Deutschland will zurückhacken – Seite 1

Das kleine Büro ist nüchtern eingerichtet, fast kahl. Es befindet sich im dritten Stock des Bundesinnenministeriums und es gibt darin nur einen Schreibtisch, der so hochgefahren werden kann, dass sich im Stehen daran arbeiten lässt, einen kleinen Konferenztisch und in der Ecke einen Tresor. An den sonst weißen Wänden hängt ein einzelnes Bild, eine Landschaft in Öl. Hinter dem Schreibtisch, das Gemälde mit den Grüntönen im Rücken, steht Andreas Könen und plant den Cyberwar, den digitalen Krieg.

Könen ist Mathematiker. Früher war er beim Bundesnachrichtendienst, danach ging er zum Bundesamt für Sicherheit in der Informationstechnik und brachte es dort bis zum Vizepräsidenten. Jetzt leitet er im Innenministerium die Abteilung CI. Die Abkürzung steht für Cyber- und Informationssicherheit. Könen ist der digitale Stratege der Bundesregierung. Ein freundlicher, leiser Mann, der schnell redet und sich damit beschäftigt, wie Deutschland künftig seine Infrastruktur gegen Angriffe sichert – und wie es im Internet Kriege führt. Geht es nach Könen, dann ist die Zeit vorbei, in der das Land sich nur verteidigt und die Firewalls um seine Rechner verstärkt. Er will, dass deutsche Dienste und Behörden künftig auch zum Angriff übergehen können.

In zwei Gesetzesentwürfen hat die Bundesregierung eher unbemerkt von der Öffentlichkeit bereits entsprechende Paragrafen untergebracht, ein drittes Gesetz ist in Arbeit. Noch ist keines der drei verabschiedet und in Kraft, aber die Richtung ist eindeutig: Bundeswehr, Nachrichtendienste und Polizei sollen künftig auch im Netz zurückschlagen dürfen. Entsprechende Dienststellen werden längst aufgebaut.

Mehr Schaden als Nutzen

Hackback lautet das Schlagwort, Englisch für "zurückhacken". Könen nennt es lieber "aktive Cyberabwehr" – vermutlich, weil es besser klingt. Aber die Pläne, an denen er und seine Abteilung im Innenministerium seit Jahren arbeiten, sind eigentlich Angriffsszenarien. Deutsche Behörden sollen in fremde Rechner im In- und Ausland eindringen dürfen, sollen sie ausspähen, sie manipulieren, sie abschalten und darauf befindliche Daten löschen.

Es sind gefährliche Pläne. Für Deutschland und für die Sicherheit im Internet. Sie könnten mehr Schaden als Nutzen bringen.

Jeder, der solche Hacks versuche, müsse damit rechnen, dass sie zu einem digitalen Nahkampf mit unkalkulierbaren Risiken ausarten könnten, sagt Matthias Schulze. Der Wissenschaftler untersucht Cyberattacken bei der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik (SWP). "Spätestens, wenn man Skripte manipuliert oder Daten löscht, wird der Gegner bemerken, dass man in seinem System ist, und zum Gegenangriff übergehen." Ein solcher Kampf könne schneller eskalieren, als es der Bundesregierung lieb sei, sagt Schulze. "Wir brauchen also auch eine Eskalationsstrategie. Denn wie wollen wir verhindern, dass ein solcher Hack sich bis zu einem echten Krieg hochschaukelt?"

Das ist kein rein theoretisches Szenario mehr. Die USA und der Iran belegen das derzeit. Für das Pentagon sind Cyberattacken längst Teil des bewaffneten Kampfes, wie Angriffe mit Marschflugkörpern oder Bombern. Das sogenannte Cyber Command ist seit Mai dieses Jahres eines der zehn Kampfkommandos der USA. Und als Reaktion darauf, dass iranische Truppen eine US-Überwachungsdrohne abgeschossen hatten, legten amerikanische Cyberkrieger angeblich Raketenkontrollsysteme der iranischen Armee lahm. US-Präsident Donald Trump verteidigte das als milde Maßnahme. Aber was passiert, wenn iranische Hacker die Computer von amerikanischen Raketentruppen angreifen? 

