Zürich – Cyberattacken auf kritische digitale Infrastruktur verursachen nicht nur einen finanziellen und logistischen Schaden. Sie können – zum Beispiel in Spitälern – auch katastrophale humanitäre Folgen haben. Zusammen mit dem «Internationalen Komitee vom Roten Kreuz» (IKRK) haben ETH-Informatiker ein Schutzemblem entwickelt, das sich weltweit einfach und kostengünstig in bestehende digitale Systeme integrieren liesse. Dieses «Authentic Digital Emblem» (ADEM) erfüllt verschiedene Sicherheitsanforderungen und wirkt auch bei automatisierten Cyberattacken.
Ransomware-Attacken können Organisationen oder ganze Staaten lahmlegen, indem ein Netzwerk gehackt und kritische Daten verschlüsselt werden. Die Angreifer fordern ein Lösegeld. Wird nicht auf diese Forderung eingegangen, so werden die Daten nicht wieder entschlüsselt und sind vielleicht für immer verloren. Der finanzielle und logistische Schaden ist je nach Ausgangslage enorm. Im Januar 2022 wurde das «Internationale Komitee vom Roten Kreuz» (IKRK) Opfer einer Cyberattacke. Auf den betroffenen Servern waren Daten von mehr als 500`000 Personen auf der ganzen Welt gespeichert. Darunter auch Daten von Menschen mit besonderem Schutzbedürfnis, wie vermisste Personen, Geflüchtete aus Kriegsgebieten und Gefangene. «Die digitale Infrastruktur des IKRK ist in den letzten Jahren stark gewachsen – und damit auch die Cyberattacken auf unsere Systeme», sagt Mauro Vignati, Berater für neue digitale Kriegstechnologien beim IKRK. Besonders während Kriegen und bewaffneten Konflikten könnten solche Cyberattacken auch katastrophale humanitäre Folgen haben, zum Beispiel wenn die digitale Infrastruktur eines Spitals durch den Feind lahmgelegt wird.
Bewährtes Emblem für Schutz vor Angriffen
Für Konflikte jenseits des Cyberspace kennt das IKRK seit den Genfer Abkommen von 1949, dem Kernstück des humanitären Völkerrechts, sogenannte Schutzembleme. Das rote Kreuz, der rote Halbmond und der rote Kristall bieten Schutz für Spitäler, Fahrzeuge und die Mitarbeitende des Netzwerks der Rotkreuz- und roter Halbmond-Organisationen (darunter das IKRK). Heute zählen sich über 80 Millionen Mitglieder zum Netzwerk, die in 192 Staaten tätig sind. Die Träger dieser Embleme sind grundsätzlich und besonders in Konflikten durch internationales humanitäres Völkerrecht geschützt. Kriegsparteien dürfen sie nicht angreifen. «Wir haben uns deshalb schon länger gefragt, ob wir nicht auch ein Emblem für den Schutz unserer digitalen Infrastruktur entwickeln könnten», erklärt Vignati. Ein solches müsste eine Reihe von Anforderungen erfüllen: «Es müsste weltweit einfach und kostengünstig in bestehende digitale Systeme integriert werden können und einfach zu pflegen sein. Zudem müsste es sprachliche, technologische und kulturelle Unterschiede überbrücken.» Hinzu kommt, dass das Emblem möglichst flexibel einsetzbar sein muss. In bestimmten Situationen sei es für IKRK-Mitarbeitende wichtig, das Emblem verdecken zu können, erklärt Vignati.
Mit dieser Idee kontaktiert das IKRK vor drei Jahren das «Center for Cyber Trust», eine Forschungskooperation zwischen der ETH Zürich und der Universität Bonn auf dem Gebiet der Cybersicherheit. Dort widmet sich seither unter anderem Felix Linker dem digitalen Emblem, der aktuell seine Doktorarbeit in der Gruppe von David Basin schreibt, Professor für Informationssicherheit am Departement für Informatik der ETH Zürich. «Ein digitales Emblem muss eine einzigartige Kombination von Sicherheitsanforderungen erfüllen, nämlich die Authentifizierung, Rechenschaftspflicht und eine Eigenschaft, die wir verdeckte Prüfung nennen», erklärt Linker. Das gemeinsam mit David Basin entwickelte «Authentic Digital Emblem» (ADEM) beruht auf dem Web-PKI- und CT-Ökosystem (Web-PKI und CT bedeuten so viel wie Web Public Key Infrastructure (PKI) Certificate Transparency). «Wir stützen uns auf bestehende Best Practices im Internet. Die Neuheit liegt in der Kombination von unterschiedlichen Lösungen, um die technischen Anforderungen zu erfüllen», erklärt Linker. In einem soeben in den «Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security» erschienen Artikel beschreiben Linker und Basin erstmals detailliert die Funktionsweise von ADEM.
