Tech und Trara

Tech und Trara

Transkript

Zurück zur Episode

Herzlich willkommen Doktor Kerstin Zettel -Shabbat und Martin Alexander Müller. Herzlich willkommen, schön, dass ihr da seid. Ich freu mich sehr auf das Gespräch heute mit euch. Genau.

Martin Müller (00:07.631)

In Ordnung.

Mo (00:32.44)

Wir sprechen nämlich heute über das Thema Cybersicherheit in Europa. Ihr beide seid an einem Forschungsprojekt. Beteiligt das EurePOC... EurePOC... EurePOC, wie ist die Betonung? EurePOC, ne? EurePOC, okay, ja, vielleicht ein bisschen weniger... ein bisschen weniger Deutsch ausgesprochen. Kerstin, du arbeitest an der Universität Heidelberg.

Kerstin (00:43.15)

Europop würden wir wahrscheinlich sagen, aber...

Mo (00:51.864)

Martin, du arbeitest an der Universität Innsbruck und ihr seid aber gemeinsam in diesem Forschungsprojekt und darum soll es heute gehen, was dieses Forschungsprojekt ausmacht und auch so ein bisschen um die Erkenntnisse aus diesem Projekt. Aber bevor wir da so voll reinstarten, wäre es glaube ich cool, wenn ihr euch einfach noch mal kurz mit auch euren unterschiedlichen Schwerpunkten in diesem Projekt vorstellt und uns so ein bisschen erzählt, was ihr in dem Projekt macht und was vielleicht auch das Projekt ausmacht. Vielleicht fangen wir mit dir an, Kerstin.

Kerstin (01:17.23)

Vielen Dank zunächst mal für die Einladung. Freut uns beide sehr heute hier sein zu können. Genau, du hast ja schon gesagt, wir arbeiten im Projekt mit dem Titel European Repository of Cyber Incidents. Das ist ein Konsortialprojekt, bedeutet, dass da unterschiedliche Standorte in Europa verteilt beteiligt sind. Heidelberg, Innsbruck, aber auch die Stiftung Wissenschaft und Politik in Berlin und der Cyber Policy Institute in Estland. Und das ist ein Projekt, das sich der empirischen Cyberkonfliktforschung verschrieben hat.

Also wir sammeln Daten zu öffentlich bekannt gewordenen Cyberoperationen, dann kodieren wir die anhand eines Codebooks. Wir bewerten Cyberoperationen anhand unterschiedlichster Kategorien. Da kommen dann auch die unterschiedlichen Fachrichtungen der Standorte ins Spiel. Ich zum Beispiel bin von Haus aus Politikwissenschaft darin, beschäftige mich jetzt schon seit 2017 eigentlich mit Cyberoperationen und Cyberkonflikten.

Im Rahmen einer Promotion habe ich einen Cyberkonflikt -Datensatz erstellt in Heidelberg, der dann auch die Grundlage für Europock gebildet hat. Das war im Endeffekt eine Excel -Tabelle, aber bei Europock ist es jetzt so, dass wir die schöne Situation haben, dass wir das Ganze noch in weitaus nutzerfreundlichere Formate haben, überführen können, zum Beispiel in Cyberkonflikt -Dashboard, was man auf unserer Seite eben nutzen kann, und auch noch in viele weitere Publikations - und Analysen -Formate. Genau, deswegen bin ich im Codier -Team eben vor allen Dingen auch für die politikwissenschaftlich geprägten

codierungen, analysen zuständig und macht es eben auf täglicher Basis mit unter anderem Martin zusammen.

Mo (02:44.887)

Okay, cool. Und Martin, deinen Schwerpunkt?

Martin Müller (02:48.463)

Genau, danke auch erst mal, dass wir beide da sein dürfen. Ich habe eigentlich Jura in Deutschland studiert, ganz klassisch, einen Staatsexamen gemacht an der Universität in Frankfurt. Bin dann für meinen Doktorat, wie es so schön heißt in Österreich, nach Innsbruck gewechselt und eben Mitglied im Team geworden von eure POG. Mein Schwerpunkt ist, wie es meine Ausbildung schon hergibt, ein bisschen die juristische Bewertung und vor allem in zwei Richtungen.

Mo (02:52.279)

...

Martin Müller (03:17.135)

Kerstin hat es ja schon angesprochen. Wir gucken uns teilweise auch so ein bisschen an, was es an Konflikten gibt. Das ist gerade ja natürlich sehr aktuell. Krieg in der Ukraine oder auch der Konflikt Israel -Palästina, beziehungsweise im gesamten Nahen Osten. Gucken wir uns an, wo natürlich immer die Frage stellt, welche Rolle spielt Völkerrecht eigentlich? Und auch der Cyberraum selber hat völkerrechtliche Bestimmungen, die da beachtet werden müssen, oder völkerrechtliche Pflichten, die die einzelnen Staaten treffen. Das schauen wir uns einerseits so ein bisschen an.

Wir kommen natürlich aber ein bisschen aus der europäischen Perspektive und gucken uns gleichzeitig auch ein bisschen an, was macht eigentlich die Europäische Union? Auch da so ein bisschen die Richtung, welche Möglichkeiten zum Beispiel hat die Europäische Union auf Cyber -Vorfälle zu reagieren? Das war so ein bisschen der Startpunkt. Wir gucken uns gleichzeitig aber auch an aktuelle Setzesinitiativen, also schwerpunktmäßig zum Beispiel im Bereich kritische Infrastruktur, wie er durch die NIS -2 -Richtlinie geprägt wird.

und gucken da so ein bisschen, welche Infrastrukturen sind eigentlich von Cyber -Vorfall betroffen. Nicht nur in Europa, das ist vielleicht eher schwerpunktmäßig, aber auch in anderen Teilen der Welt.

Mo (04:22.519)

Okay, ja, cool. Also, ich würde sagen, bevor wir jetzt so in die... Oder ich hab zu dem Thema so zwei Dimensionen im Kopf. Das eine wäre tatsächlich so ein bisschen auch die inhaltliche Dimension, also über diese Konflikte an sich zu sprechen. Das andere, das würde mich aber auch noch mal ein bisschen interessieren, das sind so Fragen, die sich auch gerade aus dem, was ihr so erzählt habt, ergeben haben, wäre so die Dimension, wie ihr arbeitet. Weil mich schon interessieren würde, wie ihr sozusagen diese Daten zusammentragt. Also, ist das ein Prozess, wo ihr irgendwie euch regelmäßig... Also...

Wo kommen die die ihr habt ihr gesagt öffentlich bekannt das heißt habt ihr da bestimmte quellen die ihr dann abgrast geht ihr die durch und dann Bewertet ihr sozusagen macht ihr diese kodierung auch mit den unterschiedlichen expertise also wie läuft dieser prozess ab das würde mich einfach interessiert also wie fließen diese daten in diese große datenbank rein

Kerstin (05:12.238)

Martin soll ich einfach mal beginnen und du ergänzt dann. Ja, genau. Ja, es ist so, dass wir bei EuropeHoc an unterschiedlichen Standorten verteilt sind. Wir arbeiten deshalb eben remote im Team und haben tatsächlich aber nicht nur ein Codierteam, sondern zwei Codierteams, das sogenannte Morning Team und das sogenannte Afternoon Teams, einfach nur für uns eine Einteilung, auch so ein bisschen, weil eben das Afternoon Team Coding, also Martin und auch unser Kollege Jakob von der Stiftung Wissenschaft und Politik.

Martin Müller (05:14.351)

Gerne.

Kerstin (05:38.702)

Und ich, wir zu dritt, sind das Acht - und Unteam, das so ein bisschen die verschiedenen interdisziplinen Perspektiven auf das Thema Cyber -Sicherheit, auf das Thema Cyber -Konflikte zusammenbringt, weil eben Jakob zum Beispiel eher für die technische Rekodierung zuständig ist, Martin eben für die völkerrechtlichen und ich eher für die politikwissenschaftlichen. Und unsere Arbeit baut im Endeffekt auf der Arbeit des Morning -Teams auf. Das Morning -Team ist zum Beispiel auch vor allen Dingen...

besteht es aus studentischen Hilfskräften an verschiedenen Universitäten, weil es auch so ein bisschen mit unserer Auftrag ist eben auch gerade in so einem Bereich, wo viele Fachleute fehlen, wo ja wirklich der Bedarf sehr hoch ist, da eben auch Ausbildung zu betreiben im Bereich Selbersicherheit. Und deswegen, klar, weil wir auch Universitäten sind, integrieren wir eben auch Studis. Und es ist so, dass wir jetzt nicht irgendwie manuell vorgehen und uns irgendwie jeden Morgen zusammen hocken und irgendwie uns Webseiten wahllos anschauen, ob die irgendwas berichten.

sondern zum Glück haben wir eine recht umfassende Dateninfrastruktur und Pipeline etabliert, auch mit einem IT -Unternehmen zusammen, aber vor allen Dingen auch unser Data Scientist, den Camille Borat von der SAP, hat da sehr, sehr viel Anteil dran. Es ist dann so, dass wir ein Graphical User Interface haben, also wirklich ein eigenes Interface, mit dem wir unsere Codierung vornehmen können.

Und in dieses Interface kommen jeden Morgen, ich würde mal tippen, wahrscheinlich zwischen 50 und 150 Artikel rein von ganz vielen unterschiedlichen Quellen. Also im Endeffekt versuchen wir wirklich eine globale Reichweite zu haben, was die Berichterstattung über Cyberoperationen anbelangt. Jetzt ist es natürlich so, im Jahr 2024 ist die Berichterstattung über Cyberoperationen sehr, sehr stark gestiegen, gerade jetzt noch irgendwie im Vergleich zu fünf oder zehn Jahren zuvor.

Wenn wir uns alles selbst anschauen wollen würden, alle Artikel, die auf der Welt über Cyberoperationen berichten, dann wäre es natürlich viel zu viel. Das könnten wir überhaupt nicht leisten mit den uns zur Verfügung stehenden Ressourcen. Deswegen haben wir auch Machine Learning für uns entdeckt. Camille hat einen eigenen Machine Learning -Prozess aufgesetzt. Wir haben das manuell trainiert auf Grundlage unserer Inklusionskriterien, weil wir natürlich auch nicht jeden Cyber -Vorfall aufnehmen. Es funktioniert eigentlich wirklich richtig gut, dass wir eben so dadurch

Kerstin (07:52.334)

eine wirklich große Bandbreite an unterschiedlichsten auch nicht englischsprachigen, nicht deutschsprachigen Quellen prinzipiell erfassen können, aber nicht eben eben jeden möglichen Artikel, wo irgendwie das Wort Cyber drin vorkommt und sie auch wirklich anschauen müssen, sondern das wird dadurch wirklich sehr effizient und dadurch bekommen wir eben diese vorgefertigte Liste. Natürlich muss man auch da nochmal aussortieren, weil natürlich auch unser Ansatz relativ, ja, er ist schon voraussetzungsvoll, auch was die Frage anbelangt, welcher Cyber -Vorfall ist dann für uns relevant.

