Digitale Gegenangriffe: Sollte der Staat zurückhacken dürfen?

© unsplash/Philipp Katzenberger

Die digitale Vernetzung aller Lebensbereiche und eine gleichzeitige Professionalisierung der Cyberkriminalität führt zu einem steigenden Risiko aus dem Cyberraum. Um Deutschland vor den Folgen von Cyberkriminalität zu schützen, bedarf es einer effizienten staatlichen Cyberabwehr.

Cybersicherheit ist entscheidend für den Erfolg digitaler Geschäftsmodelle, das Vertrauen in die digitale Transformation zahlreicher Lebensbereiche und damit der digitalen Gesellschaft als Ganzes. Allein in Deutschland wird 2022 jede Bürgerin und jeder Bürger im Durchschnitt 9,7 vernetzbare Produkte besitzen. Gleichzeitig entwickeln Cyberkriminelle immer folgenschwerere DDoS-Angriffe, größere Botnetze und nutzen weitere Angriffsvektoren.

Cyberkriminelle greifen heutzutage sowohl staatliche Einrichtungen als auch Unternehmen und Einzelpersonen jeden Tag an. Ein Beispiel: Ein großes deutsches Unternehmen der Telekommunikationsindustrie registrierte im April 2019 täglich bis zu 46 Millionen Cyberangriffe auf ihre Honeypots, also bewusst gestellte digitale Fallen. Zum Vergleich: Im April 2017 waren es lediglich vier Millionen Angriffe pro Tag. Dabei zielten im April 2019 51 Prozent der Angriffe auf die Netzsicherheit ab. Berücksichtigt man, dass Telekommunikationsnetzen mit zunehmender Vernetzung der Gesellschaft eine immer größere Bedeutung für das Aufrechterhalten des öffentlichen Lebens zukommt, so wird klar: Deutsche Behörden müssen angemessen auf die Gefahren aus dem Cyberraum reagieren können.

Die Antwort des wehrhaften Staates:

Angesichts der Quantität an bereits heute existierenden Schadprogrammen, der zunehmenden Kommerzialisierung von Cyberkriminalität sowie dem zu erwartenden Anstieg an vernetzbaren Produkten stellt sich die Frage, welche Kompetenzen ein wehrhafter Staat zukünftig im Cyberraum – im Zivilen wie Militärischen – braucht. Übergeordnetes Ziel muss es sein, die Sicherheit von Leib und Leben sowie die Wahrung der öffentlichen Sicherheit gewährleisten zu können.

Damit einher geht die Frage: Sollten staatliche Stellen in der Bundesrepublik Deutschland mit Kompetenzen der „aktiven Cyberabwehr“ – umgangssprachlich „Hackbacks“ – sowie der „Cyberverteidigung“ ausgestattet werden und wenn ja, auf welchen Prinzipien sollten diese Kompetenzen basieren?

Was sind eigentlich Hackbacks?

In der öffentlichen Debatte wird als Reaktion auf die steigende Gefahrenlage aus dem Cyberraum zur Erhöhung der Wehrhaftigkeit des Staates die Einführung des Instruments des „Hackback“ vorgeschlagen.

Unter dem Begriff des „Hackbacks“ können folgende Maßnahmen subsumiert werden:

  1. Deaktivierung von Botnetzen,
  2. Identifikation und Deaktivierung von sogenannten Schläfern in deutschen Systemen,
  3. Übernahme externer (Angreifer-) Infrastrukturen,
  4. Infiltration der angreifenden Infrastruktur und
  5. Gegenangriffe auf angreifende Strukturen mit dem Ziel, diese zu deaktivieren/unschädlich zu machen.

Ziel ist es, das Angreifer-System zu deaktivieren, respektive zu zerstören, um eine Cyberattacke zu beenden. Zudem sollen etwaige gestohlene Daten vom System des Angreifers gelöscht werden. Im Idealfall kann durch die aktive Cybergegenmaßnahme auch der Täter identifiziert und anschließend strafrechtlich verfolgt werden.

Hackbacks müssen ultima ratio sein

Das staatliche Instrumentarium an Maßnahmen zur aktiven Cyberabwehr muss erweitert und auf einen rechtlich sicheren Boden gestellt werden. Daher gilt es, die staatliche Cyberabwehr, sowohl im militärischen als auch zivilen Bereich, auf den Festen des Grundgesetzes und internationaler Verträge rechtssicher einzuführen. Die deutsche Industrie sieht im Vergleich zu nationaler Einzelregulierung in einem international koordinierten Ansatz innerhalb der Vereinten Nationen den besten Lösungsansatz. Das übergeordnete Ziel aller politischen Anstrengungen muss es dabei sein, eine Eskalationsspirale im Cyberraum mit negativen Implikationen für die Industrie und die Zivilbevölkerung zu vermeiden.

Mit Blick auf den rechtlichen Rahmen in Deutschland sieht die deutsche Industrie zusätzlichen Handlungsbedarf in zwei Bereichen:

  1. Der Einbau von Schwachstellen in Produkten muss kategorisch ausschlossen werden. Jede Form von Zugriffsmöglichkeiten Dritter bedeutet automatisch auch eine Schwächung der Cyberresilienz. Dadurch könnten die betroffenen Produkte und Dienste die an sie gestellten Cybersicherheitsanforderungen nicht mehr hinreichend erfüllen und würden ein potenzielles zusätzliches Risiko darstellen.
  2. Aktuell wird die Kriminalitätsbekämpfung im Cyberraum in Deutschland durch 16 Ordnungsrahmen der Länder und Bundesgesetze reguliert. Hier bedarf es einer Vereinheitlichung. Zudem braucht es ein stark aufgestelltes Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik.