„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, heißt es im Koalitionsvertrag der Bundesregierung. SPD, Grüne und FDP hatten sich vorgenommen, stattdessen auf defensive IT-Sicherheitsmaßnahmen zu setzen. Ein Recht auf Verschlüsselung, wirksames Schwachstellenmanagement, mehr Rechtssicherheit für Sicherheitsforschende.
Doch was Bundesinnenministerin Nancy Faeser (SPD) kürzlich im Interview mit dem Spiegel sagte, klingt anders. „Wir müssen stärker über Gegenmaßnahmen bei Cyberangriffen nachdenken“, antwortet sie auf die Frage, ob deutsche Behörden die Möglichkeit zum Hackback brauchen.
Sie spricht von Maßnahmen, um Täter zu identifizieren und Angriffe zu verhindern. Auf die Hackback-Ablehnung im Koalitionsvertrag angesprochen, argumentiert sie mit dem Krieg. „Wir sind insgesamt gut beraten, Fragen unserer Sicherheit nicht ideologisch, sondern realistisch zu betrachten“, so die Innenministerin.
Was ist eigentlich aktive Cyberabwehr?
Die aktive Cyberabwehr war eine immer wiederkehrende Forderung, oftmals vorangetrieben durch den früheren Bundesinnenminister Horst Seehofer. Am endete landete sie kurz vor der Wahl und dem darauf folgenden Regierungswechsel noch in der Cybersicherheitsstrategie. Doch was ist das eigentlich?
Sven Herpig von der Stiftung Neue Verantwortung weist gegenüber netzpolitik.org darauf hin, dass aktive Cyberabwehr nicht immer gleich Hackback bedeuten muss. Sie kennt verschiedene Stufen: Zur aktiven Cyberabwehr kann es auch gehören, Angreifende in Fallen zu locken – um Angriffe zu erkennen und die Täter:innen zu identifizieren. Oder eben das eigentliche Zurückhacken, der „digitale Gegenschlag“: Dabei hackt sich der Angegriffene in die Geräte der Angreifenden, um etwa abgegriffene Daten wieder zu löschen. Oder – im Ernstfall – die gegnerische Infrastruktur auszuschalten oder zu zerstören.
„Länder und verschiedene Bundesbehörden haben heute teilweise bereits Befugnisse im Bereich der aktiven Cyberabwehr“, so Herpig. Dazu zählen etwa Kompetenzen aus dem IT-Sicherheitsgesetz 2.0. Demnach darf das BSI Telekommunikationsanbietern anordnen, infizierte IT-Systeme von Schadprogrammen zu bereinigen. Am Wichtigsten sei es seiner Meinung nach, dass die Verantwortlichen beantworten können, wie eine geplante Maßnahme IT-Systeme wirklich sicherer machen würde.
„Wir haben nur einen Cyberraum für uns alle“
Dass ein Hackback zu mehr Sicherheit führt, bezweifeln viele Expert:innen und warnen vor einer Eskalation im digitalen Raum. Zu ihnen gehört Manuel Atug von der AG KRITIS. Die unabhängige Arbeitsgruppe setzt sich für die IT-Sicherheit Kritischer Infrastrukturen wie Verwaltung und Energieversorgung ein. Atug lehnt Hackbacks ab. „Für uns ist wichtig, dass die Verantwortlichen erst einmal verstehen, was die Risiken eines Hackbacks für die eigene Bevölkerung sind“, sagt Atug.
Zum einen sei das die Attribution, also die Zuordnung des Angriffs auf einen bestimmten Angreifer. „Mit ausreichender Sicherheit herauszufinden, wer hinter einem Angriff steckt, braucht Zeit und Forschung. Wenn man aus Versehen den Falschen trifft, hat man ein ernstes Problem.“ Das zweite Problem bei Gegenangriffen in Kriegsszenarien seien Kollateralschäden, so Atug. „Wir haben nur einen Cyberraum für uns alle“, so der IT-Sicherheitsexperte.
Das habe man beim KA-SAT-Fall gesehen. Zu Beginn der russischen Invasion in der Ukraine wurde der Satellit KA-SAT 9A gehackt, wohl um die Kommunikation der ukrainischen Streitkräfte zu stören. Doch auch andere luden sich ein vermeintliches Update herunter und konnten sich danach nicht mehr mit dem Satelliten und dem Netz verbinden. Betroffen waren etwa ein deutscher Windradhersteller und Einsatzleitfahrzeuge von Feuerwehren. Eine scharfe Eingrenzung auf die eigentlichen Ziele scheint bei digitalen Gegenschlägen schwer möglich.
Schon die Wissenschaftlichen Dienste des Bundestages warnten außerdem vor einem Bumerang-Effekt. Denn wer den Gegner angreift, gibt damit auch sein Angriffswerkzeug preis. Oftmals wird es nach dem ersten Angriff nutzlos, denn danach kann sich der Angegriffene schützen, weil er weiß, wo er verwundbar ist. Ein teures „Einmalwirkmittel“.
Keine Antwort von SPD und Innenministerium
Auch Politiker:innen sehen Hackbacks kritisch, eigentlich auch Parteikolleg:innen von Bundesinnenministerin Faeser. Gerade die SPD war es, die in der vorangegangenen Legislatur verhinderte, dass die sogenannten Hackbacks in Gesetz gegossen werden. SPD-Chefin Esken hatte damals angekündigt, „alles dagegenzuhalten, was ich dagegenhalten kann“, berichtete der Spiegel.
Wir haben bei der Parteivorsitzenden nachgefragt, ob sie weiterhin an ihrer Ablehnung von Hackbacks festhält und mit welchen anderen Mitteln man die Resilienz von IT-Systemen sonst erhöhen könnte. Man müsse mitteilen, „dass wir ein Statement bis morgen nicht liefern können“, hieß es aus dem Büro. Auf die Rückfrage, bis wann das möglich sei, kam keine Antwort mehr. Keine Antwort gab es auch aus dem Innenministerium. Nach Anfrage per Mail am Montag und telefonische Nachfrage erhielten wir keine inhaltliche Rückmeldung.
(Update, 24. März) Am Donnerstag erhielten wir ein Statement aus dem Innenministerium. Darin heißt es: „Die deutsche Cyber-Sicherheitsarchitektur wird weiter gestärkt. Dabei geht es auch um Überlegungen für gezielte Maßnahmen, um Täter und Tatstrukturen auch im Ausland zu identifizieren, ihre Verschleierungsmaßnahmen, hinter denen sie glauben sicher zu sein, aufzudecken und die Durchführung von Angriffen zu verhindern.“
„Wir stehen an einer Weggabelung“
Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag, sagt gegenüber netzpolitik.org: „Hackbacks sind einfach irre, denn sie gefährden die Sicherheit kritischer Infrastrukturen, und das nicht nur bei uns. Genau deshalb steht ja auch im Koalitionsvertrag ein grundsätzliches Verbot von Hackbacks drin.“ In einer Pressemitteilung zählt sie Alternativen auf, sei es die Stärkung von IT-Sicherheitskompetenz, eine Mindestupdatepflicht für Geräte oder „ein klares Verbot, Sicherheitslücken zurückzuhalten und damit zu handeln“. Denn die einig sinnvolle Verteidigung, so die langjährige Netzpolitikerin, sei „ein Fokus auf die tatsächliche Verteidigung, und das ist die Stärkung der IT-Sicherheit in der Fläche“.
Laut dem grünen Bundestagsabgeordneten Konstantin von Notz stehen wir derzeit an einer „Weggabelung“. Der stellvertretende Fraktionsvorsitzende sagt: „Unsere bisherige IT-Sicherheitspolitik muss als weitgehend gescheitert angesehen werden. Die schrecklichen Entwicklungen in der Ukraine haben dazu geführt, dass die Themen IT-Sicherheit, Resilienz und Zivilschutz endlich die notwendige politische Aufmerksamkeit erfahren“. Jetzt müsse man sich fragen: „Wollen wir alte Fehler wiederholen, öffentlich über die IT-Sicherheit gefährdende, verfassungsrechtlich nicht umsetzbare Maßnahmen wie den Hackback sinnieren und endgültig in den Cyberwar einsteigen oder knappe Ressourcen lieber in effektive Maßnahmen zur Erhöhung der IT-Sicherheit und zur Stärkung der Resilienz unserer digitalen Gesellschaft stecken?“
Der Koalitionsvertrag gebe eine klare Richtung vor, so von Notz. „Daran erinnern wir derzeit alle Beteiligten, fordern angesichts stark gestiegener Herausforderungen eine Priorisierung der vereinbarten Projekte und ein kohärentes, abgestimmtes Vorgehen innerhalb der Bundesregierung.“
a) der Link zum Faeser Interview führt hinter die Paywall beim Spiegel.
b) Ich kann nicht erkennen, warum der Hackback zurück sein sollte AUSSER der Annahme der Autorin, das das im Interview so drin steht. Belege von anderer Stelle wären ganz praktisch für die Diskussion.
Die relevanten Stellen mit Fragekontext sind im 2. und 3. Absatz beschrieben. Darüberhinaus für ein Comeback der Hackback-Diskussion sprechen noch Standpunkte der Länder, die sich hier auf aktive Cyberabwehr beziehen: „Deshalb werden die Länder die Cyberabwehr stärken. Das gilt sowohl für den Schutz staatlicher Einrichtungen als auch von Einrichtungen der kritischen Infrastruktur in privater Hand. Zu diesem Schutz kann aus Sicht der Länder letztlich auch die Möglichkeit einer aktiven Cyberabwehr gehören.“ Darin stand dem Vernehmen nach in einer früheren Version noch explizit der Hackback drin, auch wenn ich das nicht selbst prüfen kann, daher steht es auch nicht im Text. Aber siehe bspw. hier: https://twitter.com/gebauerspon/status/1504407497142059010 Weitere Erklärungen vom Innenministerium hätte ich gern gehört, aber geantwortet hat man mir darauf – wie im Text erwähnt – nicht.
Jetzt verstehe ich: Die Diskussion über den Hackback ist zurück, weil sich nicht ausreichend viele Offizielle davon distanzieren und ihn ausschließen.
Kaffeesatzleserei at its best.
https://www.heise.de/news/Aktive-Cyberabwehr-Innenministerin-Faeser-haelt-Hackbacks-fuer-unvermeidbar-6661543.html
Das sagt nichts aus? Ist ja nicht nur eine Postabstimm- und Bierzeltvoradsdatenspeicherfordermaus aus der CSU/CDU.
„Wir sind insgesamt gut beraten, Fragen unserer Sicherheit nicht ideologisch, sondern realistisch zu betrachten“ spricht die Innenministerin und macht genau das, was sie vorgibt nicht tun zu wollen. Sie betrachtet das ideologisch. Realistisch und fachlich hat Sie offenbar keinerlei Ahnung. Ich frage mich schon lange warum sich alle Innenminister hauptsächlich durch fehlenden Sachverstand und ausgeprägte Ideologie qualifizieren?
Es wurde kein Satellit gehackt.
Aus dem Verwaltungsnetzwerk, welches von außen erreichbar war/ist [sic!], wurde defekte Firmwareupdates auf die Modems gespielt.
Dies hat die Modems temporär unbrauchbar gemacht.
Bitte differenzierter betrachten.
Vielen Dank.
PS: Die Pipeline in den USA wurde auch nicht gehackt, es konnte einfach nicht mehr abgerechnet werden.
Zum Trennungsgebot zwischen Polizei und Nachrichtendiensten: Ausprägung im Bereich der Cyberabwehr
Der Sachstand gibt im ersten Teil einen Überblick zum in Deutschland für Polizei und Nachrichtendienste allgemein geltenden Trennungsgebot und seiner konkreten Ausprägung im Bereich der Cyberabwehr.
Anschließend wird auf die für die Cyberabwehr maßgeblichen Behörden in den Niederlanden, Frankreich, dem Vereinigten Königreich und den Vereinigten Staaten von Amerika eingegangen. In diesen Staaten gibt es keine zur deutschen Konzeption vergleichbare strikte Trennung von Polizei und Nachrichtendiensten.
https://www.bundestag.de/resource/blob/970038/7389146a57fbd73593ea7e9af9a10b73/WD-3-071-23-pdf-data.pdf