IT-Sicherheit Warum Deutschland im Netz so wehrlos ist

Bisher ist Deutschland beim Thema "Hack back" zurückhaltend. Das könnte sich nun ändern.

(Foto: Markus Spiske/Unsplash)
  • Zahlreiche Staaten gehen dazu über, Cyber-Angreifer zu verfolgen und auszuschalten.
  • Deutschland war dabei lange zurückhaltend, nun aber zeigt sich: Hierzulande könnte der Bundesnachrichtendienst (BND) bald entsprechende Kompetenzen erhalten.
  • Doch die Skepsis groß: im Justizministerium, aber auch bei SPD, Grünen und FDP.
Von Georg Mascolo und Ronen Steinke

Seit Jahren dringt aus dem vierstöckigen grauen Gebäude an der Savushkina-Straße ein rasender Strom von Nachrichten nach draußen, an einem Tag im November aber kehrte plötzlich Stille ein. Die Troll-Fabrik in St. Petersburg, die inzwischen berüchtigte Internet Research Agency, wurde an diesem Tag vom Internet abgeklemmt. Die Agentur soll für den russischen Militärgeheimdienst GRU arbeiten, aktuell wird im Bericht des amerikanischen Sonderermittlers Robert Mueller auf vielen Seiten beschrieben, wie sie mit Fake News, Hasskommentaren und anderen Manipulationen bereits in den US-Präsidentschaftswahlkampf eingegriffen habe. Jetzt war sie einfach abgeschaltet worden, und hinter der Aktion steckte das US Cyber Command, wie Ende Februar die Washington Post enthüllte.

Von der Operation erfuhren deutsche Regierungsvertreter nur aus der Zeitung. Noch schmerzlicher war nach der Lektüre allerdings die Erkenntnis, wie weit man selbst von jeder Möglichkeit eines Gegenschlags im Netz noch entfernt ist. Seit Jahren debattieren hohe und höchste Regierungskreise, unter ihnen die Kanzlerin selbst, über die Möglichkeit, Cyberangreifer zu verfolgen und auszuschalten, die Rede ist von einem sogenannten Hackback. Ursprünglich einmal sollte spätestens bis zur Europawahl am 26. Mai alles gesetzlich entschieden und technisch vorbereitet sein. Die Sorge ist groß, dass ausländische Geheimdienste versuchen könnten, die Wahl mit Cyberattacken zu beeinflussen. Inzwischen aber gibt es Zweifel daran, ob der digitale Rettungsschuss überhaupt kommen wird.

IT-Sicherheit Staatliche Hacker dringend gesucht
IT-Sicherheitsbehörde Zitis

Staatliche Hacker dringend gesucht

120 IT-Spezialisten sollen Polizei und Verfassungsschutz unterstützen, doch weniger als die Hälfte der Stellen ist besetzt. Jetzt muss sohar der umstrittene Bundestrojaner verschoben werden.   Von Reiko Pinkert, Jan Strozyk und Hakan Tanriverdi

Dabei liegt es nicht am fehlenden Willen, Angela Merkel selbst hat sich in zwei Sitzungen des Bundessicherheitsrats - zuletzt im März - für das Vorhaben ausgesprochen. Auch Innenminister Horst Seehofer (CSU) sagt: "Ich bin entschieden dafür." Auch die entsprechenden Papiere sind inzwischen geschrieben, sie sehen eine Grundgesetzänderung vor, damit der Bund überhaupt erst einmal die Kompetenzen für die Gefahrenabwehr im digitalen Raum erhält. Bisher sind hierfür die Länder zuständig.

Fünf Stufen der digitalen Wehrhaftigkeit sind im Gespräch: erstens die Prävention gegen Cyberattacken, zweitens die Aufklärung, wer hinter einer Attacke steckt, drittens die Umleitung von Daten. Als heikel gelten allein die vierte und die fünfte Stufe, die Löschung deutscher Daten, die auf fremden Servern gehortet werden, sowie die Zerstörung der fremden Hardware. Es wäre ein Gegenschlag, der Angreifer empfindlich treffen würde, eine Ultima Ratio. Nach langem internen Ringen zeichnete sich innerhalb der Bundesregierung ab, wer die Kompetenz für diesen Gegenschlag erhalten sollte: der Bundesnachrichtendienst (BND).