Mo (08:02.998)

Mmh.

Kerstin (08:20.59)

Und dann können wir eben diese Artikel durchgehen, bzw. das Morning Team, und entscheiden dann, ist das ein Cyber -Vorfall, ist das ein neuer Cyber -Vorfall, der berichtet wird, ist der für uns relevant, oder ist es vielleicht auch so, dass ein Artikel, z .B. von Medien, von threat intelligence Unternehmen, aber auch von staatlichen Behörden, also ganz unterschiedliche Akteure können dann natürlich darüber berichten, ist es vielleicht einfach eine neue Information zu einem bereits bekannten Vorfall, weil das ist auch unser Anspruch.

Wir wollen jetzt nicht irgendwie an Tag X einen Cyber -Vorfall bewerten und dann sagen, okay, das war's. Jetzt ist ja auch ein Prozess. Da kommen natürlich auch im Laufe der Monate immer wieder neue Erkenntnisse ans Tageslicht zu unterschiedlichsten Dingen, was Cyberoperationen anbelangt. Und da wollen wir eben auch das Ganze up to date halten. Genau.

Mo (09:02.454)

Okay, aber das ist das finde ich voll spannend das heißt ihr habt sozusagen, also erstmal eine data pipeline die die daten erstmal sammelt Aufbereitet schon mal einen großen teil rausfällt also dass da schon erstmal eine recht qualitativ hochwertige auswahl ankommen dann gibt es das morning team die dann sozusagen noch mal weiter verjüngen und sagen okay Ist das wirklich relevant was für cyber vorfälle für euch relevant sind das können wir gleich auch gerne noch mal besprechen und dann sozusagen in letzter instanz seit

Ihr drei, Jakob war der dritte Name, ne? Hatte ich das richtig gehört? Genau. Ihr drei zusammen und ihr habt dann sozusagen diese drei unterschiedlichen Brillen mit einer hohen Expertise und ihr macht dann diese finale Codierung und das Resultat davon, das landet dann in der Datenbank. So kann man sich das ungefähr vorstellen. So, muss einmal. Okay, ja, finde ich irgendwie spannend, weil, weil, ähm, ist ja irgendwie schon auch ein ziemlich krasser, ausgeklügelter Prozess. Ähm, okay, cool. Nee, dann...

Kerstin (09:32.942)

Genau.

Mo (09:57.781)

Martin, hast du noch was zu ergänzen? Oder fällt dir noch was dazu ein? Ich will dich da jetzt nicht so übergehen bei dem Thema.

Martin Müller (10:04.975)

Alles gut, alles gut. Genau, wie Kerstin gesagt hat, wenn ein Vorfall in der Datenbank mal gelandet ist, bleibt er da nicht liegen und verschwindet im Archiv, sondern wir gucken immer wieder und gucken uns auch alte Vorfälle an. Ein Schwerpunkt oder eine Schärfung, die wir auch haben, ist eben zu gucken, wie Staaten, größtenteils Staaten, aber auch private Akteure auf Cyber -Vorfälle reagieren. Das kann relativ verzögert passieren. Wir haben teilweise einen Vorfall aus, der vielleicht sechs, sieben Jahre her ist, aber es gibt jetzt plötzlich ...

in den Gerichtsverfahren oder es gibt plötzlich irgendwie Sanktionen oder sowas von Staaten. Das gucken wir uns immer wieder an. Also da ist es nicht quasi einmal in den, jetzt analog gesprochen, in den Ordner gepackt und dann nie wieder angeschaut, sondern die Vorfälle tauchen immer wieder bei uns auf, weil einfach die Entwicklung, es passiert einfach immer wieder was, auch mit Sachen, von denen man denkt, oh, das müsste eigentlich lange vorüber sein. Es taucht dann plötzlich wieder auf und wir gucken uns das doch mal an und ergänzen eben auch entsprechend. Also der Datensatz bleibt ständig aktuell und entwickelt sich eigentlich beständig weiter.

Mo (11:03.509)

Ja cool. Ja das klingt so ein bisschen wie so diese, also wenn man jetzt so Daten hat, die sehr, ich sag mal sehr klar strukturiert sind und wo wenig irgendwie auch Wissen erforderlich ist, um die Daten zu klassifizieren und so, dann passiert das ja so alles automatisch, aber das was ihr macht klingt nach so einem, ja nach einer Vereinigung von irgendwie automatisierten Prozessen, aber eben halt auch manuell, also manuell jetzt im Sinne von ihr beschäftigt euch halt als Menschen damit und nicht irgendeine Maschine.

Und diese Aktualisierung ist es sozusagen einfach Teil des Designs in dem Sinne, dass wenn dann halt über eine Neuerung in einem bestimmten Thema berichtet wird, dann kommt das einfach wieder über eure Pipeline rein und irgendwann landet es halt wieder bei euch und dann ordnet oder das Morning Team ordnet dann einfach zu, das gehört zu etwas schon Bestehendem und dadurch ist es dann automatisch wieder bei euch auf dem Schreibtisch praktisch. Also auch das ist sehr analogisch.

Martin Müller (11:51.823)

Ja, ich glaube, so kann man es sehr gut zusammenfassen. Ja, genau so läuft es eigentlich. Eigentlich ist genau das Ziel. Also so eine Mischung aus, dass was automatisiert möglich ist und wo wir sagen, das LeapTrader hat automatisiert auch einfach gute Ergebnisse. Das haben wir automatisiert und wo wir sagen, es ist einfach nochmal bei vielen Punkten besser, dass jemand drüber schaut und jemand heißt am Ende des Tages Mensch. An den Punkten schaut eben auch ein Mensch drüber. Es geht dann halt auch um solche Sachen zum Beispiel.

Ist es eine Quelle, der wir vertrauen können oder ist es was vielleicht, wo wir eher sagen, da warten wir noch mal irgendwie ab, ob sich die Lage vielleicht noch mal ändert, ob wir mehr Informationen bekommen. Das sind einfach so Entscheidungen. Da haben wir auch intern gesagt, das ist einfach was, was wir den rein Maschinen, auch trainierten Modell, auch einer günstlichen Intelligenz noch nicht zutrauen, dass das irgendwie möglich ist. Und genau deshalb schaut am Ende des Tages jemand nochmal drüber.

Mo (12:39.381)

Okay, und dann drängt sich ja eigentlich die Frage auf, was für Vorfälle denn dann sozusagen den Test bestehen und bei euch landen. Also, welche Cyberangriffe, welche Cybervorfälle, was sind die Kriterien, ich glaube, ihr hattet jetzt mal irgendwie Inklusionskriterien im Vorgespräch genannt, was sind die Inklusionskriterien dafür, dass ein Vorfall sozusagen in die Datenbank aufgenommen wird?

Martin Müller (13:04.303)

Genau, ich würde vielleicht kurz anfangen und die gehen an Kerstin Gens wieder. Wir machen es, glaube ich, in dem Spiel immer ganz gut. Genau, also das Projekt des ursprünglichen Vorgängerprojekts, was in Heidelberg gelaufen ist, das war Kerstinstitutionen auch, die auf dem Vorgängerdatensatz basiert. Das war größtenteils dabei die Inklusionskriterien in bestimmten Formen Politisierung. Also wird irgendwie ein Vorfall, betrifft es einen politischen Akteur, das kann jetzt eine staatliche Institution sein.

Mo (13:04.692)

Mhm.

Martin Müller (13:33.263)

beispielsweise aber auch ein staatlicher Akteur. Also es ist irgendwie klar, es arbeitet irgendwie eine staatliche, ein Geheimdienst, meistens dann doch geheimdienstgenau in irgendeine Richtung oder irgendwie ein staatlich unterstützter Akteur. Ist da irgendwie als Eta, könnte man weitestens sagen, aktiv? Oder wird das plötzlich irgendwie in die politische Sphäre gezogen, der Vorfall? Vielleicht ein bisschen aus der Vergangenheit, aber ein Vorfall davon wäre zum Beispiel...

der Sony Hack gewesen, das war damals, als dieser Film über Nordkorea rausgekommen ist und dann dieser Film veröffentlicht wurde von nordkoreanischen Hackern. Das ist quasi Inklusionskriterium sowohl staatliche Akteure als auch eben politisiert, weil das plötzlich eben eine politische Diskussion nach sich gezogen hat. Das wäre jetzt so ein fast schon eher Klassiker aus unserer Datenbank und mit der Erweiterung als Konsortialprojekt, wo jetzt eben ich zum Beispiel dazu gekommen bin, aber eben auch die anderen Projektpartner aus Berlin und aus Estland.

haben wir noch aufgenommen und das ist ein bisschen geprägt einfach von der Entwicklung in Europa, wenn kritische Infrastruktur betroffen sind. Also alle möglichen Unternehmen, die eben kritische Infrastruktur, das kann Telekommunikation zum Beispiel sein, das kann Energiesektor sein, das kann aber auch irgendwie digitale Infrastruktur sein. Wenn die eben Betroffene sind, dann nehmen wir das auch auf. Das sind quasi unsere beiden Punkte. Das haben wir natürlich jetzt nicht zurückgeschaut irgendwie auf das Jahr 2000, weil das wäre irgendwie relativ kompliziert gewesen.

Kerstin (14:35.342)

Vielen Dank für's Zuschauen!

Martin Müller (14:57.775)

Wir haben das angefangen im Februar letzten Jahres, sodass wir jetzt ein gutes Jahr später diese sektorkritische Infrastruktur haben, der eben auch im Moment, da spreche ich wieder so ein bisschen aus der rechtlichen Perspektive, eben auch rechtlich relativ an Relevanz gewonnen hat. Also es gibt einfach sehr viele neue Gesetzesinitiativen oder schon bestehende Regelwerke, Gesetzeswerke, die eben die kritische Infrastruktur in den Blick nehmen, weil die eben einfach besonders wichtig ist und eben auch besonders gefährdet ist im Cyberhaufen.

Mo (15:23.955)

Okay, verstehe. Das heißt, man könnte das so ein bisschen, ich versuch das jetzt mal so ganz, ganz blöd zusammenzufassen, eigentlich geht es immer um Vorfälle und Angriffe, die wirklich so, das ist jetzt ein bisschen banal formuliert, aber so gesellschaftlich relevant sind. Also deren Auswirkungen sich irgendwie auch dann bemerkbar machen könnten, wenn man einfach normales Leben lebt, nicht in irgendwelche politischen...

oder staatlichen Affären verwickelt ist, weil so ein Hack von einem Stadt zu einem anderen, vielleicht kriegt man das nicht immer unbedingt mit, aber es hat trotzdem was mit einem zu tun. Aber, und kritische Infrastruktur halt auch. Aber jetzt, wenn jetzt irgendwie ein mittelständisches Unternehmen gehackt wurde, dann ist das jetzt ja nichts, was ich jetzt vielleicht so unmittelbar mitbekomme und was mein Leben groß betrifft. Aber wenn jetzt die Telekom mega gehackt wird, dann kriegen wir es glaube ich alle mit. Kann man das so ganz banal formulieren? Oder ist das zu trivial?

