SONNENAUFGANG nach 25 Jahren: Sind wir 25 Jahre weiser?

Jul 11, 2023

Washington, D.C., 28. Februar 2023 - Im Februar 1998, also in diesem Monat vor 25 Jahren, erlebten die Vereinigten Staaten eine Reihe von Cyberangriffen namens SOLAR SUNRISE, die der damalige stellvertretende Verteidigungsminister John Hamre als „den organisiertesten und systematischsten [Cyber-]Angriff, den das Pentagon bisher gesehen hat“ bezeichnete ." SOLAR SUNRISE kam kurz nach ELIGIBLE RECEIVER 1997 (ER97)[1], einer behördenübergreifenden, unangekündigten Übung, die mehr Fragen als Antworten darüber aufwarf, wie die Regierung mit einem Angriff auf die US-Cyber-Infrastruktur umgehen würde, und war keine Übung. Wie das hypothetische Szenario, das ER97 weniger als ein Jahr zuvor präsentierte, beinhalteten die SOLAR SUNRISE-Angriffe den Angriff auf Netzwerke des Verteidigungsministeriums (DOD) durch mutmaßliche internationale Akteure mit möglichen geopolitischen Motiven sowie die Beteiligung ziviler und privater Einrichtungen und Infrastruktur. Beide Episoden warfen auch eine hartnäckige Frage auf: Wer hat hier das Sagen?

Die heute anlässlich des 25-jährigen Jubiläums von SOLAR SUNRISE hier vorgestellten Dokumente werfen Licht auf die miteinander verflochtenen Mechanismen von Diplomatie und Ermittlungen und legen die Notwendigkeit einer behördenübergreifenden Reaktion auf neu auftretende Cyber-Bedrohungen nahe. Die Aufzeichnungen unterstreichen auch die Bedeutung der Zusammenarbeit des zivilen und privaten Sektors bei Cyber-Ermittlungen und offenbaren die tiefgreifenden Auswirkungen von „zwei jungen Hackern aus Kalifornien“, die „unter der Leitung eines jugendlichen Hackers aus Israel“ operierten, auf die Cybersicherheitsvorsorge der USA. [Dokument 1, S.7]

Die Reihe von Eingriffen in Regierungssysteme fand über einen Zeitraum von drei Wochen vom 1. bis 26. Februar 1998 statt und konzentrierte sich auf nicht klassifizierte DOD-Systeme. Ein FBI-Memo vom 25. Februar 1998 mit dem Titel „Solar Sunrise; CITA Matters“ beschreibt den Ursprung der Angriffe und stellt fest, dass „der Eindringling offenbar Domain-Name-Server ins Visier genommen und durch Ausnutzung der ‚statd‘-Schwachstelle Root-Status erlangt hat.“ im Betriebssystem Solaris 2.4. [Dokument 2, S. 1] Das Memo erklärt weiter, dass seit dem 1. Februar „bekanntermaßen mindestens 11 Systeme des Verteidigungsministeriums kompromittiert wurden“, wobei Einbrüche oder Einbruchsversuche auf der „Andrews Air Force Base (AFB), Columbus AFB“ festgestellt wurden , Kirkland AFB, Maxwell AFB (Gunter Annex), Kelly AFB, Lackland AFB, Shaw AFB, MacDill AFB, Marinestation Pearl Harbor und eine Basis des Okinawa Marine Corps. [S. 1-2] Eine Folie aus einer Präsentation vor den Vereinigten Stabschefs aus dem Jahr 1999 [Dokument 3] veranschaulicht weiter die weite Verbreitung der Eingriffe, die nicht nur militärische Systeme, sondern auch solche an Universitäten wie Harvard und Notre Dame sowie den privaten Sektor betrafen. einschließlich des Internetdienstanbieters Maroon.com:

Dokument 4, S. 11

Die Präsentation beleuchtet auch die Herausforderungen der Zuschreibung, da die zahlreichen Knotenpunkte, die die Eindringlinge während des Angriffs durchquerten, ihre Herkunft verschleierten und Teile der Ermittlungen durch rechtliche Beschränkungen lahmlegten:

Dokument 4, S.14

Obwohl Ermittler verschiedener Behörden, darunter das FBI, die Defense Information Systems Agency (DISA) und das DOD, die Eindringlinge oder ihr Herkunftsland nicht sofort identifizieren konnten, löste die Nutzung eines Knotens in den Vereinigten Arabischen Emiraten, Emirnet, aus Alarmglocken, die bis in die höchsten Ebenen des Pentagons hallten.

