HackbacksZurückhacken ist keine Verteidigung

Die Regierung hat sich im Koalitionsvertrag von Hackbacks klar distanziert, doch aus der CDU und von Ex-Geheimdienstlern kommt aktuell die Forderung nach digitaler Eskalation. Dabei verdreht Ex-BND-Chef Schindler die Tatsachen und stellt das Zurückhacken als Abwehr dar. Doch ein Hackback ist ein Gegenangriff und damit eine offensive Angriffsmaßnahme. Ein Kommentar.

Hacker bei der Arbeit (Symbolbild).
Hacker bei der Arbeit (Symbolbild). CC-BY-NC 2.0 Brian Klug

Seit die Bundesregierung nach einem IT-Angriff auf SPD-E-Mails dafür Russland verantwortlich gemacht hat, fordern sowohl Außenministerin Annalena Baerbock als auch Unionspolitiker Konsequenzen nach dem Hack. Während Baerbock nicht benennt, welche weiteren Konsequenzen neben dem Abzug des Botschafters aus Moskau noch folgen sollen, wird in der Union die alte Debatte um offensive IT-Gegenangriffe aufgewärmt.

Der CDU-Verteidigungspolitiker Roderich Kiesewetter, Oberst a.D. und Ex-Präsident des Reservistenverbandes, und der Ex-Geheimdienstchef und heutige Berater Gerhard Schindler gehören zu den prominentesten Vertretern, die nun wieder mehr Massenüberwachungsmaßnahmen und offensive IT-Angriffe aus Deutschland heraus fordern. Schindler möchte für die Geheimdienste die Erlaubnis zur „strategischen Kommunikationsaufklärung im Inland“, ein Euphemismus für das automatisierte Durchleuchten sämtlicher Telekommunikationsdaten innerhalb Deutschlands.

Statt einer „Überwachungsgesamtrechnung“, die von der Bundesregierung geplant ist, solle besser eine „Bedrohungsgesamtrechnung“ erstellt werden, sekundiert ihm Kiesewetter. Er erklärte, die aktuellen IT-Angriffe würden zeigen, dass Deutschland ein „Kriegsziel“ Russlands sei, wie er dem ZDF sagte. Deswegen wünscht er sich auch, dass deutsche Geheimdienste die Erlaubnis zu sogenannten Hackbacks erhalten sollen. Er sagte: „Wir müssen auch IT-technisch gegeneskalieren.“

Doch diese Eskalation verstößt gegen geltendes Recht und soll es gerade nicht geben: Die Ampelregierung hatte im Koalitionsvertrag diesen Hackbacks eine Absage erteilt, auch in der nationalen Sicherheitsstrategie positioniert sich die Regierung dagegen. Der Koalitionsvertrag sagt klar: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ Dafür gibt es gute Gründe, die vor allem in der Natur digitaler Angriffe liegen.

Denn was ist ein „Hackback“? Wörtlich meint es Zurückhacken, im übertragenen Sinne also einen Gegenschlag ausführen. Und für einen Gegenschlag braucht man vor allem einen sichtbaren und greifbaren Gegner. Die hinreichend sichere Feststellung, wer hinter einem ausgefeilten IT-Angriff steckt, ist aber keine leichte, sie ist manchmal auch gar nicht möglich, und sie dauert aufgrund des Nachvollziehens des Angriffsweges auch oft längere Zeit. Und die Gefahr, beim Hackback den Falschen zu erwischen, ist auch nicht wegzudiskutieren. Die Vorstellung von Nicht-Technikern, die Hacken nur aus Vorabendserien kennen, dass man mal eben einem Angreifer durch Zurückhacken das Handwerk legen könnte, ist schlicht ausgemachter Unsinn. Das zeigt auch gerade der aktuelle SPD-E-Mail-Vorfall, dessen Untersuchung viele Monate in Anspruch nahm.

Denkt man an kriegerische Auseinandersetzungen im physischen Raum, mag ein solches Vorgehen nachvollziehbar sein: Du beschießt mich, ich schieße zurück. Wenn ich allerdings nicht gesichert herausfinden kann, wer auf mich schießt, dann wird es kompliziert. Im Digitalen ist das der Normalfall: So gut wie kein Angreifer ist sofort sicher auszumachen. Zudem sind keine abgrenzbaren zivilen und militärischen Räume vorhanden, denn das Schlachtfeld wären unsere zivilen Netze.

Ex-BND-Chef Schindler geht also kategorisch fehl und verdreht die Tatsachen, wenn er in einem aktuellen Interview für Hackbacks trommelt und dabei behauptet, Hackbacks seien „ein Mittel, um Cyberangriffe abzuwehren“.

Denn ein solcher Gegenangriff ist eine klar offensive Maßnahme. Eine Abwehr eines Angriffs bestünde darin, den Angreifer daran zu hindern, seinen Angriff fortzusetzen und Schaden von sich selbst fernzuhalten. Diesen Unterschied kennt natürlich auch der Ex-Geheimdienstler. Die Falschdarstellung dient dem Zweck, das offensive Zurückhacken zu verniedlichen und eben als bloße Abwehrmaßnahme hinzustellen.

„Wir müssen alle unsere IT in Ordnung bringen“

Jeder IT-Angriff muss zuallererst gut untersucht und die Eintrittswege der Angreifer nachvollzogen werden, um weitere Angriffe zu verhindern und die oft sabotierten und dysfunktionalen Computersysteme wieder so an den Start zu bringen, dass nicht gleich der nächste Angriff ins Haus steht. An jedem einzelnen Tag im Jahr finden derart viele IT-Angriffe statt, dass man von einer IT-Sicherheitskrise sprechen muss und es nicht mal mehr gemeldet wird, wenn der Schaden nicht enorm groß ist.

Eigentlich müssten angesichts dieses für Wirtschaft, Behörden und Private ausgesprochen bedrohlichen Zustandes Sofortmaßnahmenpläne umgesetzt werden, die der Bedeutung von sicheren IT-Systemen für uns alle angemessen wären. Die BSI-Chefin Claudia Plattner brachte es nach dem Bekanntwerden der jüngsten Angriffe auf den Slogan: Wir müssen alle unsere IT in Ordnung bringen.

Das ist zweifellos richtig, aber man möchte den Nachsatz hinzufügen, dass dies eine wahre Mammutaufgabe ist, die politisch flankiert werden müsste. Aber wirklich das letzte, was die ohnehin desolate Gesamtsituation in der IT-Sicherheit jetzt braucht, sind auch noch deutsche Geheimdienste und Militärs, die ihre Cyberwaffen laden und sich im Zurückhacken versuchen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Der BND ist nicht befugt, Hackbacks durchzuführen.
    Die Bundeswehr ist befugt, Hackbacks durchzuführen, jedoch ist dafür ein Mandatsauftrag Voraussetzung.

      1. Eure Interpretation des Gutachtens ist mE leider Wunschdenken.

        Jede konventionelle Armee hat die Möglichkeit zu friedenszerstörenden Maßnahmen und Beginn eines Angriffskrieges. Die Schaffung dieser Möglichkeiten als unvermeidlicher Nebeneffekt des Verteidigungsauftrags ist nicht verfassungswidrig.

        Das Gutachten stellt fest, dass für alle Räume die gleichen Einsatzprinzipien gelten. Das ist eine hohe Hürde, aber wenn das Mandat erteilt wurde, wird die Truppe den Auftrag ausführen. Jeder einzelne kann und muss sich dabei entscheiden, ob mit Gewissen und individuell erkennbar mit Gesetz vereinbar, wie bei jedem Befehl.

        1. Ja, es kann durchaus sein, dass ich es mit ein wenig Wunschdenken lese. Ich halte die Hürden für hoch und auch teilweise für unüberwindbar, was das Zurückhacken angeht, allerdings würde eine fälschliche Umdefinition des Hackbacks sie senken. Deswegen darf es nicht einfach umdefiniert werden.

          (Ein Pluralis Majestatis ist hier übrigens nicht nötig. :)

          1. In gewisser Weise wäre in dieser Linie das „Hack Back“ ein Euphemismus der Sorte „wir bauen Verteidigungsfähigkeit“, wo wir „natürlich nie jemals“ selbst als Agressor Angriffe einfach so beginnen, sondern zur Verteidigung aufgestellt sind. Also kennen wir den Gegenschlag, und analog das „Hackback“, nicht aber den Angriffskrieg oder einfach nur Hacking. Wir haben (hatten??) sogar einen ganzen Paragraphen dafür.

            Die Implikationen und Assoziazionen, die z.t. aus Statements von Politikern und anderen folgen, enden schnell im Sandkasten von Münchhausen. Bis wir ein Drittstaatenkrankenhaus lahmlegen, weil es für einen Angriff auf uns mißbraucht wurde o.ä., und das Hackback dann erfolgreich war. Bzw. „wir“, denn etwas zu hacken, kann bedeuten, die Angriffsvektoren auf dem Silbertablett zu liefern, welche dann von gut vorbereiteten Angreifern (bzw. +-dann auch Verteidiger) wiederum extrahiert und genutzt werden könnten. Z.B. eine Stunde später, gegen alles Mögliche, als wären wir das gewesen.

            In der nüchtereren Variante will man vielleicht Hacken dürfen. C&C lahmlegen, Hacker finden und hacken bzw. ausforschen (Webcams anyone?). Wenn alle nur Ransomware im Auge haben, kann C&C zu zerschießen ein Hackback sein. Das ist aber ein dummer Ansatz, um darüber zu sprechen. Das sind diese Filme, in denen die Hubschrauber und Jets 12 Meter auseinander fliegen, damit alle in die Kamera passen. So sind die…

  2. „der Ex-Geheimdienstchef und heutige Berater Gerhard Schindler“ ist ein bisschen zu kurz formuliert.

    „und ist seitdem als Unternehmensberater und Lobbyist tätig.“
    „Im Jahr 2021 gründete er gemeinsam mit Stefan Kirsten, Tom Enders, Sandro Gaycken, Benjamin Rohé und weiteren das Unternehmen Monarch“

  3. Das übliche Problem der Politiker…
    Immer wird direkt nur auf Angriff, Drohen, Sperren, Zensieren… sprich, Offensive getrimmt.

    Anstatt mal das Hirn einzuschalten und nachzudenken:
    Um den Hackback durchzuführen müssen Sicherheitslücken offen gehalten werden.
    Wie viele unschuldige werden wohl dann durch zurückgehaltene Sicherheitslücken gehackt, bis mal ein Täter dingfest gemacht wird (falls es überhaupt soweit kommt)?

    Was nützt es wenn durch diese Sicherheitslücke EVENTUELL ein Täter gefasst werden könnte, wenn durch eben diese Sicherheitslücke zig Firmen und Privatpersonen gehackt wurden?
    Eine hochgradig schwachsinnige Rechnung.

    Ironie:
    Abgesehen davon passt der Hackback-Vorschlag ja super zur DSGVO und vor allem zum Cyber-Resilience Act.

    Jeder, der Ahnung hat sagt zurecht „Repariert lieber die Lücken, um uns zu schützen“.
    Aber in der Politik ist man ja offenbar immer mehr auf dem „Datenschutz ist Täterschutz“-Trip… Zumindest wenn’s um die normalen Bürger geht.

    Stellt man sich vor, alles an aktuell geplanten Gesetzen in der EU käme durch, wird die Entwicklung von vielen Arten von Software ein unlösbares Paradoxon-Problem, vor allem wenn die Software auch von Privatpersonen genutzt werden soll:

    -Auf der einen Seite soll der Schutz wegen DSGVO und Cyber Resilience Act so hoch wie möglich sein
    – Auf der anderen Seite wird daran gearbeitet, genau das mit Chatkontrolle und Going dark unmöglich zu machen / bzw sogar zu illegalisieren.

    Tja… kann man sich dann wohl aussuchen, gegen welche Gesetze man dann verstößt.

  4. Die BSI-Chefin Claudia Plattner sondert Plattitüden ab, wenn sie sagt wir müssen alle unsere IT in Ordnung bringen. Warum spricht sie denn die Trinität des Bösen (Windows, ActiveDirectory und Office) nicht direkt an und fordert die Nutzer und IT Verantwortlichen dazu auf, endlich Microsoft aus den kritischen Netzen zu verbannen. Microsoft ist als Sicherheitsrisiko bekannt und erwiesenermaßen eine unsichere Sache. Im Mobilfunknetz ist man da nicht so zimperlich und will Huawei unbedingt verbannen, obwohl es keinerlei Anzeichen für ein Sicherheitsrisiko gibt. Was produziert eigentlich die deutsche Microsoft Niederlassung? Ich wünschte mir ein BSI das handelt und nicht eines das Theater spielt. Jetzt wo der Cyberclownnicht mehr da ist, wäre das eine gute Gelegenheit. Leider wurde sie auch diesmal verpaßt oder besser politisch gewünscht nicht genutzt. Mein Mitleid mit den Betroffenen hält sich in Grenzen. und allzu oft reagieren die Verantwortlichen mit der kompromittierten Microsoft Cloud und noch mehr Schlangenöl und Sicherheitstheater.

