Die NZZ berichtet in der heutigen Onlineausgabe (PDF des Artikel und Quelle) von einer Initiative des schweizer Nachrichtendienstes NDB (Nachrichtendienst des Bundes), dessen Befugnisse im Cyberspace durch ein neues Gesetz deutlich erweitert werden sollen. Mit der Änderung „ist denn auch vorgesehen, das der NDB künftig in Computersysteme und -netzwerke eindringen kann – auch im Ausland [um dort] den digitalen Informationsfluss aber auch «stören, verhindern oder verlangsamen» [zu] können, falls er den begründeten Verdacht hat, dass Systeme für Angriffe auf kritische Infrastrukturen in der Schweiz verwendet werden“
Obwohl ein solches Vorgehen vermutlich ohnehin zur Praxis von Auslandsnachrichtendiensten gehört ist es bemerkenswert, dass derartige Befugnisse und Vorhaben offen kommuniziert werden. Derart klare Aufgabenbeschreibungen die das Stören fremder Systeme umfassen gab es bisher nur in der präsidialen Direktive PPD 20/2012 von US-Präsident Obama. Diese Anweisung an die US-Geheimdienste und das US-Militär war allerdings ursprünglich geheim und wurde erst durch Edward Snowden enthüllt. Von daher bleibt abzuwarten, in welchem Umfang weitere Staaten eine derart deutliche Sprache wählen und dem allgemeinen Trend der Aufrüstung im Cyberspace folgen werden.
[Update:] Anders als es der NZZ-Artikel suggeriert sollen sich die offensiven Befugnisse ausschließlich auf die Möglichkeit beziehen, im Falle von Angriffen gegen schweizerische Computersysteme die Ursprungssysteme selbst anzugreifen um Gefahren abzuwehren. Myriam Dunn-Cavelty von der ETH Zürich meint dazu:
Der Artikel ist leider sehr unpräzise formuliert. Die Befugnisse im Gesetz sind sehr klar definiert, es geht nur um ein „Hack Back“. Wenn also bspw. mit Sicherheit klar ist, dass ein Land eine Distributed Denial of Service Attacke (DDoS) auf die Schweizerische Nationalbank durchführt, dann soll für solche akuten Bedrohungen die Möglichkeit bestehen, diese Computer zu stören und ggf. abschalten. Es geht hier also „nur“ um „active defense“ und auf keinen Fall vorbereitende oder offensive Handlungen.
Der Originaltext des Gesetzesvorhaben kann hier eingesehen (lokale PDF und Originalquelle) werden. Der NZZ-Beitrag bezieht sich dabei vor allem auf Artikel 25/d.
Enge Verbindungen zwischen nachrichtendienstlichen und militärischen Organisation wie sie bspw. in den USA in Form der NSA und der US-Cybercom bestehen demonstrieren jedoch, wie schnell defensive Fähigkeiten auch Begehrlichkeiten für die militärische Planungen im Cyberspace wecken. Letztlich bleibt es dabei, dass in erster Linie die Absicht des Anwenders darüber entscheidet, ob der Einsatz einer Software im Cyberspace der Verteidigung oder dem Angriff dient.