Die Infrastruktur ist längst in Arbeit

Bislang gibt es international keine Erfahrungen, wie schnell Cyberkämpfe eskalieren. Nichtsdestotrotz sollen deutsche Cybereinheiten so etwas auch können und dürfen. Verschiedene Organisationen arbeiten schon an der dafür nötigen Infrastruktur:

Mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) wurde beim Innenministerium eine Behörde aufgebaut, die die entsprechenden Werkzeuge für Hackbacks erforschen und Verschlüsselung brechen soll.

Der Cyber- und Informationsraum (CIR) ist ein eigener Organisationsbereich der Bundeswehr, der schon einsatzfähig ist. Er könnte neben Heer, Marine und Luftwaffe eine eigene Teilstreitkraft werden.

Innen- und Verteidigungsministerium bauen eine Agentur für Innovationen in der Cybersicherheit auf, die ebenfalls dabei helfen soll, die Erforschung digitaler Waffen voranzutreiben, auch wenn der Bundesrechnungshof das für eine unsinnige Idee hält.

Behörden wie der Bundesnachrichtendienst und der Verfassungsschutz haben ihre Ressorts für digitale Analyse massiv verstärkt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll neue Befugnisse und 751 zusätzliche Planstellen bekommen, um diese Befugnisse nutzen zu können.

Massiver Eingriff in die Grundrechte

Es fehlen nur noch die gesetzlichen Grundlagen, damit sie alle auch zurückschlagen dürfen. An denen arbeitet Könens Abteilung im Innenministerium seit mindestens einem Jahr. Die meisten entsprechenden Paragrafen stehen bislang im Entwurf für ein sogenanntes Zweites IT-Sicherheitsgesetz (hier der von netzpolitik.org geleakte Entwurf). Dort ist vor allem von der Bedrohung durch Botnetze die Rede, also Angriffe mit Tausenden von den Angreifern ferngesteuerten Rechnern. Solche Angriffe soll das BSI künftig nicht nur detektieren, sondern aktiv bekämpfen. Es soll dann unter anderem Telekommunikationsanbieter dazu verpflichten dürfen, solche Datenströme umzuleiten oder abzuklemmen.

Auch Daten auf fremden Rechnern sollen die Anbieter verändern – um die in das Botnetz eingespannten Rechner zu desinfizieren. "Zur Abwehr von erheblichen Gefahren für die Kommunikationstechnik des Bundes", heißt es in dem Gesetzentwurf, soll das BSI "die Bereinigung betroffener Datenverarbeitungssysteme von einem konkret benannten Schadprogramm" anordnen können. Praktisch bedeutet es, dass beispielsweise die Telekom auf Anweisung in die Computer der eigenen Kunden eindringen und diese zu einem Sicherheitsupdate zwingen muss. Die Grundlage, auf fremden Rechnern beliebig Daten verändern zu können, wäre damit technisch und rechtlich gelegt. Allerdings greift das massiv in Grundrechte ein, etwa in die Kommunikationsfreiheit oder das IT-Grundrecht auf die Vertraulichkeit informationstechnischer Systeme. Deswegen wird der Gesetzentwurf genau wie die übrigen zu diesem Thema vom Justizministerium blockiert.

Der zweite rechtliche Baustein betrifft die Gesetze für den Verfassungsschutz und den Bundesnachrichtendienst. Auch diese sollen im Netz mehr dürfen und aktiv in IT-Systeme eindringen. Dort wird das mit Terror und anderen schweren Straftaten begründet und läuft unter den Stichworten Onlinedurchsuchung und Staatstrojaner. Ziel ist es, die Daten von fremden Rechnern vollständig kopieren zu dürfen, um sie sich unbemerkt anschauen zu können. Auch diesen Entwurf lehnt das Justizministerium ab.

Für das dritte und wichtigste Gesetzesvorhaben gibt es bislang keinen fertigen Entwurf. Das Innenministerium arbeitet noch daran. Intern wird es CNI-Gesetz genannt. Dessen Idee geht am weitesten. Es soll den Geheimdiensten, aber auch Polizei und Zoll, erlauben, Daten auf fremden Systemen zu manipulieren und zu löschen oder diese Systeme komplett lahmzulegen. Es wäre der gezielte Angriff auf Server in fremden Ländern – so wie der amerikanische Hack der iranischen Raketencomputer.