In dessen Unterabteilung T4 in Pullach bei München sitzen schon seit Jahren Hacker, die in fremde Netze eindringen. Sie schleichen sich in Handys, Laptops und Computer, entweder indem sie mit List und Tücke die nötigen Zugangsdaten erbeuten. Oder indem sie Wege finden, wie man auch ohne Passwort eindringen kann, durch sogenannte Sicherheitslücken, also Fehler im Betriebssystem. Bislang tun sie das lautlos. Die staatlichen Hacker kommen als stille Beobachter, sie sehen sich um, spionieren. Künftig, so der Plan, würden sie auch die Lizenz zum Schießen bekommen, zumindest virtuell. Dann könnten sie im Innern des fremden Servers Daten löschen. Oder sie könnten heimlich Programme einschleusen, die dort noch größeren Schaden anrichten, ganze Server in die Knie zwingen zum Beispiel.

Aber inzwischen kommen die Bedenken aus allen Ecken. Im Justizministerium weist man auf das verfassungsrechtliche Trennungsgebot zwischen Polizei und Nachrichtendiensten hin. Dem BND, der seit seiner Gründung nur spionieren darf, eine solche exekutive Befugnis einzuräumen, sei problematisch, heißt es. Lange war auch debattiert worden, ob nicht das Bundeskriminalamt (BKA) die Aufgabe übernehmen könne. Aber die Kriminalisten leben in der Welt der Amtshilfe und der Rechtshilfeersuchen, dort mahlen die Mühlen langsam. Die Behörde winkte ab. Juristen im Auswärtigen Amt verweisen auf die internationale Problematik: Ein digitaler Gegenschlag berühre die Frage des völkerrechtlichen Selbstverteidigungsrechts. Man müsse nicht wie in der Bergpredigt auch noch die andere Wange hinhalten, hat ein Diplomat in dieser Sache einmal formuliert. Aber gilt das Recht zum Gegenschlag schon bei einem Hackerangriff?

Beim Angriff auf den Bundestag 2015 erlebten die Deutschen einen Moment der Wehrlosigkeit

Manchen der beteiligten Experten erinnert das Gezerre schon an die erste Runde der Diskussion. Bereits 2009 debattierte die Regierung einen Hackback, es kam zu keinem Ergebnis. Damals lehnte das Kanzleramt eine Rolle des BND noch entschieden ab, "Netzverteidigung" gehöre nicht zum "Aufgabenbereich" des Dienstes. In einem internen Vermerk hieß es, die "völkerrechtliche Zulässigkeit grenzüberschreitender Abwehrmaßnahmen ist zweifelhaft". Erst der Hackerangriff auf den Bundestag im Frühjahr 2015 führte dazu, dass die alten Akten für Operation Hackback noch einmal aus dem Keller geholt wurden. Damals erlebten die Deutschen einen Moment der Wehrlosigkeit. Die Angreifer, mutmaßlich vom GRU, hatten ihre Beute zwischengeparkt. Ein dickes Datenpaket aus dem Parlament legten sie auf einem Server in Osteuropa ab, der Verfassungsschutz entdeckte das und hätte die Daten gern gelöscht. Aber er durfte nicht.

