Information Operations Bedingungen (INFOCON)
Die Information Operations Conditions oder INFOCON-System wurde entwickelt, um das aktuelle Niveau der Reaktion auf Bedrohungen gegen Department of Defense Computernetzwerke, Systeme und einzelne Maschinen anzuzeigen. Es soll einen “strukturierten, koordinierten Ansatz zur Abwehr und Reaktion auf gegnerische Angriffe” präsentieren, so DoD-Quellen.
INFOCON ähnelt Force Protection Conditions oder FPCON, ist jedoch eher auf Netzwerke als auf Militärbasen anwendbar. A Strategic Command Directive DoD Veröffentlichung von 2006, stellt fest, dass INFOCON Strategy den DoD-Ansatz von einem reaktiven System (Reaktion auf Bedrohungen statt “Präventivmedizin”) zu einem “bereitschaftsbasierten” proaktiven Ansatz geändert hat.
Funktionsweise von INFOCON
INFOCON hat fünf Stufen (siehe unten), die von normalen Bedingungen bis hin zur Reaktion auf einen allgemeinen Angriff reichen. Wie FPCONs können diese Bedingungen von Basis zu Basis, von Befehl zu Befehl und sogar von Operationsgebiet zu Operationsgebiet variieren. Aufgrund spezifischer Bedrohungen oder Bedingungen, die die erhöhten Werte rechtfertigen, kann es vorkommen, dass eine militärische Installation unter einem höheren INFOCON-Level als andere anderswo betrieben wird.
INFOCONs werden angepasst, wenn die Bedingungen dies erfordern, und sie dürfen sich nicht in der Reihenfolge ändern. Stattdessen werden sie entsprechend der Art der Bedrohung oder potenziellen Bedrohung angewendet.
Die Regeln für INFOCONs, die wiederum FPCONs ähneln, gelten für alle militärischen und zivilen Mitarbeiter, die in einem betroffenen Gebiet arbeiten. Ein gutes Beispiel für die Umsetzung dieser Richtlinie ist ein Befehl des 56th Fighter Wing Commander der Luke Air Force Base aus dem Jahr 2016, der die folgenden Anweisungen enthält:
“(INFOCONS gelten) für alle militärischen und zivilen Mitarbeiter auf der Luke Air Force Base” und stellt fest, dass INFOCON Maßnahmen empfiehlt, “um die Verteidigungshaltung gleichmäßig zu erhöhen oder zu verringern, sich gegen Angriffe auf Computernetzwerke zu verteidigen und nachhaltige Schäden an der Luke AFB-Informationsinfrastruktur zu mindern”.
DoD INFOCONs werden verwendet, um sich auf “Computer network-based protective measures” zu konzentrieren. Jede INFOCON-Ebene stellt Abwehrmaßnahmen dar, die auf der Grundlage der Risiken ergriffen werden, die “durch die vorsätzliche Störung freundlicher Informationssysteme” entstehen.
Welche Arten von Störungen? Jede Operation, die Versuche beinhalten kann:
- Stören, verweigern, verschlechtern oder Zerstören von Informationen, die sich in Computern und Computernetzwerken befinden, oder die Computer und Netzwerke
- Scannen, Sondieren, “andere verdächtige Aktivitäten”
- Unbefugten Zugriff erhalten
- Nicht autorisiertes “Durchsuchen von Daten” durchführen”
Die fünf INFOCON-Ebenen
INFOCON 5: Keine wesentlichen Bedrohungen oder Aktivitäten.
INFOCON 4: Eine “erhöhte Bedrohung” durch einen möglichen Angriff auf das Informationssystem. Dies kann mit lokalisierten Ereignissen oder Problemen, militärischen Operationen verbunden sein und kann auch als Ergebnis von “erhöhten Informationssystem-Sonden”, Scans oder anderen Versuchen, ein Regierungsnetzwerk oder Kommunikationssystem zu kompromittieren, zugeordnet werden.
