Einem Bericht der FAZ (Quelle / lokale Kopie) zufolge plant das Innenministerium eine Cybereinheit, die innerhalb der kommenden drei Jahre aufgebaut werden soll und bei Cyberangriffe auf kritische Infrastrukturen auch offensiv fremde IT-Systeme angreifen können soll, um die von dort ausgehenden Angriffe zu beenden. Dieses Konzept der „active defense“ wird seit einigen Jahren in unterschiedlichen Gremien immer wieder diskutiert und wird unter Politik- und Informatik-Experten als hochkritisch angesehen. Auch innerhalb der Koalition ist der Vorschlag laut Medienbericht nicht unumstritten.
Zum einen würde mit dem Aufbau einer solchen Einheit die explizite Fähigkeit zum offensiven Eingriff in fremde IT-Systeme geschaffen, was angesichts der aktuellen internationalen Unsicherheit über Vereinbarungen, Regularien und Grenzen des staatlichen Handelns in dieser Domäne den bereits bestehenden Cyber-Rüstungswettlauf weiter befeuern dürfte. Zum anderen soll die geplante Einheit nicht im Rahmen der Bundeswehr installiert werden, was die Fragen nach den gesetzlichen Regeln (und Pflichten) beim Agieren in IT-Systemen anderer Nationen in Friedenszeiten aufwirft, insbesondere wenn es dieser Einheit per Konzeption erlaubt sein soll diese Systeme aktiv zu beeinflussen. Neben diesen Aspekten muss das Innenministerium erklären, wie sie das Problem der Attribution von Cyberattacken lösen will um auf Angriffe zu reagieren. Diese Frage nach dem tatsächlichen Ursprung von Cyberangriffen ist nach wie vor der „Showstopper“ in internationalen Debatten bei der Normen-Findung da Angreifer im Cyberspace ihre Aktivitäten sehr gut durch zwischen geschaltete IT-Systeme verbergen können. Die vom Opfer wahrgenommen Herkunft von Cyberangriffen ist in aller Regel nicht das tatsächliche Ursprungs-System des Angreifers. Sehr oft handelt es sich um irgendwelche, im Vorfeld gehackte IT-Systeme von beliebigen Fremden, die dann für den Angriff mißbraucht werden. Eine Rückverfolgung zum echten Ursprung ist zwar theoretisch forensisch möglich, bedarf aber einer umfassenden und langwierigen Analyse der Datenspuren. Ein sinnvolle und belastbare Rückverfolgung innerhalb der für eine Verteidigung zur Verfügung stehenden Minuten oder Stunden ist nicht möglich. Eine als Angreifer identifiziertes und in der Folge lahm gelegtes IT-Systems kann damit durchaus eigentlich unbeteiligt (im Sinne von „nicht der Ursprung“) sein, seinerseits zum Bereich der kritischen Infrastruktur einer anderen Nation gehören oder in anderer Form für Dritte von Bedeutung sein. Gerade angesichts der gebotenen Reaktionsgeschwindigkeit einer Verteidigung ist es nahezu unmöglich die Natur des aktiv zu störenden IT-Systems festzustellen. Auf Grund dieser Unsicherheit und dem Problem der Attribution liegt in einem Konzept der „active defense“ ein erhebliches Eskalationsrisiko, das möglicherweise sogar durch Dritte ausgenutzt werden kann um Konflikte zwischen Staaten herauf zu beschwören, indem man deren IT-System für Angriffe mißbraucht.
Gerade mit Blick auf die politische Argumentation des Vorschlags ist zusätzlich bedenkenswert, dass unter anderem der letzte vermeintliche großflächige Angriff auf das Telekom-Netzwerk als Begründung herangezogen wird, ein „Angriff“ der bei näherer Betrachtung keiner war.
Für eine weiterführende Beschäftigung mit den Problemen dieses Ansatzes bietet sich bspw. diese Analyse von Oona A. Hathaway der Yale Law School (Quelle) an, die sich den Gefahren der „active defense“ im Cyberspace widmet.
Update (10.01.2017): Auch der Bundesverfassungsschutz fordert nun entsprechende offensive Befugnisse für die Cyberabwehr.