Hacker:Klicks können mehr anrichten als eine Bombe

Bundestag - Paul-Löbe-Haus

Blick durch das Paul-Löbe-Haus des Bundestags zum Kanzleramt - Wieviel Transparenz soll zwischen Staaten im digitalen Mit- und Gegeneinander gelten?

(Foto: picture alliance / dpa)
  • Wie sollte die Bundesregierung auf einen Cyber-Angriff reagieren, darf sie zum Gegenschlag ausholen? Mit diesen Fragen beschäftigt sich eine Expertenrunde in Berlin.
  • Innenminister Thomas de Maizière hat bereits gesagt: "Wenn wir identifiziert haben, woher ein Cyber-Angriff kommt, müssen wir ihn aktiv bekämpfen können."
  • Noch fehlet allerdings eine Rechtsgrundlage.

Von Georg Mascolo und Nicolas Richter, Berlin

Sollten ausländische Soldaten Deutschland angreifen, wüsste man in Berlin ungefähr, wie zu reagieren ist. Es gibt politische Verfahren, geschulte Streitkräfte, Regeln im Völkerrecht.

Sollte die Bundesrepublik dagegen zum Ziel eines Cyber-Angriffs werden, sieht die Sache anders aus: Da könnte es sein, dass niemand genau weiß, wie man antworten soll. In der Bundesregierung malen sich Sicherheitsexperten zum Beispiel ein Szenario aus, wonach ausländische Hacker die Computerserver von Parteien, Ministerien und Bundestag angreifen; die Bundesregierung findet gleichzeitig heraus, von welchen Servern im Ausland diese Angriffe ausgehen. Theoretisch also könnte sich die Regierung wehren, sie könnte die ausländischen Server lahmlegen, die erbeuteten Daten löschen. Aber wer wäre dafür verantwortlich? Und darf man das überhaupt?

Ein Hackerangriff im Ausland gilt vielen Staaten als zulässig - auch der BND darf das

Seit Monaten beschäftigt sich eine Expertenrunde in Berlin mit diesen Fragen. Innen-, Außen- und Verteidigungsministerium sind dabei, die Geheimdienste, selbst im Bundessicherheitsrat stand das Thema bereits auf der Tagesordnung. Innenminister Thomas de Maizière hat die Linie schon vorgegeben: "Wenn wir identifiziert haben, woher ein Cyber-Angriff kommt, müssen wir ihn aktiv bekämpfen können."

Aber es fehlt an einer Rechtsgrundlage. Der für Auslandsspionage zuständige Bundesnachrichtendienst (BND) besitzt die technischen Fähigkeiten, fühlt sich aber nicht für Gegenangriffe im Cyber-Space zuständig. Das Verteidigungsministerium beschäftigt eine erfahrene Cyber-Truppe, sieht sich aber nur in der Pflicht, wenn der Cyber-Angriff einem kriegerischen Akt gleichkäme oder gegen Bundeswehr-Einheiten im Ausland gerichtet wäre. Der Verfassungsschutz hätte die Aufgabe gern, baut seine Cyber-Kompetenz in der Abteilung für Spionageabwehr aber erst auf. Eine schnelle Lösung ist also nicht in Sicht.

Das gilt für vieles in der Welt des Internets, eine Welt, die US-Präsident Barack Obama gern den "Wilden Westen" nennt. Es fehlen Regeln dafür, was erlaubt und was verboten ist. Ein Hackerangriff auf eine politische Partei im Ausland gilt vielen Staaten als zulässiger Spionage-Coup, auch der BND darf so etwas. Das Material aber hinterher zu veröffentlichen, wie es der russische Geheimdienst angeblich mithilfe der Enthüllungsplattform Wikileaks getan haben soll, um den US-Wahlkampf zu beeinflussen und Donald Trump ins Amt zu befördern - das gilt zumindest im Westen als eine unzulässige Einmischung in die inneren Angelegenheiten einen fremden Staates. Aber wo steht das?

Bei seinem Besuch in Berlin forderte Präsident Obama im November Regeln für die Cyber-Welt. "Wir müssen internationale Regeln entwickeln, um einen Rüstungswettlauf im Cyber-Space zu verhindern", sagte er. Was denn im Netz als kriegerischer Akt zu definieren wäre, fragte der frühere Verteidigungsminister Robert Gates einmal seine Juristen im Pentagon. Er musste zwei Jahre auf die Antwort warten.

Bisher schreiben sich Regierungen und Geheimdienste ihre Regeln für das Cyber-Space selbst, sie spielen das alte Spiel der Spionage mit neuen technischen Mitteln. Erste verbindliche Spielregeln gibt es, wenn überhaupt, nur zwischen einzelnen Staaten. Die USA, Großbritannien und China haben 2015 vereinbart, keine Cyber-Angriffe zum Zweck der Industriespionage gegen Unternehmen zu führen oder zu dulden. Spionage gegen eine ausländische Regierung und deren militärische Einrichtungen ist dagegen erlaubt. Deutschland und China haben sich darauf im vergangenen Jahr ebenfalls geeinigt.