Kerstin (16:17.934)

Ich glaube, was eine gesellschaftliche Bedeutung anbelangt, da kann man natürlich sehr darüber streiten, was das im Endeffekt ist. Auf jeden Fall war diese, ich würde mal sagen, eine politische Dimension, das ist so ein bisschen der Kerl des Ganzen, auch aufgrund des Vorgängerprojekts, weil man kann natürlich auch darüber streiten, wenn jetzt zum Beispiel eine Hektivistengruppierung aus einer politischen Motivation heraus die Webseite des Innenministeriums für zwei Stunden lahmlegt. Dann werden es die meisten von uns wahrscheinlich nicht mitbekommen, weil wir nicht stündlich auf die Webseite des Innenministeriums gehen.

Mo (16:47.635)

Nicht?

Kerstin (16:47.758)

Aber trotz... Nee, ich tatsächlich nicht. Aber dennoch hat es natürlich eine gewisse Präsenz für uns, weil es auch zeigt, wie reagieren Akteure auch im Cyberspace auf gewisse politische Konfliktlinien. Es ist auch für uns interessant zu sehen, weil eben sehr viel, was abläuft, gar nicht so schwerwiegend ist, wie der öffentliche Diskurs oft mal suggeriert. Also das ist auch so ein bisschen unser Ansatz zu sagen, okay, gerade in den letzten 10, 15 Jahren wurde so viel von Cyberkrieg gesprochen, Cyberwaffen und was weiß ich alles.

Haben wir überhaupt die Daten, die das so belegen? Auch im Hinblick auf die Schwere der Vorfälle, kann man das überhaupt vergleichen? Oder was ist denn das Resultat, wenn man mal wirklich versucht, Cyberoperationen hinsichtlich der Schwere zu vergleichen? Also auch so eine Intensität und Impact -Messung. Das ist quasi auch alles unser Anspruch. Ich wollte noch eine Sache zu den Inklusionskriterien zeigen, was auch wichtig ist bei uns, was die allererste Frage ist, die wir uns stellen müssen.

Mo (17:36.051)

Mhm.

Kerstin (17:41.102)

ob der Cyber -Vorfall wirklich auch eine Art von Impact hatte, also ob irgendwie sich irgendeinen Schaden in Anführungszeichen feststellen lässt. Und wir machen das, indem wir bewerten, ob die sogenannte CIA -Triale der Informationssicherheit verletzt wurde, also die Confidentiality, Integrity oder Availability von Daten. Weil es ist zum Beispiel auch bei anderen Datensätzen oder Datenanbietern auch oftmals so, dass so ein bisschen, ich will jetzt nicht sagen, Äpfel mit Birnen verglichen werden, aber da werden viele unterschiedliche Vorfallstypen

Mo (17:58.355)

Mhm.

Kerstin (18:10.67)

in einen Topf geschmissen, zum Beispiel auch nur versuchte Angriffe, wo man sich überhaupt nicht feststellen lässt, naja, ist denn jetzt was passiert und was ist passiert. Wir wissen natürlich, dass es sehr viele Aktivitäten von vornherein ausschließt, die wir dadurch nicht aufnehmen, aber das haben wir bewusst so gemacht, um eine Vergleichbarkeit zu haben und um überhaupt auch sagen zu können, wie war denn jetzt die Schwere des Vorfalls und da muss eben diese E -Driade der Informationssicherheit überhaupt verletzt werden. Vielleicht noch zu guter Letzt, weil ich finde,

Gerade bei der Frage, was erfasst ihr, ist auch immer ganz interessant zu sagen, was erfassen wir denn nicht. Also so kann man es nicht auch immer ganz gut aufzeigen. Also aktuell erfassen wir zum Beispiel nicht einen Cyber -Vorfall von irgendeiner Cybercrime -Gruppierung, die keinerlei politische Affiliation oder Motivation aufweist, gegen irgendein Unternehmen, das ganz klar nicht zu kritis zählt, entsprechende Nis -2 -Richtlinie.

Mo (18:46.067)

Mhm.

Kerstin (19:05.454)

wenn es ein Vorfall ist, der auch nicht von einem politischen Entscheidungsträger aufgegriffen oder thematisiert wurde. Das ist so ein Fall, den nehmen wir aktuell nicht auf. Alles andere in Anführungszeichen nehmen wir auf. Also wenn jetzt auch irgendein Fahrradhersteller angegriffen wird und ein Landtagsabgeordneter oder so macht es jetzt zum politischen Thema, dann würden wir zum Beispiel den Fall auch aufnehmen. Genau, vielleicht noch eine Ergänzung.

Mo (19:11.347)

Mhm.

Mo (19:27.507)

Okay. Okay. Mit kritis in der Zweirichtlinie ist gemeint, Unternehmen, die kritische Infrastruktur bereitstellen. Da hatte ich jetzt richtig verstanden. Ja, okay, gut. Und die CIA -Triade, da geht's, du hattest gesagt, Kontinuität, Integration und Verfügbarkeit. Also, wenn man es auf Deutsch übersetzt. War das erste Wort Continuity? Ja. Okay, genau. Das heißt, sobald irgendein Cyberangriff, irgendwas davon ...

Kerstin (19:36.046)

Genau.

Kerstin (19:47.246)

Genau Vertraulichkeit, Integrität und Verfügbarkeit.

Mo (19:53.586)

verletzt, also zum Beispiel die Daten wurden veröffentlicht oder verändert oder sie sind halt nicht mehr verfügbar, dann, okay, dann reicht das aus. Einfach nur damit wir sozusagen die Fachbegriffe auch so ein bisschen einordnen. Okay, das heißt, jetzt haben wir glaube ich so ein Gefühl dafür, was für Vorfälle irgendwie relevant sind und ihr habt ja auch gerade schon so ein bisschen angedeutet Richtung, was für eine Schwere haben die Angriffe, auch diese Kopplung zu...

Kerstin (19:57.774)

Genau.

Mo (20:19.346)

reale Konflikte, analogen Konflikten möchte ich fast sagen, also Konflikten, die außerhalb des Cyberspace irgendwie stattfinden. Aber vielleicht können wir uns auf den Bereich mal so ein bisschen fokussieren, also was für Dimensionen können eigentlich diese Cyberkonflikte haben und was für eine Schwere haben sie denn tatsächlich? Also weil du hast ja gesagt, es wird ja oft vermittelt, dass Cyberkrieg, damit kann man alles lahmlegen, also dass die Bedeutung sehr, sehr groß teilweise dasteht so im öffentlichen Diskurs und

Ja wie ist das denn jetzt auf Basis der Daten, die ihr so ermittelt habt? Kann man das irgendwie sehen, ob das der Realität entspricht? Und wie ist die Realität?

Kerstin (20:58.318)

Martin, ich würde einfach mal kurz auf die Dimension eingehen und du dann gerne auf den Impact, weil es ja auch in deinen Codierbereich fällt, wenn es für dich okay ist. Genau. Ich will ja jetzt nicht zu wissenschaftlich werden, auf gar keinen Fall, aber es ist auf jeden Fall auch so, dass nicht jede Cyberoperation, die irgendwie getätigt wird, Teil eines Cyberkonfliktes ist oder Teil eines Konfliktes ist, eines konventionellen Konfliktes. Also jetzt zum Beispiel die meisten Cybercrime oder auch Ransomware -Vorfälle sind einfach Operationen, die für sich stehen. Da sieht man meistens keine Interaktion zwischen irgendwelchen Konfliktparteien.

Martin Müller (21:04.271)

Gerne. Na klar.

Kerstin (21:26.862)

Das dürfte man dann eben auch nicht als Cyberkonflikt bezeichnen. Wenn ich jetzt von Cyberkonflikten spreche, meine ich wahrscheinlich zumeist eben tatsächlich Operationen zwischen Staaten oder zumindest staatlich affiliierten Akteuren, die sich dann eben oftmals auch auf bereits bestehende Konflikte aus der konventionellen Welt beziehen.

Da gibt es unterschiedliche Operationen, ich meine Cyber -Spionage ist nichts Neues, Spionage gibt es auch schon immer. Als es dann das Internet gab, hat es für Staaten Sinn gemacht, Spionage nicht mehr nur analog mit Agenten zu betreiben, sondern auch die Vorzüge des Cyberspace zu nutzen, was die Skalierbarkeit anbelangt, was das Tempo anbelangt, aber auch was das Risiko anbelangt. Natürlich ist es weitaus bequemer und auch risikoärmer, wenn man jetzt Cyber -Spionage von

daheim aus betreiben kann. Ich muss da jetzt nicht irgendwie einen Agenten in das Zielland schicken. Das sind auch alles einfach so praktische Vorteile, die der Cyberspace gerade auch Staaten bietet. Also deswegen Cyberspionage. Cyberspionage muss nicht nur der nationalen Sicherheit dienen, sondern natürlich betreiben Staaten wie China auch ökonomisch motivierte Cyberspionage. Also gerade wenn es auch bei Autokratien darum geht, die einheimischen Unternehmen irgendwie zu stärken.

Genau, das wäre der eine Teil. Ich glaube, Cyber -Spionage ist nach wie vor so ein bisschen die dominante Operationsform, die wir sehen. Da ist natürlich die Dunkelziffer auch am höchsten, weil man als Spionage eigentlich nicht will, dass die Operation aufliegt. Also ich denke, da findet auch noch sehr viel mehr Stahl, als wir mitbekommen. Dann gibt es natürlich auch so etwas wie disruptive Operationen.

Hinsichtlich der Intensität muss man da noch mal unterscheiden. DDoS ist so das, was wir am häufigsten sehen. DDoS -Operationen sind einfach Operationen, die zum meisten irgendwie Webseiten lahmlegen. Das wird natürlich oft auch im Rahmen von konventionellen Konflikten angewandt von Seiten der Haktivisten, also von nichtstaatlichen Akteuren, die irgendwie ideologisch, politisch und motiviert sind und sich dann eben auf eine Seite schlagen. Es gibt eben auch patriotische Hacker. Das sehen wir auch schon seit Anfang der 2000er Jahre. Also man immer irgendwie im Rahmen von wirklich historischen Konflikten.

Kerstin (23:32.238)

Um dann mal ein paar Beispiele zu nennen, Südkorea, Nordkorea, China, Taiwan, Indien, Pakistan, Aserbaidschan, Armenien etc. Wenn immer es da irgendwie in der konventionellen Welt zu irgendwelchen Konflikten kommt, dann sehen wir meistens auch irgendwelche hektischen Operationen. Und ja, das ist so ein Teil davon. Das hat nicht wirklich große Auswirkungen auf den konventionellen Konfliktaustrag, aber es kann eben da dazugehören.

