Hackbacks: "Man muss sich klarmachen, was das in der Praxis bedeutet"
Hauke Gierow über Hackbacks als Aktionismus, die möglichen Folgen "aktiver Cyberabwehr" und unerledigte Hausaufgaben der Sicherheitsbehörden
Herr Gierow, Innenministerin Nancy Faeser will angesichts von Cyberangriffen aus Russland zurückhacken lassen und sogenannte Hackbacks, also Gegenangriffe im Cyberraum, zulassen. Sie sehen das kritisch. Weshalb?
Hauke Gierow: Hackback klingt erst einmal einfach: Wir hacken zurück. Aber man muss sich klarmachen, was das in der Praxis bedeutet. Erst einmal muss der Bund das Wissen von bestimmten Schwachstellen in Software zurückhalten, um überhaupt in der Lage zu sein, entsprechende Angriffe durchzuführen.
Es gibt aber heutzutage nur wenig Software, die ausschließlich von militärischen Organisationen genutzt werden. Wenn diese Schwachstellen also nicht gepatcht werden, bleiben sie offen. Das betrifft dann auch zivile Stellen – und unter Umständen auch deutsche Bürgerinnen und Bürger sowie Unternehmen.
Lesen Sie zu diesem Thema auch das parallel erschienene Telepolis-Interview "Droht ein russischer Cyberkrieg gegen Deutschland?" mit Sandro Gaycken
Die technischen Voraussetzungen für Hackbacks schwächen also die eigene Defensive. Und gerade hier haben wir erheblichen Nachholbedarf – in der Wirtschaft, in der Gesellschaft und auch beim Staat selbst.
Im Koalitionsvertrag heißt es noch: "Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab". In der Tat ist das nicht nur eine moralische Frage, sondern auch eine rechtliche. Wo liegen die Fallstricke?
Hauke Gierow: Juristisch kann ich das als Nicht-Jurist nicht im Detail bewerten. Aber im Bereich von Cyberoperationen gibt es ohnehin ein großes Dunkelfeld – dem mit einer Hackback-Gesetzgebung noch unzählige Graustufen hinzugefügt würden.
Wir laufen Gefahr, durch entsprechende Maßnahmen in einen bewaffneten Konflikt hereingezogen zu werden. Auch in der Nato wird ja zum Beispiel darüber diskutiert, ob und unter welchen Voraussetzungen ein Cyberangriff zum Beispiel auf kritische Infrastruktur als Angriff gewertet würde. Und wann ein Land dann Artikel 5, also die Beistandsklausel, ziehen könnte.
Ich habe zudem die Befürchtung, dass eine Beteiligung an offensiven Cyberoperationen durch die Bundeswehr entsprechende Angriffe auf Infrastrukturen normalisieren und ein Stück weit legitimieren würde. Das sollten wir unbedingt vermeiden.
Verfechter von Hackbacks argumentieren gern, dass wir unsere Gegner im Cyberspace im Unklaren lassen sollten. Russland und China würden vor entsprechenden Maßnahmen ja auch nicht zurückschrecken. Das halte ich in einem demokratischen Rechtsstaat aber nicht für eine legitime Argumentation. Wir müssen uns an unseren eigenen Wertmaßstäben messen lassen.
Es gibt auch technische Einwände, etwa bei der Attribution, der Zuordnung. Liest man Meldungen zu Angriffen aus dem Ausland, bleibt vieles im Vagen, vieles steht im Konjunktiv. Muss die Klärung der Herkunft nicht aber Voraussetzung für eigene Angriffe sein?
Hauke Gierow: Attribution ist komplex, das ist richtig. Das bedeutet aber nicht, dass man sich gar nicht zu Urhebern von Cyberangriffen äußern kann oder sollte. Neben technischen Indikatoren wie Source-Code-Analyse, bekannten Angriffsmustern oder anderen Geheimdienstinformationen kann man ja immer auch die Frage stellen: Passt der Angriff zu geopolitischen Interessen eines mutmaßlichen Bedrohungsakteurs?
Wenn zum Beispiel in der Ukraine der Strom oder die Telekommunikationsinfrastruktur durch einen Angriff gestört werden und kurz darauf ein Angriff durch die russische Armee stattfindet, muss man sich vielleicht nicht unbedingt mit den Details der Malwareanalyse beschäftigen, um ein Bild vom möglichen Aggressor zu gewinnen.