Die ersten Eingriffe wurden gerade zu dem Zeitpunkt entdeckt, als die USA etwa 2.000 Marines in den Irak entsandten, um Waffeninspektionen zu unterstützen und durchzusetzen, die Teil des Sanktionsregimes waren, das nach der Niederlage Iraks im Ersten Golfkrieg (1991) eingeführt wurde. Nach Jahren relativer Zusammenarbeit weigerte sich die irakische Regierung 1997, Inspektoren Zutritt zu bestimmten Gebieten zu gewähren, was den UN-Sicherheitsrat dazu veranlasste, die Einhaltung durch Irak durch Resolutionen zu fordern. Die Spannungen eskalierten nach der Ausweisung amerikanischer Inspektoren im Oktober 1997 und der anschließenden Erklärung Bagdads im Januar 1998, dass drei bestimmte Standorte verboten seien. Am 6. Februar 1998 schien eine US-Militärintervention unmittelbar bevorzustehen, mit der Entsendung von etwa 2.000 Marines in den Persischen Golf, verstärkt durch einen dritten US-Flugzeugträger, der in die Region geschickt wurde.[2]

Während sich die USA auf den Truppeneinsatz vorbereiteten, wurden die ersten Einbrüche in nicht klassifizierte Systeme des Verteidigungsministeriums entdeckt. Bei dem Versuch, den Weg der Hacker zurückzuverfolgen, entdeckten die Ermittler die Nutzung von Emirnet, einem ISP in den Vereinigten Arabischen Emiraten und einem der wenigen Internet-Gateways in den Irak. Diese Informationen, kombiniert mit dem Zeitpunkt des Eindringens und der systematischen Angriffe auf Systeme des Verteidigungsministeriums, führten zu der Frage: Waren die Vereinigten Staaten Opfer eines Cyberangriffs aus dem Irak?

Ein internes FBI-Memorandum der National Security Division (NSD) und des Computer Investigations and Infrastructure Threat Assessment Center (CITAC) an alle Außenstellen bekräftigte diese Bedenken und stellte fest, wie „das Ausmaß und der Zeitpunkt dieser Eingriffe, die weiterhin stattfinden, während die Vereinten Nationen …“ „Die Vorbereitungen der Staaten auf größere Militäroperationen haben beim Verteidigungsministerium große Bedenken hervorgerufen.“ [Dokument 4, S.1]

Obwohl die betreffenden Systeme nicht klassifiziert waren, waren die darin erzeugten, gespeicherten und übermittelten kritischen Informationen von zentraler Bedeutung für die Fähigkeit des Verteidigungsministeriums, seine Operationen im Irak fortzusetzen. In seiner Aussage vor dem Senatsausschuss für Regierungsangelegenheiten im Juni 1998 bekräftigte der damalige CIA-Direktor George Tenet, dass „obwohl keine geheimen Systeme eingedrungen wurden und auf keine geheimen Aufzeichnungen zugegriffen wurde, auf Logistik-, Verwaltungs- und Buchhaltungssysteme zugegriffen wurde. Diese Systeme sind die.“ zentraler Datenkern, der für die Verwaltung unserer Streitkräfte und deren Einsatz vor Ort erforderlich ist.“ [Dokument 1, S.7]

