Kommandant der Cyberspace Defense Forces: Wir befinden uns in einer Konfliktphase, vielleicht nahe einer Kriegsphase

• Russland und Weißrussland seien derzeit die Hauptquellen der Bedrohungen im Cyberspace, räumt General Karol Molenda in einem Interview mit CIS ein.
• Die Cyberspace Defense Forces führen nicht nur Verteidigungs-, sondern auch Angriffsoperationen durch.
• Karol Molenda erörtert außerdem, wie Polen innerhalb der NATO ein einzigartiges Cybersicherheitsmodell aufbaut. Es basiert auf Zusammenarbeit, Informationsaustausch und Integration mit dem privaten Sektor.
• Cybersicherheit ist eines der Hauptthemen der Herbstkonferenz „Industry for Defense“. Führende Vertreter aus Industrie, Wissenschaft und Politik treffen sich am 15. Oktober in Kattowitz, um über die Stärkung der Widerstandsfähigkeit und des Verteidigungspotenzials Polens angesichts neuer geopolitischer und technologischer Herausforderungen zu diskutieren.

Im Rahmen der Operation „Sicheres Podlasie“ schützt das Militär die polnisch-belarussische Grenze. Was verteidigen die Cyberspace Defense Forces?

Militärische IKT-Infrastruktur und damit indirekt eine große Menge sensibler und wertvoller Daten aus Sicht der nationalen Sicherheit. Die Militärischen Verteidigungsstreitkräfte (WOC) sind eine Reaktion auf eine Verpflichtung aus dem Jahr 2016. Damals entschied das Nordatlantische Bündnis, dass auch der Cyberspace ein operativer Bereich für militärische Operationen sei . Dies machte die Schaffung separater Einheiten für die Cybersicherheit erforderlich.

Die Zivilschutzkräfte sind in erster Linie für CyberOps zuständig, also für die Abwehr von Angriffen auf IT-Systeme und Infrastruktur. Im Vergleich zu anderen Teilstreitkräften sind wir einzigartig, da wir nicht nur trainieren, sondern auch hier und jetzt, in Friedenszeiten, Einsätze durchführen .

Befinden wir uns im Cyberspace im Krieg? Der General erklärt.

Von Politikern hören wir oft, dass wir einen „Cyberkrieg“ haben. Aber Ihrer Meinung nach Frieden?

Nach internationalem Recht hat uns niemand den Krieg erklärt, daher spreche ich als Soldat von Friedenszeiten. Im Cyberspace sollten wir meiner Meinung nach jedoch eher von Konkurrenz-, Konflikt- und Kriegszuständen sprechen.

Was CyberOps betrifft, befinden wir uns meiner Meinung nach bereits in der Konfliktphase, vielleicht sogar schon kurz vor der Kriegsphase.

Wann würden Sie sagen, dass definitiv Krieg herrscht?

Die Schwelle zum Krieg ist nicht klar definiert. Die NATO entfernt sich generell von der Definition einer starren Grenze, denn wenn ein Gegner weiß, wo sie verläuft, wird er immer an dieser Grenze operieren und testen, was passiert, wenn er sie überschreitet.

Würde ein Angriff kritische Infrastruktur beschädigen und zu Verletzten oder Toten führen, könnte man kaum noch von einem Konflikt sprechen. Es wäre ein starkes Argument, um von einem Krieg zu sprechen. Im Moment wehren wir die Angriffe ab.

Wie viel Verteidigung und wie viel Angriffshandlungen gibt es bei den WOC-Operationen?

Unsere größten Anstrengungen konzentrieren wir auf die Abwehr von Angriffen. Wir identifizieren aber auch die Infrastruktur und Aktivitäten unserer Gegner und lernen ihre Taktiken, Techniken und Vorgehensweisen kennen, die sie gegen uns oder unsere Partner einsetzen. Gleichzeitig bauen wir unsere Angriffsfähigkeiten auf.

Bedeutung?

