Was tun, wenn IT-Infrastrukturen in Deutschland angegriffen, also gehackt werden? Teile der Bundesregierung meinen: Zurückhacken. Ob das eine gute Idee ist, oder ob es vielleicht bessere Alternativen gibt, diskutierte in dieser Woche ein Workshop der Stiftung neue Verantwortung. Offiziell wird meist von der "aktiven Cyberabwehr" gesprochen, erklärt Sven Herpig, Leiter für Internationale Cyber-Sicherheitspolitik bei der Stiftung:
"Sicherlich die Wortgattung, die von den Behörden genutzt wird. Auf der anderen Seite nutzt man gerne den HackBack, den digitalen Gegenschlag. Von Behördenseite kommt auch der finale Rettungsschuss."
Die Forderungen nach aktiven Cyber-Abwehr-Maßnahmen gegen Angreifer auf Deutsche Netzwerke von außen werden konkreter. Ende Mai 2019 gelangte ein regierungsinternes Papier zur Cybersicherheit Deutschlands an die Öffentlichkeit. Demnach sollen ausgewählte Behörden unter anderem das Recht bekommen, bei Angriffen auf deutsche IT-Infrastrukturen digital zurückschlagen zu dürfen. Die Bundeswehr möchte, so eine Meldung in dieser Woche, sogar einen "digitalen Verteidigungsfall" schaffen, der unterhalb der Schwelle eines klassischen Verteidigungsfalls liegen soll und somit nicht vom Parlament abzusegnen wäre. Neu sind solcherart Wünsche nicht. Ex-Verfassungsschutzchef Hans-Georg Maaßen auf der Cybersicherheitskonferenz 2017.
"Wir kennen ja inzwischen schon sehr viel Server der Angriffsinfrastrukturen. Da sind wir auch der Meinung, es muss notwendig sein, dass wir auch in der Lage sind, diese Server einfach platt zu machen."
Drei Gesetze für den Fall des Cyberangriffs
Mal soll der Verfassungsschutz, mal der Bundesnachrichtendienst und die Bundeswehr sowieso im Fall eines Cyberangriffs Rechner, Server, ganze Infrastrukturen infiltrieren, aushorchen und im Zweifel ausschalten können dürfen. Dafür sind drei Gesetze in Vorbereitung: Das IT-Sicherheitsgesetz 2.0, das Bundesverfassungsschutzgesetz und das CNE-Gesetz. CNE steht entweder für Computer Network Investigation oder Computer Network Interference. Ganz klar ist das noch nicht. Die Inhalte sind weder öffentlich noch bekannt. Anders beim IT-Sicherheitsgesetz 2.0 und beim Bundesverfassungsschutzgesetz Sven Herpig, Leiter für Internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung:
"Die beiden sind allein deswegen schon problematisch, weil sie die Kompetenzen ausweiten, vor allem der Nachrichtendienste. Beim IT-Sicherheitsgesetz sehen wir ganz gute Ansätze. Aber das Gesetz hat viele viele Probleme. Es ist handwerklich nicht gut gemacht und muss noch mal dringend massiv überarbeitet werden. Beim CNE Gesetz können wir noch relativ wenig zu sagen, weil wir noch nicht wissen, was da drin sein wird. Aber ich kann jetzt schon mal ein bisschen in die Glaskugel gucken und würde sagen, das wird ziemlich problematisch. Da müssen wir ganz genau hingucken."
Deeskalation statt Hackback
Problematisch sind unter anderem jene Teile, in denen es um den Gegenhack, den Hackback geht. Denn dabei müssen die beauftragten Kräfte egal welcher Bundesbehörde in fremde inländische oder ausländische Systeme eindringen, was mit der aktuellen deutschen und auch mit der internationaler Rechtslage in vielen Fällen nicht vereinbar wäre. Dazu kommt, dass sowohl der eigentlichen Hack, wie auch der Hackback Sicherheitslücken braucht, die ausgenutzt werden können. Nur: Halten Sicherheitsbehörden das Wissen um solche Sicherheitslücken zurück, so verschlechtern sie die IT-Sicherheitslage. Hinzu kommt, dass es nahezu aussichtslos ist, den oder die Täter eines Angriffs eindeutig zu bestimmen. Fast immer nutzen die Täter eine Tarnung, die auf möglichst alle anderen Akteure, nur nicht auf sie selbst verweist, so die Experten in Berlin. Hackt man dann zurück, sei es, nur um die Täter zu identifizieren, und trifft man dann einen unschuldigen Akteur, besteht die Gefahr, dass auch dieser reagiert. Frank Rieger, einer der Sprecher des Chaos Computer Clubs:
"Das Problem ist, dass man dann nicht nur sich einem Gegenschlag aussetzt, sondern möglicherweise man dann eine Eskalationsspirale mit mehreren Partnern erzeugen kann, auf die man eigentlich lieber verzichten sollte. Man kann halt versehentlich quasi einen größeren Cyber Konflikt auslösen, nur weil man sich irgendwie einen Server hackt, von dem man wenn man wissen wollte, wer jetzt hinter einem bestimmten Angriff steckt."
Sowohl Rieger als auch Herpig plädierten auf dem Berliner Workshop dafür, Pläne für Hackbacks zu begraben und lieber eine deeskalierende, dafür aber besser steuerbare Strategie umzusetzen. Sven Herpig:
Wir haben hier in Deutschland die große Chance auch innerhalb der EU, einfach mal eine andere Strategie zu fahren, nämlich eine Strategie, die auf Diplomatie, IT-Sicherheit und Resilienz basiert. Und damit könnten wir eventuell viel mehr erreichen. Wir müssen uns nur trauen, diesen Weg zu gehen.