INFOCON 3: Diese Stufe ist erforderlich, wenn Hinweise darauf vorliegen, dass ein bestimmtes System, ein bestimmter Standort, eine bestimmte Einheit oder ein bestimmter Betrieb ins Visier genommen werden können. Es kann auch während einer größeren militärischen Operation durchgeführt werden. Andere Dinge, die INFOCON 3 oder Contingency auslösen können, sind erhöhte Netzwerkprüfungen oder Scans. Jeder Hinweis auf eine Zunahme oder Konzentration von Versuchen (erfolgreich oder nicht) oder Überwachung kann INFOCON 3 auslösen.
INFOCON 2: Diese Stufe gilt, wenn ein “begrenzter Angriff” gegen ein Regierungsnetzwerk oder -system gestartet wurde. INFOCON 2 ist geeignet, wenn es nur begrenzten Erfolg bei einem Angriff oder Eindringen, mit wenig oder gar keinen Datenverlust oder System kompromittieren. In diesen Szenarien ist das Informationssystem im Allgemeinen noch funktionsfähig und für die amtliche Verwendung verfügbar.
INFOCON 1: Die Bedingung, die erforderlich ist, wenn ein erfolgreicher Angriff auf ein Informationssystem stattgefunden hat, der sich eindeutig auf Missionen oder Operationen des Verteidigungsministeriums auswirkt. Angriffe unter INFOCON 1 sind im Allgemeinen weit verbreitet, beeinträchtigen “die Fähigkeit der Zielsysteme, effektiv zu funktionieren” und bergen das Risiko eines Missionsfehlers.
Wer ist verantwortlich für INFOCONs?
INFOCONs erfordern die Unterstützung durch benannte Behörden in einem Regierungscomputernetzwerk, z. B. den Functional System Administrator (FSA) und den Client Support Administrator (CSA) oder gleichwertige Personen.
Da die Netzwerksicherheit von der Zusammenarbeit des grundlegendsten Endbenutzers bis hin zur FSA, CSA und höher für ein bestimmtes System abhängt, gibt es eine Reihe von Checklisten und Verfahren, die jedes Netzwerk auf lokaler Ebene übernimmt. Im Allgemeinen sind die Kommandeure der Einheiten in vielen Fällen “für die Umsetzung geeigneter Teile der INFOCON-Checklisten und / oder anderer Sicherheitsmaßnahmen für ihren Verantwortungsbereich verantwortlich”.
Ähnlich wie bei FPCONs legt die genehmigte Behörde zum Festlegen und Regulieren der Bedingungen die entsprechende Bedrohungszustandsstufe fest, und alle, die mit diesen Netzwerken arbeiten, haben ihre eigenen Marschbefehle. Auf die gleiche Weise, wie ein FPCON die täglichen Aktivitäten mit verstärkten ID-Überprüfungen, Durchsuchungen und Patrouillen sowie verbesserten Kraftschutzmaßnahmen ändert, gilt die Computernetzwerkversion dieser Schutzbedingungen über INFOCONs.
Konzepte, die INFOCONs informieren
Die DoD Command Directive von 2006 über INFOCONs, die wir zu Beginn dieses Artikels erwähnt haben, enthält einige allgemeine Anweisungen zum Umgang mit Cyberbedrohungen und Einbruchsversuchen unter INFOCON.
Die Command-Direktive gibt beispielsweise an, dass, wenn INFOCON-Ebenen aufgrund erhöhter Bedrohungsstufen geändert werden müssen, diese erhöhten Ebenen “nicht zu einer selbst auferlegten Diensteverweigerung führen sollten, weder für bestimmte Benutzer noch für ganze Netzwerke.” Bei der Reaktion auf Bedrohungen während einer erhöhten INFOCON-Situation müssen bestimmte Ports, IP-Adressen oder andere Netzwerkfunktionen möglicherweise individuell behandelt werden.
“Da militärische Operationen immer mehr auf netzzentrierten Operationen beruhen”, heißt es in der Kommandodirektive, müssen INFOCON-Maßnahmen an operative Aktivitäten der betroffenen Kommandos gebunden werden.
Und das Bewusstsein für Bedrohungen innerhalb einer Organisation geht Militärplanern nicht verloren. INFOCON-Maßnahmen “sollten Insider-Bedrohungen sowohl von autorisierten als auch von nicht autorisierten Benutzern abschwächen”, so die Richtlinie von 2006.
Leave a Reply