Bei den Vereinten Nationen in New York suchen Experten unter der Leitung des deutschen Diplomaten Karsten Geier nach einer Definition von Erlaubtem und Verbotenem im Netz. Die Arbeitsgruppe ist beim Office of Disarmament Affairs angesiedelt, bei den Abrüstungsexperten, und soll im Juni einen Bericht vorlegen über "verantwortungsvolles Staatenverhalten". Im Auswärtigen Amt nennt man das "Tischmanieren für Nationen". Konkret geht es darum, ob schon das Lahmlegen einer Ampelanlage in einer Großstadt ein kriegerischer Akt ist. Oder die Sabotage der Wasserversorgung. Demnächst soll es darum gehen, ob bei einem Hackerangriff erbeutetes Material benutzt werden darf, um Wahlen zu beeinflussen.

In mancher Hinsicht setzen die Geheimdienste im Internet nur fort, was sie früher schon gemacht haben. Es ist nicht neu, dass Agenten ausländische Wahlen beeinflussen wollen. Der sowjetische KGB hat dies getan, die amerikanische CIA ebenso. Beide haben peinliche Informationen über Politiker im Ausland gestreut, manchmal haben sie Nachrichten schlicht erfunden, um für Unruhe zu sorgen. Der Unterschied zur früheren Zeit ist es, dass man über das Internet viel schneller, effektiver und billiger vorgehen kann.

Die Grenzen zwischen Krieg und Frieden verschwimmen

Auch die Grenzen zwischen Krieg und Frieden verschwimmen. Den ersten militärischen Angriff über das Internet haben die USA mutmaßlich im Jahr 2010 geführt, als sie mit einem Computerwurm namens Stuxnet die Uran-Zentrifugen in iranischen Atomanlagen beschädigten. Der einstige NSA-Chef Michael Hayden verglich die Aktion mit dem Abwurf der ersten Atombombe: "Jemand hat den Rubikon überschritten", sagte er. Wie zerstörerisch Cyber-Waffen sein können, wissen die USA spätestens seit 2007. Damals wurde skeptischen Soldaten vorgeführt, dass ein paar Klicks mehr Schaden anrichten können als eine Bombe. Im "Aurora"-Test wurde binnen Sekunden ein am Netz hängender 2,25 Megawatt-Generator zerstört.

Eine Studie des Instituts Clingendael in Den Haag beschreibt, wie unterschiedlich Staaten auf Cyber-Angriffe reagieren. Saudi-Arabien und Südkorea haben versucht, die Attacken von außen mit eigenen Mitteln einzudämmen. Andere setzten auf internationale Hilfe: So baten die USA 2012 andere Länder, bestimmte Computerserver von schädlichen Programmen zu säubern. Als Estland im Jahr 2007 angegriffen wurde, bat das Land bei Nato und Europäischer Union um Hilfe. Ansonsten steht den angegriffenen Ländern der Werkzeugkasten der klassischen Diplomatie zur Verfügung: Man kann den mutmaßlichen Täter heimlich warnen, dass er enttarnt wurde, man kann dies auch öffentlich tun, mit Sanktionen drohen oder Diplomaten aus dem Land des Angreifers ausweisen.

Klassische Spionage-Regel: Laut klagen über das, was andere tun - und es dann selber machen

Nach dem Hackerangriff auf die Demokratische Partei in den USA hat Obama mit noch breiterer Vergeltung gegen Moskau gedroht. Er ließ eine Liste möglicher russischer Ziele für Cyber-Schläge anfertigen, im Gespräch waren Angriffe auf russische Netze oder die Veröffentlichung kompromittierender Informationen über den russischen Präsidenten Wladimir Putin.

In Deutschland geht es nicht um Vergeltungsschläge, sondern - bisher jedenfalls - um Abwehr. Mehrere Geheimdienstchefs haben davor gewarnt, dass Russland in den Wahlkampf eingreifen könnte - das war natürlich auch eine Botschaft an Moskau. Nun will die Bundesregierung ihre Drohkulisse ausbauen. Innenminister de Maizière will den Sicherheitsbehörden erlauben, fremde Server anzugreifen, sie ganz lahmzulegen - oder zumindest geklaute Daten zu löschen, die dort lagern. Deutschland wäre ziemlich allein mit einer gesetzlichen Norm, die so etwas erlaubt. Die meisten Staaten halten sich da noch an die klassischen Regeln der Spionage: Sie klagen laut über das, was ihnen angetan wird. Und tun es dann selbst.

Allerdings wächst in vielen Regierungen die Sorge, dass die Sache außer Kontrolle gerät. Neben den UN arbeitet nun auch die OSZE daran, Risiken eines Konfliktes zu senken, der "aus der Benutzung von Informations- und Kommunikationstechnologien entstehen kann". Diese Risiken sind gewaltig. Nach dem 11. September 2001 diskutierten der damalige Präsident George W. Bush und seine Berater darüber, was mehr Schaden anrichten könnte: 19 Attentäter, die Flugzeuge entführen, oder 19 Hacker, die eine "kritische Infrastruktur" angreifen, den Server einer US-Bank etwa. Schon damals war man sich sicher: Die Hacker sind gefährlicher.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: