 |
# taz.de -- Debatte über Hackbacks: Lasst die Schaufel stecken |
|
|
|
> Cyberangriffe sind Teil der Kriegsführung. Doch auf eine Cyberattacke mit |
|
> einem entsprechenden Gegenangriff zu antworten, ist eine ganz schlechte |
|
> Idee. |
|
|
 |
Bild: Hackst du mich, hacke ich dich: Szene aus „Fighting mad“ von 1976 |
|
|
|
Der Koalitionsvertrags verhält sich gerade diametral zum Papierpreis: |
|
Während Letzterer steigt, sinkt Ersterer stetig in seinem Wert. Nun muss |
|
das erst einmal nichts Schlimmes sein: Manchmal ändern sich Dinge, |
|
wissenschaftliche Erkenntnisse zum Beispiel, dann kann es sinnvoll sein, |
|
Pläne anzupassen. Manchmal ändern sich Dinge allerdings auch nur |
|
vermeintlich. Und das ist gerade so bei der Debatte über Hackbacks. |
|
|
|
Hackbacks werden meist als das gegenseitige Schaufel-über-den-Kopf-Ziehen |
|
auf digitalem Weg verstanden. Fiktives Beispiel: Staat A schleust einen |
|
Verschlüsselungstrojaner in die Parlamentsverwaltung von Staat B, woraufhin |
|
B das Mobilfunknetz von A abschaltet. Was man dabei schon sieht: |
|
Cyberangriff, das klingt nach virtuell und digital und abstrakt, ist aber |
|
etwas sehr Reales: weil nämlich am Ende Unternehmen betroffen sind oder |
|
Verwaltungen oder Institutionen und damit: Menschen. |
|
|
|
[1][Nun steht im Koalitionsvertrag] folgender Satz: „Hackbacks lehnen wir |
|
als Mittel der Cyberabwehr grundsätzlich ab.“ Man kann spitzfindig |
|
einwenden, dass schon dieser Satz eine Hintertür offen lässt. Schließlich |
|
verstehen Jurist:innen das Wort „grundsätzlich“ nicht als „komplett“, |
|
sondern eher so als „im Regelfall“. In der letzten Bundesregierung war |
|
[2][Horst Seehofer noch an einem Gesetz], das Cybergegenschläge möglich |
|
machen sollte, gescheitert. |
|
|
|
Doch nun sagte Bundesinnenministerin Nancy Faeser vergangene [3][Woche im |
|
Spiegel], man müsse „stärker über Gegenmaßnahmen bei Cyberangriffen“ |
|
nachdenken. Und dass der Satz im Koalitionsvertrag ja vor dem 24. Februar |
|
geschrieben wurde. Die Bayerische Digitalministerin Judith Gerlach |
|
überlegte bereits vor zwei Wochen laut, man müsse in der Lage sein, „im |
|
Falle eines Hackerangriffs auf deutsche Stromnetze oder andere wichtige |
|
Infrastrukturen nicht nur passiv, sondern auch aktiv darauf reagieren zu |
|
können“. |
|
|
|
## Ein perfekter Angriff ist kaum möglich |
|
|
|
Stellen wir uns also vor, es gab einen Cyberangriff auf die hiesige |
|
Infrastruktur und es gibt die große Bereitschaft und eine Rechtsgrundlage |
|
für einen Hackback. Was würde passieren? |
|
|
|
Auch in diesem sehr vereinfachten Szenario gälte es zunächst die Frage zu |
|
klären, wer da eigentlich angegriffen hat. Das klingt leichter gesagt als |
|
getan. Denn Angreifer:innen, egal ob mit finanziellem Interesse oder |
|
staatlichem Hintergrund, hinterlassen unpraktischerweise kein |
|
Bekennerschreiben mit qualifizierter elektronischer Signatur, das |
|
zweifelsfrei ihre Urheberschaft ausweist. |
|
Attributionsforscher:innen leisten zwar ganze Arbeit darin |
|
herauszufinden, wer hinter einem Angriff steckt und ob diese Gruppe mit |
|
einem Staat verwoben ist. Indizien helfen dabei. |
|
|
|
Digitale Werkzeuge zum Beispiel, die typisch sind für eine bestimmte |
|
Gruppe, persönliche Daten, die unbeabsichtigt hinterlassen wurden, |
|
Pseudonyme, die Täter:innen auch auf Social-Media-Profilen nutzen, die |
|
Motivation, ausgerechnet das gewählte Ziel anzugreifen – es gibt |
|
haufenweise Möglichkeiten. Ein perfekter Angriff, der alle Spuren |
|
verwischt, ist in der Praxis kaum möglich. Aber Angreifer:innen können |
|
auch wunderbar falsche Fährten legen. Dass sich eine Attacke mit absoluter |
|
Sicherheit attribuieren lässt, ist daher längst nicht die Regel. Spannende, |
|
bitte vorab zu diskutierende politische Fragen: Wie hoch muss die |
|
Sicherheit in der Attribution sein, um auf deren Basis einen Gegenangriff |
|
starten zu können? Was, wenn es doch eine falsche Zuordnung gab und jemand |
|
