Regierung will Hacking-Angriffe starten – und nur eine Fraktion findet das gut

Wie kann Deutschland unliebsame Hacker am besten ausschalten? Sollten die Behörden zurückhacken? Darum drehte sich vergangen Freitag die Debatte im Innenausschuss des Bundestags.

Die Abgeordneten wollten eigentlich darüber beraten, wer genau verantwortlich war für den Hacking-Angriff auf den Informationsverbund Berlin-Bonn (VVBB), der im Februar bekannt wurde. Doch die wichtige Debatte über die korrekte Attribution des Hacks – wer zum Henker war das!? – ist nach nicht einmal 15 Minuten beendet.

Mehr als drei Viertel der Zeit sprachen die Abgeordneten nach Motherboard-Informationen über "Back-Hacking", also digitale Gegenschläge nach Cyberangriffen. Bislang dürfen deutsche Behörden nicht zu solchen Mitteln greifen, da es keine gesetzliche Grundlage dafür gibt. Doch unter den Sicherheitsexperten der Bundesregierung cybert es gerade gewaltig.

Das Innenministerium unter Horst Seehofer (CSU), zuständig für die Cybersicherheitsstrategie der Bundesregierung, prüft derzeit ein Gesetz, das die internetgestützten Gegenangriffe ermöglichen soll. Ein Sprecher teilte auf Anfrage mit: "Eine Entscheidung der Bundesregierung über den Rechtsetzungsbedarf liegt noch nicht vor und kann an dieser Stelle nicht vorweggenommen werden." Doch nach Motherboard-Informationen sind die Pläne für ein Gesetz schon sehr konkret.

Einigkeit darüber, ob digitale Gegenangriffe wirklich für mehr Sicherheit sorgen könnten, besteht im politischen Berlin jedoch nicht. Das wird klar, wenn man mit den Experten der Bundestagsfraktionen spricht.

Philipp Amthor kommt aus Mecklenburg-Vorpommern und ist mit seinen 25 Jahren der jüngste Abgeordnete der CDU. Er hat die Handynummer von Angela Merkel eingespeichert und liest Machiavelli. Zuletzt fiel er mit einer engagierten Rede gegen einen AfD-Antrag auf.

Ist ein neues Gesetz zur Abwehr von Cyberangriffen notwendig?

Ich stehe der Diskussion um die Schaffung einer hinreichend klaren Kompetenzgrundlage für sogenanntes "Back-Hacking" explizit offen gegenüber.

In welchen Szenarien sollen die Behörden Back-Hacking-Operationen ausführen?

Ein wehrhafter Rechtsstaat braucht wirkungsvolle Instrumente der Gefahrenabwehr nicht nur in der analogen Welt, sondern auch in der digitalen Welt. Angesichts stetig zunehmender Bedrohungen aus dem Cyberraum ist es nicht auszuschließen, dass Deutschland in Zukunft mit Cyberangriffen konfrontiert wird, denen nur mit offensiven Maßnahmen im digitalen Raum beigekommen werden kann – etwa im Fall von massiven Angriffen auf kritische Infrastruktur. Für solche Fälle müssen wir gewappnet sein.

Wie wollen Sie vermeiden, dass ein deutscher Hackback zu einer
Eskalationsspirale der Cyberattacken führt?

Auch wenn wir neue Kompetenzgrundlagen für die digitale Gefahrenabwehr schaffen, gilt für mich, dass analoge und digitale Gefahrenabwehr immer auch zwei Seiten derselben Medaille sind: Beide müssen in ihrer Anwendung durch den Grundsatz der Verhältnismäßigkeit begrenzt werden, aber beide müssen auch hinreichend praktikabel sein, um unseren Rechtsstaat wehrhaft zu verteidigen.

Saskia Esken (56) kommt aus Stuttgart und hat sich an der Akademie für Datenverarbeitung Böblingen zur staatlich geprüften Informatikerin ausbilden lassen. Sie sitzt seit 2013 im Bundestag.

Ist ein neues Gesetz zur Abwehr von Cyberangriffen notwendig?

