Warum die Forderung nach staatlichen Hack Backs keine gute Idee ist

Von Seiten der Union hört man in diesen Tagen wieder öfter diese Forderung: Der Staat müsse endlich in die Lage versetzt werden, sich gegen cyberkriminelle Angriffe durch Gegenschläge auch „aktiv“ zu wehren. Bisher besteht die aktive Abwehr allenfalls daraus, Honey Pots aufzustellen, um Angreifer anzulocken. Das ist eine gute Sache, denn solche Angriffe können dann dazu genutzt werden, Vorgehensweisen und Werkzeuge kennenzulernen und unschädlich zu machen, indem die genutzten Sicherheitslücken geschlossen werden.

Die Idee des staatlichen Hack Back, also eines Gegenschlags mit den Mitteln der Angreifer, ist aber nicht nur aus fachlicher Sicht im Sinne der allgemeinen IT-Sicherheit abzulehnen. Auch aus rechtlicher und politischer Sicht müssen schwerwiegende Einwände erhoben werden.

Welche Ziele verfolgen die Befürworter überhaupt mit so einem Hack back?

Man müsse doch in der Lage sein, gestohlene Daten zurückzuholen, sagen die Befürworter. Dazu muss man sich klar machen, dass das mit dem Datenklau so eine Sache ist, denn „weggenommen“ werden die Daten in den seltensten Fällen, sondern eben „nur“ kopiert. Wenn man nach dem Erkennen eines Angriffs eine Kopie der eigenen Daten auf einem Server gefunden hat, dann könnte man diese Kopie natürlich löschen.

Ohnehin werden Angriffe auf IT-Systeme – ich erinnere nur ungern an den Angriff auf die Server des Bundestags – oft erst Wochen nach dem eigentlichen Angriff erkannt, im Schnitt dauert es 100 Tage! Weil ja erstmal nichts fehlt. Durch den großen Zeitverzug weiß man natürlich nicht, wohin die Daten mittlerweile noch überall kopiert worden sind. Nicht einmal wenn man also alle gefundenen Kopien sehr gründlich löscht, ist der Erfolg dieses Löschens sicher gewährleistet.

Daten werden nicht gestohlen, sie werden kompromittiert

So oder so ist durch das Löschen der Kopie der entstandene Schaden nicht behoben, denn beim Datenklau besteht der Schaden nicht hauptsächlich darin, dass die Daten kopiert wurden. Der Schaden besteht darin, dass die Daten und ihr Besitzer, die Sicherheit seiner IT-Systeme und damit womöglich sein Ruf unwiderbringlich kompromittiert sind. Und das lässt sich durch ein „Zurückholen“ der Daten beim besten Willen nicht beheben.

Staatliches Hacking gefährdet die IT-Sicherheit

Dieses Löschen bedeutet aber, vor allem wenn man es gründlich machen will, einen massiven Eingriff in den fremden Server. Für einen solchen Eingriff braucht die ausführende Stelle, also der Staat, Kenntnis von einer Lücke in der IT-Sicherheit des Zielsystems und dazu passende Angriffswerkzeuge.

Solche Lücken und Angriffswerkzeuge müsste der Staat finden oder kaufen, dafür sorgen, dass sie offen bleiben … und sehr, sehr gut darauf aufpassen. Was passiert, wenn solche Lücken und Angriffswerkzeuge bei einer staatlichen Stelle nicht sicher aufbewahrt werden, wurde uns mit wannacry deutlich vor Augen geführt: Unser aller IT-Sicherheit wurde beschädigt! Ich bin ganz klar der Auffassung, der Staat solle Verantwortung zeigen für die allgemeine IT-Sicherheit, anstatt sie in Gefahr zu bringen.

Trifft der Gegenschlag den wahren Angreifer? Sicher weiß man das nie!

Ob der digitale Gegenschlag gegen den Angreifer oder nur gegen ein für den Angriff gekapertes System ausgeführt wird, darauf gibt es in den seltensten Fällen eine eindeutige Antwort. Oftmals werden Angriffe unter falscher Flagge, unter „false flag“ gefahren und werden fremde Server und Systeme missbraucht, so dass auch niemand weiß, ob es bei dem Angreifer um eine kriminelle Hackerbande, einen staatlichen Angreifer oder um eine Terrorgruppe handelt.

Rechtliche Implikationen reichen von der Verfassung bis zum Völkerrecht

In besonderen Fällen, sagen manche, müsse der Staat die Systeme eines vermeintlich identifizierten Angreifers sogar zerstören können. Staatliche Stellen greifen Einrichtungen auf dem Territorium eines anderen Landes an? Dann reden wir von digitaler Kriegsführung, dann reden wir vom Cyber War. Hier sind die völkerrechtlichen Implikationen weitreichend, und andere Nationen könnten sich zum Gegenschlag herausgefordert fühlen. Aus guten Gründen gibt es auf internationaler Ebene deshalb vielfältige Bestrebungen, solche Angriffe zu ächten.

Wenn es dann um die Frage geht, wer eigentlich berechtigt sein sollte, solche „Gegenschläge“ zu  führen, dann gibt es vielfältige Antworten. Das Bundesamt für Sicherheit der IT-Systeme jedenfalls scheidet als reine Präventivbehörde aus – gerade erst hat man das BSI durch die Gründung von Zitis von dem Verdacht freigemacht, Sicherheitslücken nicht nur bekämpfen. Die Bundeswehr käme in Frage, andere denken auch ans BKA, und auch die Dienste wie das Bundesamt für Verfassungsschutz und der BND heben den Finger.

Gerade IT-bezogene Ermittlungsmethoden erfordern klare Rechtsgrundlagen und Grenzziehungen. Dazu kommt: Wenn solche Aufgaben gefahrenabwehrend durch den Bund wahrgenommen werden sollen, wäre wegen der Zuständigkeit der Länder eine Grundgesetzänderung notwendig. Manche sagen auch, ein Richtervorbehalt wäre wünschenswert – aber welches Gericht könnte denn einen Angriff auf eine Einrichtung außerhalb Deutschlands genehmigen?

tl;dr

Weil die Sicherheit unserer Netze und IT-Systeme als fundamental für unsere Wirtschaft, für das öffentliche und unser privates Leben gelten muss, plädiere ich für eine gesamtstaatliche und gesamtgesellschaftliche Verantwortung dafür. Es ist für mich mit dieser Verantwortung nicht vereinbar, dass die allgemeine IT-Sicherheit durch staatliches Hacking gefährdet und beschädigt wird. Dazu kommt, dass Angriffe staatlicher Stellen auf Einrichtungen außerhalb Deutschlands als digitale Kriegsführung interpretiert werden und zu Gegenschlägen führen könnten. Deutschland sollte sich auch im digitalen Raum der Abrüstung und dem Frieden verpflichtet fühlen.