Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Kommentar: Aktive Abwehr defensiver Offensive ist Cybersicherheitsfantasie

Das Stufenmodell der "aktiven" Cyberabwehr ist eine irreführende politische Salamitaktik, meint Johannes 'Ijon' Rundfeldt von der AG Kritis.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Illustration einer Kette mit Vorhängeschloss über einer Computertastatur

(Bild: peterschreiber.media/Shutterstock.com)

Lesezeit: 8 Min.
Von
  • Johannes 'ijon' Rundfeldt
Inhaltsverzeichnis

Wer ist in Deutschland zuständig für die Cybersicherheit und welcher Instrumente kann sich der Bund dabei bedienen? Während einer Experten-Anhörung des Bundestags-Ausschusses für Digitales, an der in der vergangenen Woche unter anderem die AG Kritis teilnahm, lag auch diese Frage auf dem Tisch. Noch in der vorletzten Legislaturperiode wurde primär über offensive beziehungsweise defensive Cybersicherheitsmaßnahmen gesprochen. Nachdem sich Experten und Expertinnen deutlichst gegen offensive Maßnahmen geäußert hatten, wandelte sich das Narrativ. Plötzlich tauchte der schwammige Begriff der "aktiven Cyberabwehr" auf. In Sicherheitskreisen, aber nicht öffentlich, wurde seit 2017 dafür ein sogenanntes Stufenmodell diskutiert. Offiziell ist schriftlich dazu nichts veröffentlicht. In diesem Stufenmodell werden verschiedene offensive und defensive Maßnahmen kategorisiert. Ein flüchtiger Blick erweckt den Eindruck, dass die Einstufung vermeintlich nach Eingriffstiefe der Maßnahme durchgeführt wurde.
Eine Einschätzung von Johannes 'ijon' Rundfeldt

(Bild: Sanjar Khaksari)

Johannes Rundfeldt ist Gründer und Sprecher der AG Kritis.

Eine Frage des Ausschusses zur Vorbereitung der Anhörung lautete:

Könnten Sie bitte den Begriff der aktiven Cyberabwehr und die unterschiedlichen Stufen und Möglichkeiten der aktiven Cyberabwehr (auch vor dem Hintergrund einer allein defensiv ausgerichteten bzw. einer offensiv ausgerichteten Cyberabwehr) definieren und wo sehen Sie konkrete Defizite im geltenden Recht und in den geltenden Kompetenzen, die einer wirksamen Cyberabwehr entgegenstehen?

Die Verwendung des Adjektivs "aktiv" ist bewusst irreführend. Die Schaffung von Stufen in diesem Kontext hat das Ziel, im Rahmen einer politischen Salamitaktik über ein Stufenmodell gesetzlich zunächst eine abgeschwächte Form der defensiven Cyberabwehr zu erlauben und diese Befugnisse in den folgenden Jahren sukzessive auf offensive Maßnahmen zu erweitern, da diese im Stufenmodell bereits vorgezeichnet sind.

Grenze zwischen Defensive und Offensive

Die Frage sollte aus Sicht der AG Kritis nicht lauten "welche Stufen der aktiven Cyberabwehr existieren", sondern "wo liegt die Grenze zwischen offensiver und defensiver Cyberabwehr". Die Grenze zwischen offensiver und defensiver Cyberabwehr liegt in der Erhaltung der Integrität und Vertraulichkeit der entfernten Systeme, die am Angriff beteiligt sind.

Im Stufenmodell ist schon die Verwendung eines Netzwerkscanner-Werkzeugs wie Nmap eine offensive Maßnahme der Stufe 1 oder 2. Da der Einsatz eines solchen Werkzeugs die Integrität und Vertraulichkeit des angegriffenen Systems im Regelfall nicht gefährdet, ist dies zu den defensiven Maßnahmen zu zählen. Maßnahmen, deren Ziel es ist, fremden Quellcode auf dem Zielsystem auszuführen (Stufe 4), zählen dagegen zu den offensiven Maßnahmen. Auch der Einsatz eines Honeypots zählt zu den defensiven Maßnahmen, wird aber im Stufenmodell als Stufe 3 beschrieben, sofern dabei auch Daten des Täters abfließen.

Sofern eine Distributed-Denial-of-Service-Angriff (DDoS) als Gegenabwehr zum Einsatz kommt, wird weder Vertraulichkeit noch Integrität beeinträchtigt, die Verfügbarkeit jedoch schon. Da Cyberangriffe aber oft von Systemen durchgeführt werden, deren Zweck eigentlich ein anderer ist und die für die Nutzung bei einem Angriff vom Angreifer übernommen worden sind, kann ein DDoS Angriff hier zu Kollateralschäden führen. Eine äußerst komplexe Einzelfallabwägung ist notwendig. Es kann im Einzelfall verhältnismäßig sein, entweder mit DDoS-Maßnahmen oder mit gerichtlichen Anweisungen an Internet Service Provider (ISP) bestimmte Systeme offline zu nehmen.

Die Prüfung solcher Maßnahmen muss besonders sorgfältig erfolgen, denn es ist möglich, dass Computer, die am Angriff mitwirken, im Leitstand eines Energieversorgers stehen oder in einem Krankenhaus eingesetzt werden. Würde man diese Systeme mit einem DDoS oder anderen Maßnahmen der Kategorie 5 ("Hackback") stören oder deaktivieren, so würde der erfolgte Ausfall auch andere Systeme beim Betreiber beeinträchtigen.

