# taz.de -- Debatte über Hackbacks: Lasst die Schaufel stecken | |
> Cyberangriffe sind Teil der Kriegsführung. Doch auf eine Cyberattacke mit | |
> einem entsprechenden Gegenangriff zu antworten, ist eine ganz schlechte | |
> Idee. | |
Bild: Hackst du mich, hacke ich dich: Szene aus „Fighting mad“ von 1976 | |
Der Koalitionsvertrags verhält sich gerade diametral zum Papierpreis: | |
Während Letzterer steigt, sinkt Ersterer stetig in seinem Wert. Nun muss | |
das erst einmal nichts Schlimmes sein: Manchmal ändern sich Dinge, | |
wissenschaftliche Erkenntnisse zum Beispiel, dann kann es sinnvoll sein, | |
Pläne anzupassen. Manchmal ändern sich Dinge allerdings auch nur | |
vermeintlich. Und das ist gerade so bei der Debatte über Hackbacks. | |
Hackbacks werden meist als das gegenseitige Schaufel-über-den-Kopf-Ziehen | |
auf digitalem Weg verstanden. Fiktives Beispiel: Staat A schleust einen | |
Verschlüsselungstrojaner in die Parlamentsverwaltung von Staat B, woraufhin | |
B das Mobilfunknetz von A abschaltet. Was man dabei schon sieht: | |
Cyberangriff, das klingt nach virtuell und digital und abstrakt, ist aber | |
etwas sehr Reales: weil nämlich am Ende Unternehmen betroffen sind oder | |
Verwaltungen oder Institutionen und damit: Menschen. | |
[1][Nun steht im Koalitionsvertrag] folgender Satz: „Hackbacks lehnen wir | |
als Mittel der Cyberabwehr grundsätzlich ab.“ Man kann spitzfindig | |
einwenden, dass schon dieser Satz eine Hintertür offen lässt. Schließlich | |
verstehen Jurist:innen das Wort „grundsätzlich“ nicht als „komplett“, | |
sondern eher so als „im Regelfall“. In der letzten Bundesregierung war | |
[2][Horst Seehofer noch an einem Gesetz], das Cybergegenschläge möglich | |
machen sollte, gescheitert. | |
Doch nun sagte Bundesinnenministerin Nancy Faeser vergangene [3][Woche im | |
Spiegel], man müsse „stärker über Gegenmaßnahmen bei Cyberangriffen“ | |
nachdenken. Und dass der Satz im Koalitionsvertrag ja vor dem 24. Februar | |
geschrieben wurde. Die Bayerische Digitalministerin Judith Gerlach | |
überlegte bereits vor zwei Wochen laut, man müsse in der Lage sein, „im | |
Falle eines Hackerangriffs auf deutsche Stromnetze oder andere wichtige | |
Infrastrukturen nicht nur passiv, sondern auch aktiv darauf reagieren zu | |
können“. | |
## Ein perfekter Angriff ist kaum möglich | |
Stellen wir uns also vor, es gab einen Cyberangriff auf die hiesige | |
Infrastruktur und es gibt die große Bereitschaft und eine Rechtsgrundlage | |
für einen Hackback. Was würde passieren? | |
Auch in diesem sehr vereinfachten Szenario gälte es zunächst die Frage zu | |
klären, wer da eigentlich angegriffen hat. Das klingt leichter gesagt als | |
getan. Denn Angreifer:innen, egal ob mit finanziellem Interesse oder | |
staatlichem Hintergrund, hinterlassen unpraktischerweise kein | |
Bekennerschreiben mit qualifizierter elektronischer Signatur, das | |
zweifelsfrei ihre Urheberschaft ausweist. | |
Attributionsforscher:innen leisten zwar ganze Arbeit darin | |
herauszufinden, wer hinter einem Angriff steckt und ob diese Gruppe mit | |
einem Staat verwoben ist. Indizien helfen dabei. | |
Digitale Werkzeuge zum Beispiel, die typisch sind für eine bestimmte | |
Gruppe, persönliche Daten, die unbeabsichtigt hinterlassen wurden, | |
Pseudonyme, die Täter:innen auch auf Social-Media-Profilen nutzen, die | |
Motivation, ausgerechnet das gewählte Ziel anzugreifen – es gibt | |
haufenweise Möglichkeiten. Ein perfekter Angriff, der alle Spuren | |
verwischt, ist in der Praxis kaum möglich. Aber Angreifer:innen können | |
auch wunderbar falsche Fährten legen. Dass sich eine Attacke mit absoluter | |
Sicherheit attribuieren lässt, ist daher längst nicht die Regel. Spannende, | |
bitte vorab zu diskutierende politische Fragen: Wie hoch muss die | |
Sicherheit in der Attribution sein, um auf deren Basis einen Gegenangriff | |