Wir verfügen über drei Einheiten, die Kompetenzen für das gesamte Operationsspektrum bereitstellen. Jede Einheit verfügt über Teams, die sowohl für die aktive Verteidigung als auch für Angriffe bereit sind. Sie verfügen über das notwendige Wissen und die Werkzeuge, um im digitalen Raum des Gegners Ergebnisse zu erzielen, falls unsere Infrastruktur so angegriffen wird, dass politische Faktoren dazu führen, dass wir uns nicht nur verteidigen.

Wer jedoch einen Angriff in Erwägung ziehen will, muss sich vor allem verteidigen können. So fielen die Russen beispielsweise zu Beginn des umfassenden Krieges in der Ukraine Gruppen wie Anonymous zum Opfer . Es stellte sich heraus, dass diese zwar nach außen sehr aktiv waren, sich aber nicht gegen die von ihnen selbst eingesetzten Mittel zur Wehr setzen konnten.

In Polen operierende Cyberkriminelle werden vom GRU und dem FSB finanziert

Wer stellt heute im Cyberspace die größte Bedrohung für uns dar?

Im Bereich CyberOps besteht unsere größte Herausforderung darin, APT-Gruppen (Advanced Persistent Threats) entgegenzuwirken . Dabei handelt es sich um staatlich geförderte Gruppen, die mit der spezifischen Aufgabe betraut sind, die Infrastruktur eines bestimmten Landes zu beeinträchtigen und dort Ergebnisse zu erzielen.

Handelt es sich um Militäreinheiten oder staatlich finanzierte Kriminelle?

„Die Länder gehen dabei unterschiedlich vor. Es gibt mehrere öffentlich zugängliche Berichte, die eindeutig darauf hinweisen, dass eine dieser Gruppen innerhalb des russischen Militärgeheimdienstes GRU operiert. Experten haben sie als APT28 bezeichnet. Der FSB hat sie als APT29. Heute beobachten wir beim russischen Auslandsgeheimdienst fast 20 solcher Gruppen.“

APT-Gruppen haben grünes Licht und einen Schutzschirm. Wenn jemand im Auftrag der Russischen Föderation einen Angriff verübt, ist die Wahrscheinlichkeit, dass die Russische Föderation ihn nach unseren Ermittlungen ausliefert, gleich null. Deshalb setzt das FBI identifizierte APT-Gruppenmitglieder auf Fahndungslisten – es besteht die Möglichkeit, dass sie festgenommen werden, wenn sie beispielsweise ins Ausland reisen .

Was bedeuten diese Abkürzungen?

„Diese Bezeichnungen werden von Experten auf Grundlage der Vorgehensweise der Gruppen oder der von ihnen verwendeten Werkzeuge vergeben. Die Zuordnung ist nicht einfach; sie erfordert jahrelange Erfahrung. Diese Gruppen greifen typischerweise unter ausländischer Flagge an , übernehmen die Kontrolle über ausländische Infrastruktur und führen erst dann mithilfe dieser Infrastruktur Angriffsoperationen durch.“

Heute sehen wir zweifellos die meisten Aktivitäten aus Russland oder Weißrussland. Fast täglich wird versucht, auf die militärische Infrastruktur unserer Partner Einfluss zu nehmen.

Welche Methoden verwenden diese Gruppen?

„In vielen Fällen nutzen diese Gruppen einfache Lösungen, in der Regel Social-Engineering-Tools, um Anmeldeinformationen zu stehlen. Experten gehen mittlerweile davon aus, dass Angreifer nicht die Sicherheitsvorkehrungen brechen, sondern sich in das System einloggen. Wenn Social Engineering nicht funktioniert und der Angreifer entschlossen ist, versucht er es natürlich mit ausgefeilteren Taktiken, auch gegen unsere Partner. Da Angreifer die schwächsten Glieder im System ausnutzen, müssen wir sicherstellen, dass wir die Cybersicherheit in all unseren Netzwerken verbessern.“

Können Sie mir ein Beispiel geben?

Wir haben dieses Muster beispielsweise bei der Unterstützung der Ukraine festgestellt. Rund 90 Prozent der gesamten Militärhilfe fließen über unser Land, und wir binden unsere Partner in den Bereichen Logistik und Transport ein. Unsere Gegner haben das bemerkt und beginnen, Unternehmen ins Visier zu nehmen, mit denen wir Informationen austauschen. Sie gehen davon aus, dass sie an alle wichtigen Daten gelangen können.

Aus diesem Grund haben wir mit Partnern eine Reihe von Vereinbarungen zur militärischen Unterstützung getroffen. Dies ist ein beispielloses Modell – dank unserer Erfahrung haben wir begonnen, eine polnische Perspektive auf die Cybersicherheit zu entwickeln.

Was bedeutet die polnische Perspektive zur Cybersicherheit?

Was genau beinhaltet es?

Das Militär, insbesondere die Cyber-Streitkräfte, sollten sich nicht ausschließlich auf ihre eigenen Systeme konzentrieren. Diese Philosophie führt zu einem falschen Sicherheitsgefühl: Wenn unsere Infrastruktur sicher ist, sind wir einsatzbereit.

Gleichzeitig muss das Militär auch Infrastrukturen nutzen, die ihm nicht gehören – Treibstoffversorgung, Energie, Transport und Logistik. Diese Sektoren sind nicht ausreichend darauf vorbereitet, APT-Gruppen mit spezifischen Missionen und hochentwickelten Werkzeugen entgegenzutreten. Wenn wir daher sicherheitsrelevante Informationen erhalten, geben wir diese auch an unsere Partner weiter. Wenn wir beispielsweise von einer Schwachstelle erfahren, die für einen Angriff auf die Infrastruktur ausgenutzt werden könnte, melden wir diese.

Darüber hinaus entwickeln wir eine völlig neue Philosophie des Informationsaustauschs innerhalb der NATO.

Bedeutung?

Jahrelang galt das Prinzip „Need to know“. Informationen waren vielerorts leicht zugänglich, aber jeder behielt sie für sich. Wir möchten jedoch die Philosophie des „Need to share“ fördern: Wenn Sie Informationen haben, die für Ihren Partner von Nutzen sein könnten, teilen Sie sie mit.

Lassen Sie mich Ihnen ein Beispiel aus der Zusammenarbeit mit Partnern in der Ukraine geben. Wenn sie einen Angriff einer APT-Gruppe bemerken, die kompromittierte Infrastruktur nutzt, informieren sie uns. So können wir unsere Geräte schützen und sicherstellen, dass dieselbe Infrastruktur nicht gegen uns eingesetzt wird. Wenn sich jeder selbst vor einem solchen Angriff schützt, muss der Angreifer eine neue Infrastruktur aufbauen, was zeitaufwändig und teuer ist.

Glauben Sie, dass wir jetzt im Vorteil sind?

„Ein Verteidiger hat es immer schlechter. Ich denke, wir haben auf jeden Fall große Fortschritte gemacht, wir kennen unsere Gegner viel besser als noch vor ein paar Jahren.“

Wenn ich unser Team betrachte, habe ich manchmal das Gefühl, wir kennen sie besser als sie sich selbst. Unsere Analysten erkennen, wenn ein Angreifer Infrastruktur aufbaut, die für einen Angriff missbraucht werden könnte. Anhand ihrer Empfehlungen können wir uns im Vorfeld entsprechend vorbereiten.

Das ändert natürlich nichts an der Tatsache, dass morgen ein Angriff erfolgen könnte, der beispielsweise eine uns unbekannte Zero-Day-Sicherheitslücke ausnutzt. Wir müssen wachsam bleiben, um sicherzustellen, dass wir einen Angreifer stoppen können, selbst wenn er unsere erste Verteidigungslinie durchdringt. Wachsamkeit ist entscheidend; manchmal wissen die Sicherheitsverantwortlichen nicht einmal, dass sie angegriffen wurden oder dass sich Außerirdische an Bord befinden.

Was ist das ultimative Ziel dieser Gruppen?

„Sie erhalten konkrete Befehle und agieren wie militärische Einheiten. Die Beschaffung von Informationen ist definitiv eines der Hauptziele, denn wer Informationen hat, ist im Vorteil.“

In vielen Fällen kann der Angreifer jedoch sogenannte Brückenköpfe errichten, seine Präsenz in der Infrastruktur verstärken und diese später sogar beschädigen oder außer Gefecht setzen.

