Hinter verschlossenen Türen erwägt die deutsche Bundesregierung derzeit, auf Cyber-Angriffe mit digitalen Gegenschlägen zu reagieren. Die Idee: Mit sogenannten Hackbacks sollen im Ausland stehende Server oder IT-Systeme unbrauchbar gemacht werden, wenn von Ihnen Angriffe ausgehen. Von so einem Gegenschlag könnte eine immense  Signalwirkung ausgehen, und ein ebensolches Eskalationsrisiko.

Abgesehen von den politischen Implikationen gibt es viele Gründe, dass Hackbacks in der Theorie gut klingen, praktisch aber eine schlechte Idee sind.

Erstens können sie leicht zu Kollateralschäden führen. Angreifer nutzen häufig die IT-Systeme Dritter für ihre Attacken. Entweder in Form von gekaperten Computern, die zusammengeschaltet in sogenannten Botnetzen dazu genutzt werden, Webseiten so lange zu überlasten, bis sie komplett ausfallen. Oder als Lagerpunkt, um gestohlene Dokumente zu deponieren.

Ein Hackback würde zwar den Angriff stoppen, könnte dafür aber auch die Systeme Unbeteiligter lahmlegen. Wie problematisch das wäre, zeigt ein aktuelles Beispiel aus Deutschland: Unbestätigten Berichten zufolge wurden die Systeme einer britischen Firma für die Zwischenlagerung von gestohlenen Dokumenten aus dem Bundestag genutzt. Hacker deponierten sie dort nach einem Angriff im Jahr 2015. Ein Gegenangriff hätte in diesem Fall zu einem deutschen Cyberangriff gegen ein unbeteiligtes britisches Unternehmen geführt.

Die Sicherheit von IT-Systemen sollte Vorrang haben

Hackbacks sind zweitens keine gute Idee, weil sie selbst ein Sicherheitsrisiko darstellen. Eine Voraussetzung für den digitalen Gegenschlag ist das Wissen über Schwachstellen in häufig verwendeter Hard- und Software. Diese Schwachstellen werden genutzt, um in fremde Rechner einzudringen und sie auszuschalten. Würde beispielsweise die Bundeswehr mit Angriffen beauftragt, würde sie sicherheitsgefährdende Fehler in Programmcodes für sich behalten und ausnutzen, anstatt Softwarehersteller auf verwundbare Stellen aufmerksam zu machen.

Sven Herpig verantwortet den Bereich internationale Cyber-Sicherheitspolitik beim Think Tank Stiftung Neue Verantwortung in Berlin und war zuvor unter anderem beim Bundesamt für Sicherheit in der Informationstechnik beschäftigt. © SNV

Die Sicherheit unserer Netze sollte aber Vorrang vor einem möglichen offensiven Einsatz gegen ein IT-System im Ausland haben. Das Geheimhalten und Ausnutzen von Sicherheitslücken ist zudem gefährlich, weil nie sicher ist, wem die Sicherheitslücke noch bekannt ist oder wer davon erfährt. In den vergangenen zwei Monaten veröffentlichten erst Wikileaks und kurze Zeit später eine Gruppe namens The Shadow Brokers geheimgehaltene Sicherheitslücken und Hacking-Tools der amerikanischen Nachrichtendienste CIA und NSA. Wikileaks und die Hackergruppe waren schon über einen längeren Zeitraum im Besitz dieser Schwachstellen und hätten diese ausnutzen können. Die amerikanischen Geheimdienste dachten ihrerseits, sie seien als einzige im Besitz dieser Informationen gewesen.

Ein drittes wichtiges Argument gegen Hackbacks betrifft den Arbeitsmarkt. Deutsche Unternehmen und Behörden mangelt es an IT-Sicherheitsexperten. Auch weil diese in der Wirtschaft derzeit spektakuläre Gehälter dafür erhalten, Sicherheitslücken zu stopfen. Die öffentliche Verwaltung kann dabei nicht ansatzweise mithalten und ist für junge Menschen ohnehin kein attraktives Arbeitsumfeld. Würden Ministerien nun beginnen, zusätzliche Strukturen für digitale Angriffe aufzubauen, würde die Verteidigung personell noch weiter geschwächt.