In ähnlicher Weise deutete ein vom US Pacific Command (USPACOM) herausgegebenes Leitliniendokument darauf hin, dass die Einbrüche das allgemeine Vertrauen in die Integrität der militärischen und staatlichen Systeme, die zu ihrer Verhinderung und Erkennung aufgebaut wurden, gemindert hätten. In der Richtlinie wird zwar behauptet, dass „ein starker Sicherheitsstatus der Informationssysteme von entscheidender Bedeutung ist, um alltägliche und Notfalloperationen im pazifischen Raum vollständig zu unterstützen“, warnte jedoch, dass der „aktuelle Status des Systems verdächtig“ sei, und empfahl die Installation von „Sicherheitspatches“. " [Dokument 5, S.3]. Darüber hinaus sollten „Benutzer des Betriebssystems Solaris 2.4“ Datums-/Zeitstempel überprüfen, „um sicherzustellen, dass die Installationsdaten mit der Aktivität des Systemadministrators übereinstimmen.“ Das Dokument warnte außerdem davor, dass „Aktivitäten von .mil und .gov ebenfalls überprüft werden sollten. Gehen Sie nicht davon aus, dass vertrauenswürdige Beziehungen bestehen.“ Einzelpersonen wurde geraten, „das Bewusstsein für Opsec [Betriebssicherheit] darüber zu schärfen, was im NIPRNET bereitgestellt wird“. [S.5]

Die Dokumente offenbaren zahlreiche Fragen und allgemeine Unsicherheit über die Einbrüche und die wahrscheinlichen nächsten Schritte der Angreifer, zeigen aber auch den Wert der behördenübergreifenden Zusammenarbeit und der Zusammenarbeit mit der Zivilbevölkerung und dem Privatsektor. Ein undatiertes FBI-Memo erinnerte seine Empfänger, wahrscheinlich von verschiedenen Behörden und Ämtern, an die Beweislast, die erforderlich ist, um einen Gerichtsbeschluss zu erhalten (wahrscheinlich für eine Falle und Spur), nämlich dass die Regierung „spezifische und artikulierbare Fakten anführen muss, die belegen, dass dies der Fall ist“. berechtigter Grund zu der Annahme, dass der Inhalt einer telegrafischen oder elektronischen Kommunikation oder die gesuchten Aufzeichnungen oder anderen Informationen für eine laufende strafrechtliche Untersuchung relevant und wesentlich sind.“ [Dokument 6, S.2] Das Dokument überprüfte dann die „relevanten Zielseiten“ und stimmte sie mit der oder den Behörden ab, die an der Untersuchung dieser Website beteiligt waren:

Dokument 6, S. 3

Aus anderen Dokumenten geht hervor, dass zwischen den Behörden und verschiedenen privaten Einrichtungen, darunter Universitäten und Zivilisten, ein gewisses Maß an Zusammenarbeit bestand. In einem FBI-Memo vom 24. Februar mit der Zusammenfassung „Ergebnisse des Interviews mit *geschwärzt* von der Computer Services Group der Harvard University“ [Dokument 7] heißt es: „Systemaufzeichnungen der Harvard University wurden an SA [Spezialagent] übergeben *geschwärzt* WFO [Washington Field Office], am 13. Februar 1998, ungefähr 15:00 Uhr … Boston [Field Office] holt immer noch die Zustimmung aller Systembenutzer für ein vollständiges Backup der Harvard-Computer ein.“ [S.1-2]

In ähnlicher Weise zeigt Dokument 8, eine Erklärung des Beschwerdeführers des Air Force Office of Special Investigations (AFOSI) auf der Randolph AFB, die Bereitschaft einiger Zivilisten mit Zugang zu betroffenen oder betroffenen Systemen, an der Untersuchung mitzuwirken. In der Erklärung sagte der Beschwerdeführer, dass er sich mit einem Feldermittler der Luftwaffe getroffen habe, nachdem er erfahren hatte, dass „eine Person, die auf meiner Maschine basierte … illegal auf Militärmaschinen im Internet zugegriffen hatte“. In der Erklärung heißt es, dass „der Außendienstmitarbeiter zu diesem Zeitpunkt keine Informationen von mir entgegennehmen wollte und keine Passwörter oder Informationen wollte“, sondern „mich angewiesen hatte (wenn ich bereit wäre zu kooperieren und nur dann), das Trimmen meiner Daten auszuschalten.“ Protokolldateien in meiner Crontab zu erstellen und ansonsten keine Konfigurationen der Maschine zu ändern. [S.3] Die Person forderte dann vom Außendienstmitarbeiter „allgemein an, dass die Hacking-Aktivität festgestellt wurde“, was der Agent auch zur Verfügung stellte. Ausgestattet mit diesen Informationen erteilte die Person die bereitgestellten Befehle, um das Trimmen auszuschalten. Als er von einem anderen Feldermittler kontaktiert wurde, bestätigte der Beschwerdeführer, dass alle von ihm ergriffenen Hilfsmaßnahmen „völlig auf meiner Zustimmung beruhten und [der Feldagent] mir vollkommen klar machte, dass ich keine Sicherungskopien der Festplatten erstellen oder kooperieren musste.“ überhaupt mit ihnen. [S.4] Auf dem Deckblatt, das der Erklärung des Beschwerdeführers beigefügt war, bemerkte der Absender: „Hier ist diese Erklärung – ich lese sie immer noch. Sieht nach vielen guten Informationen aus. Unsere Leute sind vor Ort und versuchen, durch die [Beschwerdeführer -bereitgestellt] Systemprotokolle im Moment.“ [S.1]

Nach drei Wochen fieberhafter Ermittlungen identifizierten die Ermittler die Täter: zwei Teenager aus Cloverdale, Kalifornien, unter der Leitung eines älteren israelischen Teenagers, Ehud „The Analysator“ Tenebaum:

Dokument 4, S.17

Obwohl der Fall zu einem wohl positiven Ergebnis kam, blieb eine beunruhigende Frage: Wenn Kinder das können, was könnten entschlossene und raffinierte Hacker dann tun?

Die Lehren, die sowohl aus der Übung ELIGIBLE RECEIVER 1997 als auch aus dem SOLAR SUNRISE-Angriff gezogen wurden, veranlassten die US-Regierung zu erheblichen Maßnahmen. Im Mai 1998 veröffentlichte die Clinton-Administration die Presidential Policy Directive 63 [Dokument 9], die die „sich gegenseitig verstärkende und abhängige“ Beziehung zwischen Militär und Wirtschaft hervorhob:

Aufgrund unserer militärischen Stärke könnten zukünftige Feinde, seien es Nationen, Gruppen oder Einzelpersonen, versuchen, uns auf unkonventionelle Weise zu schaden, einschließlich Angriffen innerhalb der Vereinigten Staaten. Da unsere Wirtschaft zunehmend auf voneinander abhängige und cybergestützte Infrastrukturen angewiesen ist, können nicht-traditionelle Angriffe auf unsere Infrastruktur und Informationssysteme sowohl unserer militärischen Macht als auch unserer Wirtschaft erheblichen Schaden zufügen. [S.2]

Um Untersuchungen und Reaktionen auf Bedrohungen kritischer Infrastrukturen besser zu erleichtern, ermächtigte PPD 63 das FBI offiziell, „seine derzeitige Organisation[3] zu einem vollwertigen National Infrastructure Protection Center (NIPC) zu erweitern“, das „als nationale kritische Infrastruktur“ dienen soll Bedrohungsbewertung, Warnung, Schwachstelle sowie Ermittlungs- und Reaktionseinheit der Strafverfolgungsbehörden.“ [S.12] Das NIPC hatte die Aufgabe, „eine nationale Anlaufstelle für die Sammlung von Informationen über Bedrohungen der Infrastrukturen“ bereitzustellen und „die wichtigsten Mittel bereitzustellen, um die Reaktion der Bundesregierung auf einen Vorfall zu erleichtern und zu koordinieren, Angriffe einzudämmen und Bedrohungen zu untersuchen“. und Überwachung der Wiederherstellungsbemühungen. [S.13]

Der vielleicht wertvollste Beitrag von SOLAR SUNRISE bestand darin, dass er die Ergebnisse von ELIGIBLE RECEIVER 1997 bestätigte:

