Aktive Cyberabwehr: Neue Befugnisse mit alten Problemen
Das geplante Cybersicherheitsstärkungsgesetz will deutschen Behörden den digitalen Gegenangriff erlauben – doch der Entwurf offenbart gravierende Schwächen.
(Bild: KI / iX)
- Prof. Dennis-Kenji Kipker
Die Bedrohungslage im Cyberraum hat sich in den vergangenen Jahren deutlich verschärft. Staatlich gelenkte Angriffe, professionelle Ransomwarekampagnen und hybride Szenarien, wie sie spätestens seit dem russischen Angriffskrieg gegen die Ukraine sichtbar geworden sind, stellen die Abwehrfähigkeiten von Staat und Wirtschaft auf die Probe. Der im März vorgelegte Referentenentwurf der Bundesregierung für ein „Gesetz zur Stärkung der Cybersicherheit“ reagiert darauf mit einem umfangreichen Instrumentarium: Bundespolizei und Bundeskriminalamt (BKA) sollen künftig aktiv in fremde IT-Systeme eingreifen, Datenverkehr umleiten und Schadsoftware löschen dürfen. Was nach notwendiger Modernisierung klingt, wirft bei genauerer Betrachtung jedoch erhebliche Fragen auf – nicht zuletzt für die IT-Sicherheitsbranche selbst.
Die politische Grundidee lässt sich knapp zusammenfassen: Wenn Angreifer von außen in kritische Infrastrukturen eindringen, Botnetze steuern oder Ransomware ausrollen, reicht es nicht mehr, sich nur auf passive Schutzmaßnahmen zu verlassen. Andere Staaten – darunter Frankreich, die Niederlande, das Vereinigte Königreich und die USA – haben bereits gesetzliche Grundlagen für aktive Gegenmaßnahmen im Cyberraum geschaffen oder arbeiten zumindest daran. Deutschland will mit dem vorliegenden Gesetzentwurf nachziehen. Er sieht vor, dass Bundespolizei und BKA zukünftig IT-Systeme stilllegen, Datenverkehr umleiten oder unterbrechen und sogar auf fremde Systeme zugreifen dürfen, um dort Daten zu erheben, zu verändern oder zu löschen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Anordnungsbefugnisse gegenüber Domain-Registries und Registraren. Dass der Gesetzgeber hier handeln muss, ist weitgehend unstrittig. Die entscheidende Frage lautet jedoch: Wie weit dürfen diese Befugnisse gehen – und unter welchen Bedingungen?
- Der Gesetzentwurf zur Stärkung der Cybersicherheit gibt Bundespolizei, BKA und BSI weitreichende Befugnisse zur aktiven Cyberabwehr, ohne technische Mindeststandards oder Haftungsregelungen vorzusehen.
- Probleme wie fehleranfällige Attribuierung, Kollateralschäden bei Unbeteiligten und der Zielkonflikt zwischen offen gehaltenen Schwachstellen und IT-Sicherheit bleiben im Gesetzentwurf ungelöst.
- Die operative Neuausrichtung des BSI gefährdet seine Vertrauensstellung bei der Wirtschaft und könnte die freiwillige Meldung von Sicherheitsvorfällen untergraben.
Eines der grundlegenden Probleme des Entwurfs ist seine technische Unschärfe. Der Gesetzestext beschreibt zwar in juristischer Sprache, was geschehen soll. Ein Beispiel ist ein Sinkhole: Dabei handelt es sich um einen Server, auf den schädlicher Datenverkehr gezielt umgeleitet wird, um ihn zu analysieren oder unschädlich zu machen. Auch das Filtern von Metadaten anhand individueller Signaturen der Schadsoftware oder von Angriffsaktivitäten ist angedacht. Wie das technisch umzusetzen ist, lässt der Gesetzestext jedoch offen. Es fehlen konkrete Standards für die Implementierung solcher Maßnahmen, Vorgaben zur Gewährleistung der Datenintegrität bei Umleitungen und Mindestanforderungen an die Protokollierung.
Das war die Leseprobe unseres heise-Plus-Artikels "Aktive Cyberabwehr: Neue Befugnisse mit alten Problemen". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
