Auch Verfassungsschutz will offensive „Hack back“-Fähigkeiten

Nach dem Innenministerium fordert einem Medienbericht zufolge nun auch der deutsche Bundesverfassunggschutz (BfV) die Möglichkeit Cyberattacken mit offensiven Cyber-Maßnahmen bekämpfen zu können, dem sogenannten „Hack back“ bzw. „Active defense“.

Es sei notwendig, nicht nur rein defensiv tätig zu werden, sagte Maaßen der Deutschen Presse-Agentur. Man müsse auch in der Lage sein, den Gegner anzugreifen, damit er seine Attacken einstelle (Originalquelle beim Deutschlandfunk http://www.deutschlandfunk.de/cyber-attacken-maassen-will-moeglichkeit-fuer-gegenangriffe.447.de.html?drn:news_id=697658 nicht mehr verfügbar / lokale Kopie)

Auch wenn diese Forderung angesichts der aktuellen Befürchtungen vor Hacking-Attacken im deutschen Bundeswahlkampf schlüssig zu sein scheinen, unterschlagen solche Forderungen jedoch die damit verbundenen massiven Probleme sowie die vielen national und international noch ungeklärten Fragen zu den Befugnissen und Grenzen des staatlichen Agierens im Cyberspace. Einige dieser Aspekte hatte ich bereits in diesem Text anlässlich der vergleichbaren Verlautbarung aus dem Innenministerium zusammen getragen.

Hinsichtlich der Möglichkeiten zur Abwehr konkretisierte Maaßen sein Vorschläge wie folgt:

Derzeit sei es dem BfV beispielsweise nicht möglich, ausgespähte Daten zu löschen, die von einem Täter auf einem Server abgelegt werden. „Damit besteht die hohe Gefahr, dass sich der Schaden vervielfacht, da nun neben dem Täter auch Dritte in die Daten Einsicht nehmen könnten.“ In diesem Fall müssten die deutschen Behörden die rechtliche Kompetenz erhalten, diese Daten zur Gefahrenabwehr zu löschen. Maaßen hält es auch für erforderlich, „dass es eine klare Regelung dafür gibt, Angriffs-Infrastrukturen auszuschalten, von denen schwerwiegende Gefahren für die Cybersicherheit ausgehen“ (Q: heise.de / lokale Kopie)

Aus friedenspolitischer Sicht vermengen solche Forderungen die Möglichkeiten der Spionageabwehr (das Löschen von entwendeten Daten) mit präventiven Maßnahmen der Gefahrenabwehr, wie bspw. dem genannten Infiltrieren und Zerstören von „Angriffs-Infrastrukturen“, worunter vermutlich Botnetze die für Denial-of-Service-Attacken verwendet werden können. Diese Aufgaben und die dahinter stehenden Schutzziele sind in Deutschland jedoch aufgrund der operativen und sicherheitspolitischen Tragweite berechtigterweise auf unterschiedliche Dienste getrennt verteilt, mit den jeweiligen Befugnissen, Handlungsgrenzen und parlamentarischen Bewilligungs- und Aufklärungspflichten. Vor diesem Hintergrund ist es angesichts der hier bereits dargestellten Gefahren bei offensiven Cyber-Maßnahmen gegen fremde IT-Systeme wie der Fehlattribution, den Kollateralschäden und der schwierigen Zielidentifikation m.M.n. nicht sinnvoll, derlei weitreichende Befugnisse einer im geheimen und öffentlich sowie politisch kaum kontrollierbaren  Institution wie dem BfV einzuräumen. Vergleicht man die Forderungen mit den Debatten über den Aufbau des eigenständigen Cyber-Organisationsbereiches bei der Bundeswehr und den vielen sicherheits- sowie friedenspolitischen Vorbehalten in Bezug auf den Aufbau und möglichen Einsatz offensiver „Cyber-Wirkmittel“ (a.k.a. „Cyberwaffen“) dann wird deutlich, wieviele Sicherheitsbedenken Hans-Georg Maaßen und Bundesinnenminister de Maizière mit ihren Forderungen ignorieren oder zu mindestens öffentlich nicht adressieren. Darüber hinaus ist es zumindestens aus technischer Sicht unklar, ob Maßnahmen wie die Löschbefugnisse von Daten auf fremden IT-Systemen zielführend sind oder wie solche Maßnahmen verfassungskonform gestaltet werden sollen, Aspekte die ja bereits bei der den Debatten um die sog. Onlinedurchsuchung durch das Bundesverfassungsgericht wiederholt angemahnt wurden.

Neben diesen sicherheitspolitischen, verfasssungsrechtlichen und technischen Problemen ergeben sich aber auch mögliche praktische Konflikte zwischen den verschiedenen Diensten wenn diese alle eigene, zum Teil geheime Cyberoperationen durchführen. Wie sollen angesichts des sinnvollen und wichtigen Trennungsgebot der Dienste die Kompetenzen und Befugnisse abgegrenzt und Überschneidungen bei den Operationen vermieden werden. Wie soll angesichts der von Bundesinnenminister de Maizière vielfach wiederholten Floskel der schwierigen Abgrenzung von Innen- und Außenpolitischen Belangen im Cyberspace die notwendige Sorgfalt, Sensibilität und Güterabwägung gewahrt werden, wenn unterschiedlichste Dienste in dieser Domäne verdeckt operieren, Dienste die in der Vergangenheit bereits bei anderen Gelegenheiten in der Kritik standen wegen ihrer politisch recht autonomen Maßnahmen oder ihres sehr eigenen Verfassungsverständnisses?