Dokument 4, S.16

Das NIPC, das zunächst von Direktor Michael A. Vatis geleitet wurde, war das erste behördenübergreifende Fusionszentrum, das mit der Aufgabe gegründet wurde, diese Lücken zu schließen oder zumindest zu minimieren. In einem Gespräch mit dem Autor enthüllte Vatis, dass PPD 63 zwar ein „präsidiales Imprimatur“ für die formelle Gründung des NIPC darstellte, „das NIPC jedoch im Februar [1998] vom DOJ/FBI aufgelöst wurde – genau zu dem Zeitpunkt, als SOLAR SUNRISE stattfand.“ Laut Vatis steckte das NIPC während der Anschläge im Februar zwar noch in den Kinderschuhen, „wies es aber vor, dass eine einzige Stelle in der Lage ist, die Ermittlungen und behördenübergreifende Maßnahmen zu koordinieren, was zu einem schnellen Abschluss der Ermittlungen führte.“[4] In seiner Aussage vom Oktober 1999 vor dem Unterausschuss für Technologie, Terrorismus und Regierungsinformationen des Justizausschusses des Senats („Untersuchung der Schutzbemühungen gegen ausländische Bedrohungen der kritischen Computerinfrastruktur der Vereinigten Staaten“) [Dokument 10] erläuterte Vatis die NIPCs integrativer Ansatz, der nicht nur Personal aus unterschiedlichen, aber abhängigen Agenturen, sondern auch Bergbauexpertise aus dem Privatsektor zusammenführt:

Die Mission des NIPC erfordert eindeutig die Beteiligung und das Fachwissen vieler anderer Behörden als des FBI. Aus diesem Grund ist das NIPC, obwohl es beim FBI angesiedelt ist, ein behördenübergreifendes Zentrum, das Mitarbeiter aller relevanten Behörden zusammenbringt. Zusätzlich zu unseren 79 FBI-Mitarbeitern hat das NIPC derzeit 28 Vertreter von: DOD (einschließlich der Militärdienste und Teilbehörden), der CIA, dem DOE, der NASA, dem Außenministerium sowie den Strafverfolgungsbehörden des Bundes, einschließlich des US-Geheimdienstes. der US-Postdienst und bis vor kurzem die Oregon State Police. Das NIPC sucht derzeit nach weiteren Vertretern der staatlichen und lokalen Strafverfolgungsbehörden.

Aber natürlich können wir uns nicht allein auf das Regierungspersonal verlassen. Ein Großteil des für unsere Mission benötigten technischen Fachwissens stammt aus dem privaten Sektor. Dementsprechend sind wir auf Auftragnehmer angewiesen, die technische und andere Unterstützung leisten. Wir sind außerdem dabei, dafür zu sorgen, dass Vertreter des privaten Sektors Vollzeit im Zentrum arbeiten. Insbesondere gaben der Generalstaatsanwalt und die Information Technology Association of America (ITAA) im April bekannt, dass die ITAA im Rahmen einer „Cybercitizens-Partnerschaft“ zwischen der Regierung und der Informationstechnologie (IT)-Industrie Personal an das NIPC weiterleiten werde. Vertreter der Informationstechnologiebranche, die im NIPC tätig sind, würden unser technisches Fachwissen und unser Verständnis der Informations- und Kommunikationsinfrastruktur verbessern. [S.31-32]

Über zwei Jahrzehnte nach seiner Aussage bemerkt Vatis: „Es fällt mir auf, dass diese Lektion immer wieder neu gelernt werden muss – dass es keine einzige Behörde gibt, die alle Aspekte der Erkennung, Warnung, Untersuchung und Reaktion abdecken kann, aber es gibt sie.“ „Es muss ein operativer Mechanismus sein, der befugt ist, die Aktivitäten aller relevanten Behörden, internationalen Partner, Landes- und Kommunalverwaltungen sowie Einrichtungen des Privatsektors zu koordinieren.“[5] Die USA haben eine Reihe äußerst ehrgeiziger (aber absoluter) Maßnahmen vorgeschlagen und umgesetzt Wir haben in den letzten zwei Jahrzehnten Programme zur Verbesserung des Informationsaustauschs und der Wissensfusion durchgeführt, was die Frage aufwirft: Seit dem Beginn von SOLAR SUNRISE sind wir 25 Jahre älter, aber sind wir auch 25 Jahre weiser?

Dokument 1

ProQuest-Datenbank

Dies ist das vollständige Protokoll der zweiten Anhörung zum Thema Cybersicherheit aus dem Jahr 1998 vor dem Senatsausschuss für Regierungsangelegenheiten. Es konzentriert sich hauptsächlich auf die Informationssicherheit im Verteidigungsministerium.

Dokument 2

FOIA der Cyber ​​Conflict Studies Association (CCSA).

Dieses Memo des FBI-Außenbüros in Albuquerque an die Abteilung für nationale Sicherheit/kriminalpolizeiliche Ermittlungen und an die ansässigen Behörden Las Cruces und Roswell beschreibt den Fortschritt der SOLAR SUNRISE-Untersuchung und soll „Hinweise bei Las Cruces [resident Agency] und Roswell festlegen“. [Bewohnende Agentur].“ Darin heißt es, dass der/die Eindringling(e) offenbar „Domain-Name-Server ins Visier genommen und durch Ausnutzung der ‚statd‘-Schwachstelle im Betriebssystem Solaris 2.4 Root-Status erlangt haben“.

Dokument 3

Jason Healey und Karl Grindal

Diese Präsentation vor den Joint Chiefs of Staff aus dem Jahr 1999 beschreibt Ereignisse und Erkenntnisse sowohl von ELIGIBLE RECEIVER 97 als auch von SOLAR SUNRISE und stellt fest, dass die SOLAR SUNRISE-Eingriffe „Bestätigte ELIGIBLE RECEIVER-Ergebnisse“ haben, nämlich dass „rechtliche Fragen ungelöst bleiben“ und dass es „keine wirksamen Maßnahmen“ gibt „Indications and Warning System“, dass die „Intrusion Detection Systems“ der Regierung „unzureichend“ seien, dass „Organisationsmängel des Verteidigungsministeriums und der Regierung die Fähigkeit behindern, effektiv zu reagieren“ und dass „Probleme bei der Charakterisierung und Zuordnung bestehen bleiben“.

Dokument 4

CCSA FOIA

Dieses Memo der Nationalen Sicherheitsabteilung des FBI bietet Orientierung für Presseanfragen zu SOLAR SUNRISE und stellt fest, dass, obwohl „die Untersuchung auf der Geheimebene eingestuft wurde, … ein ziemlich detaillierter Bericht in einer technischen Veröffentlichung erschien“, was das FBI zu der Vermutung veranlasste, dass „dort wird auf diese Weise weiterhin Interesse in der nationalen Presse wecken.“

Dokument 5

CCSA FOIA

In diesem vom US Pacific Command (USPACOM) herausgegebenen Informationssicherheitsleitfaden wird das Personal über eine potenzielle Schwachstelle im Betriebssystem Solaris 2.4 informiert und verpflichtet, „sicherzustellen, dass die aktuellsten Patches für Ihr Betriebssystem installiert sind“. Das Memo fordert außerdem, dass Netzwerkkontrollzentren eine aktive Rolle bei der Überprüfung des Datenverkehrs des lokalen Intrusion-Detection-Systems übernehmen, um eine schnellstmögliche Reaktion auf verdächtige oder böswillige Netzwerkaktivitäten sicherzustellen.