unbeteiligtes Drittes bekommt den Gegenangriff ab? |
|
|
|
Aber nehmen wir einmal an, die Urheberschaft ist zweifelsfrei geklärt und |
|
wir gehen über zum tatsächlichen Gegenangriff. Dazu wäre natürlich einiges |
|
an Personal mit entsprechenden IT-Kenntnissen nötig, was für staatliche |
|
Stellen gar nicht so leicht zu rekrutieren ist, aber lassen wir dieses |
|
Problem einmal kurz beiseite. Denn was es vor allem braucht: Kenntnisse |
|
über bislang unentdeckte Sicherheitslücken. Und jetzt wird es hakelig. Denn |
|
wenn ein Staat solche Kenntnisse hat und die Lücken nicht meldet, weil er |
|
sie gerne potenziell für einen eigenen Angriff ausnutzen will – dann |
|
gefährdet er damit auch Unternehmen, Verwaltung und Nutzer:innen im |
|
eigenen Land. Schließlich bleiben bei denen die Sicherheitslücken ebenso |
|
unerkannt und ungestopft. Das könnte zu der ironischen Situation führen, |
|
dass genau so eine Lücke erst einen Angriff auf die eigenen Systeme |
|
ermöglicht. |
|
|
|
## Der Beginn einer Eskalation |
|
|
|
Dazu kommt ein weiteres Problem: Zeit. Ja, es gibt Angriffe, die sind |
|
schnell gemacht. Aber gerade vulnerable Systeme der öffentlichen |
|
Infrastruktur – Energie, Wasser, Gesundheit, Verwaltung und so weiter – |
|
sollten besonders gut gesichert sein. Nach der zeitaufwendigen Attribution |
|
würde es also noch einmal Zeit kosten, in das gegnerische Ziel |
|
einzusteigen. Mit einem gegenseitigen Schaufel-über-den-Kopf-Ziehen hätte |
|
das also zeitlich schon mal gar nichts mehr zu tun. Dafür wäre es aber |
|
ziemlich sicher der Beginn einer Eskalation mit unabsehbarem Ausgang: Du |
|
ein Krankenhaus von mir, ich deine Verwaltung, daraufhin du mein Stromnetz |
|
und ich dann deine Wasserversorgung? Das wollen mit Sicherheit auch die |
|
Protagonist:innen nicht, die gerade Hackbacks nicht mehr ausschließen. |
|
|
|
In Deutschland sind bereits auf diversen Ebenen Maßnahmen verankert, mit |
|
denen im Fall eines Cyberangriffs reagiert werden kann. Zum Beispiel im |
|
zweiten IT-Sicherheitsgesetz. Das verpflichtet etwa in bestimmten |
|
Situationen Provider zum Verteilen von Befehlen, mit denen Systeme von |
|
Schadprogrammen befreit werden sollen. Darüber hinaus brauchen wir vor |
|
allem etwas, das unspektakulär klingt, dabei aber zentral ist: Prävention. |
|
|
|
23 Mar 2022 |
|
|
|
## LINKS |
|
|
 |
[1] /Ministerium-fuer-Digitales/!5782589 |
|
[2] /Cyberstrategie-2021/!5800127 |
|
[3] https://www.spiegel.de/politik/deutschland/nancy-faeser-spd-zum-krieg-in-de… |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Hacking |
|
Angriff |
|
Schwerpunkt Krieg in der Ukraine |
|
Nancy Faeser |
|
Schwerpunkt Krieg in der Ukraine |
|
Schwerpunkt Krieg in der Ukraine |
|
Schwerpunkt Krieg in der Ukraine |
|
Schwerpunkt Krieg in der Ukraine |
|
Schwerpunkt Krieg in der Ukraine |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Erfolglose Verfassungsbeschwerde: Kaspersky verliert in Karlsruhe |
|
|
|
Die Virenschutz-Firma klagte gegen die Warnung, es könne von Russland für |
|
Cyber-Attacken genutzt werden. Karlsruhe lehnte die Beschwerde ab. |
|
|
|
Treffen der G7-Digitalminister: Schutzwälle gegen Cyberattacken |
|
|
|
Die G7-Digitalminister:innen wollen die digitale Infrastruktur der Ukraine |
|
stärken. Das Thema Nachhaltigkeit erlebt einen Bedeutungsverlust. |
|
|
|
Kriegsverbrechen in der Ukraine: Hoffnung auf Gerechtigkeit |
|
|
|
Das Bündnis „Ukraine 5 AM Coalition“ sammelt Beweise für russische |
|
Kriegsverbrechen. Über eine Plattform können Bürger:innen Aussagen |
|
machen. |
|
|
|
Experte über russische Cyberattacken: „Das würde Panik erzeugen“ |
|
|
|
Russland ist eine Cybermacht – und führt seine Kriege nicht nur analog. |
|
Experte Mischa Hansel sagt, wie auch Deutschland ein digitaler Angriff |
|
treffen könnte. |
|
|
|
Cyberangriffe im Ukraine-Krieg: Sabotage und Attacken aus dem Netz |
|
|
|
Cyberoperationen sind Teil der Kriegsführung und oft lange vorbereitet. |
|
Auch deutsche Sicherheitsbehörden stellen sich auf digitale Angriffe ein. |
