Rückblick: Abwehr durch Hackbacks?

Cyberangriffe stellen eine akute Bedrohung für sensible Infrastrukturen von Unternehmen und Staaten dar. Schon jetzt entstehen jährlich Milliardenschäden. Am 21. November 2023 diskutierten Experten im Deutschen Spionagemuseum, wie Deutschland dieser Gefahr zukünftig wirkungsvoll begegnen kann.

Reichen passive IT-Sicherheitsmaßnahmen noch aus?

Die im Deutschen Spionagemuseum zusammengefundene Expertenrunde umfasste Jakob Bund von der Stiftung Wissenschaft und Politik, Sandro Gaycken, NATO-Berater und Gründer eines privaten militärischen Geheimdienstes und Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Moderiert wurde der Abend von dem Politologen Helmut Müller-Enbergs.

Zu Beginn machten die Experten deutlich, dass derzeit ein Umdenken in der IT-Branche stattfinde, wie man Hackerangriffen begegnen solle. Lange Zeit sei vor allem auf eine reine Erhöhung der IT-Sicherheit gesetzt worden. Diese passive Maßnahme verglich Dirk Jäger mit der Verteidigung einer Burg, deren Mauern zum Schutz gegen Angriffe immer erhöht werde, von der aus aber kein aktiver Beschuss des Angreifers stattfinde.

Diese Passivität gelte heute als überholt. Die herkömmliche IT-Sicherheitsmaßnahmen werden nun immer mehr mit aktiven Gegenmaßnahmen kombiniert – der Hackback sei nur eine davon. Beim Hackback gehe es darum, im Falle eines Hackerangriffs den Angreifer selbst zu attackieren und seine Infrastruktur zu zerstören. Ziel sei es vor allem, die Kosten für den Angreifer so groß werden zu lassen, dass ein Angriff unattraktiv wird – es gehe also um Abschreckung, so Häger.

Grundgesetz verhindert staatlichen Hackback

Während private Unternehmen und auch einige Staaten bereits Hackbacks durchführen, stellt diese Maßnahme den deutschen Staat vor Probleme. Für staatlich genehmigte Hackbacks müsste das Grundgesetz geändert werden. Derzeit lehnt der aktuelle Koalitionsvertrag Hackbacks als Mittel der Wahl klar ab.

Auch die privaten Nachrichtendienste von Sandro Gaycken haben Hackbacks im Portfolio, diese seien aber nach Aussage Gayckens derzeit noch nicht verkauft worden. Unter dem juristischen Vorbehalt der Notwehr sei es denkbar, dass private Unternehmen auch in Deutschland im Falle eines Angriffs unter Einhaltung bestimmter Sorgfaltspflichten Hackbacks delegieren und durchführen lassen könnten.

Laut Gaycken gebe es in den USA bereits Beispiele für die Effizienz dieser Maßnahme. Hier habe sich gezeigt, das angegriffene Banken, welche ihrerseits mit Hackback reagiert hätten, in der Folge von weiteren Angriffen verschont wurden. Ebenso habe es unmittelbar vor dem Ukrainekrieg einen Hackback der NATO als Antwort auf russische IT-Angriffe gegen europäische Ziele gegeben. Dieses hätte zu einem „Gleichgewicht des Schreckens“ geführt und somit eine Fortsetzung der IT-Angriffe verhindert.

Wann ist ein Hackback Selbstverteidigung, wann Selbstjustiz?

Laut den Experten bestehe ein großes Problem bei Hackbacks darin, wann diese als Mittel der Selbstverteidigung tatsächlich gerechtfertigt seien. Die juristisch definierte Notwehr habe eine zeitliche Komponente und müsse unmittelbar im Zusammenhang mit dem laufenden Angriff erfolgen. Eine spätere Reaktion, etwa wenn eine abgelaufene Cyberattacke erst später entdeckt wird, falle in den Bereich der Selbstjustiz, welche juristisch keine Berechtigung habe.

Ergänzend fügte Jakob Bund hinzu, dass diesbezüglich eine Differenzierung nötig sei: Viele Cyberattacken verlaufen wochen- oder sogar monatelang. Dabei würden die Angreifer sehr vorsichtig vorgehen, um nicht frühzeitig entdeckt zu werden, bevor relevante Bereiche der angegriffenen Infrastruktur zugänglich sind. So sei es möglich, dass auch ein monatelanger Zugriff auf Behörden oder Unternehmen nicht zwingend bedeute, dass bereits ein großer Schaden entstanden sein muss. Manchmal dauere es lange, bis die Angreifer ein lohnendes Ziel finden.

Experten wünschen sich ein Umdenken

Gaycken bemängelte, dass es ein typisch deutsches Problem sei, derartige juristische Graubereiche wie die Frage nach Selbstverteidigung und Selbstjustiz im Fall von Hackbacks zu fürchten und zu meiden. Amerikaner dagegen würden diese Graubereiche durchaus schätzen und regelmäßig für sich nutzen. Die deutsche Zögerlichkeit sei auch internationalen Hackern bewusst.

In diesem Zusammenhang sprach Dirk Häger zum Ende der Diskussionsrunde ein weiteres Problem an, welches erpresserische Cyberattacken in Deutschland begünstige. Vor allem in der deutschen Medienlandschaft würden die Opfer von Cyberkriminellen zusätzlich zu ihrem Schaden noch oft angeprangert und verhöhnt. Dies führe dazu, dass den Erpressungen zu oft nachgegeben werde.

Viele betroffene Unternehmen und Privatpersonen fürchten eine öffentliche Stigmatisierung. Sie würden daher stillschweigend den Cyberkriminellen das geforderte Geld zahlen und so zu weiteren Straftaten motivieren. Um einen solchen Anreiz zu mindern, sei es nötig, dass die Betroffenen gelassener und offener mit Cyberattacken umgehen und das Geld nicht zahlen. Medien und Öffentlichkeit sollen eher unterstützen als kritisieren. Hier zeige sich, dass nicht immer nur aggressive, aufwendige Maßnahmen gegen Cyberattacken zum Einsatz kommen müssten. Auch mit einfacheren Mitteln ließe sich etwas bewegen.