Und vielleicht auch als dritten Bereich noch, das geht dann eher tatsächlich in die Cyberwarfare Richtung, ist alles, was irgendwie schwerwiegend da abläuft, also zum Beispiel Viperoperationen gegen militärische Systeme, wie wir es auch von russischer Seite gegen ukrainische Militärsysteme gesehen haben seit der Invasion. Also da kann natürlich schon auch viel Schaden mit...

verursacht werden, aber ob der Schaden tatsächlich so ist, dass man wirklich von Cyberkrieg sprechen sollte, also dass wirklich allein mit Cyberoperationen kriegsähnliche Effekte hervorgerufen werden können regelmäßig oder dass es überhaupt das Ansinnen des Angreifers ist, das wage ich jetzt aufgrund der letzten 10, 15 Jahre ehrlich gesagt eher, das würde ich jetzt eher bezweifeln. Cyberoperationen sind eher oftmals ein zusätzliches Mittel auch im Rahmen von militärischen Konflikten.

Einfach weil man auch sehr viel machen kann. Ich meine, alles ist irgendwie vernetzt. Es sollen ja auch Panzer vernetzt werden. Deutschland, Frankreich arbeiten jetzt, glaube ich, an einem vernetzten Panzersystem. Da hat man eben auch viel mehr Angriffsmöglichkeiten. Und natürlich auch auf der Desinformationsebene, wenn es zum Beispiel darum geht, die Bevölkerung in einem Land eines militärischen Kontrahenten zu beeinflussen. Genau.

Mo (25:02.321)

Okay, wenn ich noch mal kurz einmal einhaken darf, es sind jetzt gerade so drei Begriffe gefallen, die wir vielleicht also DDoS, Ransomware und Viper, vielleicht dass wir die einmal ganz kurz erklären, dass einfach alle so ein bisschen wissen wovon wir reden.

Kerstin (25:16.27)

Ja, sehr gern. Also DDoS, das heißt Distributed Denial of Service und da wird dann oftmals auch mit Hilfe von Botnetzen, wird im Endeffekt zum Beispiel eine Webseite mit so vielen Anfragen überlastet, dass dies im Endeffekt zusammenbricht. Das ist eine DDoS -Operation, relativ hemmsärmlich technisch erklärt. Ransomware ist eine Erpressungssoftware, also da gibt es dann auch verschiedene Formen von, ich will da jetzt nicht zu arg in die Tiefe gehen, aber die klassische Ransomware ist im Endeffekt das, ja.

die Systeme eines Opfers verschlüsselt werden, das sind die Daten eines Opfers. Also wenn jetzt dein Computer irgendwie gehackt wird und deine Daten werden verschlüsselt und dann kommt eben eine Anzeige, hey, wenn du wieder Zugriff auf deine Daten willst, musst du mir 50 Bitcoin überweisen, das wäre zum Beispiel klassische Ransomware. Und das dritte waren Viper -Operationen. Das ist ein bisschen schwerwiegender, weil da werden tatsächlich Daten nicht nur irgendwie blockiert oder eben verschlüsselt, sondern da werden Daten tatsächlich auch gelöscht, also wirklich auch unwiederbringlich gelöscht. Genau.

Martin Müller (25:54.991)

Das war's für heute. Bis zum nächsten Mal.

Mo (26:16.464)

Ja, hab ich ne kurze Anekdote. Während meines Masters wurde meine Uni gehackt. Ich weiß nicht, ob ihr den Vorfall... Vielleicht, bitte so... Die haben... Ich hab an der Hochschule für Angewandte Wissenschaften studiert. Ähm, und die... Ja. Okay, aber müsste man ja eigentlich vielleicht sogar in der Datenbank finden. Ich guck gleich mal nebenbei. Das war 2023, glaub ich. Von 2000 auf 23.

Kerstin (26:27.918)

Müssen wir nachschauen. Ich glaube, ad hoc kann ich es nicht sagen. Wir haben fast 3000 Vorfälle.

Kerstin (26:36.814)

Wann war das denn? Wann war das denn?

Mo (26:46.704)

...müsste das gewesen sein. Ähm... Aber, also, weil das war nämlich auch so ne Geschichte, da wurden glaub ich auch wirklich Daten tatsächlich gelöscht und da waren richtig Sachen dann weg und so, das war ein sehr, sehr großer Schaden. Ähm, aber man weiß glaub ich nicht... nicht genau, was dahinter stand. Aber, hab ich irgendwie in der ganzen Vorbereitung gar nicht dran gedacht, aber jetzt, wo wir drüber reden, dachte ich, Moment mal, das hab ich doch sogar mal irgendwie mitbekommen. Ähm, nee, es muss von 22 auf 23 gewesen sein. Na gut, okay, ähm...

Kerstin (26:55.918)

Mhm. Ja.

Mo (27:13.424)

Wir hatten da bei dem Thema Schwere, glaube ich, noch eine Dimension und so hatten wir noch einen zweiten Punkt. Da, Martin, wolltest du noch ein bisschen irgendwie was zu sagen.

Martin Müller (27:22.607)

Genau. Kerstin hat das ja schon teilweise. Ich versuche es einfach gerade so zusammen zu binden. Wir haben ja doch recht unterschiedliche Vorfallstypen, so wie Kerstins gesagt hat, und haben deshalb immer auch so ein bisschen das Problem, dass wir diese unterschiedliche Schwere auch irgendwie miteinander vergleichen müssen. Wir tun das so ein bisschen auf einer technischen Ebene, dass jetzt zum Beispiel bei diesen disruptiven Angriffen, wie Kerstin sie beschrieben hat, schauen wir eben zum Beispiel, wie lange hat eben diese Disruption, wie lange war eben diese Verzögerung oder wie lange waren diese Daten nicht verfügbar. Das ist so ein...

was wir uns zum Beispiel anschauen, insofern es um die Spionage geht oder auch irgendwie den allgemeinen Datendiebstahl, das ist jetzt eben eine Variante dieser Ransomware -Gruppierung, auch die Daten eben zu stehlen, um damit noch zusätzlich zu erpressen, quasi nicht nur die Verschlüsselung der Daten, sondern dass eben auch dann angedroht wird, dass die Daten veröffentlicht werden. Wir schauen uns eben zum Beispiel an, was für Datentypen sind das? Also ist das irgendwie, und das kann recht unterschiedlich sein, das kann was sein, wo man sagt, okay, dass es quasi öffentlich und nicht rasend interessant ist.

Name, Geburtsdatum, E -Mail -Adressen, also Sachen, die man vielleicht schon mal rausfinden kann. Oder sind das eben ärgere Sachen? Wir hatten zum Beispiel Ransom -A -Operationen gegen Kliniken, gegen andere Gesundheitsdienstleister, wo es natürlich dann medizinisch doch sehr private Informationen gibt, die man beispielsweise nicht veröffentlicht wissen möchte. In den USA beispielsweise häufig ist der Diebstahl von den Sozialversicherungslubbern immer ein Problem, weil die recht leicht genutzt werden können für Identitätsdiebstahl.

Solche Sachen, das gucken wir uns eben an. Wir gucken uns aber zum Beispiel auch an, was ist der Schaden, also der finanzielle Schaden. Das ist was, wo wir häufig Schwierigkeiten mit haben, weil das irgendwie recht selten öffentlich wird. Da hilft uns zum Beispiel eben, wenn wir zum Beispiel so als Jahr im Falle von betroffenen Kommunen, da wird das eben öffentlich über die Haushaltsberatungen fürs nächste Jahr, was eben der Schaden war im Vergangenen. Wir sehen das bei börsennotierten Unternehmen, die sind eben teilweise aufgrund der Publikitätspflichten für Aktienkonzerne verpflichtet eben darüber das Bescheid zu geben.

Was sie erwarten für einen Schaden, sie sind durch die Quartalsmeldungen oder durch den Jahresabschluss erfahren, was quasi ausgegeben wurde. Bei kleineren, nicht börsennotierten Unternehmen haben wir das natürlich nicht. Oder Familienunternehmen, das kriegen wir da eben nicht mit, weil das meistens nicht öffentlich wird. Das ist ein bisschen der Schaden, den wir beobachten. Wenn jetzt so ein bisschen, Kerstin hatte den Teil ja schon angesprochen, uns das mit Konflikten anschauen, sehen wir halt häufig, dass das, was jetzt meinetwegen ganz analog

Martin Müller (29:49.103)

durch eine Rakete geschafft werden kann, durch eine Bombe oder so weiter. Das kriegen wir mit Cyberoperationen eher selten hin. Dass sie wirklich solche Auswirkungen haben, die das auch nur annähernd erreichen, ist wirklich die absolute Ausnahme. Meistens ist es eben, und das ist eben der Fall, das sind dann Spionageaktionen, wo es einfach deutlich leichter ist, an die Daten zu kommen, als klassischen Agenten zu schicken, der irgendwie an diese Informationen gibt oder an Agenten umzudrehen oder so, so wie wir das aus irgendeinem Spionagefilm kennen.

Mo (30:11.055)

Hm.

Martin Müller (30:17.935)

Das ist heute dann doch deutlich leichter, irgendwie von zu Hause vom Laptop irgendwie Schwachstellen zu suchen im gegnerischen System beispielsweise, um dann eben an diese Daten zu kommen. Für so wirklich Auswirkungen, dass sie so kinetisch, also wirklich Kriegswaffen nahe kommen, das ist wirklich eher die Ausnahme. Also da muss man immer so ein bisschen ehrlicherweise differenziert einfach gucken. Das ist nicht immer nur der Cyberkrieg, der irgendwie jetzt in Zukunft alles ablösen wird, sondern das sind irgendwie teilweise wirklich ergänzende Operationen.

Mo (30:26.319)

Mhm.

Martin Müller (30:46.831)

teilweise auch einfach bestehende Konflikte, also klassische Spionageaktionen, die einfach jetzt in einer anderen Domäne, würde man vielleicht militärisch sagen, geführt werden.

Mo (30:55.44)

Ja, ich meine, das macht ja auch Sinn, weil es gibt ja auch immer so, oder was man sich manchmal als Kind ja so überlegt ist so dieses, warum macht man denn Krieg? Warum spielt man denn nicht einfach ein Computerspiel gegeneinander und der Verlierer ist dann, hat dann halt den Krieg verloren. Das sind ja schon so Gedanken, die vielleicht hatte auch nur ich, die aber ich glaube nicht, die eigentlich jeder im Laufe seines Lebens vielleicht mal hatte. Und irgendwie ist ja da immer die, also Krieg ist ja immer genau der Punkt, wo man sozusagen die Regeln von

etwas verlässt und einfach die schlimmstmöglichste Eskalation wählt und ich meine klar, ne, also solange es eine schlimmere Eskalationsstufe gibt und wie du hast ja gerade gesagt, dass man eigentlich mit digitalen Angriffen oder Cyberangriffen niemals, stand jetzt, nicht so einen Schaden erreichen kann, wie man ihn irgendwie auf der analogen Ebene herbeiführen kann, gibt es ja immer noch eine höhere Eskalationsstufe. Das heißt, wenn ich das jetzt sozusagen mal so für mich übersetze, selbst wenn ich jetzt irgendwie mit Cyberangriffen

einen krassen Schaden verursache, kann ich halt immer noch mehr Schaden verursachen auf einer anderen Ebene, die das komplett in den Schatten stellt und dann macht das im Zweifel auch irgendjemand. So würde ich es mir jetzt übersetzen, aber es ist jetzt auch eine sehr leihenhafte...

