Nationale Sicherheitsstrategie: Keine Hackbacks – aber aktive Cyberabwehr
Die Bundesregierung lehnt in ihrer Sicherheitsstrategie Hackbacks "prinzipiell" ab. Das Grundgesetz will sie dennoch ändern, zur Abwehr schwerer Cyberangriffe.
(Bild: Stokkete/Shutterstock.com)
Die Quadratur des Kreises beim seit Jahren umstrittenen Thema des Zurückschlagens im Cyberspace strebt die Bundesregierung mit ihrer am Mittwoch im Kabinett beschlossenen Nationalen Sicherheitsstrategie an. "Hackbacks lehnen wir als Mittel der Cyberabwehr prinzipiell ab", heißt es in der öffentlichen Version des Papiers unter Bezug auf den Koalitionsvertrag von SPD, FDP und Grünen. Andererseits strebt die Regierung aber "die Schaffung einer Bundeskompetenz zur Gefahrenabwehr bei schwerwiegenden Cyberangriffen aus dem In- und Ausland durch Änderung des Grundgesetzes an". Solche Formulierungen gelten als Synonym für die eigentlich abgelehnten Hackbacks.
Zu umgehen versucht die Regierung dieses Dilemma, indem sie vor allem – aber nicht nur – auf "die Abwehr eines laufenden oder unmittelbar bevorstehenden Cyberangriffs" abstellt. In diesem Sinne will sie "die erforderlichen Fähigkeiten und rechtlichen Befugnisse" unter Wahrung des Verhältnismäßigkeitsgrundsatzes prüfen und Maßstäbe für deren Einsatz "im Einklang mit unseren völkerrechtlichen Pflichten und den Normen verantwortlichen Staatenverhaltens im Cyberraum" entwickeln. Angesichts dieser Formulierung könnte es um Pendants zum "Take-down" der Infrastruktur für den Verschlüsselungstrojaner Emotet gehen, erklärt Sven Herpig, Leiter Cybersicherheitspolitik bei der Stiftung Neue Verantwortung gegenüber heise online.
Auch solche Aktionen stellten zwar einen massiven "Eingriff in IT-Systeme im In- und Ausland" dar, "um bösartige Cyberaktivitäten zu beenden", führt Herpig aus. Streng genommen handle es dabei nicht um eine direkte Reaktion quasi in Echtzeit auf eine Cyberattacke, was die Regierung offenbar allein unter Hackbacks verstehe. Vielmehr werde hier präventiv gehandelt, um kommende Kampagnen in aktuellen Cyberoperationen zu verhindern. Nur in diesem Sinne könne man sagen, dass ein solcher Teil der "aktiven Cyberabwehr" kein Zurückhacken im engsten Verständnis darstelle. Eine "Vergeltungsaktion" mit dem aktiven Suchen von Schwachstellen auf fremden Rechnersystemen und darauf basierenden Einbrüchen wäre sowieso völkerrechtswidrig.
Umstrittene Begriffe nicht definiert
Herpig kreidet der Bundesregierung an, dass sie die teils synonym gebrauchten Begriffe nicht definiere. Dies sei umso schwerer verständlich, als sie Sicherheit ausdrücklich gemeinsam mit der Zivilgesellschaft schaffen wolle. Eine Auseinandersetzung mit dem Ruf nach der Grundgesetzänderung, die nötig wäre, da aktuell die Länder für die Gefahrenabwehr im Cyberraum zuständig seien, bleibe so schwierig. Bisher hat sich vor allem Bundesinnenministerin Nancy Faeser (SPD) für die Neuverankerung der aktiven Cyberabwehr stark gemacht. "Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden", betonte sie. Es gehe etwa darum, Attacken "umzuleiten".
"Deutschland wird regelwidriges und aggressives Verhalten von Cyberakteuren nicht hinnehmen", ist der Sicherheitsstrategie weiter zu entnehmen. "Wo immer möglich wird die Bundesregierung die Urheber von Cyberangriffen ermitteln und durch Attribuierung auf nationaler Basis, gemeinsam mit EU-Partnern, unseren Verbündeten in der NATO oder anderen betroffenen Staaten benennen und mittels Sanktionen gezielt gegen sie vorgehen." Welche Strafmaßnahmen das sein könnten, bleibt offen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die Regierung fordert: "Unternehmen und Zivilgesellschaft müssen ein höheres Risikobewusstsein entwickeln, Verantwortung für ihre Cybersicherheit übernehmen und die dafür nötigen Fähigkeiten auch zur Selbsthilfe und Eigenvorsorge aufbauen." Cyberangriffe auf kritische Infrastrukturen (Kritis) und Firmen im besonderen öffentlichen Interesse könnten im Krisenfall "schnell zu einer existenziellen Bedrohung werden". Hier müsse "das höchste Schutzniveau" gewährleistet werden.
Laut dem Branchenverband Bitkom bleibt die Initiative "deutlich hinter den Erwartungen und Anforderungen der digitalen Wirtschaft zurück". Der Cyberraum werde vernachlässigt.
(ds)