Dieses Problem kann man nicht einmal auf europäischer Ebene per Gesetz regeln, weil
Cyberangriffe ein weltweites Problem sind. Wenn überhaupt klappt das mit
einer internationalen Vereinbarung zur Ächtung dieser Angriffe, beispielsweise im
Rahmen der Vereinten Nationen. Die Verhandlungen stocken aber, weil die üblichen
Verdächtigen China, Russland und USA keine Lust darauf haben.

Ein Gesetz zur rechtlichen Absicherung von Back-Hacking sollte man nicht
machen.

Was spricht dagegen?

Erstens ist die Attribuierung schwierig: Mit forensischen Maßnahmen kann
man zwar den Server lokalisieren, von dem der Angriff ausgeführt wurde.
Aber man weiß dann immer noch nicht, ob dieser Server gekapert wurde und ob
der wahre Urheber sein Spur verschleiert.
In der Folge könnte mein Gegenangriff einen Unschuldigen treffen – bei
staatlichen Akteuren kann das schnell eskalieren: Man begibt sich da auf
ein heißes Parkett. Zweitens erreiche ich mit einem Back-Hack nicht, was ich erreichen will.
Es ist ein Missverständnis, dass man die Daten zurückholen könnte – sie
sind ja gar nicht weg, sondern nur kopiert und kompromittiert. Die Daten
auf den angreifenden Servern zu löschen, ergibt auch wenig Sinn.
Professionelle Angreifer haben sowieso schon eine Sicherheitskopie
angefertigt.

Ich könnte höchstens durch Back-Hacking einen Angriff auf das Elektrizitätssystem
beenden. Aber bis der Angreifer gefunden ist, ist der Angriff meist
schon längst vorbei. Drittens benötigt jeder Angriff eine Lücke. Das würde bedeuten, dass
unsere Behörden nach Sicherheitslücken suchen, vielleicht welche finden und
sie bewusst offen lassen, damit sie sie im Falle des Falles nutzen
können. Oder sie lassen von den Herstellern geheime Lücken einbauen,
sogenannte Hintertüren. In beiden Fällen können diese Sicherheitslücken
auch von anderen missbraucht werden – der Sicherheit unserer Daten ist
damit also nicht geholfen.

Jimmy Schulz (49) hat in den 90ern in München einen IT-Dienstleister namens CyberSolutions gegründet und sitzt seit Herbst dem Digitalausschuss der Bundesregierung vor.

Ist ein neues Gesetz zur Abwehr von Cyber-Angriffen notwendig?

Nein, ich halte das für den falschen Ansatz: Daten lassen sich durch einen sogenannten Cyber-Gegenangriff nicht "zurück-klauen". Auch ein zukünftiger Angriff lässt sich dadurch nicht verhindern.

Anstatt sich auf ein "wie du mir, so ich dir" einzulassen, das im Zweifelsfall große Kollateralschäden anrichtet, muss sich der Staat vielmehr darauf konzentrieren, IT-Infrastrukturen so sicher wie möglich und es Angreifern so schwer wie möglich zu machen.

Was spricht gegen ein neues Gesetz?

Sogenanntes Back-Hacking ist der falsche Weg und folgt einer analogen Denklogik, die der Komplexität des digitalen Zeitalters nicht gerecht wird – weder im technischen noch im rechtlichen Sinne. So ist es schwierig, festzustellen, wer die Angreifer sind und zielgenau "zurückzuhacken". Im Zweifelsfall trifft man durch einen solchen "Gegenschlag" die Falschen, nämlich zivile Einrichtungen und Unbeteiligte.

Wie sollen Vorfälle wie der IVBB-Hack zukünftig verhindert werden?

Wir brauchen vor allem sichere IT-Infrastrukturen: Wir müssen gemeinsam mit den relevanten Akteuren aus Verwaltung, Wirtschaft, Forschung sowie den Verbrauchern und Anwendern eine abgestimmte Strategie und hohe, anwendbare IT-Standards entwickeln.

