Digitaler Gegenschlag: Bundestag-Gutachten kritisiert Hackback-Pläne

Andreas Frischholz 30 Kommentare
Digitaler Gegenschlag: Bundestag-Gutachten kritisiert Hackback-Pläne
Bild: Ivan David Gomez Arce | CC BY 2.0

Digitale Gegenschläge – also die sogenannten Hackbacks – sind zu riskant, zu bevorzugen ist ein Fokus auf sichere IT-Systeme. Das ist das Fazit von einem wissenschaftlichen Gutachten des Bundestags, das sich insbesondere mit der Rolle der Bundeswehr bei der Cyber-Abwehr befasst, berichtet Netzpolitik.org.

Die Hackbacks sind bei Vertretern der Sicherheitsbehörden aktuell politisch en vogue. Das Ziel ist auch naheliegend: Wenn staatliche Einrichtungen attackiert werden, soll man nicht einfach abwarten und Sicherheitslücken schließen. Vielmehr soll der Staat die Möglichkeit erhalten, laufende Angriffe zu unterbinden, indem er direkt die Server der Angreifer attackiert oder Server übernimmt, auf denen erbeute Daten liegen.

Technisch und rechtlich ist der Vorschlag äußerst heikel. Daher sind sie dementsprechend umstritten bei Netzaktivisten und IT-Sicherheitsexperten. Bestätigt werden diese Vorbehalte nun durch ein als geheim eingestuftes wissenschaftliches Gutachten des Bundestags, das ein Oberstleutnant der Bundeswehr verfasst hat. Veröffentlicht wurde es von Netzpolitik.org im Volltext.

Lieber Defensive als Offensive

Demnach spricht sich das Gutachten vor allem für defensive Fähigkeiten aus. Das Ziel sollten also sichere IT-Systeme sein, um sich vor Angriffen zu schützen. Offensive Aktionen wie Hacking-Angriffe wären hingegen riskant und hätten zudem keine abschreckende Wirkung. Das könne man allein an den zahlreichen Staaten erkennen, die versuchen, IT-Systeme in den USA zu attackieren. Wenn selbst die USA mit der Abschreckung scheitern, wäre ein Erfolg für Deutschland „eher unwahrscheinlich“.

So lautet dann das Fazit: Anstatt in einen digitalen Rüstungswettlauf einzutreten, werden „stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen“. Bei der Anwendung offensiver Fähigkeiten, vor allem aggressiver Varianten wie „Hackbacks“, sei die Eskalationsgefahr zu groß, zumal der/die Verursacher regelmäßig nicht zweifelsfrei identifiziert werden könnten.

Probleme bei Attribution von Angreifern und den Kompetenzen

Ein Problem bei Hackbacks sowie digitalen Angriffen generell ist, dass Ziele sich nicht zweifelsfrei identifizieren lassen. Selbst wenn die Bundeswehr also militärische Ziele im Visier hat, könnten bei so einem Angriff private oder öffentliche Einrichtungen betroffen sein. „Entsprechende Gegenschläge in Krisensituationen führen also nicht nur nicht zwangsläufig zum gewünschten Ergebnis, sie können auch unintendierte Nebenfolgen haben“, so die Einschätzung in dem Gutachten.

Ein weiteres Problem, das das Gutachten beschreibt: Bei den Hackbacks handelt es sich demnach um „Einmal-Wirkmittel“. Wird ein Angriff durchgeführt, kann der Gegner die ausgenutzte Sicherheitslücke schließen. Verbreitet werden auf diese Weise aber die Kenntnisse über die Schwachstelle, die Angegriffenen könnten diese künftig selbst bei anderen ausnutzen.

Welche deutsche Sicherheitsbehörde oder Militäreinrichtung für entsprechende Hackbacks am ehesten verantwortlich sein soll, ist laut dem Gutachten eine weitere offene Frage. Konkret geht es dabei sowohl um die Zuständigkeit als auch die rechtlichen und technischen Kompetenzen.

Debatte läuft weiter

Nichtsdestotrotz läuft die Debatte über Hackbacks weiter. Erst gestern kritisierte der ehemalige Bundesnachrichtendienst-Präsident Gerhard Schindler die Debatte in Deutschland, meldet Heise Online. „Wir hinken in Deutschland gnadenlos hinterher“, sagte Schindler demnach bei einer Konferenz des Behördenspiegels.

Eine „aktive Cyber-Abwehr“ sei erforderlich. Denn ansonsten wären deutsche Sicherheitsbehörden „verpflichtet“, bei Angriffen zuzuschauen. Um diesen „katastrophalen Zustand“ zu beenden, empfiehlt Schindler die Schweiz als Vorbild. Dort würden Hackbacks bereits seit einigen Jahren als Mittel für Geheimdienste anerkannt.

Dem widersprach Georg Mascolo, Leiter des Rechercheverbunds von NDR, WDR und Süddeutscher Zeitung, bei der Konferenz aber ein Stück weit. Entsprechende Befugnisse seien nicht ausdrücklich rechtlich verankert. Ohnehin geht er nicht davon aus, dass es „echte ausbuchstabierte Regelungen für Hackbacks“ geben werde. Er sei, so heißt es in dem Bericht von Heise Online, für einen pragmatischen Ansatz, bei dem im Ernstfall jemand das täte, „was getan werden muss“. Gleichzeitig solle sich die Bundesregierung aber für internationale Regelungen einsetzen, um Auswüchse solcher Mittel zu verhindern.