Zusammenfassung

Das Internet ist der Schauplatz, auf dem sogenannte Computer Network Operations (CNO) stattfinden. Ein Vielzahl von Ländern besitzen CNO Fähigkeiten und setzten diese bereits zu Friedenszeiten ein, um Schadsoftware in den Systemen von Gegnern zu plazieren. Um Schadsoftware zu plazieren, bedarf es oft der Kenntnis von Schwachstellen in Software und die Entwicklung von Angriffsvektoren auf diese, sogenannte Exploits.

Da zivile und militärische Institutionen im wesentlichen dieselben Betriebssysteme und Anwendungen einsetzen, funktionieren Exploits oft gleichermaßen für Institutionen beider Art. Als Beispiel sei der berüchtigte Stuxnet Wurm genannt, der sich auch auf Systeme der Firma Chevron ausgebreitet hat. Dies zeigt einmal mehr das Risiko von Kollateralschäden beim Einsatz von Cyberwaffen und bringt CNO in Konflikt mit dem humanitären Völkerrecht und etablierter militärischer Doktrin.

Man könnte versuchen, die Entwicklung ziviler und militärischer Systeme unabhängiger voneinander zu machen. Damit verbunden wäre die Hoffnung und Erwartung, daß Exploits, die für die eine Art System funktionieren, nicht für die Systeme der anderen Art funktionieren. Eine Destabilisierung durch gezielte Angriffe auf militärische Systeme könnte dadurch nicht verringert werden. Die Teilung der Systeme in zwei Welten könnte jedoch die Wahrnehmung der Bedrohung durch Überraschungsangriffe verringern helfen. Außerdem könnten Spannungen dadurch abgeschwächt und zivile Objekte und Zivilisten besser geschützt werden.

Der kommerzielle Sektor hat wenig Anreize, eine solche Teilung herbeizuführen. Für eine Firma ist es effizienter, dasselbe Produkt in beide Märkte zu verkaufen und lediglich auf die Bedürfnisse des Zielmarktes hin anzupassen. Der Bereich der frei verfügbaren und quelloffenen Software (FQS) ist da offener für ideologisch begründete Entscheidungen. Dies bietet Chancen, weil FQS mittlerweile eine bedeutende Rolle in zivilen und in militärischen Systemen einnimmt. Dies läßt vermuten, daß die FQS Gemeinde einen starken Einfluß ausüben könnte, wenn sie ihre Software in breitem Maße einer nicht-zivilen Nutzung entzieht. Dies könnte auf Basis von Software-Lizenzen forciert werden.

Aber wieviele FQS Projekte müssen eine Zivilklausel in ihre Lizenzen aufnehmen, um einen spürbaren Effekt zu erreichen? Der Antwort auf diese Frage möchten wir uns in unserem Projekt annähern. Hierzu beabsichtigen wir, aus frei verfügbaren Daten zu Abhängigkeiten zwischen FQS Projekten untereinander und ihren Entwicklern ein Modell zu erstellen, mit dessen Hilfe wir Schätzungen durchführen können, wie sich eine Zivilklausel in diesem Netzwerk verbreiten könnte. Wir werden uns dabei auf die Daten von Social Programming Sites (z.B. GitHub) und diversen Paketmanagern (z.B. Npm) stützen. Da einflußreiche Projekte mitunter von mehreren Entwicklern getragen werden, beabsichtigen wir auch Befragungen unter Entwicklern durchzuführen, um mehr über deren Bereitschaft zu erfahren, Zivilklauseln in ihre Lizenzen aufzunehmen.

Abstract

The internet has become a battlefield on which so-called Computer Network Operations (CNO) take place. Numerous countries have developed CNO capabilities and use them already during peace time to plant malware in the systems of opponents. To do this, knowledge of exploitable vulnerabilities in software is often necessary.

Because civilian and military institutions largely use the same operating systems and application software, exploits often work for both kinds of institutions. A notable example is the infamous Stuxnet worm, which propagated not only to the intended target but also to the systems of Chevron. This once again demonstrates the risk of collateral damage when using cyberweapons and puts CNO at odds with international humanitarian law and established military doctrine.

One could try to make the development of civil and military systems less dependent of each other in the hope and expectation that exploits that work for one type of system will not work for the other. This would not reduce destabilization through targeted attacks on military systems. However, dividing the systems into two worlds could help reduce the perception of threat from surprise attacks. It could also reduce tensions and protect civilians and civilian objects.

The commercial sector has little incentive to bring about such a division. It is more efficient for a company to sell the same product to both markets and simply adapt it to the needs of the target market. The area of freely available and open source software (FOSS) is more open to ideologically based decisions. This offers opportunities because FOSS now plays a significant role in civilian and military systems. This suggests that the FOSS community could have a strong impact by broadly removing its software from non-civilian use. This could be pushed forward on the basis of software licenses.

But how many FOSS projects need to include a civilian-use only (CUO) clause in their licenses to have a noticeable effect? In our project, we would like to approach the answer to this question. For this purpose we intend to collect available data on dependencies between FOSS projects and their developers, which we can use to estimate how a civil clause could spread in this network. We will be using data from social programming sites (e.g., GitHub) and various package managers (e.g., Npm). Since influential projects are sometimes carried out by several developers, we also intend to conduct surveys among developers to learn more about their willingness to include CUO clauses in their licenses.