LOAD e.V.
Cyberbomben

Cyberbomben – Die Lizenz zum Töten?

Hackbacks lehnt die Ampelkoalition laut Koalitionsvertrag grundsätzlich ab. Wir tun dies auch.

In dem Beitrag "CYBERBOMBEN - Die Lizenz zum Töten?" der Ausgabe 02/2022 des Magazins "Jung-und-Liberal" spricht sich auch unser Mitglied Rene Rahrt zusammen mit Patrick van Rossum klar gegen Hackbacks aus und wirbt stattdessen dafür , die nötigen Ressourcen für Cyberangriffe lieber für den Ausbau der defensiven Fähigkeiten des Staates zu verwenden.

Den Artikel könnt ihr gerne hier nachlesen:

Cyberbomben - Die Lizenz zum Töten?

Unser Bild von Geheimagenten ist geprägt durch Film und Fernsehen: stämmige muskulöse Einzelgänger im schicken Anzug, die unter jeglichen Gefahren stets einen kühlen Kopf bewahren. Die Realität ist schon lange eine andere. Die erfolgreichsten Spioninnen und Spione tragen Maus und Tastatur, statt eines Einzelgängers sind Armeen von Entwicklerinnen und Entwicklern am Werk. Durch den Wandel der Geheimdienstarbeit ist ein ganzer Industriezweig mit anonymen Akteuren entstanden, die IT-Systeme nicht nur zur Informationsbeschaffung, sondern auch zur Sabotage kritischer Infrastrukturen infiltrieren. Nachrichtendienstliche und militärische Operationen sowie Cyberattacken von Staaten und Kriminellen verschwimmen zunehmend ineinander. Weicht die Digitalisierung damit althergebrachte Positionen in der internationalen Sicherheitspolitik auf?

Hacking as a Service

Als Junge Liberale kämpfen wir für ein freies und unzensiertes Internet. Den damit verbundenen Kontrollverlust sehen wir als wichtiges Element, da nur so die Meinungsfreiheit im Netz sichergestellt werden kann. Was dabei auffällt? Besonders Staaten, die durch Zensur die Meinungsfreiheit ihrer Bevölkerung im Internet stark einschränken, wird eine hohe Aktivität von Hackerangriffen zugeordnet. Um dies zu beweisen, werden in der IT-Sicherheit sogenannte „Honeypots“ verwendet. Dieser „Honigtopf“ soll potenziellen Angreifern täuschend echte Computersysteme präsentieren. Den Angreifern jedoch ist dieses Risiko bewusst. Daher nutzen sie verschiedene Methoden, um ihre Spuren zur verschleiern. Bei diesem Katz-und-Maus-Spiel ist festzuhalten, dass gut organisierte Angriffe nicht nachverfolgbar sind. Der Großteil der Angriffe auf deutsche Regierungsbehörden ist keinem Herkunftsland zuzuordnen. Danach folgen auffällig viele Angriffe aus Russland und China. Das Problem mit solchen Statistiken ist, dass sie oft missinterpretiert werden. Das Ursprungsland eines Hackerangriffs sagt nämlich nichts über den (staatlichen) Auftraggeber aus. In den meisten Fällen läuft die Kontaktaufnahme mit Cyber-Söldnern anonym über das Darknet ab, in dem Auftraggeber Hacking-Angriffe als Dienstleistung („Hacking as a Service“) einkaufen können. Die Vorteile liegen klar auf der Hand: Da die Cyber-Söldner ihre eigene Infrastruktur nutzen, ist es praktisch unmöglich, den Auftraggeber zu ermitteln.

Der Wilde Westen im neuen Zeitalter

In klassischen Westernfilmen tragen die Bösewichte einen schwarzen Hut, während die Helden stets einen weißen tragen. Ähnlich läuft es heute auch im Cyberspace ab. Als „White Hat“ bezeichnen sich Hacker, die sich innerhalb gesetzlicher Rahmen bewegen. Ihr Ziel ist es, Sicherheitslücken zu finden, damit diese geschlossen werden können. Wohingegen ein „Black Hat“, die Absicht hat, Schaden anzurichten. Dann gibt es noch den „Grey Hat“, der irgendwo dazwischen einzuordnen ist. Diese Unterschiede zu kennen ist wichtig, da Hacker in Deutschland oft als Kollektiv in eine Schublade gesteckt werden. Aktuelle Gesetze wie der Hacker-Paragraf (§ 202 c StGB) und die Kriminalisierung von Sicherheitsforscherinnen und -forschern zeigen sehr deutlich, dass diese Differenzierungen einfach nicht gemacht werden. In Deutschland fehlt es an einer langfristigen Strategie zur Zusammenarbeit mit White Hats. Wir müssen endlich über neue Arten der Organisierung im Cyberspace nachdenken. Statt auf zentralisierte Cybereinheiten des Staates zu setzen, braucht es eine dezentrale Zusammenarbeit mit nicht-staatlichen Akteuren.

Cyberattacken von Spionage bis Militäroperation

Das Spektrum von Cyberangriffen ist weit und kann viele digitale Maßnahmen gegen ein gegnerisches IT-System umfassen. Im Kontext von staatlich veranlassten Attacken gibt es sowohl nachrichtendienstliche Hacks, um Daten und Informationen des Feindes abzuschöpfen oder zu verändern, als auch kriegerische Aktionen, die darauf abzielen, militärische Einrichtungen wie Militärbasen oder zivile kritische Infrastrukturen wie Stromversorger oder Krankenhäuser auszuschalten. Und natürlich kann man sich auch alle Mischformen dazwischen vorstellen. Ein Beispiel für Cyberangriffe zum Zwecke der Spionage stellen die Hackerangriffe auf den Deutschen Bundestag in den Jahren 2015 und 2016 dar, bei denen wahrscheinlich russische Hacker Informationen der Bundestagsverwaltung, der Fraktionen und von Abgeordneten entwendeten. Ein anderes Beispiel ist die Cyberattacke aus dem letzten Jahr, bei der vermutlich der israelische Geheimdienst eine Atomanlage im Iran sabotierte, in der Uran angereichert werden soll. Der russische Angriffskrieg auf die Ukraine zeigt, wie moderner hybrider Krieg aussehen kann, bei den Attacken im Cyberraum die Invasion in der realen Welt vorbereiteten. So versuchten beispielsweise 2016 vermutlich russische Hacker, die Stromversorgung in Kiew lahmzulegen. 2017 wurde international viel Schaden mit der Löschsoftware NotPetya angerichtet, die wohl von russischen Hackern aktiviert wurde, um die Ukraine zu destabilisieren. Außerdem wurden im Vorfeld des Einfalls Russlands in die Ukraine Webseiten ukrainischer Behörden attackiert.

Sind Hackbacks sinnvoll?

Wegen der Unterstützung der Ukraine durch den Westen im Ukraine-Krieg steigt auch das Risiko für deutsche Unternehmen und Behörden, Ziel von russischen Cyberangriffen zu werden. Darum brachte die Bundesinnenministerin Nancy Faeser vor Kurzem eine Grundgesetzänderung ins Spiel, die die Kompetenzen des Bundes im Bereich der Cyberabwehr stärken soll. Dabei müsse man ihrer Meinung nach auch darüber nachdenken, Deutschland zu offensiven Cyberattacken als Reaktion auf das eigene Angegriffen-Worden-Sein, sogenannte Hackbacks, zu befähigen. [Mittlerweile ist sie wieder von dem Vorschlag zurückgerudert. – Anmerkung der Autoren nach Erstveröffentlichung] Sollte Deutschland also zukünftig eigene Cyberbomben zünden, um sich zu verteidigen?

Digitale Vergeltungsschläge könnten ein Gefühl von Gerechtigkeit hervorrufen und Genugtuung gegen den Feind erreichen. Außerdem ist Hackback nicht unbedingt gleich Hackback, denn Art und Umfang des digitalen Gegenschlags können variieren. Denkbar ist zum Beispiel das Eindringen in das gegnerische IT-System, um den Angriff auf das eigene System zu unterbrechen. In einer Logik des digitalen Wettrüstens könnten offensive Cyberattacken als Reaktion auf vorangegangene Angriffe gegen Deutschland zudem abschreckend wirken, denn die Cyberangreifer müssten befürchten, unmittelbar nach einem Cyberschlag selbst Opfer zu werden. Das Argument der Abschreckung durch Hackbacks würde allerdings nur dann greifen, wenn Cyberattacken schnell und eindeutig dem Feind zugeordnet werden können. Das ist nicht der Fall, denn Angreifer können ihre Spuren verwischen oder sogar falsche legen, um die Attacke einem anderen anzuhängen. Und selbst für den Fall einer erfolgreichen offensiven Cyberattacke gegen den richtigen (staatlichen) Akteur würde man womöglich nur in eine Eskalationsspirale von Schlag und Gegenschlag eintreten. Außerdem kann man sich bei offensiven Cyberangriffen gegen militärische Ziele nie sicher sein, ob man wegen der Vernetzung der IT-Systeme nicht doch auch indirekt zivile kritische Infrastruktur trifft, wodurch dann die Versorgung der Bevölkerung gefährdet wird. Nicht zuletzt erfordern solche Cyberbomben einen hohen Aufwand in Vorbereitung und Durchführung und können wahrscheinlich auch nur einmal gezündet werden, weil danach die ausgenutzten Sicherheitslücken geschlossen werden.

Defensive Cyberabwehr statt offensive Cyberattacken

Hackbacks lehnt die Ampelkoalition laut Koalitionsvertrag grundsätzlich ab. Auch viele IT-Expertinnen und Experten der AG KRITIS, des CCC oder von LOAD, dem Verein für liberale Netzpolitik, stehen offensiven Cyberangriffen wegen der oben ausgeführten Gründe kritisch gegenüber. Als Junge Liberale sollten wir uns klar gegen Hackbacks aussprechen und stattdessen dafür werben, die nötigen Ressourcen für Cyberangriffe lieber für den Ausbau der defensiven Fähigkeiten des Staates zu verwenden. Denn Verteidigung ist die beste Verteidigung.

Den ganzen Artikel findet ihr auf den Seiten 32-33 unter

https://www.julis.de/wp-content/uploads/2022/05/Jung-und-Liberal-02-22-Onlineausgabe.pdf

Wir wünschen viel Spaß beim Lesen.


PS: Die LOAD-Positionen zur Notwendigkeit einer defensiven Cyberabwehrstrategie  finden sich übrigens in dem Policy Brief "Weil Angriff nicht die beste Verteidigung ist" aus dem Jahr 2019.