In Seehofers Ministerium hofft man, dass das Justizministerium nach der Europawahl den Widerstand aufgeben wird. Schließlich, so heißt es dort, hätten doch alle die Notwendigkeit für eine Regelung erkannt. Und niemand wolle nun die Verantwortung dafür tragen, wenn es zu einem Angriff auf die Wasser- oder Stromversorgung komme und man nicht handeln könne. Tatsächlich aber muss die Regierung für dieses Vorhaben nicht nur intern Einigkeit herstellen. Wegen der notwendigen Zustimmung der Länder und einer Zweidrittelmehrheit im Bundestag braucht es für den Hackback eine ganz große Koalition: Grüne und FDP müssen ebenfalls überzeugt werden. Bei ihnen ist aber die Skepsis, ähnlich wie in Teilen der SPD, groß. Die Grünen mahnen an, endlich mehr in die Sicherheit der Netze zu investieren, anstatt über Gegenschläge nachzudenken. "Die ganze Diskussion um Gegenangriffe im Netz lenkt nur davon ab, dass wir in der Defensive vollkommen blank sind", sagt der grüne Fraktionsvize Konstantin von Notz. Technisch wie verfassungsrechtlich "kompliziert" sei es obendrein.

Das Risiko von Kollateralschäden sei kaum zu überblicken, heißt es aus der FDP

In der FDP fällt die Kritik sogar noch schärfer aus, dort erhebt man grundsätzliche Einwände gegen jegliches Schießen im Cyberraum. Bei einem Hackback, wie ihn die Bundesregierung plane, sei das Risiko sogenannter Kollateralschäden kaum zu überblicken, sagt der FDP-Innenpolitiker Stephan Thomae. Er warnt vor einem "Cyber-Kundus". Fast zehn Jahre ist es her, dass ein deutscher Oberst nahe der nordafghanischen Stadt Kundus versehentlich einen Tanklastzug bombardieren ließ, weil er die Menschen rundherum für Talibankämpfer hielt. Es war ein Debakel für die Bundeswehr, eine Tragödie mit Dutzenden Unbeteiligten als Opfer. Ähnliches drohe im Netz, meint der FDP-Politiker, denn die Identität eines Angreifers sei dort besonders schwer zu ermitteln. "Der eigentliche Angreifer verschanzt sich hinter einer fremden IP-Adresse, er täuscht und tarnt und wartet geradezu darauf, dass wir Deutschen hitzköpfig gegen die Unbeteiligten in der Mitte losschlagen."

Innerhalb der Regierung wächst deshalb die Sorge, dass das Vorhaben an den vielen Bedenken scheitern könnte. Offiziell aufgeben will bisher niemand, aber Szenarien für eine kleine Lösung machen bereits die Runde: Etwa nur die Kompetenz für die digitale Gefahrenabwehr auf den Bund zu übertragen - und auf eine juristische Regelung für die Stufe vier und fünf zu verzichten. Das BKA und das Bundesamt für Sicherheit in der Informationstechnik (BSI) könnten dann immer noch die deutschen Netze nutzen, um Angreifer zu blockieren. In dem von Seehofer jüngst vorgelegten Entwurf eines IT-Sicherheitsgesetzes 2.0 werden dem BSI bereits neue Befugnisse gegeben, um im Fall einer Cyber-attacke rasch die Hintermänner und deren Methoden zu ermitteln. Gegenangriffe aber wären in Deutschland - wie bisher - nur der Bundeswehr erlaubt, wenn eine Aktion kriegsähnlichen Umfang annimmt.

Eine Erlaubnis zum zivilen Cyber-schlag gäbe es nicht - und ganz allein wären die Deutschen damit nun auch nicht. Eine Überprüfung hat inzwischen ergeben, dass der deutsche Weg einer ausdrücklichen gesetzlichen Ermächtigung weltweit ziemlich einzigartig wäre. Wenn es notwendig erscheint, wird auf den Knopf gedrückt - so wie bei der Internet Research Agency in St. Petersburg.

IT-Sicherheit Staaten verwandeln das Internet in ein Schlachtfeld

Krieg im Netz

Staaten verwandeln das Internet in ein Schlachtfeld

Hacker und Geheimdienste bedrohen kritische Infrastruktur und Atomreaktoren. Bald könnte die digitale Aufrüstung Menschenleben kosten.   Von Georg Mascolo