Kommentar zu Attributionen: IT-Sicherheit darf kein Propagandawerkzeug sein
Die Bundesregierung will bei Cyberangriffen vermehrt Verantwortliche benennen – ein Bärendienst für die Sicherheit, meint Jürgen Schmidt von heise Security.
(Bild: bluesroad/Shutterstock.com)
Die Bundesregierung will Zuordnung von Tätern bei IT-Sicherheitsvorfällen, berichtet tagesschau.de. Es geht darum, bei Einbrüchen und Sabotage-Akten im Cyberspace zukünftig vermehrt Verantwortliche zu benennen. Das ist an sich gut und wichtig. Doch der Bundesregierung geht es dabei recht offensichtlich nicht um Wahrheitsfindung, sondern um Propaganda.
In den letzten Jahren haben IT-Sicherheitsexperten die Spurensuche im Cyberspace kontinuierlich weiterentwickelt. Sie haben die sogenannte Attribution an einen Punkt gebracht, an dem diese virtuelle Detektivarbeit tatsächlich seriöse und vor allem nützliche Aussagen zu Tätern und deren Herkunft ermöglicht.
Geheimdienste eine schlechte Wahl
Dazu arbeiten Incident-Response-Spezialisten unter anderem aus Computer Emergency Response Teams (CERTs) mit Forensikern und Malware-Analysten zusammen. Sie tauschen Erkenntnisse und Fakten aus und legen diese so weit wie irgend möglich offen, um gemeinsam eine Art Puzzle zu lösen.
Doch das ist nicht das, was der Bundesregierung laut Tagesschau vorschwebt. Das sieht man daran, wer diese Zuordnungen vornehmen soll: der Verfassungsschutz, der Bundesnachrichtendienst und der Militärischen Abschirmdienst.
Das sind durchweg Geheimdienste. Und für die ist Wahrheit nur insoweit wichtig, wie sie ihren Zwecken dient. Überprüfbarkeit oder gar Kontrolle durch eine kritische Öffentlichkeit scheuen sie bekanntermaßen wie der Teufel das Weihwasser. Und durch eigene Kompetenz im Bereich IT-Security sind sie bislang auch nicht wirklich auffällig geworden. Das sind denkbar schlechte Voraussetzungen für einen konstruktiven Einsatz von Attribution.
Bärendienst für IT-Sicherheit
Auffällig ist auch, wer in dieser Liste nicht auftaucht: das Bundesamt für Sicherheit in der Informationstechnik (BSI) und damit die einzige Bundesbehörde, die im Bereich IT-Sicherheit und Attribution bereits ernsthaft Kompetenz aufgebaut hat. Die sollen zwar Informationen beisteuern, sich aus deren Interpretation aber gefälligst raushalten.
Gute Attribution beruht auf überprüfbaren Fakten. Deren Offenlegung ermöglicht eine kritische Analyse durch andere Experten und eine konstruktive Zusammenarbeit, die letztlich zu verlässlichen Aussagen führt. Mit denen kann man dann auch für mehr Verantwortung und Sicherheit im Cyberspace sorgen.
Das aktuelle Vorhaben der Bundesregierung degradiert jedoch Attribution zum reinen Propaganda-Werkzeug. Im Vordergrund stehen nicht Transparenz, Überprüfbarkeit und Wahrheitsfindung, sondern der politische Nutzen, bei dem im Zweifelsfall immer der Zweck die Mittel heiligt. Das ist ein weiterer Bärendienst für die IT-Sicherheit, den unsere Bundesregierung zu verantworten hat. Hoffentlich der Letzte.
Wie seriöse Attribution funktioniert, erklären folgende heise-Security-Artikel:
- Hacker-Jagd im Cyberspace - Grundlagen und Grenzen der Suche nach den Tätern
- Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen
(ju)
