Hinter verschlossenen Türen erwägt die deutsche Bundesregierung derzeit, auf Cyber-Angriffe mit digitalen Gegenschlägen zu reagieren. Die Idee: Mit sogenannten Hackbacks sollen im Ausland stehende Server oder IT-Systeme unbrauchbar gemacht werden, wenn von Ihnen Angriffe ausgehen. Von so einem Gegenschlag könnte eine immense  Signalwirkung ausgehen, und ein ebensolches Eskalationsrisiko.

Abgesehen von den politischen Implikationen gibt es viele Gründe, dass Hackbacks in der Theorie gut klingen, praktisch aber eine schlechte Idee sind.

Erstens können sie leicht zu Kollateralschäden führen. Angreifer nutzen häufig die IT-Systeme Dritter für ihre Attacken. Entweder in Form von gekaperten Computern, die zusammengeschaltet in sogenannten Botnetzen dazu genutzt werden, Webseiten so lange zu überlasten, bis sie komplett ausfallen. Oder als Lagerpunkt, um gestohlene Dokumente zu deponieren.

Ein Hackback würde zwar den Angriff stoppen, könnte dafür aber auch die Systeme Unbeteiligter lahmlegen. Wie problematisch das wäre, zeigt ein aktuelles Beispiel aus Deutschland: Unbestätigten Berichten zufolge wurden die Systeme einer britischen Firma für die Zwischenlagerung von gestohlenen Dokumenten aus dem Bundestag genutzt. Hacker deponierten sie dort nach einem Angriff im Jahr 2015. Ein Gegenangriff hätte in diesem Fall zu einem deutschen Cyberangriff gegen ein unbeteiligtes britisches Unternehmen geführt.

Die Sicherheit von IT-Systemen sollte Vorrang haben

Hackbacks sind zweitens keine gute Idee, weil sie selbst ein Sicherheitsrisiko darstellen. Eine Voraussetzung für den digitalen Gegenschlag ist das Wissen über Schwachstellen in häufig verwendeter Hard- und Software. Diese Schwachstellen werden genutzt, um in fremde Rechner einzudringen und sie auszuschalten. Würde beispielsweise die Bundeswehr mit Angriffen beauftragt, würde sie sicherheitsgefährdende Fehler in Programmcodes für sich behalten und ausnutzen, anstatt Softwarehersteller auf verwundbare Stellen aufmerksam zu machen.

Sven Herpig verantwortet den Bereich internationale Cyber-Sicherheitspolitik beim Think Tank Stiftung Neue Verantwortung in Berlin und war zuvor unter anderem beim Bundesamt für Sicherheit in der Informationstechnik beschäftigt. © SNV

Die Sicherheit unserer Netze sollte aber Vorrang vor einem möglichen offensiven Einsatz gegen ein IT-System im Ausland haben. Das Geheimhalten und Ausnutzen von Sicherheitslücken ist zudem gefährlich, weil nie sicher ist, wem die Sicherheitslücke noch bekannt ist oder wer davon erfährt. In den vergangenen zwei Monaten veröffentlichten erst Wikileaks und kurze Zeit später eine Gruppe namens The Shadow Brokers geheimgehaltene Sicherheitslücken und Hacking-Tools der amerikanischen Nachrichtendienste CIA und NSA. Wikileaks und die Hackergruppe waren schon über einen längeren Zeitraum im Besitz dieser Schwachstellen und hätten diese ausnutzen können. Die amerikanischen Geheimdienste dachten ihrerseits, sie seien als einzige im Besitz dieser Informationen gewesen.

Ein drittes wichtiges Argument gegen Hackbacks betrifft den Arbeitsmarkt. Deutsche Unternehmen und Behörden mangelt es an IT-Sicherheitsexperten. Auch weil diese in der Wirtschaft derzeit spektakuläre Gehälter dafür erhalten, Sicherheitslücken zu stopfen. Die öffentliche Verwaltung kann dabei nicht ansatzweise mithalten und ist für junge Menschen ohnehin kein attraktives Arbeitsumfeld. Würden Ministerien nun beginnen, zusätzliche Strukturen für digitale Angriffe aufzubauen, würde die Verteidigung personell noch weiter geschwächt.

Wer ist zuständig für die Gegenangriffe?

Kollateralschäden, Sicherheitsrisiken oder Fachkräftemangel – vieles spricht gegen Hackbacks als Verteidigung bei Cyber-Angriffen. Weitere Probleme entstehen bei der Frage, wer von staatlicher Seite geeignet ist, die digitalen Rückschläge überhaupt durchzuführen und zu verantworten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – eigentlich dafür gedacht für mehr Sicherheit bei Regierungsnetzen, in der Privatwirtschaft und bei Bürgern zu sorgen – wird als ein möglicher Kandidat genannt. Die Behörde scheint auf den ersten Blick qualifiziert, eine Zuständigkeit für Hackbacks wäre aber schizophren. Würde die Behörde, wie ihre amerikanischen und britischen Pendants die NSA und das GCHQ, zusätzlich zu ihrem rein defensiven Auftrag auch noch offensive Aufgaben bekommen, würde sie einen erheblichen Vertrauensverlust erleiden. Denn sollte das BSI Angriffe erfolgreich ausführen, müsste es das Wissen über Verwundbarkeiten in IT-Produkten zurückhalten. Dadurch würde es aber die IT-Systeme und Netzwerke derer gefährden, die sie eigentlich schützen soll.

Auch die Bundeswehr wäre kein geeigneter Kandidat, obwohl Sie durch die Gründung einer eigenen Cyber-Truppe aktuell oft im Gespräch ist. Bisher bewegen sich Cyber-Operationen ausschließlich im Bereich von Kriminalität und Spionage- sowie Sabotageaktivitäten. Der Angriff auf den Bundestag und das damit verbundene Absaugen von Dokumenten und E-Mails ist klassische Spionage. Darauf militärisch zu reagieren, wäre unangemessen und unproportional. Die deutsche Bundeswehr für Gegenangriffe einzusetzen, würde einer Militarisierung des Cyberraums gleichkommen und könnte zur Eskalation von Konflikten beitragen. Der Ausbau der offensiven Fähigkeiten sollte allenfalls der Ergänzung konventioneller Kriegsführung in einem militärischen Konflikt dienen.

Weil sich Cyber-Operationen am äußersten Ende im Bereich von ausländischen Spionage- und Sabotage bewegen, bliebe noch der Bundesnachrichtendienst. Der hat ohnehin in den vergangenen Jahren den Auftrag und die Ressourcen bekommen, durch Einsätze in ausländischen Netzen für IT-Sicherheit zu sorgen. Was dies genau heißt, ist bislang relativ unklar und firmiert unter der Bezeichnung "SIGINT Support to Cyber Defense". Die Hackback-Diskussion ist vielleicht ein Teil der Antwort.

Gegenangriffe haben Signalwirkung

Ob Deutschland es will oder nicht, es genießt internationales Ansehen und kann mit seinen eigenen Entscheidungen die Pläne und Strategien anderer Länder maßgeblich  beeinflussen. Sollte die Bundesregierung die Offensive über Defensive im Cyber-Raum stellen und ihre Behörden zum Hackback befähigen, werden auch weitere Länder folgen.

Die deutsche Politik muss sich also darüber im Klaren sein, dass ausländische Behörden und Firmen als Gegenangriff IT-Systeme von teils unschuldigen deutschen Bürgern, Firmen und vielleicht auch Behörden angreifen, denn sie hat das vorgelebt. An dieser Stelle müssen sich sowohl die Regierungsvertreter als auch die Bürger fragen, ob sie das wirklich wollen. Denn ein Zurück wird es nicht mehr geben. Das Thema seitens des Bundesregierung vor der politischen Sommerpause noch durchpeitschen zu wollen, scheint vor diesem Hintergrund mehr als nur problematisch.