Einschätzung zur Debatte über Hack-Back für deutsche Cyber-Einheiten

Nachdem schon seit einer ganzen Weile bei unterschiedlichen Gelegenheiten durch Staatsvertreter der Bedarf nach Hack-Back-Fähigkeiten im Cyberspace und entsprechenden Befugnissen angemerkt wurde, berichten jetzt NDR, WDR und die Süddeutsche Zeitung (Q: tagesschau.de / lokale Kopie) davon, dass die Bundesregierung dafür wohl nun die Grundlage schaffen will. Zu diesem Zweck werden aktuell Studien erarbeitet, die im Sommer im Bundessicherheitsrat geraten werden sollen.

Beim Konzept des Hack-Back  geht es darum, Cyberattacken dadurch zu beenden, indem die Ursprungssysteme eines Angriffs selbst gestört oder gehackt werden um die Angriffe „an der Quelle“ zu stoppen. Dieser, auf den ersten Blick sinnvoll wirkende Ansatz wird seit einigen Jahren in Sicherheitsdebatten immer wieder diskutiert, birgt jedoch enorme Risiken mit Blick auf eine Fehleinschätzung des wahrgenommenen Angreifers und damit verbundenen Fehlreaktionen mit dem entsprechenden Eskalationspotential. Da in den Debatten seitens militärischer Sicherheitsfachleute immer wieder auch die Möglichkeit konventioneller Reaktionen auf Cyber-Attacken diskutiert wird, kann aus einer Cyber-Aktion und Reaktion durchaus ein „echter“ militärischer Konflikt entstehen. Eine ausführlichere Analyse war in diesem Blog erst vor kurzem als Lesetipp verlinkt.

Aus technischer Sicht birgt Hack-Back (zum Teil auch als „active defense“ bezeichnet) das Problem, dass man für einen solchen Ansatz die möglichen Schwächen potentieller Gegner kennen musste. Damit rückt anstelle der defensiven Sicherung der eigenen Systeme die – möglicherweise illegitime – Analyse fremder IT-Systeme sowie die Sammlung von Sicherheitslücken in den Fokus der – zumindestens in Deutschland bereits ohnehin dünn aufgestellten – Cyber-Einheiten. Sicherheitspolitisch betrachtet wäre die Befugnis zum Hack-Back für militärische Kräfte ein weiteres konfliktreiches Signal an andere Staaten, da zwischen dem Training von Hack-Back-Fähigkeiten und echten, ausschließlichen Offensiv-Fähigkeiten im Cyberspace faktisch nicht mehr unterschieden werden kann. Aus Sicht des BMVg wurde die Planung eines solchen Vorhabens in einer Anhörung im Verteidigungsausschuß über die Rolle der Bundeswehr im Cyberspace (vom 22.2.2016) noch durch Staatssekretärin Frau Suder mit folgenden Worten verneint: „[Das Konzept] active defence (..) ist zur Zeit keine Planung aber [es gibt natürlich] immer wieder Gedanken dazu was ist zulässig und was ist technisch möglich” (im Live-Mitschnitt 2:55:00). In der Anhörung verwies Frau Suder bereits damals darauf, dass es zur Analyse dieses Verteidigungskonzepts bereits eine Studie gegeben hat. Auch vom Exzellenz-Zentrum der NATO in Tallinn CCDCOE gibt es eine umfassende Studie („Responsive Cyber Defence – technical and legal analysis“), die hier in Auszügen einsehbar ist.

Neben dem allgemein für den Cyberspace typischen Problem der Attribution stellt sich als weiteres Problem des Hack-Back-Ansatzes die Frage, welche Institution im Falle eines Angriffs in der gebotenen Kürze entscheiden soll, welches System angegriffen wird, in welchem Wirkungsausmaß und durch welche Cyber-Einheit das geschehen soll. Wie soll dabei im Vorfeld festgestellt werden, für welchen Zweck das anzugreifende Zielsystem dient. Der eigentliche Angreifer könnte ja durchaus absichtlich die Rechner eines Krankenhauses oder von kritischen Infrastrukturen verwenden um den Angriff auszuführen – Systeme die im Falle einer Hack-Back-(Zer)Störung relevante Konsequenzen nach sich ziehen. Wenn man vom realistischen Fall ausgeht, dass ein Angreifer die Attacke über verschiedene, zwischengeschaltete IT-Systeme durchführt, dann würde die zeitnahe Rückverfolgung und Identifikation des Angriffs ein Eingriff in diese, unwissentlich beteiligten Systeme erfordern und damit deren technische Integrität gefährden.

Angesichts dieser (und weiterer Fragen) kann man auf die Resultate der Analysen gespannt sein. Letztlich bleibt zu befürchten, dass die Debatten von den Diensten auch genutzt werden, um erweiterte technische Ressourcen und zusätzliche Möglichkeiten zum offensiven Wirken im Cyberspace zu fordern.