Wir verfolgen einen proaktiven Ansatz: Unsere Teams greifen aktiv in unsere Infrastruktur ein und suchen nach Schwachstellen. Sie führen auch Social-Engineering-Aktivitäten gegen unsere Nutzer durch. Wir überarbeiten unsere Verfahren. Wir überprüfen außerdem, ob unsere Verteidigungsteams diese aktiven Aktivitäten erkannt haben. Gleichzeitig suchen unsere Teams in unseren Netzwerken und denen unserer Partner nach Angreifern.

Können Sie ein Beispiel für eine solche Aktion nennen?

Im Rahmen unserer Cyberhunting-Bemühungen entdeckten wir einen Fall, in dem ein Angreifer eine Microsoft-Softwarefunktion ausnutzte, um Informationen zu sammeln. Diese Funktion war standardmäßig aktiviert und für den Benutzer unsichtbar. Nach unserer Analyse benachrichtigten wir Microsoft . Das Unternehmen bestätigte unsere Ergebnisse und dankte für unseren Beitrag.

Darüber hinaus haben wir Tools und Skripte entwickelt, mit denen Organisationen selbstständig feststellen können, ob sie Opfer derartiger Angriffe geworden sind und wie sie sich schützen können. Wir haben diese Tools öffentlich zugänglich gemacht, und unsere Erkenntnisse wurden später in internationalen Berichten über die Aktivitäten ausländischer Geheimdienste zitiert .

Worüber sollte sich ein Systembesitzer Sorgen machen? Welche Anzeichen deuten darauf hin, dass sich ein „Fremder“ in unserer Mitte befindet?

Was mir am meisten Sorgen bereitet, ist das Schweigen. Wenn wir täglich Berichte darüber erhielten, dass ein Angreifer versucht, unsere Infrastruktur zu beeinträchtigen, und dann eine Woche lang nichts passiert, wäre das unsere größte Sorge. Die Wahrscheinlichkeit, dass der Angreifer aufgegeben hat, ist gleich null. Das Schweigen bedeutet also, dass er seine Vorgehensweise geändert hat und wir nichts davon bemerken.“

Erwarten Sie, dass wir es in Zukunft mit der Zerstörung von Infrastruktur durch eroberte Stützpunkte zu tun haben werden?

„Ich glaube nicht, dass dies ein unmögliches Szenario ist. Ich denke, es ist besser, es im Hinterkopf zu behalten und ständig Penetrationstests durchzuführen und ein Bewusstsein dafür zu schaffen.“

Der Cyberspace gilt als notorisch unsicher, insbesondere weil er ständig von Menschen verändert wird. Es erfordert viel Aufwand, mit den technologischen Veränderungen Schritt zu halten.

Der polnische Ansatz zur Cybersicherheit als Vorbild für die NATO

Das WOC arbeitet mit der Privatwirtschaft zusammen. Cyber LEGION ist ein Beispiel dafür. Wie kam es zu der Idee, zivile Programmierer zur Unterstützung einzuladen?

„Es gibt eine Gruppe von Experten in Polen, die schon lange ihre Bereitschaft bekundet haben, uns zu helfen, aber sie haben nicht die Absicht, ihren Arbeitsplatz zu wechseln oder dauerhaft eine Uniform anzuziehen. Bisher haben wir sie zur Zusammenarbeit eingeladen, unter anderem im Rahmen von Locked Shields, unserer größten Cyberabwehrübung.“

Cyber LEGION ist eine Idee, die ihre Unterstützung gewinnen und ihnen gleichzeitig ein Gefühl der Mission vermitteln soll. Bis heute liegen uns über tausend Bewerbungen vor, und die Resonanz ist überwältigend. Unter den Freiwilligen sind international renommierte Experten, darunter auch solche, die 2019 lachten, als ich sagte, ich würde sie immer noch in Uniform kleiden.

Nach den Sommerferien werden wir mit den ersten Treffen mit ihnen beginnen, denn jetzt müssen wir diese große Anzahl an Bewerbungen bearbeiten.

Dabei geht es um die Zusammenarbeit mit bestimmten Spezialisten. Wie arbeiten WOCs sonst noch mit der Privatwirtschaft zusammen?

Wir gehören zu den wenigen Institutionen in der NATO, die vertrauensvolle Beziehungen sowohl zu Universitäten als auch zum privaten Sektor aufgebaut haben. Wir haben mit allen großen Technologielieferanten – den sogenannten Big Techs – Vereinbarungen unterzeichnet . Entgegen mancher Behauptung geht es in diesen Vereinbarungen nicht um den Datentransfer, sondern darum, den direkten Kontakt zwischen unseren Experten und den Ingenieuren der Lieferanten sicherzustellen.

Dies ist insbesondere in Krisensituationen von entscheidender Bedeutung. Wenn unsere Spezialisten eine Sicherheitslücke entdecken, benötigen wir schnellen Kontakt zu den zuständigen Personen, nicht zur Vertriebsabteilung. Wir hatten Fälle, in denen eine Sicherheitslücke aktiv ausgenutzt wurde. Dank dieser Kontakte begann der Anbieter sofort mit der Behebung oder gab uns Empfehlungen für einen vorübergehenden Schutz.

Dank des aufgebauten Vertrauens werden wir nun zudem frühzeitig über neue Sicherheitslücken informiert – noch bevor diese offiziell bekannt gegeben werden. So können wir schneller und effektiver handeln. Diese bilaterale Expertenzusammenarbeit ist die Grundlage für die Sicherheit in der heutigen Welt.

Sie haben in diesem Gespräch mehrfach betont, dass Sie im Vergleich zur NATO etwas Einzigartiges tun. Glauben Sie, dass die WOC DK nach sechs Jahren einzigartig ist?

„Das ist es. Selbst dieses Gefühl grenzt an Gewissheit. Bereits 2019 wurde uns klar, dass wir, wenn wir starke Cyber-Fähigkeiten aufbauen wollten, die Talente selbst schaffen mussten und nicht auf dem Markt darum konkurrieren durften. Deshalb konzentrierten wir uns auf langfristige Entwicklung – vom Informatikunterricht an weiterführenden Schulen über das CYBER.MIL-Programm bis hin zur Erhöhung der Studierendenzahlen an Militäruniversitäten. Heute sehen wir greifbare Ergebnisse – über hundert neue Leutnants, Absolventen von Programmen im Bereich Cybersicherheit, treten jedes Jahr den Streitkräften bei.“

Gleichzeitig wussten wir, dass wir einen Partner brauchten, der uns bei der Beschleunigung unserer Entwicklung unterstützen würde. Daher kam es zu einer Zusammenarbeit mit der amerikanischen Seite, die durch eine Vereinbarung mit dem United States European Command initiiert wurde. So konnten wir auf die Erfahrungen zurückgreifen, die in den USA über ein Jahrzehnt gesammelt worden waren.

Zunächst mussten wir auch die nationalen Strukturen straffen. Zuvor waren verschiedene Einheiten getrennt für die Systemsicherheit und -funktionalität verantwortlich. Dies führte zu Reibungsverlusten, Verzögerungen und Schutzlücken. Deshalb entschieden wir uns für ein innovatives Modell – die Bündelung von Kompetenzen in einer einzigen Struktur. Dies ermöglicht schnellere Reaktionen, eine effektivere Risikoanalyse und ein Gleichgewicht zwischen Funktionalität und Sicherheit.

Ist das in der NATO anders?

In vielen NATO-Ländern ist die Verantwortung noch immer zersplittert, was zu einem langsameren Informationsfluss und einer realen Bedrohung führt. Ich kenne Fälle, in denen Angriffe nur deshalb erfolgreich waren, weil es an koordiniertem Vorgehen mangelte. Wir haben auf Integration gesetzt.