Dokument 6

CCSA FOIA

Dieses undatierte FBI-Dokument listet die verschiedenen Standorte auf, auf die die SOLAR SUNRISE-Untersuchung abzielt, sowie die Reihe der beteiligten Behörden. Das Memo erinnert die Ermittler an die rechtlichen Anforderungen, um einen Gerichtsbeschluss zu erhalten, nämlich „formulierbare Tatsachen, die belegen, dass es berechtigte Gründe für die Annahme gibt, dass der Inhalt einer telegrafischen oder elektronischen Kommunikation … relevant und wesentlich für eine laufende strafrechtliche Untersuchung ist.“

Dokument 7

CCSA FOIA

In diesem Memo der Bostoner Außenstelle an das FBI-Hauptquartier heißt es, dass „Systemaufzeichnungen der Harvard-Universität an das FBI übergeben wurden“, die Außenstelle jedoch „immer noch die Zustimmung aller Systembenutzer für eine vollständige Sicherung der Harvard-Computer einholt“.

Dokument 8

CCSA FOIA

Diese Aussage eines unbekannten Beschwerdeführers, aufgenommen vom Air Force Office of Special Investigations (AFOSI), beschreibt detailliert die begeisterte Mitarbeit eines Zivilisten bei der Untersuchung von SOLAR SUNRISE. Nachdem die Person erfährt, dass ihr Computer an Eingriffen in militärische Systeme beteiligt war, führt sie Befehle zur Beweissicherung aus und übergibt diese Protokolle und eine Systemsicherung dann an die Ermittler.

Dokument 9

Föderation amerikanischer Wissenschaftler (www.fas.org)

In der Einleitung dieser Richtlinie heißt es, dass das US-Militär und die US-Wirtschaft „zunehmend auf bestimmte kritische Infrastrukturen und cyberbasierte Informationssysteme angewiesen sind“. Der Rest der 18-seitigen Richtlinie präzisiert die Absicht des Präsidenten, „die Kontinuität und Gültigkeit kritischer Infrastrukturen“ angesichts physischer oder Cyber-Bedrohungen sicherzustellen. Die Richtlinie formuliert auch ein nationales Ziel, beschreibt eine öffentlich-private Partnerschaft zur Verringerung der Anfälligkeit, legt Richtlinien fest, legt Struktur und Organisation fest, erörtert den Schutz kritischer Infrastrukturen der Bundesregierung und beauftragt eine NSC-Untergruppe, einen Zeitplan für die Erledigung verschiedener Aufgaben zu erstellen und ordnet die Erstellung eines jährlichen Umsetzungsberichts an. Mit der Richtlinie wird auch offiziell das National Infrastructure Protection Center (NIPC) innerhalb des FBI eingerichtet, obwohl das NIPC im Februar 1998 während der Cyber-Intrusion-Untersuchung von SOLAR SUNRISE aufgelöst worden war.

Dokument 10

Druckerei der US-Regierung

Das Protokoll dieser Anhörung vor dem Unterausschuss für Technologie, Terrorismus und Regierungsinformationen enthält Aussagen von Michael A. Vatis, dem damaligen Direktor des National Infrastructure Protection Center, und John S. Tritak, dem damaligen Direktor des Office of Critical Infrastructure Assurance. Ihre Aussagen beschreiben detailliert die Lehren aus der Übung ELIGIBLE RECEIVER 1997 und der SOLAR SUNRISE-Cyber-Intrusion-Untersuchung, die Vielfalt der Cyber-Bedrohungen am Horizont für kritische Infrastrukturen und die Anstrengungen, die jedes Büro unternommen hat, um Cyber-Vorfälle zu verhindern, zu erkennen, darauf zu reagieren und sie zu untersuchen.

[1] Analysen der ER-97-Dokumente, Teil I und Teil II, finden Sie im Cyber ​​Vault Project.

[2] Tim Maurer, „SOLAR SUNRISE: Cyberangriff aus dem Irak?“ Eine heftige Domäne: Konflikt im Cyberspace, 1986–2012, S. 121–123.

[3] Die „aktuelle Organisation“ des FBI war zu dieser Zeit das Computer Investigations and Infrastructure Threat Assessment Center oder CITAC, auf das in den oben genannten Dokumenten häufig Bezug genommen wurde.

[4] Michael A. Vatis, E-Mail-Nachricht an den Autor, 27. Februar 2023.

[5] Ebd.