starten zu können? Was, wenn es doch eine falsche Zuordnung gab und jemand | |
unbeteiligtes Drittes bekommt den Gegenangriff ab? | |
Aber nehmen wir einmal an, die Urheberschaft ist zweifelsfrei geklärt und | |
wir gehen über zum tatsächlichen Gegenangriff. Dazu wäre natürlich einiges | |
an Personal mit entsprechenden IT-Kenntnissen nötig, was für staatliche | |
Stellen gar nicht so leicht zu rekrutieren ist, aber lassen wir dieses | |
Problem einmal kurz beiseite. Denn was es vor allem braucht: Kenntnisse | |
über bislang unentdeckte Sicherheitslücken. Und jetzt wird es hakelig. Denn | |
wenn ein Staat solche Kenntnisse hat und die Lücken nicht meldet, weil er | |
sie gerne potenziell für einen eigenen Angriff ausnutzen will – dann | |
gefährdet er damit auch Unternehmen, Verwaltung und Nutzer:innen im | |
eigenen Land. Schließlich bleiben bei denen die Sicherheitslücken ebenso | |
unerkannt und ungestopft. Das könnte zu der ironischen Situation führen, | |
dass genau so eine Lücke erst einen Angriff auf die eigenen Systeme | |
ermöglicht. | |
## Der Beginn einer Eskalation | |
Dazu kommt ein weiteres Problem: Zeit. Ja, es gibt Angriffe, die sind | |
schnell gemacht. Aber gerade vulnerable Systeme der öffentlichen | |
Infrastruktur – Energie, Wasser, Gesundheit, Verwaltung und so weiter – | |
sollten besonders gut gesichert sein. Nach der zeitaufwendigen Attribution | |
würde es also noch einmal Zeit kosten, in das gegnerische Ziel | |
einzusteigen. Mit einem gegenseitigen Schaufel-über-den-Kopf-Ziehen hätte | |
das also zeitlich schon mal gar nichts mehr zu tun. Dafür wäre es aber | |
ziemlich sicher der Beginn einer Eskalation mit unabsehbarem Ausgang: Du | |
ein Krankenhaus von mir, ich deine Verwaltung, daraufhin du mein Stromnetz | |
und ich dann deine Wasserversorgung? Das wollen mit Sicherheit auch die | |
Protagonist:innen nicht, die gerade Hackbacks nicht mehr ausschließen. | |
In Deutschland sind bereits auf diversen Ebenen Maßnahmen verankert, mit | |
denen im Fall eines Cyberangriffs reagiert werden kann. Zum Beispiel im | |
zweiten IT-Sicherheitsgesetz. Das verpflichtet etwa in bestimmten | |
Situationen Provider zum Verteilen von Befehlen, mit denen Systeme von | |
Schadprogrammen befreit werden sollen. Darüber hinaus brauchen wir vor | |
allem etwas, das unspektakulär klingt, dabei aber zentral ist: Prävention. | |
23 Mar 2022 | |
## LINKS | |
[1] /Ministerium-fuer-Digitales/!5782589 | |
[2] /Cyberstrategie-2021/!5800127 | |
[3] https://www.spiegel.de/politik/deutschland/nancy-faeser-spd-zum-krieg-in-de… | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Hacking | |
Angriff | |
Schwerpunkt Krieg in der Ukraine | |
Nancy Faeser | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
## ARTIKEL ZUM THEMA | |
Erfolglose Verfassungsbeschwerde: Kaspersky verliert in Karlsruhe | |
Die Virenschutz-Firma klagte gegen die Warnung, es könne von Russland für | |
Cyber-Attacken genutzt werden. Karlsruhe lehnte die Beschwerde ab. | |
Treffen der G7-Digitalminister: Schutzwälle gegen Cyberattacken | |
Die G7-Digitalminister:innen wollen die digitale Infrastruktur der Ukraine | |
stärken. Das Thema Nachhaltigkeit erlebt einen Bedeutungsverlust. | |
Kriegsverbrechen in der Ukraine: Hoffnung auf Gerechtigkeit | |
Das Bündnis „Ukraine 5 AM Coalition“ sammelt Beweise für russische | |
Kriegsverbrechen. Über eine Plattform können Bürger:innen Aussagen | |
machen. | |
Experte über russische Cyberattacken: „Das würde Panik erzeugen“ | |
Russland ist eine Cybermacht – und führt seine Kriege nicht nur analog. | |
Experte Mischa Hansel sagt, wie auch Deutschland ein digitaler Angriff | |
treffen könnte. | |
Cyberangriffe im Ukraine-Krieg: Sabotage und Attacken aus dem Netz | |
Cyberoperationen sind Teil der Kriegsführung und oft lange vorbereitet. | |
Auch deutsche Sicherheitsbehörden stellen sich auf digitale Angriffe ein. |