten sich die Bündnispartner, mit der sich schnell entwickelnden Cyber-Bedrohungslandschaft Schritt zu halten («Cyber Defense Pledge»). Im Jahr 2023 verstärkten die Bündnispartner diese Zusage und einigten sich auf neue ehrgeizige Ziele, um die nationalen Cyberabwehrsysteme, einschliesslich kritischer Infrastrukturen, zu stärken.

Auf dem NATO-Gipfel 2023 in Vilnius billigten die Bündnispartner die «Virtual Cyber Incident Support Capability» (VCISC), um nationale Reaktionen auf bösartige Cyberaktivitäten zu unterstützen. Dieses Instrument ermöglicht den Verbündeten gegenseitigen Zugang und Austausch von Fachwissen in Partnerländern, internationalen Organisationen, Industrie und Wissenschaft.

Wie geht die NATO bei einem realen Cyber-Angriff vor?

Die Bündnispartner der NATO sind sich einig, dass böswillige Cyber-Aktivitäten unter bestimmten Umständen als bewaffneter Angriff betrachtet werden können und die NATO dazu veranlasst, im Einzelfall Artikel 5 des Nordatlantikvertrags geltend zu machen. Dieser besagt, dass «… ein bewaffneter Angriff gegen eine oder mehrere von ihnen in Europa oder Nordamerika als ein Angriff gegen sie alle angesehen werden wird …» und « … daß im Falle eines solchen bewaffneten Angriffs jede von ihnen in Ausübung des in Artikel 51 der Satzung der Vereinten Nationen anerkannten Rechts der individuellen oder kollektiven Selbstverteidigung der Partei oder den Parteien, die angegriffen werden, Beistand leistet, indem jede von ihnen unverzüglich für sich und im Zusammenwirken mit den anderen Parteien die Maßnahmen, einschließlich der Anwendung von Waffengewalt, trifft, die sie für erforderlich erachtet, um die Sicherheit des nordatlantischen Gebiets wiederherzustellen und zu erhalten …».

In diesem Sinne verfügt die NATO über sogenannte «Rapid Reaction Teams» (RRT), welche im Falle eines Angriffs, der die Funktionsfähigkeit eines NATO-Betriebssystems beeinträchtigt, ein Informationssystem aktiviert. Die RRTs unterstützen auch Mitgliedstaaten auf deren Ersuchen hin im Falle eines bedeutenden Cyberangriffs auf nationaler Ebene.

Fazit

Das Management von Cyber-Risiken bezüglich versteckter Kriegsführung und anspruchsvollem Verteidigungsschutz steht bei der NATO weit oben auf der Agenda. Auch für Unternehmen und öffentliche Organisationen ist es höchste Zeit, in ihre Sicherheit zu investieren. Cyber-Attacken auf digitale Infrastrukturen von Unternehmen gefährden nicht nur die Sicherheit von Daten, sondern auch deren Geschäftsprozesse und Existenz. Wenn öffentliche Betriebe wie Krankenhäuser oder Flughäfen von Hackern ausser Funktion gesetzt werden, wie dies in der Realität schon mehrfach geschehen ist, werden Cyber-Angriffe zu einer Gefahr für die ganze Gesellschaft. Die von Boudreaux-Dehmer vorgestellten Massnahmen der NATO liefern wertvolle Impulse für Unternehmen und öffentliche Organisationen zur Entwicklung von Abwehrstrategien und Lösungen zur Gewährleistung ihrer Cyber-Sicherheit.

Quellen und weiterführende Informationen

North Atlantic Treaty Organization. Abgerufen am 05.03.2024

North Atlantic Treaty Organization. (2019). Der Nordatlantikvertrag.

North Atlantic Treaty Organization. (2023). Cyber defence.

North Atlantic Treaty Organization. (2015). Men in black – NATO’s cybermen.