Außerdem fordern wir ein Grundrecht auf Verschlüsselung und die Weiterentwicklung von Verschlüsselungstechnologien sowie qualifizierten Zugriffs- und Berechtigungslogiken. Zudem sollten wir weg von einer Software-Monokultur hin zu mehr Open-Source Alternativen.

Martina Renner (51) hat in Bremen Philosophie studiert und zog dann nach Thüringen. Sie profilierte sich im NSA-Untersuchungssausschuss als Expertin für Informationssicherheit. Jetzt kümmert sie sich auch um die Aufarbeitung des Terroranschlags vom Berliner Breitscheidplatz.

Ist ein neues Gesetz zur Abwehr von Cyberangriffen notwendig?

Nein, vielmehr ist ein grundsätzliches Umdenken in der Cybersicherheit nötig.

Was spricht dagegen?

Das sogenannte Back-Hacking berührt so viele nationale und internationale Rechtsfragen, dass Wunschträume vom Cyberkrieg mehr schaden als nutzen. Dies sollte allen bewusst sein, die für das Back-Hacking werben. Sie vernebeln die Tatsache, dass dies eine gefährliche Spirale in Gang setzen kann.

Wie sollen Vorfälle wie der IVBB-Hack zukünftig verhindert werden?

Die Angriffe auf IT-Systeme der vergangenen Zeit haben verdeutlicht, dass die genutzten Angriffsmethoden mit dem sogenannten "Staatstrojaner" vergleichbar sind. Die IT-Sicherheit wird mit der Behauptung, dass andernfalls die Geheimdienste nicht handlungsfähig seien, bewusst löchrig gehalten.

Sicherheitslücken werden nicht proaktiv bekämpft und öffentlich gemacht, sondern sollen zunächst für eigene Zwecke der Dienste genutzt werden. Dafür wurde sogar eine eigene Behörde geschaffen, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS).

Nur eine wirklich unabhängige Struktur für IT-Sicherheit, die nicht den Interessen der Ermittlungs- und Sicherheitsbehörden verpflichtet ist, sondern allein der Sicherheit der IT-Systeme kann glaubwürdig und unabhängig die Interessen der Nutzerinnen und Nutzer schützen.

Konstantin von Notz (47) arbeitete in Mölln als Rechtsanwalt, bevor er in den Bundestag einzog. Er gilt als Rising Star der Grünen und hat knapp 50.000 Follower auf Twitter. Seine Digitalexpertise bewies er unter anderem im NSA-Untersuchungsauschuss.

Ist ein neues Gesetz zur Abwehr von Cyber-Angriffen notwendig?

Nein, denn der Vorschlag digitaler Gegenschläge ist ebenso alt wie verfassungsrechtlich hoch umstritten.

Was spricht dagegen?

Bis heute ist absolut unklar, auf welcher Rechtsgrundlage welche Sicherheitsbehörden einen solchen "Hackback" durchführen sollen. Kaum etwas ist so schwierig, wie einen IT-Angriff eindeutig einem Angreifer zuzuordnen. Die Frage der rechtssicheren Attribuierung eines Angriffs stellt nur ein Problem von vielen dar. Häufig werden Schadprogramme sehr bewusst auf Servern versteckt, auf denen auch zivile Infrastrukturen liegen. Ich bin sehr gespannt, wer die politische und rechtliche Verantwortung für einen Angriff auf einen solchen Server übernehmen will.

Wie sollen Vorfälle wie der IVBB-Hack zukünftig verhindert werden?

Statt in das cyberpolitische Wettrüsten einzusteigen und verfassungsrechtlich extrem dünnes Eis zu betreten, sollte das Kanzleramt endlich für klare Strukturen und Rechtsgrundlagen sowie sichere digitale Infrastrukturen und einen effektiven Schutz privater Kommunikation sorgen. Hierzu gehört auch, die eigene IT-Sicherheitspolitik dringend zu überdenken.

Und was sagt die Staatsministerin für Digitales, die wir hier ausgiebig portraitiert haben ? Ihre Sprecherin antwortete innerhalb von 20 Minuten: "Leider ist die Beantwortung Ihrer Fragen aus Zeitgründen nicht möglich."