Das Weiße Haus sagt, dass Abschnitt 702 für die Cybersicherheit von entscheidender Bedeutung ist, doch öffentliche Beweise sind spärlich
VonTonya Riley
2. Juni 2023
Seit sich die Biden-Regierung im Februar für eine erneute Genehmigung von Abschnitt 702 des Foreign Intelligence Surveillance Act ausgesprochen hat, haben die Geheimdienste auf die wachsende Bedrohung ausländischer Cyberangriffe auf die USA als Hauptargument für das umstrittene Überwachungsinstrument hingewiesen.
Beamte haben umfassende und allgemeine Erklärungen abgegeben und auf weitreichende Anwendungen hingewiesen, darunter die Verhinderung mehrerer Ransomware-Angriffe auf kritische Infrastrukturen der USA, die Entdeckung, dass ein ausländischer Gegner sensible Informationen im Zusammenhang mit dem amerikanischen Militär gehackt hat, und die Aufdeckung eines Cyberangriffs auf kritische Bundessysteme.
Doch 15 Jahre nach der Geschichte von Abschnitt 702 gibt es nur wenige freigegebene Beispiele für die Verhinderung von Cyberangriffen. In den etwas mehr als drei Monaten, in denen sich die Biden-Regierung öffentlich für die Erneuerung von Abschnitt 702 eingesetzt hat, hat sie keinen einzigen konkreten öffentlichen Vorfall erwähnt, bei dem Abschnitt 702 verwendet wurde, obwohl dieser Begriff sowohl von zahlreichen Cyberangriffen geprägt als auch weithin bekannt ist Ausschalten ausländischer Hacker.
Dieser Mangel an Transparenz und Spezifität scheint der Biden-Regierung in dem wahrscheinlich harten Kampf um die erneute Autorisierung der Autorität durch den Kongress vor ihrem Ende im Dezember nicht zu helfen. Sogar einige der größten Unterstützer der Behörde äußerten ihre Frustration.
„Ob es darum geht, Opfer zu identifizieren, damit sie über den Angriff benachrichtigt werden können, oder dabei, Ransomware-Akteure zu identifizieren, 702 war in den letzten Jahren von unschätzbarem Wert“, sagte Senator Mark Warner, D-Va., in einer E-Mail an CyberScoop. „Allerdings bin ich frustriert darüber, dass noch nicht mehr dieser überzeugenden Beispiele veröffentlicht wurden.“
Das Warner-Büro bestätigte, dass die Geheimdienstgemeinschaft Beispiele für die Cyber-Bedeutung des Tools in geheimen Umgebungen geteilt hat, lehnte es jedoch ab, näher darauf einzugehen.
„Während es wichtig ist, dass wir Quellen und Methoden nicht gefährden, ist es auch wichtig, dass wir dem amerikanischen Volk erklären, was verloren geht und wie es zunehmend anfällig für Cyberkriminelle und ausländische Regierungen wäre, wenn diese Befugnis auslaufen würde“, sagte der Schrieb der Vorsitzende des Senatsgeheimdienstes.
Adam Hickey, ehemaliger stellvertretender Generalstaatsanwalt der nationalen Sicherheitsabteilung des Justizministeriums, schloss sich Warners Bedenken an. „Ich glaube, sie kämpfen mit einer Hand hinter dem Rücken“, sagte Hickey, jetzt Partner bei der Anwaltskanzlei Mayer Brown. „Einerseits möchten Sie nicht, dass genau die Menschen, die eine Bedrohung darstellen, Ihre Fähigkeiten verstehen, weil sie diese umgehen werden … Andererseits möchten Sie nicht so vorsichtig sein, um dieses Risiko zu vermeiden, wie Sie die Autorität selbst verlieren.
Die Zurückhaltung hilft auch nicht der Gemeinschaft der Bürgerrechte, die die hartnäckigen Behauptungen der Geheimdienste in Frage gestellt hat, dass jede Reform von Abschnitt 702, die Ermittler verlangsamt, die nationale Sicherheit Amerikas gefährden würde.
„Wenn es das ist, was das FBI sagen will – es ist nicht nur nützlich für Cyberangriffe, sondern auch auf diese präventive Art und Weise, auf diese sehr schnelle Art und Weise – dann denke ich, dass diese Behauptung durch einige Beispiele untermauert werden kann“, sagte er Jake Laperruque, stellvertretender Direktor des Sicherheits- und Überwachungsprojekts des Center For Democracy & Technology.
Abschnitt 702 wurde erstmals 2008 als Ergänzung zum FISA verabschiedet und war zunächst als Schlüsselinstrument im amerikanischen Kampf gegen den Terrorismus gedacht. Die Behörde erlaubt der US-Regierung, die in den USA ansässige Kommunikation von Nicht-Amerikanern außerhalb des Landes zu sammeln. Das Sammeln der Daten von US-Bürgern gemäß Abschnitt 702 ist verboten, aber solche Daten werden häufig im Rahmen der „zufälligen Sammlung“ in die Überwachung einbezogen. Diese Daten können vom FBI unter bestimmten gesetzlichen Voraussetzungen durchsucht werden.
Während die Anzahl der FBI-Durchsuchungen von 702-Daten im Laufe der Zeit schwankte, hat die Anzahl der Durchsuchungen im Zusammenhang mit Cybersicherheit stetig zugenommen. In einem kürzlichen Interview mit CyberScoop bestätigte ein hochrangiger FBI-Berater, dass „etwa die Hälfte“ oder „eine Mehrzahl“ der Datenbankabfragen gemäß Abschnitt 702, die die Behörde heute durchführt, mit der Untersuchung böswilliger, staatlich geförderter Cyberangriffe in Zusammenhang steht. Der Berater konnte zwar nicht sagen, wie groß der Anstieg im Vergleich zu den Vorjahren war, sagte aber, dass dies eine allgemeine Verlagerung der Arbeit der Behörde hin zu mehr Cyber-Ermittlungen widerspiegele.
„Unsere Nutzung der Befugnisse beim FBI und in der gesamten Geheimdienstgemeinschaft ist heute viel stärker auf Cyber ausgerichtet als noch vor fünf Jahren“, sagte der leitende FBI-Berater. „Ein Teil dieser Nutzung dieser Autorität spiegelt ihren Wert wider und die Tatsache, dass wir in diesem Bereich einfach mehr Arbeit leisten und wir sehen, dass Cyber-Bedrohungen mit der Zeit zunehmen.“
Der FBI-Berater konnte zwar keine konkreten Beispiele nennen, es liegen jedoch nur begrenzte Daten darüber vor, wie Abschnitt-702-Daten bei Cyber-Ermittlungen aufgetaucht sind. Beispielsweise schrieb das ODNI in seinem jährlichen Transparenzbericht 2022, dass von den 3,4 Millionen Durchsuchungen des FBI im Jahr 2021 fast zwei Millionen im Zusammenhang mit einer Untersuchung eines mutmaßlichen Versuchs russischer Hacker standen, in kritische Infrastrukturen einzudringen. Die Durchsuchungen hätten dabei geholfen, potenzielle Opfer zu identifizieren, sagten Beamte damals.
Die Zahl der FBI-Durchsuchungen ging im Jahr 2022 dramatisch zurück, was teilweise auf eine neue Methode zurückzuführen ist, die das FBI zur Zählung von Durchsuchungen verwendet.
„Cyberangriffe finden in größerem Ausmaß statt. Und deshalb ist die Menge der zu Cyberangriffen gesammelten und abgefragten Informationen proportional größer“, sagte Tom Bossert, der frühere Berater für den Heimatschutz der Vereinigten Staaten unter der Trump-Regierung. „Sie können sich Hunderttausende versuchte Cyber-Angriffe in einem bestimmten Zeitraum und vielleicht nur fünf terroristische Telefonanrufe im gleichen Zeitraum vorstellen.“
In seinen Anfängen wurde Abschnitt 702 als wirksames Instrument zur Terrorismusbekämpfung gebrandmarkt, was die damalige Ausrichtung der Geheimdienste widerspiegelte. Tatsächlich gehören zu den größten freigegebenen Erfolgen des Programms die Verhinderung von Terroranschlägen und der Sturz ihrer Anführer. Zuletzt führte der Geheimdienstabschnitt 702 letzten Sommer zu einer erfolgreichen Operation gegen Al-Qaida-Anführer Ayman al-Zawahiri.
