Public IT-Security: Rechtliche Regelung für "aktive Cyber-Abwehr" gefordert
Hack Back muss möglich sein, muss aber verhältnismäßig ausfallen. Das erklärten Vertreter der Bundesregierung in Berlin.
(Bild: dpa, Silas Stein)
Die Bundesregierung arbeitet an "rechtlichen Rahmenbedingungen" um offensiv zurückhacken zu können. Das erklärten hochrangige Vertreter auf dem vom Behördenspiegel veranstalteten Kongress Public IT-Security. Andreas Könen, Abteilungsleiter Cyber- und Informationssicherheit im Bundesinnenministerium (BMI), sprach sich dafür aus, dass die "richtigen Behörden" eine rechtliche Grundlage für die "aktive Cyberabwehr" bekommen.
Permanent angreifen und verteidigen
BMI-Staatssekretär Klaus Vitt erklärte, die Möglichkeit einer aktiven Abwehr sei eine "komplexe rechtliche und politische Fragestellung", die angegangen werden müsse. Kanzleramtschef Helge Braun schilderte das Geschehen im Cyberraum als "permanenter Kampf zwischen Angriff und Verteidigung".
Auch das Auswärtige Amt beschäftigt sich mit dem Thema, wie Thomas Fitschen ausführte. Der Sonderbeauftragte für Cyber-Außenpolitik und Cyber-Sicherheit wünschte sich, im Fall eines unerklärten Cyberangriffes eine reelle Chance für ein Gespräch zu haben, damit eine Deeskalation der Situation möglich ist. Ansonsten werde nach der Identifizierung der Akteure ein Entscheidungsbaum abgearbeitet, der von der Einbestellung des Botschafters über die öffentliche Erklärung zum Angriff bis zu verteidigungspolitischen Maßnahmen reiche.
Mitarbeit der Bundeswehr
Von Seiten der Verteidiger fragte Generalmajor Michael Vetter, Chef des Kommandos Cyber- und Informationsraum (CIR), ob es im Cyberraum unter befreundeten Staaten so etwas wie ein Zusammenhalt geben kann. Seiner Ansicht nach wollen Akteure mit ihren Cyber-Angriffen einen Staat destabilisieren, würden aber immer unterhalb der Schwelle bleiben, an der "kinetische Wirkmittel" eingesetzt werden. Für die Zukunft freute sich Vetter über die Mitarbeit der Bundeswehr im künftigen "Cyber-Abwehrzentrum Plus", in dem rund um die Uhr das Cyber-Lagebild erstellt werde.
In den zahlreichen Workshops des zweitägigen Kongresses wurde das Thema differenziert diskutiert. Nicht nur beim Hack Back, auch in der Wirtschaftsspionage ist die Attribuierung eines Vorfalls eine kniffelige Angelegenheit. Noch sind die Erinnerungen an den Olympic Destroyer frisch, als die Cyberexperten zunächst auf Nordkorea zeigten, bis sich herausstellte, dass Hacker falsche Spuren gelegt hatten. Zudem gebe es sehr unterschiedliche Reaktionsmöglichkeiten. Deutsche Beamte könnten zwar einen Server in Deutschland vom Netz nehmen, das Abschicken eines Deinstallations-Befehls an einen Command&Control-Server irgendwo im Netz sei ihnen aber nicht erlaubt, im Gegensatz zu niederländischen Cyber-Ermittlern. Hierzulande fehlten die rechtlichen Grundlagen.
Cybersecurity für afrikanische Staaten
Im Rahmen des Kongresses wurde auch das Projekt "Cyber4Growth" für Afrika von SEC Consult und dem TÜV Rheinland vorgestellt. Durch die fortschreitende Digitalisierung sind die Cybercrime-Schäden auch in Ländern wie Kenia (180 Million Euro im Jahr 2017) oder Tansania (86 Millionen) besonders hoch. Ziel ist es, vor Ort Cybersicherheitsexperten so auszubilden und zu zertifizieren, dass sie ihrerseits Experten ausbilden können.
Das Projekt startet mit Mitteln von 150.000 Euro aus der deutschen Entwicklungshilfe in Ruanda, Uganda, Kenia und Tansania. Mittelfristig ist geplant, in Nairobi eine "Cyber Security Akademie" einzurichten, die wissenschaftlich von einer deutschen Universität betreut ist. "Ostafrika wird zum Datentresor für ganz Afrika", freute sich Torsten Töllner, Geschäftsführer von SEC Consult. (mho)
