Hackbacks: "Man muss sich klarmachen, was das in der Praxis bedeutet"

Hauke Gierow über Hackbacks als Aktionismus, die möglichen Folgen "aktiver Cyberabwehr" und unerledigte Hausaufgaben der Sicherheitsbehörden

Herr Gierow, Innenministerin Nancy Faeser will angesichts von Cyberangriffen aus Russland zurückhacken lassen und sogenannte Hackbacks, also Gegenangriffe im Cyberraum, zulassen. Sie sehen das kritisch. Weshalb?

Hauke Gierow: Hackback klingt erst einmal einfach: Wir hacken zurück. Aber man muss sich klarmachen, was das in der Praxis bedeutet. Erst einmal muss der Bund das Wissen von bestimmten Schwachstellen in Software zurückhalten, um überhaupt in der Lage zu sein, entsprechende Angriffe durchzuführen.

Es gibt aber heutzutage nur wenig Software, die ausschließlich von militärischen Organisationen genutzt werden. Wenn diese Schwachstellen also nicht gepatcht werden, bleiben sie offen. Das betrifft dann auch zivile Stellen – und unter Umständen auch deutsche Bürgerinnen und Bürger sowie Unternehmen.

Die technischen Voraussetzungen für Hackbacks schwächen also die eigene Defensive. Und gerade hier haben wir erheblichen Nachholbedarf – in der Wirtschaft, in der Gesellschaft und auch beim Staat selbst.

Im Koalitionsvertrag heißt es noch: "Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab". In der Tat ist das nicht nur eine moralische Frage, sondern auch eine rechtliche. Wo liegen die Fallstricke?

Hauke Gierow: Juristisch kann ich das als Nicht-Jurist nicht im Detail bewerten. Aber im Bereich von Cyberoperationen gibt es ohnehin ein großes Dunkelfeld – dem mit einer Hackback-Gesetzgebung noch unzählige Graustufen hinzugefügt würden.

Wir laufen Gefahr, durch entsprechende Maßnahmen in einen bewaffneten Konflikt hereingezogen zu werden. Auch in der Nato wird ja zum Beispiel darüber diskutiert, ob und unter welchen Voraussetzungen ein Cyberangriff zum Beispiel auf kritische Infrastruktur als Angriff gewertet würde. Und wann ein Land dann Artikel 5, also die Beistandsklausel, ziehen könnte.

Ich habe zudem die Befürchtung, dass eine Beteiligung an offensiven Cyberoperationen durch die Bundeswehr entsprechende Angriffe auf Infrastrukturen normalisieren und ein Stück weit legitimieren würde. Das sollten wir unbedingt vermeiden.

Verfechter von Hackbacks argumentieren gern, dass wir unsere Gegner im Cyberspace im Unklaren lassen sollten. Russland und China würden vor entsprechenden Maßnahmen ja auch nicht zurückschrecken. Das halte ich in einem demokratischen Rechtsstaat aber nicht für eine legitime Argumentation. Wir müssen uns an unseren eigenen Wertmaßstäben messen lassen.

Es gibt auch technische Einwände, etwa bei der Attribution, der Zuordnung. Liest man Meldungen zu Angriffen aus dem Ausland, bleibt vieles im Vagen, vieles steht im Konjunktiv. Muss die Klärung der Herkunft nicht aber Voraussetzung für eigene Angriffe sein?

Hauke Gierow: Attribution ist komplex, das ist richtig. Das bedeutet aber nicht, dass man sich gar nicht zu Urhebern von Cyberangriffen äußern kann oder sollte. Neben technischen Indikatoren wie Source-Code-Analyse, bekannten Angriffsmustern oder anderen Geheimdienstinformationen kann man ja immer auch die Frage stellen: Passt der Angriff zu geopolitischen Interessen eines mutmaßlichen Bedrohungsakteurs?

Wenn zum Beispiel in der Ukraine der Strom oder die Telekommunikationsinfrastruktur durch einen Angriff gestört werden und kurz darauf ein Angriff durch die russische Armee stattfindet, muss man sich vielleicht nicht unbedingt mit den Details der Malwareanalyse beschäftigen, um ein Bild vom möglichen Aggressor zu gewinnen.

Das Problem der Attribution sehe ich daher nicht als größtes Hindernis. Viel wichtiger finde ich die Frage, ob ein Angriff wirklich trennscharf zwischen ziviler und militärischer Infrastruktur unterscheiden kann – und im Zweifelsfall auch nur diese trifft. Bei NotPetya haben wir gesehen, wie schnell ein eigentlich auf ein bestimmtes Ziel gemünzter Angriff weltweite Folgen nach sich gezogen hat.