Deutschlands digitale Defensive hat immer noch Lücken, und sie klaffen mitten im Regierungsviertel. Dass Spione aus dem Netz vor dem Innersten des Staates nicht haltmachen, weiß man in Berlin eigentlich seit 2015. Damals saugten Hacker interne Daten aus dem Netzwerk des Bundestages ab.
Daraufhin sollte unter anderem ein neues IT-Sicherheitsgesetz die digitale Abwehr des Landes stärken. Aber wie gut sind die Systeme heute gehärtet? Dass Hacker diesmal im als besonders sicher gepriesenen Netz der obersten Bundesbehörden zugeschlagen haben, ist fast schon demütigend. An ihm hängen unter anderem Verteidigungsministerium und Kanzleramt.
Die Regierung muss also an der Verteidigung arbeiten. Das ist aber schwierig, wenn immer mehr Geld, Technik und politische Fantasie stattdessen für offensive Kapazitäten aufgewendet werden. Gleich mehrfach setzt die Regierung auf Attacke: Der scheidende Bundesinnenminister Thomas de Maizière will nach einem Angriff gegen Deutschland zurückhacken dürfen, gegen die Server der Hacker. Das ist nicht nur verwerflich, weil er sich der Methoden seiner Feinde bedient, sondern auch rechtsstaatlich problematisch. Es gefährdet die Daten Unschuldiger.
Staaten befeuern einen dubiosen Markt
Mit der Staatstrojaner-Software werden Polizisten selbst zu Hackern und schleichen sich in Handys und Tablets ein. Die neue Behörde Zitis knackt lieber die Verschlüsselung von Kommunikation, statt sie zu stärken. Indem die Sicherheitsbehörden Werkzeuge ankaufen, mit denen sich Sicherheitslücken ausnutzen lassen, befeuern sie einen Markt, auf dem mit gefährlicher Software gedealt wird. Das geht ganz offenbar auf Kosten wirksamer Schutzbarrieren gegen Attacken - von spezieller Hardware bis zu scheinbar banalen Dingen wie der Schulung von Beamten, in E-Mails nicht auf dubiose Links zu klicken.
"Angriff ist die beste Verteidigung" - das gilt bei nationaler IT-Sicherheit nicht. Die Mittel, die der Regierung dafür zur Verfügung stehen, sind begrenzt. Gute Programmierer und IT-Forensiker sind teuer - ebenso wie staatliche Hacker. Deshalb ist jede Entscheidung für Angriffstechnik auch eine Entscheidung gegen Verteidigung. Der neuerliche Hackerangriff zeigt, dass dies die falsche Strategie ist.
So wird ein Staat nicht zum Hacker im Namen des Guten. So wird ein Staat zum Opfer.