Digitaler Rüstungswettlauf

Für Laien mag das nach einem sinnvollen Plan klingen. Experten halten von der Hoffnung, einen Angriff auf diese Art stoppen zu können, aber nichts. "Diese Szenarien haben wenig mit der Realität zu tun", sagt Frank Rieger dazu. Er arbeitet bei einem Unternehmen, das sich mit sicherer Telekommunikation beschäftigt, und ist ehrenamtlich Sprecher des Chaos Computer Clubs. Die Lösungen, die das Innenministerium mit seinen Entwürfen anbiete, würden gegen aktuelle Botnetze nicht mehr helfen, glaubt er. Bots würden nicht mehr von Servern aus gesteuert, die man angreifen könne. "Der Steuerungsserver zieht im Minutentakt von einer Cloudinstanz zur nächsten. Bis das BSI sich entschließt, gegen eine bestimmte IP-Adresse zurückzuschlagen, gibt es die längst nicht mehr." Das bedeutet, dass der Angreifer schneller die Deckung wechselt, als die digitalen Kanonen auf ihn ausgerichtet werden können.

Auch Sicherheitsforscher Schulze kritisiert die Idee. Bei halbwegs fähigen Angreifern bringe es nicht viel, Daten zu löschen oder einzelne Rechner abzuschalten, sagt Schulze. Ein Angriff lasse sich damit nicht abwenden, ja nicht einmal aufhalten. "Das ist alles sinnlos, wenn der Gegner ein Botnetz benutzt. Die Angriffsinfrastruktur wird dann in kürzester Zeit auf das nächste Gerät umgezogen." Natürlich könne man einen Gegner bei seinem Tun im Netz beobachten. "Aber ob man ihn auch dann noch findet, wenn er über mehrere hintereinandergeschaltete Ebenen geht, ist nicht klar."

Es brauche auch gar keine Gegenangriffe, um das massierte Störfeuer eines Botnetzes auf die deutsche Infrastruktur abzuwehren, sagt Rieger. "Es gibt kein Szenario, bei dem das Eindringen in fremde Rechner notwendig ist. Das lässt sich alles lösen, wenn die Provider im Netzverkehr Muster erkennen und die entsprechenden Verkehre sperren." Zumal sich die Frage stellt, wie groß die Gefahr durch Botnetze für die Bundesregierung überhaupt ist.

Warum aber will die Bundesregierung dann unbedingt in fremde Computer eindringen? "Wir befinden uns in einem globalen Rüstungswettlauf", sagt Sicherheitsforscher Schulze. Daher hätten viele Behörden und Institutionen "ein diffuses Gefühl der Bedrohung und dass wir auch etwas tun müssen". Außerdem gebe es das Missverständnis, dass ein Gegenangriff einfach sei. "Wenn digitale Angriffe so einfach sind, muss das Zurückschlagen ja auch einfach sein. Doch das ist es nicht."

Angriffe bleiben lange unbemerkt

Und Schulze sieht noch ein technisches Problem, vielleicht das größte: Wer zurückschlagen wolle, müsse einen Angriff zuerst einmal bemerken.

Es war der 8. Mai 2015, als einer Mitarbeiterin im Deutschen Bundestag zum ersten Mal auffiel, dass mit ihrem Computer etwas nicht stimmte. Mehrere Tage lang bat sie die Techniker der IT der Bundestagsverwaltung um Hilfe – vergeblich, die Probleme ließen sich mit den üblichen Mitteln nicht beseitigen. Zu diesem Zeitpunkt trieben sich in den Rechnern des Bundestags bereits seit einer Woche Einbrecher herum. Niemand hatte bemerkt, dass sie die Daten von Abgeordneten durchwühlten, dass sie Passwörter stahlen und nach und nach das gesamte Netzwerk übernahmen. Auch als am 15. Mai endlich Experten des BSI anrückten, brauchten die noch weitere Tage, um das Ausmaß des digitalen Angriffs zu begreifen und die ersten Gegenmaßnahmen einzuleiten.

Heute wird dieser Bundestagshack von Befürworterinnen und Befürwortern der Hackback-Idee als Beispiel dafür genannt, warum es die Fähigkeit für digitale Gegenangriffe brauche. Etwa vom kürzlich entlassenen Verfassungsschutzchef Hans-Georg Maaßen. Behörden müssten in der Lage sein, "Daten löschen zu können, bevor sie weiterverbreitet werden", sagte Maaßen dem parlamentarischen Kontrollgremium des Bundestags. Denn bei dem Hack auf den Bundestag hatten die Angreifer ein Datenpaket nicht vollständig abtransportieren können, es lag auf einem Server im Ausland. Hätte man damals schon zum Gegenangriff übergehen dürfen, so Maaßens Theorie, hätte dieses Datenpaket zurückgeholt oder gelöscht werden können.

Eine Illusion. Denn niemand hätte erkennen können, ob das Paket nicht längst kopiert und woanders ebenfalls gespeichert wurde. Daten sind nun einmal keine Gegenstände, sie sind nie wirklich weg. Daher sind sich viele Experten in IT-Sicherheit einig: Die beste Verteidigung gegen Angriffe auf digitale Systeme ist nicht Gegenangriff. Sondern Verteidigung.

Außerdem dauerte das Erkennen des Angriffs im Bundestag mehr als zwei Wochen. Beim Einbruch in das streng gesicherte interne Kommunikationsnetz der Bundesregierung IVBB Ende 2017 hatten die Angreifer noch viel mehr Zeit. Sie hatten ihren Einbruch viele Monate lang vorbereitet, nach und nach einzelne Rechner attackiert und sich langsam vorgearbeitet. Doch erst ein Tipp eines ausländischen Geheimdienstes machte die deutschen Behörden auf den Hack aufmerksam.

Politik der Abschreckung funktioniert mit Hacks nicht

"Bei guten Einbrechern dauert es im Schnitt bis zu 200 Tage, bis ihr Angriff bemerkt wird", sagt Matthias Schulze. Nach so langer Zeit sei der Schaden aber längst eingetreten, ein Hackback könne da nur noch ein Gegenschlag sein, um der Welt zu zeigen, dass man dazu in der Lage sei. Abschreckung heißt das Konzept – und bei Atomwaffen hat es funktioniert: Das sogenannte Gleichgewicht des Schreckens sorgte letztlich für relativen Frieden, so irrsinnig das Konzept auch war.

"Abschreckung basiert auf der glaubhaften Androhung von Gewalt als Konsequenz für unerwünschtes Verhalten. Dazu muss klar sein, wer die Konfliktparteien sind", sagt Schulze. Atomraketen lassen sich kaum verbergen, es wäre immer klar gewesen, woher sie kamen und wer daher mit Vergeltung rechnen muss. Im digitalen Krieg funktioniert das nicht. Dort kann es Monate dauern, bis genug Indizien gesammelt werden, um den Gegner mit großer Wahrscheinlichkeit zu identifizieren. Attribution heißt dieser Versuch: Zuschreibung.

"Die Zurechnung von bösartigen Akteuren hat sich im Laufe der Jahre verbessert", sagt Kah Kin Ho. Er ist Senior Director im Public Sector bei FireEye. Das US-Unternehmen für Netzwerksicherheit untersucht digitale Angriffe weltweit und versucht, genau solche Indizien auf die Verursacher zu sammeln und zu bewerten. Doch auch, wenn Sicherheitstechniker überall darin besser geworden seien, "gibt es derzeit keinen hundertprozentigen Attributions-Erfolg", sagt Kah Kin. Im Klartext: Man kann sich nie ganz sicher sein, wer wirklich angegriffen hat. Sicherheitsdiensten, die Attributionen vornähmen, müsse klar sein, dass dies nur eingeschränkt möglich sei.