Martin Müller (32:07.567)

Vielleicht ein Beispiel, was immer noch in der Diskussion ist, und das ist nun wirklich einige Jahre her, was immer noch den größten Vergleich zu einer Kriegswaffe Schaden angerichtet hat, war die Stuxnet -Operation im Iran. Das müsste 2007 gewesen sein, also nun wirklich echt ein paar Jahre her. Und wenn man da einfach schaut, das hat drei bis vier Jahre Vorbereitung gedauert, um diese Operation auszuführen. Das ist einfach im Vergleich zu einem Raketenabschuss eine unfassbar lange Zeitdauer.

Mo (32:09.391)

Ja, gerne.

Mo (32:25.263)

Mhm.

Martin Müller (32:36.847)

für einen Effekt, den ich mit einer Rakete vermutlich ähnlich erziele. Ich glaube, das ist teilweise einfach die Erwägung dahinter. Man vergisst wohl doch häufig, was für eine Vorbereitung Cyber -Vorfälle brauchen. Das ist nicht irgendwie im Film, da sitzt gerade ein Hacker und ist irgendwie in zwei Minuten im System und kann dann innerhalb von drei Minuten die Wi -Fi -Software aktivieren und dann sind die Systeme hinüber, sondern das dauert einfach in der Realität alles deutlich länger. Das fängt schon irgendwie an mit Schwachstellen -Suche, dann auch irgendwie tatsächlich im System drin bleiben können und so weiter. Also es sind alles so Überlegungen, die...

Mo (32:40.078)

Mhm.

Martin Müller (33:06.447)

Film dann natürlich irgendwie oder in der medialen Darstellung nicht so den Raum finden, aber die einfach dafür sorgen, dass einfach andere Vorgehensweise, und das kann man jetzt mit Russland, mit dem russischen Vorgehen der Ukraine einfach schon sehen, das wird am Ende nicht der Cyberangriff sein, sondern da werden die Erfolge über andere klassische Waffensysteme beispielsweise jetzt in Konflikten erzielt. Aber wie du sagst, genau, unter so einer Schwelle ist natürlich der Cyberraum deutlich interessanteres, interessantere Domäne, um eben solche Konflikte auszutragen, wenn es eben um Daten, um

Mo (33:32.782)

Mmh.

Martin Müller (33:35.919)

auch mit High Tech geht.

Kerstin (33:39.054)

Genau, aber perfekt, dass du Stuxnet ansprichst, Martin, weil Stuxnet ist wirklich interessant, weil es zum einen natürlich aufzeigt, wie schwer es überhaupt ist, mit Cyberoperationen wirklich physische Effekte hervorzurufen. Und es ist denen tatsächlich gelungen, also wahrscheinlich den amerikanischen und israelischen Geheimdiensten im Verbund. Gleichzeitig hat es aber auch aus meiner Sicht aufgezeigt, dass gerade von demokratischer Seite Cyberoperationen wohl in Teilen auch bewusst deeskalierend eingesetzt werden, weil es ging damals eben gerade darum,

irgendwas gegen das iranische Atomwaffenprogramm machen zu können, ohne jetzt wirklich hier einen Krieg vom Zaun zu brechen. Also man wollte quasi auf der einen Seite Israel beschwichtigen. Israel wurde immer nervöser, was eben das iranische Atomwaffenprogramm damals anbelangt hat. Ist ja heute eine ähnliche Situation. Und die USA wollten eben nicht jetzt noch einen Konflikt in der Region vom Zaun brechen, neben Irak, neben Afghanistan. Da hat man eben nach einer weiteren Option gesucht, die eben Israel ein bisschen beschwichtigt, aber keinen Krieg.

entfacht und da ist mir eben auch eine Cyberoperation gekommen. Und deswegen glaube ich ist auch das Thema Eskalation, Deeskalation ist auch immer wieder sehr wichtig, wird oft diskutiert, wann wird was, welches Mittel von welcher Seite aus, mit welcher Wegrichtung eingesetzt. Ist natürlich aber auch oftmals sehr schwer zu bewerten, man ist nicht irgendwie in den Köpfen drin, weil das jetzt wirklich deeskalativ gemeint, was ich vielleicht doch eskalativ gemeint.

Und vor allen Dingen nur weil ich was als Angreifer eigentlich eher deeskalierend meine, muss es bei meinem Gegenüber nicht deeskalierend ankommen. Ich kann nicht wissen, reagiert er auch wirklich so, wie ich es gerne hätte. Aber ich denke trotzdem, Stuxnet und vielleicht auch in Teilen manche offensive Cyber -Operationen, die berichtet wurden von US -Seite gerade, ich glaube, 2019 im Rahmen des Konflikts in der Straße von Hormuz, Persischen Golf etc. Da ging es eben auch gerade darum,

Mo (35:12.11)

Mhm.

Kerstin (35:32.398)

zu reagieren gegen den Iran, aber eben nicht unbedingt indem man jetzt irgendwie Bodentruppen schickt oder irgendwelche Angriffe fährt, sondern da wo der tatsächlich mit offensiven Cyberoperationen dann auch darauf reagiert, was man natürlich wirklich eher auch in Teilen die deeskalativere Wirkung eigentlich anzeigt.

Mo (35:48.878)

Okay, ja, vielleicht kurz, sag's nicht, was genau ist da passiert, weil ich hab's, also, mir ist es nicht präsent, was vielleicht nicht gut ist, aber...

Martin Müller (35:59.407)

Ich glaube, das ist nicht schlimm. Das ist, was ich glaube, bei uns im Bereich ist das ein absoluter Oberklassiker. Ich glaube, der fällt unter jeden Top 5 Cyberangriffen, ist aber natürlich auch wirklich schon seit 2007 ein paar Jahre her. Also es ging um das iranische Nuklearprogramm. Und ich meine, damals wurde, jetzt lehne ich mich ein wenig aus dem Fenster, aber ich meine, damals wurde das Zentrifugenprogramm in einer der Standorte eben angegriffen und dafür gesorgt, dass die Zentrifugen kaputtgegangen sind.

die eben nötig sind, um die Anreicherung von Uran für Atomwaffen zu ermöglichen. Und das wurde wohl, oder das schreibt man den US -amerikanischen und israelischen Geheimdiensten zu, dass da von außen eingegriffen wurde in diese Systeme. Über einen Virus entsprechend, über Stuxnet, der dafür gesorgt hat, dass diese Zentrifugen kaputtgegangen sind und damit natürlich wie eine klassische Sabotage dafür sorgen, dass das Atomprogramm nicht weitergeführt werden kann.

Mo (36:58.926)

Okay, das klingt ja eigentlich so nach der perfekten Konfliktlösung. Gefährdet eigentlich keine Menschenleben großartig. Wenn es schief geht, dann muss da jetzt niemand, dann wird da jetzt nicht direkt ein Konflikt ausgebrochen. Verstehe, ist es dann auch oft die Hoffnung, dass man diese Mittel deeskalativ nutzen kann? Ist das was, wo viele dann vielleicht auch...

sagen, das ist so ein bisschen das Ziel und ist das ist das realistisch, also das auch eher auf der Seite, weil ich hab's eigentlich immer eher auf so einer aggressiven Seite verordnet, also im Sinne von ich will einen Konflikt starten oder ich will einen aggressiven Konflikt unterstützen. Ich hatte bis jetzt nicht präsent, dass es ja auch, macht ja eigentlich aber auch Sinn natürlich, dass es ja eigentlich auch ein gutes Mittel ist, um eben genau das zu verhindern. Ist das so ein bisschen die Hoffnung oder ist das eigentlich auch schon eine Illusion, die so ein bisschen, bisschen naiv gedacht ist?

Martin Müller (37:54.831)

Ich glaube, wir können das aus beiden Perspektiven spielen, das Spiel. Also Kerstin kann das aus der Konfliktforschungsperspektive spielen und ich aus der recht -völkerrechtlichen. Dann kommen wir, glaube ich, zu einem ganz guten Ergebnis.

Mo (38:05.869)

Mhm.

Kerstin (38:09.998)

Ich halte es für sehr gefährlich zu denken, dass man offensive Cyberoperationen wie Stuxn, die ich regelmäßig zur Konflikteeskalation einsetzen könnte, sollte. Einfach weil die Kollateralschäden aufgrund der starken Vernetztheit aller möglichen Systeme, man hat ja nicht immer eine klare Trennung zwischen militärischen und zivilen Systemen und Netzeninfrastrukturen.

Ich glaube nicht, dass man das tun sollte, weil die Kollateralschäden nicht vorhersehbar sind. Das war ja bei Stuxnet auch so. Stuxnet hat nicht nur die Atomanlage in der Tanz betroffen, sondern hat sich auch noch auf weitere Siemens -Anlagen ausgebreitet. Das Gleiche sehen wir auch bei anderen Cyberoperationen, wie zum Beispiel auch eine bekannte Kampagne der Russen, Nord -Petja.

Natürlich ging es hier nicht um Konfliktdeeskalation, aber es zeigt einfach auch schön, auch wenn ursprünglich wahrscheinlich eher ukrainische Ziele betroffen waren, hatten wir am Ende keine Ahnung, wie viele wahrscheinlich hundertetausende betroffene Unternehmen, Akteure, unterschiedlichster Couleur auf der ganzen Welt, einfach weil man das nicht wirklich oder nicht oft oder nicht wirklich regelmäßig eindämmen kann oder wirklich sagen kann, okay, ich will wirklich nur dieses eine Zielsystem treffen und einfach auch, ja.

Mo (39:25.869)

Mhm.

Kerstin (39:29.038)

Es ist auch einfach sehr schwer, sich so einen Effekt auszudenken und dann tatsächlich eine Cyberoperation aus technischer Sicht so aufzusetzen, dass es auch wirklich so funktioniert, dass die Effekte, die ich mir wünsche, auch wirklich so eintreffen, weil natürlich auch immer viel vom Opferverhalten abhängt. Natürlich kann man zum Beispiel monatelang an einer Angriffsstruktur arbeiten, die vielleicht auf der Ausnutzung einer gewissen Verwundbarkeit aufbaut. Und dann kann es sein, kurz bevor ich das Ganze starten will, kommt vielleicht ein Patch raus.

für die Verwundbarkeit und es wird gepatcht. Dann habe ich natürlich ein Problem und dann war die ganze Arbeit umsonst. Also das sind einfach sehr, sehr, sehr viele Unwägbarkeiten, auch um da vielleicht eher noch die technische Perspektive mit rein zu bekommen. Und da geht wahrscheinlich Martin dann auch gleich drauf ein. Es ist auch meiner Sicht kein verantwortungsvolles Verhalten, jetzt irgendwie zu sagen, okay, ich setze jetzt irgendwie regelmäßig offensive Cyberoperationen ein gegen Zielsysteme, um da irgendwie deeskalativ zu wirken.

