Debatte über Hackbacks: Lasst die Schaufel stecken
Cyberangriffe sind Teil der Kriegsführung. Doch auf eine Cyberattacke mit einem entsprechenden Gegenangriff zu antworten, ist eine ganz schlechte Idee.
Der Koalitionsvertrags verhält sich gerade diametral zum Papierpreis: Während Letzterer steigt, sinkt Ersterer stetig in seinem Wert. Nun muss das erst einmal nichts Schlimmes sein: Manchmal ändern sich Dinge, wissenschaftliche Erkenntnisse zum Beispiel, dann kann es sinnvoll sein, Pläne anzupassen. Manchmal ändern sich Dinge allerdings auch nur vermeintlich. Und das ist gerade so bei der Debatte über Hackbacks.
Hackbacks werden meist als das gegenseitige Schaufel-über-den-Kopf-Ziehen auf digitalem Weg verstanden. Fiktives Beispiel: Staat A schleust einen Verschlüsselungstrojaner in die Parlamentsverwaltung von Staat B, woraufhin B das Mobilfunknetz von A abschaltet. Was man dabei schon sieht: Cyberangriff, das klingt nach virtuell und digital und abstrakt, ist aber etwas sehr Reales: weil nämlich am Ende Unternehmen betroffen sind oder Verwaltungen oder Institutionen und damit: Menschen.
Nun steht im Koalitionsvertrag folgender Satz: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ Man kann spitzfindig einwenden, dass schon dieser Satz eine Hintertür offen lässt. Schließlich verstehen Jurist:innen das Wort „grundsätzlich“ nicht als „komplett“, sondern eher so als „im Regelfall“. In der letzten Bundesregierung war Horst Seehofer noch an einem Gesetz, das Cybergegenschläge möglich machen sollte, gescheitert.
Doch nun sagte Bundesinnenministerin Nancy Faeser vergangene Woche im Spiegel, man müsse „stärker über Gegenmaßnahmen bei Cyberangriffen“ nachdenken. Und dass der Satz im Koalitionsvertrag ja vor dem 24. Februar geschrieben wurde. Die Bayerische Digitalministerin Judith Gerlach überlegte bereits vor zwei Wochen laut, man müsse in der Lage sein, „im Falle eines Hackerangriffs auf deutsche Stromnetze oder andere wichtige Infrastrukturen nicht nur passiv, sondern auch aktiv darauf reagieren zu können“.
Ein perfekter Angriff ist kaum möglich
Stellen wir uns also vor, es gab einen Cyberangriff auf die hiesige Infrastruktur und es gibt die große Bereitschaft und eine Rechtsgrundlage für einen Hackback. Was würde passieren?
Auch in diesem sehr vereinfachten Szenario gälte es zunächst die Frage zu klären, wer da eigentlich angegriffen hat. Das klingt leichter gesagt als getan. Denn Angreifer:innen, egal ob mit finanziellem Interesse oder staatlichem Hintergrund, hinterlassen unpraktischerweise kein Bekennerschreiben mit qualifizierter elektronischer Signatur, das zweifelsfrei ihre Urheberschaft ausweist. Attributionsforscher:innen leisten zwar ganze Arbeit darin herauszufinden, wer hinter einem Angriff steckt und ob diese Gruppe mit einem Staat verwoben ist. Indizien helfen dabei.
Digitale Werkzeuge zum Beispiel, die typisch sind für eine bestimmte Gruppe, persönliche Daten, die unbeabsichtigt hinterlassen wurden, Pseudonyme, die Täter:innen auch auf Social-Media-Profilen nutzen, die Motivation, ausgerechnet das gewählte Ziel anzugreifen – es gibt haufenweise Möglichkeiten. Ein perfekter Angriff, der alle Spuren verwischt, ist in der Praxis kaum möglich. Aber Angreifer:innen können auch wunderbar falsche Fährten legen. Dass sich eine Attacke mit absoluter Sicherheit attribuieren lässt, ist daher längst nicht die Regel. Spannende, bitte vorab zu diskutierende politische Fragen: Wie hoch muss die Sicherheit in der Attribution sein, um auf deren Basis einen Gegenangriff starten zu können? Was, wenn es doch eine falsche Zuordnung gab und jemand unbeteiligtes Drittes bekommt den Gegenangriff ab?
Aber nehmen wir einmal an, die Urheberschaft ist zweifelsfrei geklärt und wir gehen über zum tatsächlichen Gegenangriff. Dazu wäre natürlich einiges an Personal mit entsprechenden IT-Kenntnissen nötig, was für staatliche Stellen gar nicht so leicht zu rekrutieren ist, aber lassen wir dieses Problem einmal kurz beiseite. Denn was es vor allem braucht: Kenntnisse über bislang unentdeckte Sicherheitslücken. Und jetzt wird es hakelig. Denn wenn ein Staat solche Kenntnisse hat und die Lücken nicht meldet, weil er sie gerne potenziell für einen eigenen Angriff ausnutzen will – dann gefährdet er damit auch Unternehmen, Verwaltung und Nutzer:innen im eigenen Land. Schließlich bleiben bei denen die Sicherheitslücken ebenso unerkannt und ungestopft. Das könnte zu der ironischen Situation führen, dass genau so eine Lücke erst einen Angriff auf die eigenen Systeme ermöglicht.
Der Beginn einer Eskalation
Dazu kommt ein weiteres Problem: Zeit. Ja, es gibt Angriffe, die sind schnell gemacht. Aber gerade vulnerable Systeme der öffentlichen Infrastruktur – Energie, Wasser, Gesundheit, Verwaltung und so weiter – sollten besonders gut gesichert sein. Nach der zeitaufwendigen Attribution würde es also noch einmal Zeit kosten, in das gegnerische Ziel einzusteigen. Mit einem gegenseitigen Schaufel-über-den-Kopf-Ziehen hätte das also zeitlich schon mal gar nichts mehr zu tun. Dafür wäre es aber ziemlich sicher der Beginn einer Eskalation mit unabsehbarem Ausgang: Du ein Krankenhaus von mir, ich deine Verwaltung, daraufhin du mein Stromnetz und ich dann deine Wasserversorgung? Das wollen mit Sicherheit auch die Protagonist:innen nicht, die gerade Hackbacks nicht mehr ausschließen.
In Deutschland sind bereits auf diversen Ebenen Maßnahmen verankert, mit denen im Fall eines Cyberangriffs reagiert werden kann. Zum Beispiel im zweiten IT-Sicherheitsgesetz. Das verpflichtet etwa in bestimmten Situationen Provider zum Verteilen von Befehlen, mit denen Systeme von Schadprogrammen befreit werden sollen. Darüber hinaus brauchen wir vor allem etwas, das unspektakulär klingt, dabei aber zentral ist: Prävention.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
BSW in Koalitionen
Bald an der Macht – aber mit Risiko
Dieter Bohlen als CDU-Berater
Cheri, Cheri Friedrich
Stellungnahme im Bundestag vorgelegt
Rechtsexperten stützen AfD-Verbotsantrag
Selbstzerstörung der FDP
Die Luft wird jetzt auch für Lindner dünn
Hybride Kriegsführung
Angriff auf die Lebensadern
Kinderbetreuung in der DDR
„Alle haben funktioniert“