Digitale Gegenangriffe: Sollte der Staat zurückhacken dürfen?
Cybersicherheit ist entscheidend für den Erfolg digitaler Geschäftsmodelle, das Vertrauen in die digitale Transformation zahlreicher Lebensbereiche und damit der digitalen Gesellschaft als Ganzes. WÄhrend die Zahl an vernetzbaren Produkten pro Bürgerin und Bürger kontinuierlich steigt, entwickeln Cyberkriminelle immer folgenschwerere DDoS-Angriffe, größere Botnetze und nutzen weitere Angriffsvektoren.
Cyberkriminelle greifen heutzutage sowohl staatliche Einrichtungen als auch Unternehmen und Einzelpersonen jeden Tag an. Ein Beispiel: Allein ein großer deutscher Telekommunikationsnetzbetreiber verzeichnete zusammen mit seinen Partnerunternehmen Anfang Ende Mai 2024 binnen 24 Stunden rund 36,6 Millionen Angriffe auf seine Honeypots, also bewusst gestellte Fallen. Da Telekommunikationsnetzen mit zunehmender Vernetzung der Gesellschaft eine immer größere Bedeutung für das Aufrechterhalten des öffentlichen Lebens zukommt, wird deutlich, dass der Schutz digitaler und sonstiger Kritischer Infrastrukturen aber auch weiterer Unternehmen sowie staatlicher Stellen oberste Priorität haben muss. Hierfür ist ein entschlossenes und gemeinsames Handeln von Staat und Wirtschaft notwendig.
Die Antwort des wehrhaften Staates:
Angesichts der Quantität an bereits heute existierenden Schadprogrammen, der zunehmenden Kommerzialisierung von Cyberkriminalität sowie dem zu erwartenden Anstieg an vernetzbaren Produkten stellt sich die Frage, welche Kompetenzen ein wehrhafter Staat zukünftig im Cyberraum – im Zivilen wie Militärischen – braucht. Übergeordnetes Ziel muss es sein, die Sicherheit von Leib und Leben sowie die Wahrung der öffentlichen Sicherheit gewährleisten zu können.
Damit einher geht die Frage: Sollten staatliche Stellen in der Bundesrepublik Deutschland mit Kompetenzen der „aktiven Cyberabwehr“ – umgangssprachlich „Hackbacks“ – sowie der „Cyberverteidigung“ ausgestattet werden und wenn ja, auf welchen Prinzipien sollten diese Kompetenzen basieren?
Was sind eigentlich Hackbacks?
In der öffentlichen Debatte wird als Reaktion auf die steigende Gefahrenlage aus dem Cyberraum zur Erhöhung der Wehrhaftigkeit des Staates die Einführung des Instruments des „Hackback“ vorgeschlagen.
Unter dem Begriff des „Hackbacks“ können folgende Maßnahmen subsumiert werden:
- Deaktivierung von Botnetzen,
- Identifikation und Deaktivierung von sogenannten Schläfern in deutschen Systemen,
- Übernahme externer (Angreifer-) Infrastrukturen,
- Infiltration der angreifenden Infrastruktur und
- Gegenangriffe auf angreifende Strukturen mit dem Ziel, diese zu deaktivieren/unschädlich zu machen.
Ziel ist es, das Angreifersystem zu deaktivieren, respektive zu zerstören, um eine Cyberattacke zu beenden. Zudem sollen etwaige gestohlene Daten vom System des Angreifers gelöscht werden. Im Idealfall kann durch die aktive Cybergegenmaßnahme auch der Täter identifiziert und anschließend strafrechtlich verfolgt werden.
Hackbacks müssen ultima ratio sein
Das staatliche Instrumentarium an Maßnahmen zur aktiven Cyberabwehr muss erweitert und auf einen rechtsicheren Boden gestellt werden. Daher gilt es, die staatliche Cyberabwehr, sowohl im militärischen als auch zivilen Bereich, auf den Festen des Grundgesetzes und internationaler Verträge rechtssicher einzuführen. Die deutsche Industrie sieht im Vergleich zu nationaler Einzelregulierung in einem international koordinierten Ansatz innerhalb der Vereinten Nationen den besten Lösungsansatz. Das übergeordnete Ziel aller politischen Anstrengungen muss es dabei sein, eine Eskalationsspirale im Cyberraum mit negativen Implikationen für die Industrie und die Zivilbevölkerung zu vermeiden.
Mit Blick auf den rechtlichen Rahmen in Deutschland sieht die deutsche Industrie zusätzlichen Handlungsbedarf in drei Bereichen:
- Der Einbau von Schwachstellen in Produkten muss kategorisch ausschlossen und ein Schwachstellenmanagement unter staatlicher Beteiligung etabliert werden werden. Der BDI begrüßt daher die Ankündigung der Ampel-Koalitionäre, dass staatliche Stellen in Deutschland zukünftig verpflichtet werden, Unternehmen direkt nach dem Responsible Disclosure Prinzip über bekanntgewordene Schwachstellen und Backdoors in IT-Lösungen (Hard- und Software) zu informieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf keinem Interessenskonflikt mit nachrichtendienstlichen Belangen unterliegen. Sicherheitslücken, auch wenn sie nur durch staatliche Stellen genutzt werden dürfen, sind ein Sicherheitsrisiko für alle und schwächen die Cyberresilienz. Jede Form von Zugriffsmöglichkeiten Dritter bedeutet automatisch auch eine Schwächung der Cyberresilienz. Dadurch könnten die betroffenen Produkte und Dienste die an sie gestellten Cybersicherheitsanforderungen nicht mehr hinreichend erfüllen und würden ein potenzielles zusätzliches Risiko darstellen.
- Die aktuelle deutsche und europäische Cybersicherheitsgesetzgebung sieht vor, dass Unternehmen, die nicht alle an sie gestellten Anforderungen zur Wahrung eines höchstmöglichen Grades an Cyberresilienz erfüllen, mit Bußgeldern bestraft werden. Die deutsche Industrie erkennt die Notwendigkeit der Einführung von Bußgeldern an, um regulatorische Anforderungen mit Nachdruck umzusetzen. Eine Deckelung ist jedoch zwingend erforderlich. Nicht die Opfer von Cyberkriminalität, sondern die Täter sollten stärker bestraft werden. Daher fordern wir die Ausweitung staatlicher Fähigkeiten zur Strafverfolgung gegen Cyberkriminelle.
- Das gesellschaftliche Vertrauen in digitale Lösungen wird nur dann gewahrt bleiben, wenn digitale Lösungen als vertrauenswürdig und sicher gelten. Die Bundesregierung muss sich in Europa für starke Ende-zu-Ende-Verschlüsselung ohne Hintertüren und „Generalschlüssel“ einsetzen, um sensible Daten sowohl im privaten wie gewerblichen Kontext vor dem unberechtigten Zugriff Dritter zu schützen. Dabei muss sie auch selbst Vorreiter in der eigenen Gesetzgebung sein. Zudem sollte die Bundesregierung verstärkt die Entwicklung von Post-Quantum-Kryptographie-Verfahren fördern, um zukünftigen Anforderungen an vertrauliche und sichere Kommunikation frühzeitig Rechnung zu tragen.