Gefahr im Verzug
Trotz Warnung von Sicherheitsexperten träumen immer mehr Politiker von „aktiven Maßnahmen“ gegen Cyberangriffe. Das ist gefährlich.
Die Einschläge kommen näher. Am 6. Januar dieses Jahres beobachtete die Sicherheitsfirma Volexity erste Angriffe auf Exchange-Server in aller Welt. Angriffe, die bisher unbekannte Sicherheitslücken ausnutzten. Weil Microsoft Exchange für viele Unternehmen die Kommunikationszentrale schlechthin ist, schrillten bei Microsoft die Alarmglocken. Das Unternehmen begann sofort an Patches zu arbeiten, um die Lücken zu schließen. Doch noch bevor Microsoft diese Patches ausliefern konnte, beschlossen die unbekannten Angreifer in die Offensive zu gehen: Sie scannten im Internet nach verwundbaren Systemen, griffen sie an, bauten eine Hintertür ins System und zogen weiter. Zehntausende Exchange Server wurden so geknackt.
Für Kriminelle ist das eine – gelinde gesagt – ungewöhnliche Vorgehensweise. Denn mit ihrem Großangriff zogen die Angreifenden, die nach einer Analyse von Microsoft vermutlich von China aus operierten, viel zu viel eigentlich unerwünschte Aufmerksamkeit auf sich. Eine sehr beunruhigende Interpretation drängt sich auf: Das war keine Aktion von Kriminellen, sondern die Machtdemonstration staatlich finanzierter Hacker, schreibt Jürgen Schmidt, Senior Fellow Security bei Heise. „Da wird nicht mehr nur spioniert. Da lässt eine Cyber-Einheit des Militärs seine Muskeln spielen“ – ein „internationaler Schwanzvergleich der Militärs im Cyberspace“.
Wenn das stimmt, wie darauf antworten? Seit Jahren gibt es eine wachsende Fraktion in der Politik, die davon überzeugt ist, dass es nicht reicht, nur die eigene Abwehr zu stärken. Man müsse vielmehr auch offensive Fähigkeiten entwickeln. Die EU-Kommission beispielsweise stellte im Dezember 2020 eine „Cybersicherheitsstrategie“ vor und erklärte, sie arbeite bereits mit den Mitgliedsstaaten am „Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion“ gegen größere Hackerangriffe. Eine „gemeinsame Cybereinheit“ werde vorbereitet.
Auch in Deutschland wird die Diskussion um solche „Hackbacks“ seit Jahren geführt. Zwar ist Innenminister Seehofer bei seiner vorerst letzten Offensive in dieser Richtung Anfang 2020 gescheitert, doch die Pläne sind offenbar nicht völlig vom Tisch. So sprach Andreas Könen, Abteilungsleiter Cyber- und IT-Sicherheit im Bundesinnenministerium im Rahmen einer Podiumsdiskussion auf der Tagung SecIT in Hannover von „aktiven Maßnahmen“, die notwendig seien, um der gestiegenen Gefahr im Cyberraum zu begegnen. Es handele sich dabei jedoch nicht um „Gegenangriffe“ oder ähnliches. Die Maßnahmen seien vielmehr vergleichbar mit „polizeilicher Gefahrenabwehr“. Den Behörden dazu die nötigen Instrumente in die Hand zu geben, sei unbedingt notwendig, meinte Könen. Darauf könne man „nicht noch einmal mehrere Jahre warten“.
Damit das nicht passiert, schafft die Bundesregierung Fakten: Im Entwurf zum neuen IT-Sicherheitsgesetz beispielsweise steht, das Bundesamt für Sicherheit in der Informationstechnik dürfe ihm bekannt gewordene Sicherheitslücken in Software künftig geheim halten, wenn „überwiegende Sicherheitsinteressen“ dafür sprechen. Worin diese bestehen könnten, steht dort zwar nicht, aber es liegt auf der Hand: Wer Software-Sicherheitslücken geheim hält, will sie für eigene Angriffe nutzen. Oder sich zumindest die Option dazu offen halten. Dazu passt der massive Ausbau der „Zentralen Stelle für IT im Sicherheitsbereich“ (ZITiS), die Polizei und Geheimdiensten bei der technischen Überwachung helfen soll.
Die jahrelange Hackback-Diskussion in Deutschland könnte also tatsächlich in einer Art „Cyber SEK“ münden – einer Spezialeinheit der Polizei, die bei besonderer Gefährdungslage Server von Cyberkriminellen infiltrieren und auch ausschalten dürfte. Das muss noch nicht bedeuten, dass Deutschland sich auch an offensiven militärischen Operationen im Cyberspace beteiligt. Wäre damit nicht alles gut?
Nein, und zwar aus zwei Gründen: Es gibt im Cyberraum eine Grauzone, in der sich militärische Aktion und Sabotage, politische Spionage und Industriespionage, Kriminalität und „extralegale Aktionen“ nahezu untrennbar miteinander vermischen. Das macht diese Grauzone zu einem Pulverfass. Wer glaubt, lediglich das Netz einer erpresserischen Räuberbande lahmzulegen, hat möglicherweise schneller den FSB am Hals, als er NSA sagen kann.
Für viel gravierender und fahrlässiger halte ich es allerdings, die ohnehin schon schwierige Sicherheitslage in der IT durch die Geheimhaltung von Sicherheitslücken oder Entwicklung eigener Hacker-Tools noch weiter anzuheizen. Denn eine Sicherheitslücke, wie die Exchange-Schwachstelle wäre auf dem Schwarzmarkt in entsprechenden Darknet-Foren viel Geld wert – Millionen von Euro. Das wird einschlägig interessierte Kreise anziehen. Und die Erfahrung zeigt: Auch Sicherheitsbehörden haben Schwachstellen – technische und menschliche. Früher oder später werden die dort entwickelten „Cyber-Waffen“ also in die falschen Hände geraten.
Zugegeben: Der Gedanke, all den Dieben, Betrügern, Erpressern und Spionen im Cyberraum mal die Zähne zu zeigen, ist verlockend. Mehr Sicherheit wird das aber nicht herstellen. Wahrscheinlich sogar viel weniger Sicherheit. Wir sind gut beraten, an dieser Stelle noch einmal gründlich zu überlegen, bevor Fakten geschaffen werden.