Hackback – eine Never Ending Story . . .

Dieser Beitrag wurde unter Allgemein, News abgelegt am von .


Hackback – eine Never Ending Story . . .

Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Leise, geduldig und hochprofessionell gehen Hacker vor, um Daten zu stehlen oder die digitale Infrastruktur von Unternehmen und staatlichen Einrichtungen zu schädigen. Ein digitaler Gegenschlag könnte heimische IT-Systeme aktiv verteidigen. Doch es gibt komplexe rechtliche Fragestellungen zum sogenannten Hackback. Ein Gesetz, das Behörden erlauben sollte, in ausländische Server einzudringen, scheiterte jüngst am Veto der SPD.

Egal, ob Mailprogramm oder hochkomplexe Steuerung industrieller Produktionsprozesse – in nahezu jeder Software gibt es Sicherheitslücken. Im besten Fall werden die digitalen Schwachstellen aber durch Updates geschlossen. Doch allzu oft identifizieren Hacker diese digitalen Sicherheitslücken und schlagen zu. Starten beispielsweise einen Cyber-Angriff mit sogenannter Ransomware, bei der Daten gegen eine Lösegeldforderung verschlüsselt werden. Oder stehlen sensible und sicherheitsrelevante Daten. Oder sabotieren digital gesteuerte Produktions- und Kontrollabläufe. Unternehmen sind von den Attacken genauso betroffen wie staatliche Einrichtungen, Energieversorger, Krankenhäuser, Stromnetze.

Der finanzielle Schaden ist jedenfalls gewaltig: So geht der Branchenverband Bitkom davon aus, dass kriminelle Cyberattacken allein auf Unternehmen in Deutschland derzeit einen jährlichen Schaden in Höhe von jährlich 102,9 Milliarden Euro verursachen. Noch vor zwei Jahren lag diese Summe bei rund 55 Milliarden Euro. Jüngste Bespiele für Cyberattacken: das Abgreifen von Daten einer Fuhrparkfirma der Bundeswehr, die Rückkehr des Emotet-Trojaners und der Angriff auf die Twitterkonten prominenter US-Amerikaner. Bei einem Hackerangriff Mitte August auf das Rechenzentrum der BwFuhrparkServive GmbH, die auch für den Fahrdienst des Bundestages zuständig ist, könnten sensible Daten wie private Wohnadressen von Bundestagsabgeordneten, Fahrtbeginn, Start- und Zielpunkt sowie Informationen über die Nutzung eines Kindersitzes abgegriffen worden sein. Die Bundestagsverwaltung informierte die Fraktionen über den Vorfall; wer hinter der Attacke steckt und welche Ziele damit verfolgt werden, ist nicht bekannt. Welche Absichten Emotet verfolgt, ist hinreichend bekannt: Der Computervirus nutzt befallene Computer dazu, Spam-Mails zu verschicken und Schadsoftware hochzuladen. Emotet besitzt die Fähigkeit, auf infizierten Rechnern aus E-Mail-Programmen neben Kontaktinformationen auch Nachrichteninhalte auszulesen. Einem jugendlichen Hacker ist es jüngst gelungen, die Twitter-Konten von Berühmtheiten wie Tesla-Chef Elon Musk, Ex-US-Präsident Barack Obama und Amazon-Gründer Jeff Bezos zu kapern. Auch Unternehmensaccounts von Apple oder von der Kryptowährungsbörse Binance waren betroffen. Der mittlerweile festgenommene Cyberkriminelle verteilte über die Accounts Spam-Nachrichten, in denen die Follower der Konten aufgefordert wurden, Bitcoins an eine bestimmte virtuelle Adresse zu überweisen, um dann die doppelte Menge an Bitcoins zurückzuerhalten.

Kein Zweifel – die Gefahrenlage für Cyber-Attacken ist unverändert hoch. Stellt sich die Frage: Was tun, wenn lebenswichtige IT-Infrastrukturen in Deutschland angegriffen, also gehackt werden? Eine Option – zurückhacken.

