Hacking Back 750 Million Dollar für Selbstverteidigung

Der weltweite Schaden, der durch Cybercrime im digitalen Raum entsteht, beläuft sich einer Studie der Antivirus-Firma McAffee zufolge auf 345 Milliarden US-Dollar jährlich (hier die Studie als PDF). Die Angreifer verfügen mitunter über detailliertes Wissen, ausreichend Zeit und genug finanzielle Mittel.

In den vergangenen Jahren sind die Hacker dazu übergegangen, gezielt nach geistigem Eigentum zu fischen, sagt Adam Segal vom einflussreichen Thinktank Council on Foreign Relations. "Die Angriffsfläche ist heutzutage viel größer und die Regierung erweckt den Eindruck, dass sie weder sich selbst noch andere beschützen kann." Also sind die Firmen selbst gefragt. Sie müssen ordentlich in digitale Absicherung investieren. Eine der großen Banken soll pro Jahr 750 Millionen Dollar ausgeben (entsprechende Stelle im Video ab 1:29:50).

"Nicht jede Firma kann diese Summen aufbringen", sagt Ottenheimer. "Vorher würde sie pleitegehen. Deswegen passiert Hacking Back auch genau jetzt." Die Betroffenen seien zur Überzeugung gelangt, dass eine gute Offensive durchaus sinnvoll sein könne. "Wenn man weiß, dass es sich beim Angreifer um eine kleinere Gruppe handelt, kann man sie mit Hacking Back verscheuchen." Es gibt andere Ziele, die sich nicht wehren.

Durch Gegenangriffe geraten Unschuldige ins Visier

Lee, der Mann von der Luftwaffe, hält das Konzept des Rache-Hackens für bedenklich. "Es ist rein wirtschaftlich gesehen schlecht investiertes Geld", sagt er. "Man braucht Personen, die sich sehr gut auskennen. Man muss die Operation am Laufen halten. Man braucht juristische Unterstützung. All das ist wahnsinnig teuer. Da ist es sinnvoller, dieses Geld in eine vernünftige Sicherung der Systeme zu investieren", sagt er.

Die Experten nennen weitere Probleme: "Wenn ich sehe, dass meine Daten auf fremden Netzwerken sind, kann ich gleich davon ausgehen, dass sie bereits mehrfach kopiert wurden", sagt Segal. Warum also noch angreifen? Hinzu komme, dass Hacker für ihre Angriffe oft Rechner von unbeteiligten Dritten nutzten. Das heißt: Der Gegenangriff kann auch diese Personen treffen, die nicht involviert sind. Das werde billigend in Kauf genommen.

Doch zu den Aufgaben eines Chefs gehöre es nun einmal, die Firma zu beschützen, sagt David Wilson, der das US-Verteidigungsministerium und die NSA in juristischen Fragen beraten hat. "Wenn die Angreifer in den Netzwerken bleiben, greift das Recht auf Selbstverteidigung", sagt er. Ob das Zurückhacken illegal sei, hänge von vielen Faktoren ab. Man könne zum Beispiel argumentieren, dass man eine implizite Erlaubnis habe, einen fremden Server zu übernehmen, wenn von diesen Servern ein Angriff ausgehe. "Das muss vor Gericht entschieden werden, aber so könnte man sich juristisch verteidigen."

In vielen Firmen, in denen zurückgehackt wird, gebe es eine Ansage aus der Chefetage: "Macht es, aber ich will nichts davon wissen." Das sei der falsche Ansatz. Es sei wichtig, dass gerade die Chefs Bescheid wissen. Sollte es zu einer Klage kommen, müssten sie die Entscheidungen begründen können. Und sie müssten sagen können: "Wir haben unsere Systeme so gut gesichert, wie wir konnten. Die meisten Firmen scheitern schon an diesem Punkt."