Erst im Jahr 2017, inmitten der letzten Erneuerungsdebatte, begann die Cybersicherheit eine wichtigere Rolle einzunehmen, wobei Beispiele für vereitelte Ransomware-Versuche die Hinweise auf ISIS und andere Terrorzellen in den Schatten stellten. Bei der Erörterung der Bedrohungen, die Nationalstaaten für das Heimatland darstellen, steht heute oft die oberste Priorität im Vordergrund. In seiner jährlichen Bedrohungsbewertung 2023 zählte das Büro des Direktors des Nationalen Geheimdienstes China, Russland, Nordkorea und den Iran und ihre Cyberfähigkeiten zu den größten Bedrohungen für das Land.
Bossert, der 2017 für die Bemühungen der Trump-Administration um eine erneute Autorisierung verantwortlich war, sieht in der neuen Strategie teilweise den veränderten Fokus der nationalen Sicherheitsgemeinschaft. „Ich denke, dass viele Menschen die Cyber-Bedrohung als real und allgegenwärtig wahrnehmen werden. Und weniger Menschen halten die terroristische Bedrohung für ebenso dringend“, sagte er. „Und ich würde gerne glauben, dass das daran liegt, dass wir 20 Jahre damit verbracht haben, uns diesem Problem zu stellen und Kontrollen einzuführen.“
Beamte sagen, dass Abschnitt 702 unter anderem deshalb so wertvoll geworden ist, wenn es darum geht, ausländische Akteure zu vereiteln, weil die Natur von Cyberangriffen kompliziert ist. In den meisten Fällen nutzen Angreifer die US-Infrastruktur als Ausgangspunkt für Angriffe auf inländische Ziele. Geheimdienstmitarbeiter haben dies oft als Herausforderung bezeichnet, wenn sie versuchen, die Aktivitäten ausländischer Akteure auf inländischem Boden zu verfolgen, und es als „blinden Fleck“ bezeichnet, der dazu beigetragen habe, dass russische Hacker während des SolarWinds-Angriffs nicht entdeckt wurden.
Abschnitt 702, so heißt es, stellt diese Sichtbarkeit wieder her. „Es ist eine Behörde, die es uns ermöglicht, Inkasso gegen ein bekanntes ausländisches Unternehmen durchzuführen, das sich für die Nutzung der US-Infrastruktur entscheidet“, sagte NSA-Direktor für Cybersicherheit, Rob Joyce, einer Menschenmenge auf der RSA-Konferenz im April. „Und so wird sichergestellt, dass wir den ausländischen böswilligen Akteuren, die sich auf unserer Infrastruktur aufhalten, nicht den gleichen Schutz gewähren wie den Amerikanern, die hier leben.“
„Ohne diese Autorität kann ich Cybersicherheit nicht in dem Umfang und Ausmaß betreiben, wie wir es heute tun“, fügte er hinzu.
Das FBI und die NSA sind nicht die einzigen, die das Tool loben. Diese Woche sprach ein hochrangiger Beamter des Außenministeriums darüber, wie das Tool maßgeblich dazu beiträgt, die Arbeit von US-Diplomaten zu informieren, einschließlich Cybersicherheitsthemen wie nordkoreanischem IT-Betrug.
Ein potenzieller Stakeholder, den die Biden-Regierung im Kampf um die Erneuerung von Abschnitt 702 noch nicht ernsthaft umworben hat, ist die Industrie. Der leitende FBI-Berater betonte, dass eine Nichterneuerung der Behörde ihre Fähigkeit beeinträchtigen würde, die mit Warnungen vor Schwachstellen überschwemmten leitenden Informationssicherheitsbeamten darüber zu informieren, welche konkreten Bedrohungen am dringendsten seien.
„Dies ist eines dieser Dinge, die es uns ermöglichen, bestimmte Sektoren und sogar bestimmte Unternehmen zu erreichen und zu sagen: Schauen Sie, diese spezifische Schwachstelle ist etwas, um das Sie sich jetzt kümmern möchten, weil wir sehen, dass bestimmte Arten von Akteuren es auf Unternehmen, Unternehmen abgesehen haben.“ wie Sie, das zu benutzen“, sagte der leitende FBI-Berater. „Wir werden in all diesen Dingen eine stark eingeschränkte Optik haben, wenn wir gezwungen sind, uns ausschließlich auf andere Tools zu verlassen.“
Stewart Baker, ehemaliger General Counsel der National Security Agency, plädierte dafür, dass die Geheimdienste mehr tun sollten, um der Industrie zu demonstrieren, wie sie von Abschnitt 702 profitieren können von Warnungen, die Arten der Nutzung dieser Intelligenz in Echtzeit, das wäre für mich besonders nützlich.