Mo (39:58.797)

Nö. Hm. Hm.

Kerstin (40:26.382)

Auch einfach weil ich glaube, dass es sehr schnell auch Auswirkungen auf die Zivilbevölkerung haben kann in dem jeweiligen Land. Und das ist ja natürlich auch Teil des Völkerrechts, dass Zivilisten immer geschützt werden sollten. Deswegen wäre ich da sehr vorsichtig, wird natürlich gern gemacht. Gerade auch von sehr potenten Staaten wie den USA. Also gerade auch wenn es um sogenannte Pre -Positioning -Operationen geht, dass man sich quasi schon mal vorab präventiv in den Zielsystem eines Opfers irgendwie einlistet, falls es dann doch mal zunimmt.

konventionellen Konfliktausbruch kommen sollte, dass man da vielleicht doch mal die Lichter irgendwie ausmachen kann. Aber da sind einfach sehr, sehr viele Unwägbarkeiten dabei, ob es funktioniert, welche Folgen es hätte, vielleicht auch für die eigene Bevölkerung. Es kann natürlich auch immer wie ein Boomerang zurückkommen. Hat es auch schon alles gegeben, deswegen da ist sehr, sehr viel, sehr, sehr vieles eben ungewiss.

Mo (41:14.38)

Okay.

Martin, wolltest du noch die völkerrechtliche Perspektive ergänzen, bevor ich weitere Fragen zu?

Martin Müller (41:22.127)

Genau, ganz kurz, das Völkerrecht macht keinen Unterschied, ob das jetzt irgendwie ein klassisches Waffensystem ist oder der Cyberraum. Die Schwelle da, wo wir zum Beispiel von bewaffneten Konflikt sprechen, die ist gleich und das ist eben eine der Gefahren und das hat Stuxnet auch so in die Diskussion gebracht, völkerrechtlich, weil man eben gesagt hat, okay, das hat jetzt einfach Auswirkungen, als ob jemand mit einer Rakete angegriffen hätte und dann ist einfach die Frage, ob diese Schwelle zum bewaffneten Konflikt eröffnet ist und was das heißt für den...

Mo (41:29.26)

Mhm.

Martin Müller (41:51.023)

Nicht Völkerrechtlerin ist einfach, dass die Staaten Selbstverteidigungsrecht haben. Wir haben quasi eine Konflikteskalation. Wenn ich angegriffen werde als Staat, habe ich ein Selbstverteidigungsrecht. Das jetzt zum Beispiel worauf sich Israel berufen hat nach dem Angriff der Hamas, der ja ganz klassisch ist. Wir haben auch da Cyberoperation gesehen, aber erst im Nachgang, nicht jetzt originär zu dem Angriff, dann besteht eben erst mal ein Selbstverteidigungsrecht bis zu einem gewissen Grad. Und genau das ist die Gefahr. Und das macht keinen Unterschied, ob das eben Cyberangriff ist oder nicht.

Also wir haben diese mögliche Konflikteskalation einfach deswegen, weil das Völkerrecht das zulässt. Sodass man bei solchen Angriffen eben auch vorsichtig sein muss. Was natürlich ein Vorteil sein kann, ist natürlich bei Cyberangriffen ist diese Zurechenbarkeit nicht unbedingt so gegeben. Also es ist natürlich deutlich schwieriger zuzurechnen, wo jetzt ein Cyberangriff herkommt. Also du hast das Beispiel von deiner Hochschule genannt. Das ist einfach deutlich schwieriger als beispielsweise jetzt bei einem Raketensystem. Also das finde ich einfach leichter heraus. Und das sind einfach solche...

Mo (42:47.532)

Ja.

Martin Müller (42:51.023)

Überlegungen glaube ich die politisch dann schon eine Rolle spielen können, irgendwie vielleicht das eine Mittel dem anderen vorzuziehen. Am Ende bleibt es völkerrechtlich, aber macht sich das keinen Unterschied.

Mo (43:00.332)

Okay, das heißt, also, ja.

Kerstin (43:00.43)

Vielleicht noch, dass wir nicht uns zur Darstellung von Stuxnet um die Ohren gehauen bekommen. Es war tatsächlich so, dass diese Systeme quasi auch eher gegappt waren. Ich glaube, so sagt man das. Die waren quasi eigentlich vom Internet abgetrennt. Das wird ja oftmals so gemacht bei wirklich sensiblen Systemen. Und da weiß man jetzt auch seit ein paar Jahren, dass da wohl ein niederländischer Geheimdienst -Aktör mit einer Rolle gespielt hat, um überhaupt die Systeme vor Ort wirklich infizieren zu können. Also das auch noch im Hinblick auf, okay, so einfach ist es gar nicht jetzt irgendwie.

Mo (43:06.284)

Mhm.

Kerstin (43:29.39)

aus 1000 km Entfernung einfach mal so irgendwie ein Atomwaffenprogramm hier irgendwie hochzunehmen oder so sabotieren, sondern oftmals ist dann für solche Operationen eben dann doch auch ein physischer Zugriff durch eine Person notwendig. Das noch als kurze Ergänzung.

Mo (43:34.412)

Hm.

Mo (43:41.9)

Ja, okay. Nee, aber jetzt fang ich an, das besser zu verstehen. Also, okay, das Dark Side ist jetzt ein Beispiel, wo das, also, das hat ja dann, wenn ich das richtig verstanden hab, auch nicht nur das Torwaffe -Programm getroffen, sondern dann halt noch ganz, ganz viel mehr und einen riesen Schaden angerichtet. Und jetzt versteh ich auch das mit den Konsequenzen, dass die nicht immer ganz abwegbar sind, weil ich kann mir schon vorstellen, dass bei vielen im Kopf die Vorstellung ist, naja, das ist dann halt auf dieser Cyber -Ebene, und das hat ja nichts mit der analogen Ebene zu tun. Aber wenn das jetzt aus völkerrechtlicher Sicht auch so ist, dass...

Wenn jetzt Land A, Land B irgendwie hackt und da Schaden verursacht, auch wieder banal gesprochen, dann hat Land B das Recht, keine Ahnung, einen Gegenangriff zu starten, der dann aber halt eben nicht mehr auf der Cyber -Ebene ist, sondern vielleicht in Form von Bomben. Jetzt sehr vereinfacht. Ich weiß, ich kenn mich mit dem Völkerrecht nicht gut genug aus, aber so hab ich's jetzt verstanden, also dass der Start des Konflikts auf der einen Ebene sich...

sehr wohl in die andere Ebene weiterspinnen kann und dass man das halt einfach mit bedenken muss und dass diese Illusion von, naja dann verlager ich das eben und jetzt auch was du gerade gesagt hast, Kersti, das geht eh sowieso gar nicht immer auf diese digitale Ebene und macht das so ein bisschen abgekapselt von dem anderen und dass das gar nicht so funktioniert. Das ist jetzt so das, was ich so mit verstanden habe. Ist das... mhm.

Martin Müller (45:01.199)

Ja, vielleicht auch noch die Ergänzung zu dem, was Kirsten sagte. Jetzt ein anderes Beispiel wäre jetzt SolarWinds beispielsweise. Das war quasi der Einstieg zum russischen Angriff in der Ukraine. Da wurde tatsächlich mal das Satelliteninternet angegriffen. Das hat eben aber auch beispielsweise in Deutschland zu spüren, weil plötzlich Windturbinen angegriffen wurden. Also Windturbinen quasi mit betroffen waren von einem Vorfall, der eigentlich dafür sorgen sollte.

die ukrainische Kommunikation in der Landesverteidigung zu blockieren. Es ist eben dieses Vernetzungsproblem, das dafür sorgt, das ist nie so chirurgisch, wie man sich das gerne vorstellt, sondern das kann einfach weitere Auswirkungen haben, weil die Software genutzt wird, weil die Hardware sehr ähnlich ist, weil die Schwachstelle vielleicht was ist, was in anderen Bereichen genauso auftritt. Also es ist sowohl das Problem klassischer oder analoger Kriegsführung, als auch das Problem auf der Vernetztheit digitaler Systeme.

Mo (45:33.932)

Mhm.

Martin Müller (45:58.095)

dass man nie wie mit einem chirurgischen Messer gerade ein Ziel sich rausschneidet und damit am Ende dann nur das Ziel trifft, sondern es ist häufig eben was, was das war eben das SolarWinds, Kerstin hatte es Nordpetja genannt, das war ein paar Jahre vorher, einfach viel mehr Ziele trifft als vielleicht die ursprünglichen, die da angesehen sind.

Mo (46:13.772)

Okay, ja verstehe das wahrscheinlich also die dieses digitale daran das vermittelt wahrscheinlich mal so ein bisschen das bild dass das so geht Auch wenn es in der realität gar nicht so funktioniert

Mo (46:29.356)

Genau. Dann hatten wir noch einen Punkt, auf dem würde ich auch gerne noch zu sprechen, wir können heute übrigens ganz kurz mal unterbrechen. Das im Chat, sollen wir das noch erwähnen oder? Passt, also wir schneiden den Teil jetzt einfach.

Kerstin (46:42.19)

Ne, alles gut. Ich glaube, Martin, du hast das Solarwinds gesagt. Ich glaube, du meintest, wie er sagt, einfach nicht, dass es zu einer Konfession kommt. Ich wollte das jetzt nicht im Gespräch, ich wollte das eigentlich elegant über den Chat lösen. Genau.

Martin Müller (46:47.183)

Ja, ich glaube, die habe ich die... Nee, klar, klar, klar. Nee, das ist natürlich irgendwie... Das müssen wir vielleicht noch mal vielleicht kurz ergänzen, nicht dass man das irgendwie durcheinander geworfen bekommt.

Mo (46:48.812)

Also.

Mo (46:59.404)

Jaja, können wir machen. Also wir schneiden den Teil raus und du kannst ja jetzt einfach sonst sagen, ach ich meinte übrigens nicht Solarwind, sondern Viasat, sorry. Also, kannst du ja. Ja, genau. Schieß los.

Martin Müller (47:05.871)

Ja. Genau, okay. Mach ich gerne. Genau. Genau, wir hatten SolarWinds gerade gesagt, ich meinte wir, es hat, wir wollten da jetzt grad nicht für Verwirrung sorgen. Das ist mir durcheinander gegangen, Entschuldigung.

Mo (47:18.859)

Ja, ich glaube, das kann passieren in dem Gespräch, dass man mal zwei Begriffe durcheinanderschmeißt. Wir könnten jetzt einfach das Via -Satz so rausschneiden, dass du gerade gesagt hast, immer an der Stelle, aber mit einer ganz komischen Betonung dann so reinschneiden, dass du ganz... machen wir natürlich nicht. Genau, ich glaube, ein spannender Punkt, der noch so ein bisschen dabei ist, ist das Thema, wer war's? Also wer... Du hattest das ja auch gerade schon angedeutet, Martin, dass es dann auch immer gar nicht so klar ist, oder dass das ein Vorteil sein kann.