Das Problem der Attribution sehe ich daher nicht als größtes Hindernis. Viel wichtiger finde ich die Frage, ob ein Angriff wirklich trennscharf zwischen ziviler und militärischer Infrastruktur unterscheiden kann – und im Zweifelsfall auch nur diese trifft. Bei NotPetya haben wir gesehen, wie schnell ein eigentlich auf ein bestimmtes Ziel gemünzter Angriff weltweite Folgen nach sich gezogen hat.
Infrastruktur für Hackbacks schwächt die Defensive
Eine Gretchenfrage ist auch: Sind Hackbacks ein defensives Mittel oder eine Aggression? Dieser Widerspruch wird auch in Formulierungen wie "aktive Cyperabwehr" der Innenministerin offensichtlich. Frau Faeser sagte, man wolle "die Abwehr stärken", aber zugleich "aktive Maßnahmen" ergreifen. Was stimmt denn nun?
Hauke Gierow: "Offense is the best defense" halte ich in diesem Kontext nicht für zielführend. Aus den geschilderten Gründen bin ich davon überzeugt, dass die Infrastruktur für Hackbacks die Defensive nicht stärkt, sondern schwächt.
Außerdem würden durch "offensive Operationen" massiv Ressourcen gebunden. Es ist ja nicht so, dass da mal eben ein Soldat oder eine Soldatin den Laptop aufklappt und ein Ziel angreift. Es müssten Kommandostrukturen gebildet werden, eine komplette Infrastruktur.
Das kostet viel Geld, viel strategische Arbeit und lenkt den Fokus von defensiven Aktionen weg. Denn auch unsere Ressourcen sind nicht unbegrenzt.
Sie haben den Vorstoß als "aktionistisch" kritisiert. Hätte der Bund vorausschauender agieren können, wenn ja, wie?
Hauke Gierow: Wir haben in den vergangenen Jahren in vielen Bereichen gespart. Das zeigt sich auch im Bereich der technischen Infrastruktur. Wenn wir Unternehmen und Betreiber kritischer Infrastruktur mit einem hohen Fokus dabei unterstützen würden, ihr eigenes Sicherheitsniveau zu erhöhen, wären wir ein gutes Stück weiter.
Dabei geht es nicht nur um konkrete Vorschriften für Sicherheitsstandards, wie sie etwa in der Kritis-Regulierung vorgesehen sind. Denn wer nur einen Compliance-Haken setzen will, setzt in der Regel auf die kleinstmögliche Lösung.
Vielmehr sollte es mehr Anlaufstellen geben, um sich umfassend zu Sicherheitsstandards und geeigneten Abwehrstrategien beraten zu lassen. Auch finanzielle Unterstützung oder finanzielle Anreize sollten geprüft werden. Cybersecurity ist in Unternehmen kein Profit-Center, sondern kostet immer erst mal Geld. Hier braucht es sinnvolle Anreizstrukturen für substanzielle Investments.
Der Staat sollte auch seine eigene Infrastruktur in den Blick nehmen. Der Bund ist im Vergleich mit vielen Kommunen vermutlich noch ganz gut aufgestellt, aber auch hier gab es in den vergangenen Jahren ja einige erfolgreiche Angriffe.
Und gerade im kommunalen Bereich ist die Situation oft prekär, was häufig an der finanziellen Ausstattung liegt. Hier müssen unbedingt mehr Mittel für Investitionen eingeplant werden. Dabei geht es nicht nur um die Anschaffung von Hardware wie Firewalls oder ähnlichem, sondern vor allem um Personalkosten. Das wird sehr gern vergessen.
History repeats itself. Der Wissenschaftliche Dienst des Bundestags hat in eine Hackback-Debatte schon 2018 und 2019 deutlich interveniert und sich gegen diese Option ausgesprochen. Halten Sie eine Grundgesetzänderung für realistisch?
Hauke Gierow: Ich halte die Diskussion darum jedenfalls für unnötig. Wir sollten unseren Fokus auf andere Felder legen.
Und wenn es so kommt: Hätte der Bund denn die notwendigen Experten?
Hauke Gierow: Die Gewinnung qualifizierter IT-Fachkräfte ist in allen Sektoren ein Problem, im öffentlichen Bereich umso mehr. Der viel zitierte Fachkräftemangel ist selbst unter den aktuellen geopolitischen Voraussetzungen nicht plötzlich "vorbei". Und selbst wenn es gelingen sollte, entsprechende Fachkräfte einzustellen, sollten sie lieber auf der guten Seite der Macht eingesetzt werden.