Darüber hinaus unterstützen wir auch aktiv externe Partner, darunter kritische Infrastrukturen. Dies ist noch kein Standard, aber wir sehen, dass immer mehr Länder – darunter Großbritannien, Deutschland, die USA und Frankreich – die Bedeutung dieses Ansatzes erkennen und ähnliche Ansichten vertreten. Wir sind Pioniere auf diesem Gebiet, aber wir sind nicht allein auf diesem Weg.

Künstliche Intelligenz und Drohnen verändern das Schlachtfeld. Wie reagiert die WOC darauf?

Andere lernen also bereits von Polen?

Wir exportieren erfolgreich unser Wissen und unsere Erfahrung. Doch nicht nur andere lernen von uns, auch wir tun und wollen es tun.

Und so haben wir uns – wieder einmal – etwas Einzigartiges ausgedacht. Wir hörten, dass auf vielen Konferenzen alle über Zusammenarbeit und Informationsaustausch sprachen. Nur wenn jemand fragte: „Okay, aber was genau haben Sie in diesem Fall getan?“, herrschte Schweigen, da die Informationen sehr sensibel waren. Deshalb organisieren wir jedes Jahr den CSIRT-Gipfel in Legionowo, einen Ort für den Informationsaustausch über NATO SECRET . Um an dem Treffen teilzunehmen, gibt es jedoch eine Bedingung für das jeweilige Land: Man muss eine eigene Fallstudie mitbringen. Nur dann kann man anderen zuhören. Die Idee wurde von den Amerikanern aufgegriffen, sodass unsere Veranstaltung mittlerweile einen hohen Bekanntheitsgrad genießt.

Wir ziehen ständig Schlussfolgerungen, weshalb sich unsere Struktur ständig ändert. Der Leiter der Personalabteilung ist wahrscheinlich nicht besonders erfreut darüber, dass wir ständig Organisations- und Personalvorschläge erhalten, aber das liegt daran, dass sich die Technologie rasant verändert. 2019, als wir die Struktur der Cyberspace Defense Forces gestalteten, waren wir im Bereich der künstlichen Intelligenz nicht so aktiv. Heute ist es nicht mehr vorstellbar, dieses Element nicht zu implementieren. Deshalb haben wir das Artificial Intelligence Implementation Center gegründet, um diese bahnbrechende Technologie und ihre Präsenz in unserer Infrastruktur zu berücksichtigen.

Was bewirkt es?

Künstliche Intelligenz kann Kommandeure durch die Analyse riesiger Datensätze von Sensoren und Systemen effektiv unterstützen und Entscheidungen vorschlagen, die früher von der Führung getroffen wurden. Wer diese Daten schneller verarbeiten und in operative Entscheidungen umsetzen kann, hat einen Vorteil. Wir wollen bereits am Markt verfügbare Lösungen implementieren, verfügen aber auch über ein Team von Ingenieuren, die diese Technologien verstehen, Modelle anhand klassifizierter Daten trainieren und in unsere Systeme implementieren können.

Ich bin überzeugt, dass auch unsere Gegner daran arbeiten. Wären wir nicht dabei, könnten wir uns ein Szenario vorstellen, in dem zwei Kräfte aufeinanderprallen: Die eine würde KI-Algorithmen für Entscheidungen nutzen, die andere nicht. Es ist leicht vorstellbar, wer im Vorteil wäre.

Darüber hinaus arbeiten wir an autonomen Waffensystemen, Drohnenschwärmen und der Analyse von Satellitendaten – allesamt mit Hilfe künstlicher Intelligenz, um die Effektivität und Widerstandsfähigkeit gegenüber Störungen zu erhöhen.

CISI rekrutiert die besten jungen Offiziere – Kapitäne und Ingenieure –, die bereits Erfahrung an militärtechnischen Universitäten gesammelt haben. Unser Ziel ist es, ein Team aufzubauen, das die Technologie nicht nur versteht, sondern sie auch sicher und effektiv einsetzen kann, unter Berücksichtigung von Bedrohungen wie Datenkontamination. Dies ist eine Investition in Fähigkeiten, die auf dem zukünftigen Schlachtfeld entscheidend sein werden.