„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, heißt es im Koalitionsvertrag der Bundesregierung. SPD, Grüne und FDP hatten sich vorgenommen, stattdessen auf defensive IT-Sicherheitsmaßnahmen zu setzen. Ein Recht auf Verschlüsselung, wirksames Schwachstellenmanagement, mehr Rechtssicherheit für Sicherheitsforschende.
Doch was Bundesinnenministerin Nancy Faeser (SPD) kürzlich im Interview mit dem Spiegel sagte, klingt anders. „Wir müssen stärker über Gegenmaßnahmen bei Cyberangriffen nachdenken“, antwortet sie auf die Frage, ob deutsche Behörden die Möglichkeit zum Hackback brauchen.
Sie spricht von Maßnahmen, um Täter zu identifizieren und Angriffe zu verhindern. Auf die Hackback-Ablehnung im Koalitionsvertrag angesprochen, argumentiert sie mit dem Krieg. „Wir sind insgesamt gut beraten, Fragen unserer Sicherheit nicht ideologisch, sondern realistisch zu betrachten“, so die Innenministerin.
Was ist eigentlich aktive Cyberabwehr?
Die aktive Cyberabwehr war eine immer wiederkehrende Forderung, oftmals vorangetrieben durch den früheren Bundesinnenminister Horst Seehofer. Am endete landete sie kurz vor der Wahl und dem darauf folgenden Regierungswechsel noch in der Cybersicherheitsstrategie. Doch was ist das eigentlich?
Sven Herpig von der Stiftung Neue Verantwortung weist gegenüber netzpolitik.org darauf hin, dass aktive Cyberabwehr nicht immer gleich Hackback bedeuten muss. Sie kennt verschiedene Stufen: Zur aktiven Cyberabwehr kann es auch gehören, Angreifende in Fallen zu locken – um Angriffe zu erkennen und die Täter:innen zu identifizieren. Oder eben das eigentliche Zurückhacken, der „digitale Gegenschlag“: Dabei hackt sich der Angegriffene in die Geräte der Angreifenden, um etwa abgegriffene Daten wieder zu löschen. Oder – im Ernstfall – die gegnerische Infrastruktur auszuschalten oder zu zerstören.
„Länder und verschiedene Bundesbehörden haben heute teilweise bereits Befugnisse im Bereich der aktiven Cyberabwehr“, so Herpig. Dazu zählen etwa Kompetenzen aus dem IT-Sicherheitsgesetz 2.0. Demnach darf das BSI Telekommunikationsanbietern anordnen, infizierte IT-Systeme von Schadprogrammen zu bereinigen. Am Wichtigsten sei es seiner Meinung nach, dass die Verantwortlichen beantworten können, wie eine geplante Maßnahme IT-Systeme wirklich sicherer machen würde.
„Wir haben nur einen Cyberraum für uns alle“
Dass ein Hackback zu mehr Sicherheit führt, bezweifeln viele Expert:innen und warnen vor einer Eskalation im digitalen Raum. Zu ihnen gehört Manuel Atug von der AG KRITIS. Die unabhängige Arbeitsgruppe setzt sich für die IT-Sicherheit Kritischer Infrastrukturen wie Verwaltung und Energieversorgung ein. Atug lehnt Hackbacks ab. „Für uns ist wichtig, dass die Verantwortlichen erst einmal verstehen, was die Risiken eines Hackbacks für die eigene Bevölkerung sind“, sagt Atug.
Zum einen sei das die Attribution, also die Zuordnung des Angriffs auf einen bestimmten Angreifer. „Mit ausreichender Sicherheit herauszufinden, wer hinter einem Angriff steckt, braucht Zeit und Forschung. Wenn man aus Versehen den Falschen trifft, hat man ein ernstes Problem.“ Das zweite Problem bei Gegenangriffen in Kriegsszenarien seien Kollateralschäden, so Atug. „Wir haben nur einen Cyberraum für uns alle“, so der IT-Sicherheitsexperte.