Maschinenlesbar und dezentralisiert
Das entwickelte Emblem ist durch eine digitale Signatur kryptographisch gesichert, eine lange Abfolge von Buchstaben und Zahlen, die ein dafür entwickeltes Programm auslesen kann. Dadurch lassen sich Informationen zum Inhaber, zur schützenswerten IP oder Domain, und zum Herausgeber des Emblems abrufen. «Wichtig ist, dass das Emblem durch Maschinen lesbar ist, denn die meisten Cyber-Attacken werden heute automatisiert durchgeführt», sagt Linker. Das Emblem muss deshalb von der Hackersoftware automatisch geladen und gelesen werden, um zu erkennen, dass es auf das System einer Organisation zugreift, die durch das humanitäre Völkerrecht geschützt ist. Und dies bereits bei der ersten Rekognoszierung noch bevor ein Schaden im System angerichtet ist.
Eine zentrale Vorgabe des IKRK war auch, dass das digitale Emblem nicht von einer zentralen Autorität, sondern dezentral verwaltet wird. Die Staaten, die sich zum humanitären Völkerrecht bekennen, sollen verifizieren können, dass eine bestimmte digitale Infrastruktur in ihrem Hoheitsgebiet Anrecht auf Schutz hat und deshalb ein Emblem trägt. ADEM basiert deshalb auf einem «Open Standard», so dass Regierungen die Implementierung des Emblems möglichst flexibel an eigene Bedürfnisse anpassen können.
Hacker bleiben unerkannt
Potenzielle Angriffe auf Server und Netzwerke können von Hackergruppen kommen, aber auch von Staaten während eines Krieges. Sie wollen um jeden Preis unerkannt bleiben. «Deshalb müssen Angreifer das Emblem sichten können, ohne dass die dadurch geschützte Institution und der Aussteller der digitalen Signatur erkennen kann, ob sich jemand das Emblem angeschaut hat.» Nur so sind potenzielle Angreifer überhaupt bereit den «Scanner» für die Erkennung des Emblems auf ihren Systemen laufen zu lassen. Gängige Internetprotokolle für die Authentifizierung eignen sich dafür nicht, weil sie eine Interaktion zwischen den beiden involvierten Parteien voraussetzen», erklärt Linker. «Das erregt Aufmerksamkeit und funktioniert deshalb in einem Konflikt nicht.» Dem Informatiker gelang es die Distribution des Emblems mit einer Kombination von passenden Internetprotokollen (UDP, TLS oder DNS) zu «verdecken».
Linker hat das System mittlerweile mit einer Sicherheitsanalyse unter einem umfassenden Bedrohungsmodell evaluiert. Die Auswertung sei ein Beweis, dass das digitale Emblem nicht von Angreifern missbraucht werden könne und als Sicherheitsgarantie wirke. Das «proof of concept» sei erbracht, so Linker. Er entwickelt die ersten Prototypen nun weiter, während Kolleginnen und Kollegen vom «Center for Cyber Trust» in Bonn Interviews mit Hackern führen werden, um herauszufinden, wie gross die Bereitschaft überhaupt ist, ein solches Emblem zu respektieren. Denn nur wenn dies der Fall ist, werden sie ein Programm, das Embleme erkennen kann auch anwenden. Diesbezüglich ist Linker jedoch zuversichtlich: In der Vergangenheit habe sich gezeigt, dass Hacker teils humanitäre Ziele auslassen, «aus ethischen Gründen oder einfach um nicht zu viel Aufmerksamkeit zu erzeugen.»
Schwierige juristische Umsetzung
Mauro Vignati vom IKRK ist zufrieden: «ADEM erfüllt sämtliche unserer ursprünglichen Anforderungen an ein digitales Emblem.» Nun gehe es vor allem darum, die Sichtbarkeit des Emblems für mögliche Angreifer weiter zu optimieren. Bis das digitale Emblem aber tatsächlich dazu beitrage kritische digitale Infrastrukturen des IKRK und von Spitälern in Kriegsgebieten zu schützen, dürfte es noch einige Jahre dauern. «Die juristische Umsetzung ist sehr herausfordernd», sagt Vignati. Damit das Emblem ins juristische Regelwerk implementiert werden kann, sind Anpassungen der Genfer Abkommen nötig. «Entweder durch ein neues Zusatzprotokoll oder durch einen Zusatz bei den bestehenden Protokollen.» Im Oktober 2024 will das IKRK während einer internationalen Konferenz zum humanitären Völkerrecht ADEM und ein weiteres System der «John Hopkins University» präsentieren und juristische Pfade aufzeigen, wie das digitale Emblem operationalisiert werden könnte. «Das wäre ein erster wichtiger Schritt für mehr humanitären Schutz im Cyberspace», ist Vignati überzeugt. (ETH/mc/pg)
