IT-Sicherheit:Bundesbehörde diskutiert digitale Gegenschläge
Lesezeit: 2 min
Von Hakan Tanriverdi
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht vor einer Entscheidung, die einen gesellschaftlichen und wirtschaftlichen Reputationsverlust mit sich bringen könnte. Das BSI diskutiert nach Informationen der Süddeutschen Zeitung intern sogenannte "Hacking Back"-Szenarien durch und welche Rolle das Amt dabei einnehmen soll. Dabei handelt es sich um eine Art Gegenangriff, mit dem die Server von Hackern während eines Cyberangriffs zerstört werden sollen.
Die Diskussion ist heikel, da das BSI den Auftrag hat, für IT-Sicherheit zu sorgen. So wird die Behörde in der Öffentlichkeit wahrgenommen, so präsentiert sie sich selbst. "Wir sind die Code Maker, nicht die Code Breaker", sagte zum Beispiel Arne Schönbohm, Präsident des BSI, Ende Februar auf dem Europäischen Polizeikongress. "Für unsere Arbeit ist Vertrauen enorm wichtig, das darf nicht weggehen." Schönbohm betonte auch, dass die Code Breaker von Zitis, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, ganz bewusst in München angesiedelt seien.
Für Cyber-Gegenschläge ist es allerdings notwendig, dass man Sicherheitslücken in Software ausnutzt. Die Grenze zwischen Defensive und Offensive verwischt an diesem Punkt. Das BSI ist der Ansicht, dass alle Schwachstellen, sobald man sie findet, geschlossen werden müssen. "Das BSI hält es für unverantwortlich, Schwachstellen offenzuhalten", sagt Vizepräsident Gerhard Schabhüser auf Nachfrage. Der Bundessicherheitsrat unter Vorsitz von Kanzlerin Angela Merkel beschloss Ende März, eine Analyse der hierfür benötigten technischen Fähigkeiten vornehmen zu lassen.
Interne Bedenken beim BSI
Konkret geht es bei Gegenschlägen darum, einen Cyberangriff zu stoppen. Wenn also das Stromnetz lahmgelegt wird - wie kürzlich in der Ukraine geschehen - oder wenn sensible Daten einer Behörde auf fremde Server kopiert würden, dann soll Deutschland in der Lage sein, die Angreifer aus den Netzen zu schmeißen und ihre Werkzeuge unschädlich zu machen.
Die Diskussion um Hacking Back und die Rolle des BSI sorgen auch intern für Zweifel. Schabhüser bezeichnete sich im Hausmagazin als Innenpolitiker der Behörde. Auf die Zweifel angesprochen sagt er: "Ein leichtfertiger Umgang mit Hacking Back birgt sehr viele Risiken, insbesondere weil es schnell eskalierend wirken kann. Andererseits stellt sich natürlich die Frage, ob Deutschland diese Option nicht als Ultima Ratio braucht, um staatsgefährdende Cyberangriffe abwehren zu können."
Das BSI geht zumindest davon aus, die Fachkompetenz zu besitzen, um bei Cyberangriffen tätig zu werden. Sie betreibt zwar keine klassische Attribution, sagt also nicht, ob eine Hackergruppe im Auftrag eines Staates agiert, analysiert aber sehr wohl Schadsoftware und ordnet diese Akteuren zu.
Befindet sich ein Server in Deutschland, können Strafverfolgungsbehörden diesen beschlagnahmen lassen. Befindet er sich in einem Land, mit dem Deutschland international kooperiert, kann man mit Partnerbehörden kooperieren. "Erst wenn das nicht möglich ist, wenn auch der diplomatische Weg wegfällt, dann muss man sich die Frage stellen, was man technisch können muss, um den Angriff zu stoppen", sagt Schabhüser.
"Verteidigung ist die beste Verteidigung"
Felix Esser, der sich beim Bund der Deutschen Industrie (BDI) um Cybersicherheit kümmert, sagt, dass es die Priorität deutscher Sicherheitsbehörden sein müsse, Bürger, staatliche Einrichtungen und Unternehmen zu schützen. "Dafür müssen Sicherheitslücken schnell geschlossen werden. Schwachstellen dürfen nicht aus taktischen Gründen verheimlicht oder gesammelt werden. Das erwarten wir unabhängig davon, welche Behörde sich um Hacking Back kümmern sollte."
Die Partei der Grünen forderte in einem Positionspapier kürzlich, dass das BSI aus dem Geschäftsbereich des Innenministeriums herausgelöst wird. "Das BSI ist eine kompetente Behörde, die viel dafür getan hat, um aus dem Image der Verwebung mit Geheimdiensten rauszukommen", sagt Konstantin von Notz.
Die Grünen sehen Hacking Back rechtlich und technisch als "maximal problematisch" an. "Das große Problem der Attribution ist bis heute ungeklärt. Wir glauben, Verteidigung ist die beste Verteidigung im digitalen Raum und nicht etwa Angriff." Sollte das BSI Cyber-Gegenschläge betreuen, fürchtet der Politiker einen Vertrauensverlust: "Das wäre ein schwerer Fehler. Man würde mit dem Hintern einreißen, was man über Jahre versucht hat aufzubauen."