Unternehmen müssen verstehen, dass mit dem Wegfall von Abschnitt 702 auch diese Informationen wegfallen, sagt Bossert. „Sie sollten dies nicht nur als eine Bedrohung für die nationale Sicherheit betrachten. Sie sollten es als eine Unternehmensbedrohung für ihr Unternehmen betrachten. Und sie sollten die US-Regierung als potenziellen Partner betrachten“, sagte er.„Wenn sie erwarten, dass die US-Regierung weiterhin ein verlässlicher Partner ist, müssen sie verstehen, dass sich die zugrunde liegenden Informationen, die sie teilen müssen, aufgrund von Behörden wie 702 im Besitz der Regierung befinden.“
Der leitende FBI-Berater sagte gegenüber CyberScoop, dass die Agentur nach Möglichkeiten suche, das Engagement der Branche in diesem Bereich zu verstärken. „Hier gibt es eine Vielzahl unterschiedlicher Stakeholder. Und die Industrie, insbesondere wenn es um Cyber geht, ist ein sehr wichtiger Bereich“, sagte der leitende FBI-Berater. „Das ist also etwas, worüber wir uns in Zukunft Gedanken machen werden.“ Wie können wir anfangen, sie zu engagieren, jetzt, da dies wirklich an die Spitze der öffentlichen Diskussion sowie der Diskussion auf dem Capitol Hill und in anderen Interessengruppen gelangt?
Auch wenn es weitere Beispiele gäbe, ist unklar, ob der angebliche Wert von Abschnitt 702 bei der Verhinderung dieser Angriffe die zahlreichen Kritikpunkte des Programms überwinden kann, sowohl von Seiten der Gesetzgeber, die die Macht haben, es erneut zu genehmigen, als auch von Bürgerrechtsgruppen, die eine Reform des Programms anstreben. Der größte Teil des politischen Widerstands gegen die Behörde dreht sich um Bedenken hinsichtlich gut dokumentierter Verstöße gegen die bürgerlichen Freiheiten Amerikas, deren öffentliche Beispiele nichts mit Ransomware oder der Infiltration kritischer Infrastrukturen durch ausländische Akteure zu tun haben.
Beispielsweise wurde in einem kürzlich freigegebenen US-Gerichtsurteil aus dem Jahr 2022 festgestellt, dass das FBI 278.000 Mal unrechtmäßig nach Informationen über Amerikaner in der FISA-Datenbank gesucht hatte, unter anderem um politische Kampagnen und Demonstranten auszuspionieren. Der Bericht löste Empörung sowohl bei führenden Demokraten als auch bei Republikanern aus, die darauf bestehen, dass das Programm ohne Reformen nicht erneut genehmigt werden kann.
(Das FBI argumentiert, dass es seit diesen Durchsuchungen neue Compliance-Maßnahmen umgesetzt hat, um Missbrauch einzudämmen.)
Beamte, die sich für eine erneute Genehmigung von Abschnitt 702 einsetzen, äußerten sich vage darüber, welche Reformen sie zu diskutieren bereit wären, und betonten stattdessen, dass Änderungen die Wirksamkeit des Instruments nicht beeinträchtigen sollten. Die von Befürwortern und Gesetzgebern angestrebten Reformen könnten genau das bewirken, zumindest in den Augen der Geheimdienste. Der leitende FBI-Berater sagte beispielsweise, dass die Anforderung eines Haftbefehls, eine der wichtigsten Forderungen von Reformern, es der Behörde erschweren würde, schnell zu handeln und Ransomware-Opfer zu benachrichtigen.
Laperruque vom CDT wies darauf hin, dass Gerichte seit langem Notfallausnahmen vom Haftbefehlsverfahren anerkannt haben. Daran würden auch Reformen wie die Aufnahme einer Haftbefehlspflicht in Abschnitt 702, für die sich das CDT und andere Gruppen einsetzen, nichts ändern.
„Das wird Abschnitt 702 nicht davon abhalten, für Cyberangriffe genutzt zu werden“, sagte Laperruque. „Es wird verhindern, dass 702 bei Black Lives Matter und Mitgliedern des Kongresses verwendet wird, wofür wir in den letzten Jahren gesehen haben, dass 702 verwendet wird.“
Von