    1. Ich sehe Microsoft ebenfalls als Sicherheitsrisiko, weil Sicherheitslücken oft nicht schnell genug geschlossen werden. Allerdings kann Huawei wie jede chinesische Firma durch die KPCh kontrolliert und gesteuert werden und das ist mir Sicherheitsrisiko genug. Daher am Besten soweit wie möglich sowohl auf Microsoft als auch auf Huawei verzichten.

      1. Das witzige daran ist immer, dass Huawei soweit sauber erscheint, Cisco aber NSA-Löcher hatte.

        Die USA sind diesbezüglich im Ausland wesentlich aggressiver als China, nur sind ein Großteil unserer Politiker und Journalisten halt transatlantisch treu.

  5. Das Problem fängt doch schon mit der Wortwahl „Angriff“ an. Physisch angreifen und das sogar besonders wirkungsvoll kann ich auch schlafende Menschen. Ausgeschaltete oder vom Netz getrennte Computer hingegen kann ich über das Netzwerk nicht „angreifen“. „IT-Angriffe“ erfordern stets die aktive Mitarbeit des Computers. Für mich ist die bessere Analogie daher der Enkeltrick. Letztlich versuchen Hacker, von Ferne einen Computer dazu zu überreden, Dinge zu tun, die sein Besitzer nicht möchte. Wenn jemand einem Mitarbeiter eine Phishing-Mail sendet, greift er ihn ja auch nicht an, sondern versucht, ihn über’s Ohr zu hauen. Eigentlich das Vorgehen von Trickbetrügern.
    Mit der richtigen Analogie wird auch klar, wie sinnvoll ein Gegen-Enkeltrick oder Counter-Trickbetrug sein mag.

    1. Die Analogie zu einem vom Netz getrennten Computer ist ein Mensch ausser Reichweite. Den kannst Du auch nicht angreifen.

      Die Analogie zu einem ausgeschalten Computer ist ein toter Mensch. Den kannst Du auch nicht angreifen.

      Und counterintelligence ist ein ganzer Berufszweig.

  6. Wer sich die komplette „fachliche Kompetenz“ geben möchte, findet diese hier ab ungefähr Minute 21:https://www.spiegel.de/politik/afd-spionageaffaere-gerhard-schindler-konstantin-von-notz-und-ann-katrin-mueller-im-spiegel-talk-a-32742fd3-f13b-43b1-a3c0-a8ee98bdcb08
    Für Nichttechniker: Die Erklärung ist Hanebüchen. Angreifer arbeiten mit infizierten Clientcomputern, die über Command and Control-Server gesteuert werden.
    Da kann man keine Mail hinschicken und selbst wenn findet die schon gar nicht ihren Weg zu diesem Server.
    Im Interview geht ein Satz von Konstantin von Notz unter:
    „Wir sollten nicht über den #Hackback die Diskussion verstellen, dass wir erstmal so zusagen die Systeme härten müssen.“
    Gerade wichtig in Anbetracht solcher hier dokumentierter Zustände der IT-Sicherheit bei den großen Parteien, gehacktem Bundestag vor einigen Jahren.
    https://areac.de/index.php?topic=442.0

  7. Hackback ist eine Aktion, was ist aber die Lage? Hat es in der Vergangenheit oder in der Gegenwart durch deutsche Behörden infiltrierte Angreiferinfrastruktur gegeben? War diese im Inland oder im Ausland? War ein Nachrichtendienst der Akteur oder vielleicht nur eine Sicherheitsbehörde wie das BSI? Was ist die Absicht dahinter: Den konkreten oder andere laufende Angriffe stören oder Laufenlassen zur Informationsgewinnung? Was ist mit den exfiltrierten Daten anderer Opfer?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.