Debatte über Hackbacks: Lasst die Schaufel stecken

Cyberangriffe sind Teil der Kriegsführung. Doch auf eine Cyberattacke mit einem entsprechenden Gegenangriff zu antworten, ist eine ganz schlechte Idee.

Hackst du mich, hacke ich dich: Szene aus „Fighting mad“ von 1976 Foto: 20thCentFox/Everett/imago images

Der Koalitionsvertrags verhält sich gerade diametral zum Papierpreis: Während Letzterer steigt, sinkt Ersterer stetig in seinem Wert. Nun muss das erst einmal nichts Schlimmes sein: Manchmal ändern sich Dinge, wissenschaftliche Erkenntnisse zum Beispiel, dann kann es sinnvoll sein, Pläne anzupassen. Manchmal ändern sich Dinge allerdings auch nur vermeintlich. Und das ist gerade so bei der Debatte über Hackbacks.

Hackbacks werden meist als das gegenseitige Schaufel-über-den-Kopf-Ziehen auf digitalem Weg verstanden. Fiktives Beispiel: Staat A schleust einen Verschlüsselungstrojaner in die Parlamentsverwaltung von Staat B, woraufhin B das Mobilfunknetz von A abschaltet. Was man dabei schon sieht: Cyberangriff, das klingt nach virtuell und digital und abstrakt, ist aber etwas sehr Reales: weil nämlich am Ende Unternehmen betroffen sind oder Verwaltungen oder Institutionen und damit: Menschen.

Nun steht im Koalitionsvertrag folgender Satz: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ Man kann spitzfindig einwenden, dass schon dieser Satz eine Hintertür offen lässt. Schließlich verstehen Ju­ris­t:in­nen das Wort „grundsätzlich“ nicht als „komplett“, sondern eher so als „im Regelfall“. In der letzten Bundesregierung war Horst Seehofer noch an einem Gesetz, das Cybergegenschläge möglich machen sollte, gescheitert.

Doch nun sagte Bundesinnenministerin Nancy Faeser vergangene Woche im Spiegel, man müsse „stärker über Gegenmaßnahmen bei Cyberangriffen“ nachdenken. Und dass der Satz im Koalitionsvertrag ja vor dem 24. Februar geschrieben wurde. Die Bayerische Digitalministerin Judith Gerlach überlegte bereits vor zwei Wochen laut, man müsse in der Lage sein, „im Falle eines Hackerangriffs auf deutsche Stromnetze oder andere wichtige Infrastrukturen nicht nur passiv, sondern auch aktiv darauf reagieren zu können“.

Ein perfekter Angriff ist kaum möglich

Stellen wir uns also vor, es gab einen Cyberangriff auf die hiesige Infrastruktur und es gibt die große Bereitschaft und eine Rechtsgrundlage für einen Hackback. Was würde passieren?

Auch in diesem sehr vereinfachten Szenario gälte es zunächst die Frage zu klären, wer da eigentlich angegriffen hat. Das klingt leichter gesagt als getan. Denn Angreifer:innen, egal ob mit finanziellem Interesse oder staatlichem Hintergrund, hinterlassen unpraktischerweise kein Bekennerschreiben mit qualifizierter elektronischer Signatur, das zweifelsfrei ihre Urheberschaft ausweist. At­tri­bu­ti­ons­for­sche­r:in­nen leisten zwar ganze Arbeit darin herauszufinden, wer hinter einem Angriff steckt und ob diese Gruppe mit einem Staat verwoben ist. Indizien helfen dabei.

Digitale Werkzeuge zum Beispiel, die typisch sind für eine bestimmte Gruppe, persönliche Daten, die unbeabsichtigt hinterlassen wurden, Pseudonyme, die Tä­te­r:in­nen auch auf Social-Media-Profilen nutzen, die Motivation, ausgerechnet das gewählte Ziel anzugreifen – es gibt haufenweise Möglichkeiten. Ein perfekter Angriff, der alle Spuren verwischt, ist in der Praxis kaum möglich. Aber An­grei­fe­r:in­nen können auch wunderbar falsche Fährten legen. Dass sich eine Attacke mit absoluter Sicherheit attribuieren lässt, ist daher längst nicht die Regel. Spannende, bitte vorab zu diskutierende politische Fragen: Wie hoch muss die Sicherheit in der Attribution sein, um auf deren Basis einen Gegenangriff starten zu können? Was, wenn es doch eine falsche Zuordnung gab und jemand unbeteiligtes Drittes bekommt den Gegenangriff ab?

Aber nehmen wir einmal an, die Urheberschaft ist zweifelsfrei geklärt und wir gehen über zum tatsächlichen Gegenangriff. Dazu wäre natürlich einiges an Personal mit entsprechenden IT-Kenntnissen nötig, was für staatliche Stellen gar nicht so leicht zu rekrutieren ist, aber lassen wir dieses Problem einmal kurz beiseite. Denn was es vor allem braucht: Kenntnisse über bislang unentdeckte Sicherheitslücken. Und jetzt wird es hakelig. Denn wenn ein Staat solche Kenntnisse hat und die Lücken nicht meldet, weil er sie gerne potenziell für einen eigenen Angriff ausnutzen will – dann gefährdet er damit auch Unternehmen, Verwaltung und Nut­ze­r:in­nen im eigenen Land. Schließlich bleiben bei denen die Sicherheitslücken ebenso unerkannt und ungestopft. Das könnte zu der ironischen Situation führen, dass genau so eine Lücke erst einen Angriff auf die eigenen Systeme ermöglicht.

Der Beginn einer Eskalation

Dazu kommt ein weiteres Problem: Zeit. Ja, es gibt Angriffe, die sind schnell gemacht. Aber gerade vulnerable Systeme der öffentlichen Infrastruktur – Energie, Wasser, Gesundheit, Verwaltung und so weiter – sollten besonders gut gesichert sein. Nach der zeitaufwendigen Attribution würde es also noch einmal Zeit kosten, in das gegnerische Ziel einzusteigen. Mit einem gegenseitigen Schaufel-über-den-Kopf-Ziehen hätte das also zeitlich schon mal gar nichts mehr zu tun. Dafür wäre es aber ziemlich sicher der Beginn einer Eskalation mit unabsehbarem Ausgang: Du ein Krankenhaus von mir, ich deine Verwaltung, daraufhin du mein Stromnetz und ich dann deine Wasserversorgung? Das wollen mit Sicherheit auch die Prot­ago­nis­t:in­nen nicht, die gerade Hackbacks nicht mehr ausschließen.

In Deutschland sind bereits auf diversen Ebenen Maßnahmen verankert, mit denen im Fall eines Cyberangriffs reagiert werden kann. Zum Beispiel im zweiten IT-Sicherheitsgesetz. Das verpflichtet etwa in bestimmten Situationen Provider zum Verteilen von Befehlen, mit denen Systeme von Schadprogrammen befreit werden sollen. Darüber hinaus brauchen wir vor allem etwas, das unspektakulär klingt, dabei aber zentral ist: Prävention.