Das habe man beim KA-SAT-Fall gesehen. Zu Beginn der russischen Invasion in der Ukraine wurde der Satellit KA-SAT 9A gehackt, wohl um die Kommunikation der ukrainischen Streitkräfte zu stören. Doch auch andere luden sich ein vermeintliches Update herunter und konnten sich danach nicht mehr mit dem Satelliten und dem Netz verbinden. Betroffen waren etwa ein deutscher Windradhersteller und Einsatzleitfahrzeuge von Feuerwehren. Eine scharfe Eingrenzung auf die eigentlichen Ziele scheint bei digitalen Gegenschlägen schwer möglich.
Schon die Wissenschaftlichen Dienste des Bundestages warnten außerdem vor einem Bumerang-Effekt. Denn wer den Gegner angreift, gibt damit auch sein Angriffswerkzeug preis. Oftmals wird es nach dem ersten Angriff nutzlos, denn danach kann sich der Angegriffene schützen, weil er weiß, wo er verwundbar ist. Ein teures „Einmalwirkmittel“.
Keine Antwort von SPD und Innenministerium
Auch Politiker:innen sehen Hackbacks kritisch, eigentlich auch Parteikolleg:innen von Bundesinnenministerin Faeser. Gerade die SPD war es, die in der vorangegangenen Legislatur verhinderte, dass die sogenannten Hackbacks in Gesetz gegossen werden. SPD-Chefin Esken hatte damals angekündigt, „alles dagegenzuhalten, was ich dagegenhalten kann“, berichtete der Spiegel.
Wir haben bei der Parteivorsitzenden nachgefragt, ob sie weiterhin an ihrer Ablehnung von Hackbacks festhält und mit welchen anderen Mitteln man die Resilienz von IT-Systemen sonst erhöhen könnte. Man müsse mitteilen, „dass wir ein Statement bis morgen nicht liefern können“, hieß es aus dem Büro. Auf die Rückfrage, bis wann das möglich sei, kam keine Antwort mehr. Keine Antwort gab es auch aus dem Innenministerium. Nach Anfrage per Mail am Montag und telefonische Nachfrage erhielten wir keine inhaltliche Rückmeldung.
„Wir stehen an einer Weggabelung“
Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag, sagt gegenüber netzpolitik.org: „Hackbacks sind einfach irre, denn sie gefährden die Sicherheit kritischer Infrastrukturen, und das nicht nur bei uns. Genau deshalb steht ja auch im Koalitionsvertrag ein grundsätzliches Verbot von Hackbacks drin.“ In einer Pressemitteilung zählt sie Alternativen auf, sei es die Stärkung von IT-Sicherheitskompetenz, eine Mindestupdatepflicht für Geräte oder „ein klares Verbot, Sicherheitslücken zurückzuhalten und damit zu handeln“. Denn die einig sinnvolle Verteidigung, so die langjährige Netzpolitikerin, sei „ein Fokus auf die tatsächliche Verteidigung, und das ist die Stärkung der IT-Sicherheit in der Fläche“.
Laut dem grünen Bundestagsabgeordneten Konstantin von Notz stehen wir derzeit an einer „Weggabelung“. Der stellvertretende Fraktionsvorsitzende sagt: „Unsere bisherige IT-Sicherheitspolitik muss als weitgehend gescheitert angesehen werden. Die schrecklichen Entwicklungen in der Ukraine haben dazu geführt, dass die Themen IT-Sicherheit, Resilienz und Zivilschutz endlich die notwendige politische Aufmerksamkeit erfahren“. Jetzt müsse man sich fragen: „Wollen wir alte Fehler wiederholen, öffentlich über die IT-Sicherheit gefährdende, verfassungsrechtlich nicht umsetzbare Maßnahmen wie den Hackback sinnieren und endgültig in den Cyberwar einsteigen oder knappe Ressourcen lieber in effektive Maßnahmen zur Erhöhung der IT-Sicherheit und zur Stärkung der Resilienz unserer digitalen Gesellschaft stecken?“
Der Koalitionsvertrag gebe eine klare Richtung vor, so von Notz. „Daran erinnern wir derzeit alle Beteiligten, fordern angesichts stark gestiegener Herausforderungen eine Priorisierung der vereinbarten Projekte und ein kohärentes, abgestimmtes Vorgehen innerhalb der Bundesregierung.“
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires