Podcast: Play in new window | Download (Duration: 1:33:42 — 85.8MB)
Subscribe: Apple Podcasts | Spotify | RSS | More
Wenn man mehr Sicherheit herstellen will, aber die Funktionsweise der strategischen Umgebung falsch einschätzt, bereitet man sich auf die falschen Bedrohungen vor. Frankreich machte diesen Fehler 1918 mit dem Bau der Maginot-Linie, der mächtigsten Verteidigungslinie der damaligen Zeit. Der 1. Weltkrieg hatte gezeigt, dass die Offensive, also das Anstürmen gegen Verteidigungswälle aus Stacheldraht, Schützengräben und Maschinengewehr mehr oder minder chancenlos war. Der „meat grinder“ des ersten Weltkriegs war die Folge. Dummerweise hatte sich mit der Erfindung des Panzers und neuen Formen von Manövern die Funktionsweise der strategischen Umgebung geändert: nun war nicht mehr die Defensive im Vorteil, wie der 1. Weltkrieg zeigte, sondern die Offensive. Das Resultat war die Blitzkrieg Strategie im 2. Weltkrieg, die an der Maginot-Linie vorbei manövrierte.
Was hat das jetzt mit IT-Sicherheit zu tun? Emily Goldman, Michael Fischerkeller und Richard Harknett argumentieren in ihrem Buch „Cyber Persistence Theory“, dass sich mit der Erfindung von Computer-Netzwerken die strategische Umgebung erneut verändert hat. Der Cyber- und Informationsraum funktioniert nach einer gänzlich anderen Sicherheitslogik. Das führt dazu, dass traditionelle Sicherheitskonzepte wie Verteidigung, Offensivdominanz oder Abschreckung durch Vergeltung nicht mehr funktionieren. Stattdessen braucht es ein neues Sicherheitsparadigma, was sie „persistent engagement“ nennen. Damit sind die drei Autoren die geistigen Vordenker der amerikanischen Cyber-Strategie und ich habe zwei von Ihnen, Richard und Michael live im Podcast (auf englisch!).
Shownotes
- Goldmann, Fischerkeller, Harknet, Cyber Persistence Theory Redefining National Security in Cyberspace, 2022 (Amazon link)
- Kuhn, The Structure of Scientific Revolutions, 1956 (Amazon link).
- Waltz, Man, the State, and War: a theoretical analysis: A Theoretical Analysis, 2018 (Amazon link).
- North Korea grows nuclear, missiles programs, profits from cyberattacks -U.N. report, Reuters.
- How Conti ransomware hacked and encrypted the Costa Rican government, Bleeping Computer.
Timecodes
02:00 The concept in a nutshell
05:00 Old concepts about deterrence that no longer work
10:00 Differences between cyber, conventional and nuclear environments
13:20 Wrong lessons from WW1: mismatch between strategy and strategic environment
15:30 Offense dominance in the nuclear environment
18:30 constant contact
20:00 Structural Theories of international relations: the nuclear technology as a structural constraint
26:44 The features of the cyber strategic environment: micro vulnerability, macro resilience, logic of exploitation
32:00 Sony hack and Coercion, Ransomware
35:20 Initiative persistence
37:50 Cyber fait accompli
47:00 Persistent engagement
50:00 Hackback and a reaction logic/ cyber attack vs operation
52:00 Agreed battle and competition
58:00 Below the treshold of armed attack activity
01:00:00 Chinese Espionage Campaigns, Solarworld & US Steel
01:07:00 ransomware and denial of business
01:13:40 What should democracies do? China, Huawei and Internet control
01:26:15 Reforms of international law based not on coercion, but exploitation.
01:28:00 Normative Theory?
Hinweise
Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed. Apple Podcasts unterstützt gegenwärtig kein HTML mehr, weshalb das hier alles etwas durcheinander ist.
- Modem Sound, Creative Commons.
- © Vint Cerf, „Internet shows up in December 1975“, in: IEEE Computer Society, Computing Conversations: Vint Cerf on the History of Packets, December 2012.
- © L0pht Heavy Industries testifying before the United States Senate Committee on Governmental Affairs, Live feed from CSPAN, May 19, 1998.
- © Barack Obama, Cybersecurity and Consumer Protection Summit Address, 13 February 2015, Stanford University, Stanford, CA.
- © Michael Hayden, „We kill people based on meta-data,“ in: The Johns Hopkins Foreign Affairs Symposium Presents: The Price of Privacy: Re-Evaluating the NSA, April 2014.
- © Bruce Schneier, „Complexity is the enemy of security, in IEEE Computer Society, Bruce Schneier: Building Cryptographic Systems, March 2016.
- Beats, Bass & Music created with Apple GarageBand
Ich finde die These und Schlussfolgerung erschreckend. Weil es im Internet viele Sicherheitslücken gibt und viele Akteur:innen hacken, sollen… jetzt auch noch Staaten andere Akteur:innen hacken und dafür Sicherheitslücken offenlassen? Hack-first statt Hack-back? Ich halte das für falsch. Da hilft auch die normative Distanzierung am Ende nichts: Die beiden predigen diese Entwicklung. Schade, ich habe Percepticon eigentlich kritischer eingeordnet.