Martin Müller (47:30.639)

Perfekt.

Mo (47:47.083)

Wer hat eigentlich jetzt gerade hier den Schaden zugefügt? Gerade wahrscheinlich bei Konflikten, die so ein bisschen politische Natur haben und auch so Zwischenstaaten, ist es wahrscheinlich auch noch relevanter. Aber wie kann man denn oder wie wird denn diese Attribution vorgenommen? Also wie kriege ich raus, wer das gemacht hat und was kann das für Auswirkungen haben? Vielleicht habt ihr auch Beispiele, wo das spannend war.

Martin Müller (48:15.791)

Ja, also auch das hängt wieder so ein bisschen ab, mit was für einer Attacke wir zu tun haben. Also Hektivisten zum Beispiel, die häufig irgendwie DDoS -Angriffe durchgeführt haben, die wollen gesehen werden. Also das ist auch immer was, was irgendwie einen Defekt haben soll, schon wegen Wir Warns. Da kriegen wir das immer relativ häufig mit, wer das tatsächlich war, weil da benennen sich, selbst attribuieren würden wir sagen, benennen sich eben Akteure und wollen eben sagen, genau wir haben jetzt dafür gesorgt, dass diese und diese Webseite lahmgelegt werden.

Cyber -Spionage vielleicht als Gegensatz, da ist eigentlich das Ziel überhaupt nicht entdeckt zu werden. Da wissen wir es eben manchmal nur, da gibt es mal einen Bericht von einer IT -Sicherheitsfirma, die eben sagt, ja, wir haben diese und diese Malware gefunden oder wir haben irgendwie gesehen, dass diese und diese Schwachstelle ausgenutzt wurde und häufig aber irgendwie nur sagen können, also anhand irgendwie zum Beispiel des Codes irgendwie Mutmaßungen anstellen können, also ob das jetzt beispielsweise vielleicht nicht ausgefeilter ist oder nicht.

Und dann Mutmaßung machen. Man muss dazu vielleicht der Vollständigkeit sagen, über alle Cyberangriffe, die wir in der Datenbank haben, die wir beobachten, die Mehrzahl wissen wir überhaupt nicht, wo sie herkommt. Auch das muss man immer ehrlicherweise sagen. Wir wissen es einfach bei der Mehrzahl der Cyberangriffe nicht. Und teilweise dauert das auch einfach sehr lange mit der Attribuierung. Also das ist einfach genau ein Teil, wieso wir immer wieder auch die Datenbank updaten. Das kann einfach Jahre dauern, bis das bekannt wird. Das ist nicht immer so super, super einfach.

Für das, was in den letzten Jahren relativ bekannt geworden ist, Ransomereingriffe, da kriegen wir das relativ häufig auch mit, weil natürlich geht es dann am Ende um dieses Lösegeld. Dann muss man wissen, wohin das Lösegeld gehen soll. Meistens werden die Akteure dann auch bekannt. Es hängt einfach sehr davon ab, aber wie gesagt, in der Mehrzahl wissen wir es nicht. Da schreiben wir meistens, dass das ein bekannter Akteur ist. Wir wissen auch nicht, aus welchem Staat. Und dann...

Mo (49:54.954)

Mhm.

Martin Müller (50:12.687)

ergeben sich vielleicht über den Lauf der Zeit Informationen, die wir einfach zum jetzigen Zeitpunkt dann nie haben.

Mo (50:18.025)

Kann man, kann man, also ja, sorry, ne, was war? Also.

Kerstin (50:21.134)

Nee, Martin hat das meiste echt schon super zusammengefasst. Dann ist natürlich auch oft ein bisschen das Problem, es gibt natürlich auch Akteure, die bewusst falsche Pferde legen wollen, was auch nicht so schwer ist. Wenn man zum Beispiel weiß, dass irgendwie chinesische Akteure meistens irgendwie die und die Malware benutzen und irgendwie so und so vorgehen, dann kann man das durchaus auch schon versuchen zu kopieren. Das sind dann sogenannte False -Flag -Operationen. Das haben vor allen Dingen russische Akteure in den letzten Jahren auch immer mal wieder gemacht.

Ich glaube, bei der ganzen Frage, wie schwer ist Attribution, so ein bisschen hat sich da aus meiner Sicht der Konsens heraus entwickelt. Na ja, aus technischer Sicht ist es meistens schon möglich. Aber die Frage ist auch, will man attribuieren? Was ist die Folge? Weil einfach nur zu attribuieren, um zu attribuieren, ist gerade für demokratische Regierung ein bisschen schwierig, weil dann sollte man eigentlich auch eine Reaktion irgendwie zeigen. Aber da weiß man oft nicht, okay, will man da jetzt wirklich drauf reagieren? Will man da irgendwie einen Fass aufmachen? Will man eine Eskalation?

riskieren, soll man irgendwie zurück hacken, das macht ja eh meistens gar keinen Sinn. Also ist alles gar nicht so einfach, gerade wenn es dann auch in die rechtliche Ebene geht. Für mich interessant auch aus technischer Sicht ist so ein bisschen wie die threat intelligence Unternehmen in Teilen vorgehen, weil zum Beispiel jetzt irgendwie eine IP -Adresse in irgendein Land zurückverfolgen ist wahrscheinlich oftmals nicht so dramatisch, aber wenn es dann wirklich darum geht herauszufinden, wer saß denn jetzt wirklich hinter dem Computer und was für eine Person ist das, da helfen auch oft tatsächlich Open Source Informationen, also wo man jetzt tatsächlich nicht mal unbedingt

Mo (51:15.049)

Hm.

Kerstin (51:44.622)

irgendwelche geheimen Informationen braucht. Zum Beispiel auch Hacker, gerade auch aus der chinesischen Armee, vom chinesischen Militär. Die sind auch in Teilen wirklich auf Social Media aktiv und posten auch irgendwelche Fotos in irgendwelchen Militäranzügen. So ist man denen in Teilen schon auf die Schliche gekommen. Also Akteure sind auch oftmals einfach nicht so vorsichtig, wie sie vielleicht sein sollten, gerade dann auch in ihrer privaten Funktion.

Und so kann man dann eben oftmals auch so ein bisschen echt wie, ja, wie Detektive vorgehen und das Bild zusammensetzen. Und ich glaube, am Ende ist oftmals auch tatsächlich, was auch noch in Zukunft wahrscheinlich klassische Geheimdienstinformationen, was man dann wahrscheinlich oftmals nicht so unbedingt mitbekommt. Solche Quellen können natürlich nicht unbedingt offengelegt werden in irgendwelchen technischen Berichten. Aber ich glaube, gerade wenn man eine Vorstellung davon hat, welcher Akteur da vielleicht wirklich einen Nutzen von haben könnte.

Dann können ebenso klassische Geheimdienstinformationen auch eben noch der entscheidende Hinweis sein.

Mo (52:47.082)

Okay, spannend. Aber auch spannend der Faktor, will man überhaupt wissen, wer es war, oder ist das gerade das Relevanteste einer ganzen Geschichte, finde ich auch spannend. Also, verstehe. Ich glaube, wir haben einen ganz guten Überblick über das Thema bekommen. Ich hab jetzt auf jeden Fall ein Verständnis dafür entwickelt, und ich hoffe, die HörerInnen auch, wie ihr arbeitet, was für Fragen ihr euch in eurer Arbeit stellt. Das kann man festhalten, es ist wahnsinnig komplex. Also ...

Aber sonst würdet ihr das ja auch nicht machen. Ich glaube, was auch, oder was ich hoffe, was wir gut rausgearbeitet haben, ist so ein bisschen die Frage, ja wirklich, was für Dimensionen hat das eigentlich? Was für Auswirkungen können Cyberangriffe haben? Wer nutzt Cyberangriffe? Von wem gehen die aus? Auf wen treffen die? Was für verschiedene Formen gibt es? Wir haben ja auch Dinge gehört wie ebenso was wie den Hektivismus, der ja, so habe ich das jetzt immer so ein bisschen gehört, im Vergleich zum Beispiel zu...

Angriffen zwischen Staaten teilweise ein viel weniger großes Gewicht hat und wo es auch gar nicht so sehr darum geht, irgendwie ganz ganz krassen Schaden angerichtet, also dass da auch einfach unterschiedliche Intentionen dahinter sind und ja eben das spannende, dass diese ganzen Dinge, die wir jetzt eigentlich gerade besprochen haben, diese ganzen Informationen, dass die halt in diesem Datensatz drin stecken und das wäre jetzt vielleicht so meine abschließende Frage, was erhofft ihr euch denn was mit diesem Datensatz passiert, also nicht...

dass ihr den weiter entwickelt, klar, aber was andere damit tun. Was ist sozusagen die Idee, warum ihr das überhaupt macht? Abseits von das festzuhalten und zu ermitteln.

Kerstin (54:24.398)

Wir haben natürlich einen Multi -Stakeholder -Ansatz, das muss man natürlich auch haben, wenn man im Bereich der Cyber -Conflikt -Forschung oder im Cyber -Sicherheitsbereich irgendwie arbeitet. Also es geht uns nicht nur darum, jetzt zum Beispiel irgendwie Wissenschaftler zu befähigen, dass die halt noch mehr schöne statistische Analysen machen können und halt irgendwie noch einen breiteren Datensatz dazu zur Verfügung haben. Das ist natürlich auch sehr gut und auch sehr wichtig, weil gerade auch im Bereich der Cyber -Conflikt -Forschung oftmals eben nur auf immer wieder die gleichen Beispiele bezugenommen wird, da es nicht zum 130. Mal.

Deswegen eine evidenzbasierte Forschung einerseits, aber eben auch die erst mal die Grundlage dafür schaffen, dass zum Beispiel politische EntscheidungsträgerInnen, auch wenn die vielleicht oftmals oder in Teilen eben auch nicht immer Zugang zu irgendwelchen geheimdienstlichen Informationen haben, dass die sich einfach darüber informieren können, hey, wie sieht es denn gerade aus im Bereich der Cyberkonflikte oder beziehungsweise welche Cyberoperationen betreffen den regelmäßig uns, Deutschland, verschiedene Akteure, aber natürlich auch in Europa, in der Welt. Also wirklich.

eine Grundlage dafür schaffen, dass informiertere Entscheidungen möglich sind. Nicht nur für politische Entscheidungsträger, aber natürlich auch für Unternehmen, aber natürlich in der Theorie auch für normale Bürger, also Endnutzer. Und natürlich auch die Zivilgesellschaft ist bei uns auch adressiert, weil wir eben oftmals sehen, okay, Daten werden nicht wirklich zusammengeführt, die sind oftmals irgendwie in Silos, zwar vorhanden, werden aber nicht irgendwie verknüpft. Also gerade auch dieses Interdisziplinäre.

Wissen anbelangt über Cyberoperationen. Deswegen wollen wir eben wirklich so einen holistischen ganzheitlichen Ansatz verfolgen, alles öffentlich machen, auch wirklich alles transparent machen, weil es natürlich auch, finde ich, wichtig ist nachvollziehen zu können als Nutzer, als Konsument von so Daten, ja wie sind denn die überhaupt darauf gekommen? Und wenn das eben nicht transparent gemacht wird, dann kann eben auch nicht die Glaubwürdigkeit in so einen Datensatz gestärkt werden. Also das sind quasi alles Ansätze, die wir verfolgen und im Endeffekt auch um somit.

auch natürlich Gegenstrategien besser bewerten zu können, weil, wie Martin am Anfang schon gesagt hat, uns geht es vor allen Dingen auch darum, bewerten zu können, okay, die EU macht natürlich sehr viel mehr in dem Bereich als noch vor fünf, sechs, sieben Jahren, aber natürlich muss man ja auch immer schauen, sind denn solche Strategien oder auch solche Maßnahmen wie die Cyber -Depormacy -Toolbox, sind die denn effektiv, sind die effizient und auch dafür muss man sich natürlich erstmal die Bedrohungslage anschauen und genau, deswegen verfolgen wir eben wirklich diesen Open Access.

Kerstin (56:45.87)

Ansatz auch um so eine Art öffentliches Gut im Endeffekt bereichstellen zu können.

Mo (56:51.432)

Okay. Cool. Also ich, ähm, nein, also voll, äh, also ich hab gerade überlegt, ähm, ja, also, ja, nachvollziehbar und, äh, spannend und, glaub ich, also, ist auf jeden Fall einen Blick wert. Wir verlinken natürlich auch, ähm, die, äh, Website dazu entsprechend in den Show Notes, ähm, yourrepoch .eu ist die, ist die URL, aber ihr findet das auch nochmal in den Show Notes und da, also ich hab auch...

Parallel während der Folge hatte ich auch das Dashboard offen und da habt ihr dann eben auch diese Tabellenübersicht, um vielleicht das zu unterstreichen, was du gerade noch mal gesagt hast. Es ist sehr zugänglich, man kann filtern, man findet Informationen dazu. Und ich glaube, das macht spannend. Und ich, also, ich finde sowas dann auch immer spannend, weil, ist jetzt vielleicht ein bisschen spezifisch, aber gerade wenn man sich auch irgendwie so mit Daten beschäftigt und mit Data -Themen, auch aus technischer Natur, dann ist es ja auch einfach mal cool, es ist jetzt ein bisschen unabhängig, aber auch einfach Datensätze zu haben.

die mit denen man irgendwie arbeiten kann, die man mal irgendwie explorieren kann, die man vielleicht nochmal verarbeiten kann und so. Und dafür ist es wahrscheinlich ja auch irgendwie total spannend, sich das mal anzugucken. Macht das auf jeden Fall und ich danke euch beiden sehr, dass ihr euch die Zeit genommen habt. Ja, du willst noch was sagen, sorry. Dann äh...

Kerstin (58:04.718)

Dürfen wir noch kurz Werbung machen für ein neues Tool, was wir haben seit letzter Woche?

Mo (58:08.551)

Jetzt ist die Verbindung gerade weg. Was ist denn das heute? Das ist ja ganz komisch.

Kerstin (58:11.502)

Jetzt hängst du gerade bei mir.

Martin Müller (58:14.127)

Hm.

Mo (58:14.503)

Okay, sorry, jetzt, jetzt, ähm, ich war grad schon wieder kurz weg, keine Ahnung. Du hast gesagt, dürfen wir noch mal kurz Werbung machen für und dann... ja.

Kerstin (58:19.886)

Ja, auf jeden Fall. Genau, wir haben ein neues Analyse -Tooling, Critical Infrastructure Tracker.

Martin Müller (58:22.415)

Vielen Dank.

Mo (58:25.991)

Ja, gerne, macht das. Soll ich euch danach fragen? Ist wahrscheinlich cooler, ne? Als, ähm...

Kerstin (58:29.966)

Man kann sich irgendwie fragen, habt ihr auch irgendwas Neues auf der Webseite? Gar nicht gescriptet, aber naja.

Martin Müller (58:32.591)

Hahaha!

Mo (58:33.)

Genau, beziehungsweise Ja, ich habe aber keine Idee, wie ich das machen kann. Also genau, ich habe ja gerade, Marvin, du musst das dann entsprechend schneiden, das kriegst du hin. Ich habe ja gerade gesagt, also es gibt eben dieses Dashboard, es gibt diverse Tabellen, aber vielleicht, was mich nochmal interessieren würde, ist, habt ihr noch Möglichkeiten, sich mit diesem Thema auch bei euch irgendwie auseinanderzusetzen, abseits von dem Dashboard, von der Tabellenübersicht, also habt ihr da Empfehlungen für Tools, für

weitere Möglichkeiten, sich damit zu beschäftigen mit euren Daten, als das, was ich jetzt gerade genannt habe.

Kerstin (59:10.734)

Genau, also wir überlegen uns natürlich auch immer wieder unterschiedliche Schwerpunkte und auch, wie wir dann diese inhaltlichen Schwerpunkte irgendwie in sinnvolle Analyseprodukte überführen können. Und Martin hat ja schon vorhin auch gesagt, kritische Infrastrukturen sind natürlich immer wichtiger, gerade auch im politischen Diskurs. Das sind natürlich auch die Gesellschaften, gerade in Demokratien, potenziell auch am bewundbarsten, beziehungsweise da werden auch sekundäre Effekte von Cyberoperationen potenziell am spürbarsten. Wenn zum Beispiel irgendwie kein Wasser mehr läuft, wenn kein Strom mehr verfügbar ist. Und deswegen haben wir

auch einen neuen sogenannten Cyber Incident Tracker entwickelt. Genauer gesagt, die Camille Borat, unsere Data Scientistin, die nämlich den sogenannten Critical Infrastructure Tracker entwickelt hat, der seit, ich glaube, letzter Woche ist er auch auf unserer Webseite verfügbar. Das ist quasi ein eigener Tracker, sehr interaktiv und da kann man sich eben über alle möglichen Cyberoperationen aus unserer Datenbank informieren, auch entsprechend filtern, die eben kritische Infrastrukturen in Deutschland, in der EU und in der Welt, ja.

betroffen haben, auch zum Beispiel, ob diese wieder in konventionelle Konflikte eingebettet waren, wer die Angreifer waren, auch ein paar technische Indikatoren. Genau, also das wäre auf jeden Fall ein zusätzliches Angebot zu den bestehenden anderen Trackern. Wir haben zum Beispiel einen Cyber Incident Tracker, den man abonnieren kann. Da kriegt man wirklich auf täglicher Basis ins Postfach die Informationen des jeweiligen Tages, also welche neuen Vorfälle wir der Datenbank hinzugefügt haben. Das ist ja zum Beispiel ein Tracker.

Und einen EU Media Reporting Tracker haben wir auch noch, aber jetzt eben neu in der Gruppe dazu der Critical Infrastructure Tracker. Genau.

Mo (01:00:47.495)

der ist wirklich, ich war gerade nebenbei drauf, der ist wirklich sehr cool. Also da kann man sich glaube ich wirklich mal einfach auch ein bisschen, ein bisschen durchklinken. Es ist eh auch ein bisschen, sorry das klingt jetzt dumm, aber es ist eh auch ein ziemlich cooles Thema. Also so, weil das ist ja so, also ich finde das hat schon ein bisschen was, das ist ja auch ein bisschen Stoff für Filme und also wo man so denkt, das eigentlich ist das was, wo ich jetzt nicht gedacht hätte, dass ich mich in meinem Leben damit mal wirklich ernsthaft auseinandersetzen würde, so und irgendwie ist es ja auch, also schon auch irgendwie spannend, oder? So in dem...

Also ja, offensichtlich findet ihr das spannend. Wer ein bisschen frustrieren sonst, ja. Okay, ja, cool. Nee, dann guckt euch den auf jeden Fall auch an. Den Critical Infrastructure Tracker findet ihr auch in den Show Notes. Und damit müssen wir jetzt aber auch mit Blick auf die Zeit die Folge so langsam dem Ende zukommen lassen. Ich glaube aber, wir haben das Wichtigste gesagt. Wahrscheinlich könnte man noch 35 weitere Folgen zu diversen Themen machen oder einen Podcast über...

Kerstin (01:01:18.766)

Ja, wäre schlecht, wenn es nicht so wäre. Aber ja, es ist sehr spannend.

Mo (01:01:45.862)

ein True Crime Podcast über Cybercrime gibt es wahrscheinlich schon. Ich glaube nicht, dass noch niemand auf die Idee gekommen ist.

Kerstin (01:01:50.99)

Wahrscheinlich schon, aber wir stehen natürlich zur Verfügung. Ist ja klar. Wir werden genug fettet. Ja.

Mo (01:01:54.023)

Na, ja. Wir sind da an was dran. Wir haben ungefähr, was war das? 2870 Fälle, die wir besprechen könnten wahrscheinlich. Ja. Ja, vielen Dank, dass ihr da wart. Es hat mir wirklich sehr viel Spaß gemacht. Ich habe viel gelernt und danke, dass ihr euch die Zeit genommen habt.

Kerstin (01:02:00.366)

Genau, genau.

Martin Müller (01:02:09.999)

Sehr gerne. Wir haben zu danken. War auch cool, das Ganze mal ein bisschen außerhalb der Fachöffentlichkeit besprechen zu können. Vielen Dank dafür.

Kerstin (01:02:11.054)

Sehr gerne, danke für die Einladung.

Mo (01:02:18.662)

Das glaube ich, ja. Das ist ein anderes, andere Fragen wahrscheinlich. Ein bisschen, bisschen simpelere Fragen auch.

Martin Müller (01:02:24.847)

Nein, nein, einfach, aber auch besprechen zu können, dass das so ein bisschen auch in die breitere Öffentlichkeit geht. Ich glaube, es finden schon viele Leute interessant, aber es ist nicht ganz super zugänglich und wir hoffen natürlich, dass wir heute ein bisschen dafür gesorgt haben, dass es für manche Leute einfach zugänglicher wird, das Thema, als es vielleicht bislang war.

Mo (01:02:42.246)

Ich denke, ich glaube, ich schaffe mich aus. Das denke ich. Und falls ihr jetzt noch Fragen habt oder Anregungen oder Kritik, dann könnt ihr uns natürlich schreiben an tech - und trara .netzpiloten .de oder ihr findet uns eigentlich auch sonst auf den gängigen Social Media Kanälen. Und dann bleibt mir wirklich noch zu sagen, nochmal vielen Dank an euch beide und natürlich auch vielen Dank an die HörerInnen, also an euch, dass ihr zugehört habt, dass ihr irgendwie mitgedacht habt. Ihr wisst, ihr könnt uns unterstützen, wenn ihr uns abonniert, wenn ihr uns eine Bewertung gebt. Das sind so Dinge, die helfen diesem Podcast.

Und dann wünsche ich euch allen jetzt, also euch beiden und allen da draußen noch irgendwie eine schöne Restwoche, je nachdem wann ihr den Podcast gehört habt. Und wir hören uns dann beim nächsten Mal wieder. Bis dann.