Vor allem dauert es. Selbst spezialisierte Unternehmen wie FireEye brauchen Wochen bis Monate, bis sie genug Hinweise haben, um sich sicher genug zu sein, wer da höchstwahrscheinlich angegriffen hat. Das sei aufwändige Detektivarbeit, sagt auch Wissenschaftler Schulze. Doch erst, wenn solche klaren Belege gefunden seien, habe ein Staat die Legitimation, außerhalb seines eigenen Territoriums in fremde Rechner einzudringen, sagt er. Mit anderen Worten: Erst, wenn Deutschland sicher weiß, wer da angreift, haben deutsche Behörden überhaupt das Recht, zurückzuschlagen.

Gegenangriffe lassen sich nicht eindämmen

Auch bei der Idee, die Rechner von Angreifern zu manipulieren, ist Kah Kin skeptisch. Wer virtuelle Maschinen verändere, also beispielsweise das Schadprogramm umprogrammiere, das Angreifer zur Tarnung auf dem Server eines Krankenhauses versteckt haben, der müsse immer damit rechnen, dass dadurch auch ebendieser Krankenhausserver kaputt ginge. "Es besteht immer die Gefahr, dass die Sicherheitsdienste nicht vorhersehen, wie sich ihre Arbeit auf den gesamten Computerhost auswirken kann", sagt er. Der manipulierte Code könne durch Unachtsamkeit oder durch unerkannte Schwachstellen "entkommen", sich also weiterverbreiten und großen Schaden anrichten.

Sogenannte Kollateralschäden sind immer Teil einer militärischen Kalkulation. Auch Granaten treffen nie nur das Ziel, das anvisiert wurde. Doch im Internet kann ein solcher unerwünschter Schaden schnell sehr viel größer werden als der erhoffte Nutzen.

Auch dafür gibt es ein prominentes Beispiel. Der Computerwurm Stuxnet attackierte 2010 gezielt die Rechner einer iranischen Uran-Anreicherungsanlage. Doch obwohl er mit hohem Aufwand auf genau diese Anlage zugeschnitten war, fand sich der Wurm später auf Millionen Rechnern weltweit. Auch, wenn er – abgesehen von der iranischen Anlage – kaum direkte Schäden verursachte, zeigte er doch, dass sich ein solcher Angriff nicht eindämmen lässt. Ja, dass er schnell nicht mehr zu kontrollieren ist.

Ein weiteres Risiko: Solche digitalen Angriffswerkzeuge der Geheimdienste gelangen inzwischen mehrfach in die Öffentlichkeit. Anschließend wird mit ihnen erheblicher Schaden angerichtet. Die NSA hat jahrelang einen Programmierfehler namens EternalBlue in Microsoft-Software ausgenutzt. 2017 wurde das Werkzeug von einer anonymen Gruppe veröffentlicht. Mithilfe desselben Werkzeugs soll im Mai die Stadt Baltimore lahmgelegt worden sein. Das Beispiel zeigt: Wenn der Staat Schwachstellen kauft oder zurückhält, um sie selbst zu nutzen, tut er niemandem einen Gefallen – auch sich selbst nicht.

"Es gibt immer eine verdammt hohe Gefahr von Kollateralschäden. Mir ist unklar, wie ein Prozess erzeugt werden kann, bei dem die Gefahren nicht größer sind als der Nutzen", sagt ein Sicherheitsberater, der seinen Namen nicht öffentlich nennen will, da er selbst an solchen Plänen beteiligt ist. Seine Firma beschäftigt sich mit genau solchen Hacks. Im Auftrag von Unternehmen und Behörden testet sie, wie gut deren Sicherheitsmaßnahmen funktionieren – indem sich seine Mitarbeiterinnen und Mitarbeiter in die Rechner ihrer Auftraggeber hacken.

Trotz solcher Gefahren werden diese Vorhaben von der Bundesregierung seit Jahren vorangetrieben und als Schutz verkauft. Schulze von der Stiftung Wissenschaft und Politik ist sich sicher, dass es dabei nicht um "aktive Verteidigung" geht, wie es von den Verteidigern euphemistisch genannt wird. "Sondern um Spionage."

Korrektur: In einer früheren Version des Textes hieß es, Andreas Könen habe früher beim Verfassungsschutz gearbeitet. Tatsächlich war er für den Bundesnachrichtendienst tätig. Wir bitten, den Fehler zu entschuldigen.