Fortgeschrittene hartnäckige Bedrohung, "advanced persistent threat", so lautet der Langname der Hackergruppe APT 28, die seit mehr als zwei Jahren immer wieder Computer des Bundestages angreift. Sie steckte angeblich auch hinter den Cyberattacken auf Hillary Clintons US-Demokraten, und offenbar hat sie nun Webseiten aufgesetzt, um auch die Wahlplattform En Marche des französischen Präsidentschaftskandidaten Emmanuel Macron auszuspionieren.
Kein Staat muss sich solche Attacken gefallen lassen. Die Rede über staatliche Gegenmaßnahmen kommt deshalb nicht zu früh. Die US-Regierung kündigte schon 2012 an, sie könne Cyberattacken mit realer Gewalt vergelten, die Bundesregierung diskutiert jetzt, ziviler, über "Hacking back". Also über Cybergegenschläge, welche die heimlichen Auftraggeber solcher Angriffe bestrafen und abschrecken sollen, egal ob sie im In- oder Ausland sitzen.
Die Frage ist bloß genau diese: Wo sitzen sie? Man weiß bis heute nicht recht, wer die APT-28-Leute gedungen hat, auch wenn vieles nach Russland deutet; die Zurechnung einer Cyberattacke ist heillos vertrackt, und wenn sich IT-Sicherheitsexperten aller Couleur nicht irren, dann wird das auch auf lange Sicht so bleiben. Wo Russland draufsteht, können genauso auch China, Iran oder Kriminelle dahinterstecken.
Eine solche Ungewissheit über die Identität eines Täters ist nichts grundsätzlich Neues in der Arbeit von Sicherheitsbehörden. Es gibt sie ebenfalls im real life, wie jeder Kriminalkommissar erzählen kann. Auch Angriffe unter falscher Flagge gibt es - siehe den BVB-Attentäter, der seine Tat Islamisten in die Schuhe schieben wollte. Aber in der analogen Welt ist dies die spektakuläre Ausnahme, in der Cybersphäre die Regel. Und solange der Schuldbeweis nicht seriös zu führen ist, hat das für eine rechtsstaatlich vertretbare Cyberabwehr eine Reihe von Konsequenzen.
"Täter unbekannt" - wie kann sich ein Rechtsstaat da wehren?
An der Schuld des Täters darf es keinen vernünftigen Zweifel geben. Dieses Prinzip gilt im Inneren eines Rechtsstaats. Es gilt auch im Äußeren. Deshalb verlangt der Internationale Gerichtshof klare Beweise, bevor er ein Recht zur Selbstverteidigung anerkennt. Iran und die USA haben vor dem Gerichtshof schon über die Auswertung von Satellitenbildern und die Zurechnung eines Raketenangriffs im Persischen Golf gestritten.
Bei einer Cyberattacke ist die Beweisführung noch schwieriger. Im Zweifel wird das für den Angegriffenen immer bedeuten, dass ein Gegenschlag - etwa auf den russischen Staat - illegal bleibt. Wer das zu behäbig und legalistisch findet, weil sich Cyberangreifer dann weiter ins Fäustchen lachen können, der läuft Gefahr, voreilig in die falsche Richtung zurückschießen - die Eskalationsgefahr, die einer Attacke unter falscher Flagge stets innewohnt. Dann lachen sich die wahren Täter erst recht ins Fäustchen.
Diebesgut konfiszieren, Tatwerkzeuge unschädlich machen
Gefahrenabwehr ist trotzdem möglich, ohne Strafaktionen. Ein Rechtsstaat kann all das tun, was er auch sonst tut, solange der Stand der Ermittlungen lautet "Täter unbekannt". Diebesgut konfiszieren zum Beispiel. Wenn gestohlene Daten aus dem Bundestag auf einem Server etwa in Malaysia geparkt sind, muss es erlaubt sein, diese Daten aus der Ferne zu zerstören, bevor der Dieb weiteren Schaden anrichtet. Die gesetzlichen Grundlagen dafür sind noch lückenhaft, das muss aber nicht so bleiben.
Zweitens: Tatwerkzeuge unschädlich machen. Wenn Sicherheitsbehörden etwa Server entdecken, von denen aus APT 28 arbeitet, dann sollten sie diese aus der Ferne lahmlegen dürfen. In der analogen Welt ist es so: Polizisten dürfen einer Einbrecherbande den Fluchtwagen wegnehmen, auch dann schon, wenn sie noch nicht wissen, wie deren Boss heißt und ob der Wagen womöglich gekapert wurde. Dasselbe darf ruhig auch in der Cyberwelt gelten.