Linguistische Verdrehungen

Das Wort "Abwehr" impliziert einen defensiven Ansatz – in Kombination mit "aktiver" Abwehr könnten darunter aber auch offensive Maßnahmen fallen. Die Verwendung dieser Begriffe ist verwirrend und verschleiert die tatsächlichen Beweggründe der Sicherheitsbehörden. Das Stufenmodell scheint ein Vehikel zu sein, offensive Befugnisse unter dem Deckmantel der "aktiven Cyberabwehr" zu erteilen. Es ist notwendig, die Begrifflichkeiten hier klar zu trennen und offensive sowie defensive Maßnahmen eindeutig als solche zu benennen.

Es fällt auf, dass gerade die Sicherheitsbehördenvertreter, aber auch konservativ politische Strömungen im Kontext der Cyberabwehr in einem Täterdenken gefangen sind, welches das Ziel – die Steigerung der IT-Sicherheit und Resilienz der Systeme – verfehlt. Das Narrativ der Sicherheitsbehörden ist in etwa, dass nur genügend (offensive) Befugnisse benötigt würden, um die Cyberkriminellen zu identifizieren. Anschließend könne man das Verhalten durch offensive Maßnahmen, Festnahmen oder Auslieferungsgesuche einstellen.

Dies ist nicht der Fall. Schon die Identifizierung des Herkunftslandes der Täter ist oft nicht möglich. Damit ist auch eine Identifizierung der Täter selbst nahezu ausgeschlossen. Einige Länder auf der Welt, wie Russland, akzeptieren sogar, dass Cyberkriminelle aus dem eigenen Staat heraus agieren, und verfolgen diese nicht, solange diese keine russischen Unternehmen oder Staatsbürger angreifen.

Unabhängiges BSI ohne Offenhaltung der Sicherheitslücken

Da Cyberkriminelle in den Computersystemen der Wirtschaft und der Bürger Sicherheitslücken ausnutzen, ist das effektivste Gegenmittel das unverzügliche Schließen dieser Sicherheitslücken. Sicherheitsbehörden wollen gerne dieselben Sicherheitslücken ausnutzen, um damit vermeintliche Cyberkriminelle zu ermitteln – daher haben sie Interesse an der Offenhaltung der Sicherheitslücken.

Solange das Bundesamt für Sicherheit in der Informationstechnik (BSI) von derselben Abteilung im Bundesministerium des Innern und für Heimat (BMI) gesteuert und beaufsichtigt wird wie die Sicherheitsbehörden, wird es dort immer einen Interessenkonflikt geben. Es braucht daher ein unabhängiges BSI, damit Sicherheitsforscher sich bedenkenlos an das BSI wenden können. Sie benötigen die Sicherheit darüber, dass Meldungen tatsächlich zur Schließung von Sicherheitslücken führen und nicht zur geheimen Offenhaltung für Sicherheitsbehörden.

Ein unabhängiges BSI reicht jedoch nicht. Es braucht eine Meldepflicht für Sicherheitslücken, die auch staatliche Stellen allerart verpflichtet – auch Geheimdienste und Nachrichtendienste. Dort bekannte Sicherheitslücken müssen im Sinne der IT-Sicherheit der Bürger gemeldet und geschlossen werden.

Privathaftung der Unternehmen

Eine Maßnahme, die wir nicht in der Stellungnahme der AG KRITIS beschrieben haben, weil der Bundestag die notwendigen rechtlichen Grundlagen bereits in den Anfangsjahren der Republik geschaffen hat, ist die Nutzung der Geschäftsführerhaftung zur Verbesserung der IT-Sicherheit.

In Kapitalgesellschaften haften Geschäftsführer bei grob fahrlässigem Verhalten, auch wenn es sich um eine GmbH handelt. Wer durch mangelhafte Umsetzung von Backup-and-Restore-Prozessen, durch mangelnde Ausstattung der IT-Abteilung oder durch Akzeptanz von Risiken eine Situation geschaffen hat, in der ein Ransomware-Angriff erfolgreich einen längeren Ausfall der Produktion bewirkt hat, muss aus unserer Sicht für die finanziellen Folgen privat haften. Insbesondere wenn die Lösegeldforderungen der Kriminellen beglichen werden muss, um den Fortbestand des Unternehmens zu sichern, ist in so gut wie allen Fällen ein grob fahrlässiges Verhalten der Geschäftsführung ursächlich.

Jeder Gesellschafter eines Unternehmens, das von einer Ransomware-Attacke betroffen war, sollte aus unserer Sicht daher dringend prüfen lassen und Ermittlungen dazu unterstützen, ob der eingetretene Schaden im Rahmen der Geschäftsführerhaftung aus dem Privatvermögen der Geschäftsführung beglichen werden muss.

Defensive Cybersicherheitsstrategie für Deutschland

Eine strikt defensive Cybersicherheitsstrategie ist nach Ansicht der AG Kritis die beste Wahl. Sie ermöglicht es, die nationale Sicherheit zu gewährleisten, ohne das Risiko von Gegenangriffen und Eskalation einzugehen. Stattdessen sollte Deutschland seine Anstrengungen auf die Steigerung der Medienkompetenz, der Verbesserung der Aus- und Weiterbildung der Bürger und Behördenvertreter und die Steigerung der Resilienz und IT-Sicherheit seiner eigenen Netzwerke und Systeme konzentrieren. Lange geforderte Maßnahmen zur Cybersicherheit sollten nicht erst priorisiert, sondern schnellstmöglich umgesetzt werden.

(mack)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten