Hackbacks: Normen für "aktive Cyberabwehr" sollen das Schlimmste verhindern​

"Wenn überhaupt, dann nur verantwortungsvoll!" So verweist Sven Herpig, Leiter Cybersicherheitspolitik bei der Stiftung Neue Verantwortung (SNV), auf ein am Dienstag veröffentlichtes Papier für neun operative Normen für die "aktive Cyberabwehr". Das häufig mit Hackbacks synonym gesetzte Mittel ist umstritten, da Rückschläge einen umfassenderen Cyberkrieg auslösen könnten. Trotzdem setzten immer mehr Regierungen – in der politischen Debatte oder in Praxis – auf dieses Instrument, heißt es von der SNV. Daher sei es ratsam, parallel zumindest auch den Diskurs darüber voranzutreiben, welche Standards für Maßnahmen gegen IT-Systeme im In- und Ausland gelten sollten.

Viele Länder wie die USA, Großbritannien, Australien und China haben laut der Handlungsempfehlung bereits politische Rahmenbedingungen für eine aktive Cyberabwehr geschaffen oder Operationen ausgeführt. Die Bundesregierung lehnt in ihrer nationalen Sicherheitsstrategie im Sinne des Koalitionsvertrags Hackbacks als Mittel der Cyberabwehr zwar prinzipiell ab. Gleichzeitig strebt sie aber "die Schaffung einer Bundeskompetenz zur Gefahrenabwehr bei schwerwiegenden Cyberangriffen aus dem In- und Ausland durch Änderung des Grundgesetzes an". Dabei stellt sie auf eine Entgegnung zu einer "laufenden oder unmittelbar bevorstehenden" Online-Attacke ab. Zudem will die Regierung Maßstäbe für den Einsatz von Werkzeugen im Einklang mit völkerrechtlichen Pflichten und "den Normen verantwortlichen Staatenverhaltens im Cyberraum" entwickeln.

Beantworten, nicht vergelten

Dabei will die SNV nun helfen. Denn bisher gelinge es der Politik der zivilgesellschaftlichen Organisation zufolge vielfach nicht, Klarheit darüber zu schaffen, "was verantwortungsvolles Verhalten auf operativer Ebene ausmacht". So gelte es vor allem "das Risiko von Kollateralschäden und diplomatischer Eskalation" zu verringern. Der erste Grundsatz des SNV-Vorschlags lautet daher: "Beantworten, nicht vergelten." Aktive Cyber-Abwehrmaßnahmen sollen demnach immer eine Reaktion auf böswillige Hacking-Aktivitäten wie das Ausnutzen von IT-Sicherheitslücken sein und diese neutralisieren beziehungsweise abschwächen sowie einem Gegner zunächst klar zuordnen, was als schwierig gilt.

Generell dürfe die aktive Cyberabwehr nur als "letztes Mittel" eingesetzt werden, geht aus einer weiteren Regel hervor. Regierungen sollten sich darüber im Klaren sein, dass jede tiefergehende Operation "wahrscheinlich eine ressourcenintensive, einmalige Aktivität ist, die das Gesamtniveau der nationalen Cybersicherheit oder Widerstandsfähigkeit nicht nachhaltig verbessert". Es sei daher nötig, operative Räume zu priorisieren und sich auf eigene rechtliche Zuständigkeitsbereiche zu konzentrieren. Mit Verbündeten sollte vorab kommuniziert werden. Übergriffe auf unbeteiligte Parteien müssten vermieden werden. Die Politik solle zunächst "politische, rechtliche und aufsichtsrechtliche Rahmenbedingungen" schaffen und dabei einen Schwerpunkt auf Folgenabschätzung und Transparenz legen.

Was die Behörden können müssen

Als Anforderungen an die operative Behörde nennt die SNV "technische Exzellenz, operatives Fachwissen und die Bereitschaft, sich strengen Rahmenbedingungen unter einer zentralen Autorität zu unterwerfen". Ein tiefes technisches Verständnis der Einsatzumgebung des Gegners sei genauso wichtig. Gefragt seien Präzisionsschläge: "Unabhängig vom operativen Raum sollten die Maßnahmen so begrenzt wie möglich sein und eine gezielte Ausrichtung auf Dritte, insbesondere Lieferketten und kritische Infrastrukturen, vermeiden." In diesem Sinne sei es notwendig, die eigenen Fähigkeiten sorgfältig zu planen, vorab zu testen und ständig zu optimieren, "um die Effizienz, Wirksamkeit und Verhältnismäßigkeit" der Aktionen zu gewährleisten.

(mki)