Mitte 2019 wurden die Forderungen nach aktiven Cyber-Abwehr-Maßnahmen gegen Angreifer auf Deutsche Netzwerke von außen sehr konkret. Demnach sollen ausgewählte Behörden unter anderem das Recht bekommen, bei Angriffen auf deutsche IT-Infrastrukturen digital zurückschlagen zu dürfen. Die Bundeswehr wollte einen „digitalen Verteidigungsfall“ schaffen, der unterhalb der Schwelle eines Verteidigungsfalls liegt und nicht vom Parlament bestätigt werden müsste. Nach derzeitiger Gesetzeslage sind „Hackbacks“ – englisch für „zurückhacken“, also Cyber-Gegenangriffe – nicht erlaubt. Doch spätestens seit dem Angriff auf die IT-Systeme des Deutschen Bundestags im Jahr 2015 beschäftigen sich die deutschen Sicherheitsbehörden mit der Frage, wie Deutschland offensiv auf Cyber-Angriffe reagieren sollte. Die Debatte ist unter Begriffen wie „Digitaler Gegenangriff“, „Hackback“, „Aktive Cyber-Abwehr“ oder auch „finaler digitaler Rettungsschuss“ bekannt.

Ein Hackback soll die „aktive Verteidigung“ von IT-Systemen ermöglichen. Dazu gehört, Cyberwaffen zu sammeln, zu speichern und im Notfall auch zu verwenden. Im Klartext bedeutet das: Server und Daten von Gegnern werden zerstört, deaktiviert, ausspioniert. Doch der Plan des digitalen Gegenangriffs wird kontrovers diskutiert.

Pro und contra Hacking

Beim sogenannten Hackback geht es darum, sich im Falle eines digitalen Angriffs, etwa auf Stromnetze oder andere wichtige Teile der Infrastruktur, nicht nur zu verteidigen, sondern auch zum Angriff übergehen zu dürfen. Als Teil einer solchen aktiven Cyberabwehr könnten deutsche Behörden in Rechner im In- und Ausland eindringen oder könnten versuchen, Server lahmzulegen, sie zu manipulieren oder auszuspähen. Verschiedene staatliche Organisationen würden schon an der dafür nötigen Infrastruktur arbeiten, berichtete etwa die Zeit in ihrer Ausgabe vom 12. Juli 2019.

Der Wissenschaftliche Dienst des Deutschen Bundestags warnte im Herbst vergangenen Jahres in einem Gutachten vor den Folgen einer offensiv ausgerichteten Cybersicherheitsstrategie. Das entsprechende Papier war eigentlich „Nur für den Dienstgebrauch“ publiziert worden, wurde aber vom Netzportal netzpolitik.org veröffentlicht.  In dem Gutachten wird kritisiert, dass ein Einsatz digitaler Waffen das anvisierte Ziel grundsätzlich nicht so ausschalten könne, dass unbeabsichtigte Schäden ausgeschlossen werden könnten. Und zwar weil Systeme, die an das eigentliche Ziel angeschlossen sind, bei einem Angriff entweder direkt mit betroffen oder über einen Kaskadeneffekt in Mitleidenschaft gezogen werden können.

Der Wissenschaftliche Dienst kritisiert, dass bei „solchen digitalen Waffen“ kaum klare Grenzen zwischen Angriff und Verteidigung gezogen werden könnten. Angesprochen wird in dem Gutachten auch, dass bei solchen Angriffen oft nicht zweifelsfrei identifiziert werden könne, wer Verursacher des Angriffs sei – weshalb bei einem Hackback die „Eskalationsgefahr zu groß“ sei. Dazu Frank Rieger, Internetaktivist und einer der Sprecher des Chaos Computer Clubs: „Das Problem ist, dass man dann nicht nur sich einem Gegenschlag aussetzt, sondern möglicherweise man dann eine Eskalationsspirale mit mehreren Partnern erzeugen kann, auf die man eigentlich lieber verzichten sollte. Man kann halt versehentlich quasi einen größeren Cyber Konflikt auslösen, nur weil man sich irgendwie einen Server hackt, weil man wissen wollte, wer hinter einem bestimmten Angriff steckt.“ Und: Fast immer nutzen die Täter eine Tarnung, die auf andere Akteure hinweist. Wird also ein Hackback gestartet, um die Täter zu identifizieren und wird dabei ein unschuldiger Akteur getroffen, besteht die Gefahr, dass auch der bislang Unbeteiligte reagiert. Aber auch die Frage nach der Legitimierung eines solchen Einsatzes ist ebenso ungeklärt wie die Schwelle, ab wann ein Hackback stattfinden soll oder kann.

Stand der Dinge in der Politik

Wer darf also auf welche Weise „zurückschlagen“? Das Bundesamt für Sicherheit in der Informationstechnik (BSI)? Der Bundesnachrichtendienst (BND) oder das Bundesamt für Verfassungsschutz (BfV)? Oder der Cyber- und Informationsraum (CIR) der Bundeswehr? In den USA räumt beispielsweise der Active Cyber Defense Certainty Act sogar angegriffenen Privat-Unternehmen entsprechende Möglichkeiten ein. „Spätestens hier kommt man nicht umhin, sich an den Wilden Westen erinnert zu fühlen. Die Folge dürften vor allem weitere Eskalation und internationale Spannungen sein – in diesen unruhigen Zeiten nicht unbedingt die schönste Aussicht,“ mahnt die Computerbild bereits in ihrer Ausgabe vom 3. April 2018.

Für den früheren Beauftragten der Bundesregierung für Informationstechnik, Klaus Vitt, könnte ein Gegenschlag jedenfalls sinnvoll sein. Er argumentiert, dass die Polizei einen Attentäter, der auf unschuldige Menschen schießt, entwaffnet. „Aber was ist mit Servern, von denen Cyberangriffe ausgehen, die zum Beispiel die IT von Krankenhäusern oder von Energieversorgern bundesweit lahmlegen, so dass hunderttausende Menschen betroffen sind?“ Verteidigungsministerin Annegret Kramp-Karrenbauer zeigt sich im Handelsblatt vom 5. November 2019 skeptisch gegenüber Forderungen, dass die Bundeswehr die Server von Angreifern per „Hackback“ zerstören solle: Zunächst müsse genau geklärt werden, ob wirklich Militär oder Kriminelle dahinterständen. Es gebe da oft einen Graubereich. Erst wenn dies geklärt sei, könne es auch ein Zurückschlagen geben – mit Mandat des Bundestags. Angesichts der Tragweite ist mit großer Wahrscheinlichkeit eine Grundgesetzänderung nötig. Denn Gefahrenabwehr ist bisher Ländersache. Um das zu ändern, ist eine Zweidrittelmehrheit in Bundestag und Bundesrat nötig.

Mehrmals beschäftigte sich in den vergangenen drei Jahren der geheim tagende Bundessicherheitsrat mit den Hackback-Plänen. Bundesinnenminister Horst Seehofer (CSU) trieb das Vorhaben voran, auch Kanzlerin Angela Merkel soll ihre Zustimmung signalisiert haben. Der Bundesnachrichtendienst stand bereit, so Spiegel Online in seiner Ausgabe vom 10. Juli. Doch aus dem Plan wurde nichts. Zu groß waren die Bedenken beim Koalitionspartner SPD und deren Partei-Chefin und Digitalpolitikerin Saskia Esken. Über die sanfteren Hackback-Stufen, wie der Blockade oder der Umleitung von Datenströmen, um einen laufenden Angriff zu unterbrechen, wären die Sozial- und Christdemokraten noch einig geworden. Doch beim Lahmlegen ausländischer Rechner, von denen die Attacke ausgeht, verweigerte sich die SPD-Chefin. Ihr Motto beim Thema Hackback: „Völkerrechtlich hoch problematisch.“ Und: „Alles dagegenhalten, was ich dagegenhalten kann.“

Und so wird das Thema Hackback wie ein Zombie beim nächsten großen Cyberangriff in Deutschland wohl wieder zum Leben erweckt werden, lästern Parlamentarier in Berlin. Bis dahin müssen sich Cybersecurity-Verantwortliche in Betrieben und Behörden hierzulande um eine Verstärkung der digitalen Abwehrfähigkeiten bemühen – und in Technologien investieren, die das eigenen IT-System widerstandsfähig, also resilient, macht und vor Schäden schützt.

Von der passiven über die aktive Verteidigung bis zur Übernahme der externen Angreifer-Infrastruktur und deren Infiltration – dazu in diesem Blog nächste Woche mehr.