# taz.de -- Debatte über Hackbacks: Lasst die Schaufel stecken
> Cyberangriffe sind Teil der Kriegsführung. Doch auf eine Cyberattacke mit
> einem entsprechenden Gegenangriff zu antworten, ist eine ganz schlechte
> Idee.
(IMG) Bild: Hackst du mich, hacke ich dich: Szene aus „Fighting mad“ von 1976
Der Koalitionsvertrags verhält sich gerade diametral zum Papierpreis:
Während Letzterer steigt, sinkt Ersterer stetig in seinem Wert. Nun muss
das erst einmal nichts Schlimmes sein: Manchmal ändern sich Dinge,
wissenschaftliche Erkenntnisse zum Beispiel, dann kann es sinnvoll sein,
Pläne anzupassen. Manchmal ändern sich Dinge allerdings auch nur
vermeintlich. Und das ist gerade so bei der Debatte über Hackbacks.
Hackbacks werden meist als das gegenseitige Schaufel-über-den-Kopf-Ziehen
auf digitalem Weg verstanden. Fiktives Beispiel: Staat A schleust einen
Verschlüsselungstrojaner in die Parlamentsverwaltung von Staat B, woraufhin
B das Mobilfunknetz von A abschaltet. Was man dabei schon sieht:
Cyberangriff, das klingt nach virtuell und digital und abstrakt, ist aber
etwas sehr Reales: weil nämlich am Ende Unternehmen betroffen sind oder
Verwaltungen oder Institutionen und damit: Menschen.
[1][Nun steht im Koalitionsvertrag] folgender Satz: „Hackbacks lehnen wir
als Mittel der Cyberabwehr grundsätzlich ab.“ Man kann spitzfindig
einwenden, dass schon dieser Satz eine Hintertür offen lässt. Schließlich
verstehen Jurist:innen das Wort „grundsätzlich“ nicht als „komplett“,
sondern eher so als „im Regelfall“. In der letzten Bundesregierung war
[2][Horst Seehofer noch an einem Gesetz], das Cybergegenschläge möglich
machen sollte, gescheitert.
Doch nun sagte Bundesinnenministerin Nancy Faeser vergangene [3][Woche im
Spiegel], man müsse „stärker über Gegenmaßnahmen bei Cyberangriffen“
nachdenken. Und dass der Satz im Koalitionsvertrag ja vor dem 24. Februar
geschrieben wurde. Die Bayerische Digitalministerin Judith Gerlach
überlegte bereits vor zwei Wochen laut, man müsse in der Lage sein, „im
Falle eines Hackerangriffs auf deutsche Stromnetze oder andere wichtige
Infrastrukturen nicht nur passiv, sondern auch aktiv darauf reagieren zu
können“.
## Ein perfekter Angriff ist kaum möglich
Stellen wir uns also vor, es gab einen Cyberangriff auf die hiesige
Infrastruktur und es gibt die große Bereitschaft und eine Rechtsgrundlage
für einen Hackback. Was würde passieren?
Auch in diesem sehr vereinfachten Szenario gälte es zunächst die Frage zu
klären, wer da eigentlich angegriffen hat. Das klingt leichter gesagt als
getan. Denn Angreifer:innen, egal ob mit finanziellem Interesse oder
staatlichem Hintergrund, hinterlassen unpraktischerweise kein
Bekennerschreiben mit qualifizierter elektronischer Signatur, das
zweifelsfrei ihre Urheberschaft ausweist.
Attributionsforscher:innen leisten zwar ganze Arbeit darin
herauszufinden, wer hinter einem Angriff steckt und ob diese Gruppe mit
einem Staat verwoben ist. Indizien helfen dabei.
Digitale Werkzeuge zum Beispiel, die typisch sind für eine bestimmte
Gruppe, persönliche Daten, die unbeabsichtigt hinterlassen wurden,
Pseudonyme, die Täter:innen auch auf Social-Media-Profilen nutzen, die
Motivation, ausgerechnet das gewählte Ziel anzugreifen – es gibt
haufenweise Möglichkeiten. Ein perfekter Angriff, der alle Spuren
verwischt, ist in der Praxis kaum möglich. Aber Angreifer:innen können
auch wunderbar falsche Fährten legen. Dass sich eine Attacke mit absoluter
Sicherheit attribuieren lässt, ist daher längst nicht die Regel. Spannende,
bitte vorab zu diskutierende politische Fragen: Wie hoch muss die
Sicherheit in der Attribution sein, um auf deren Basis einen Gegenangriff
starten zu können? Was, wenn es doch eine falsche Zuordnung gab und jemand
unbeteiligtes Drittes bekommt den Gegenangriff ab?
Aber nehmen wir einmal an, die Urheberschaft ist zweifelsfrei geklärt und
wir gehen über zum tatsächlichen Gegenangriff. Dazu wäre natürlich einiges
an Personal mit entsprechenden IT-Kenntnissen nötig, was für staatliche
Stellen gar nicht so leicht zu rekrutieren ist, aber lassen wir dieses
Problem einmal kurz beiseite. Denn was es vor allem braucht: Kenntnisse
über bislang unentdeckte Sicherheitslücken. Und jetzt wird es hakelig. Denn
wenn ein Staat solche Kenntnisse hat und die Lücken nicht meldet, weil er
sie gerne potenziell für einen eigenen Angriff ausnutzen will – dann
gefährdet er damit auch Unternehmen, Verwaltung und Nutzer:innen im
eigenen Land. Schließlich bleiben bei denen die Sicherheitslücken ebenso
unerkannt und ungestopft. Das könnte zu der ironischen Situation führen,
dass genau so eine Lücke erst einen Angriff auf die eigenen Systeme
ermöglicht.
## Der Beginn einer Eskalation
Dazu kommt ein weiteres Problem: Zeit. Ja, es gibt Angriffe, die sind
schnell gemacht. Aber gerade vulnerable Systeme der öffentlichen
Infrastruktur – Energie, Wasser, Gesundheit, Verwaltung und so weiter –
sollten besonders gut gesichert sein. Nach der zeitaufwendigen Attribution
würde es also noch einmal Zeit kosten, in das gegnerische Ziel
einzusteigen. Mit einem gegenseitigen Schaufel-über-den-Kopf-Ziehen hätte
das also zeitlich schon mal gar nichts mehr zu tun. Dafür wäre es aber
ziemlich sicher der Beginn einer Eskalation mit unabsehbarem Ausgang: Du
ein Krankenhaus von mir, ich deine Verwaltung, daraufhin du mein Stromnetz
und ich dann deine Wasserversorgung? Das wollen mit Sicherheit auch die
Protagonist:innen nicht, die gerade Hackbacks nicht mehr ausschließen.
In Deutschland sind bereits auf diversen Ebenen Maßnahmen verankert, mit
denen im Fall eines Cyberangriffs reagiert werden kann. Zum Beispiel im
zweiten IT-Sicherheitsgesetz. Das verpflichtet etwa in bestimmten
Situationen Provider zum Verteilen von Befehlen, mit denen Systeme von
Schadprogrammen befreit werden sollen. Darüber hinaus brauchen wir vor
allem etwas, das unspektakulär klingt, dabei aber zentral ist: Prävention.
23 Mar 2022
## LINKS
(DIR) [1] /Ministerium-fuer-Digitales/!5782589
(DIR) [2] /Cyberstrategie-2021/!5800127
(DIR) [3] https://www.spiegel.de/politik/deutschland/nancy-faeser-spd-zum-krieg-in-der-ukraine-brauchen-wir-wieder-atomschutzbunker-a-31eab139-6121-49e2-880d-3442023f94a9
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Hacking
(DIR) Angriff
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Nancy Faeser
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Schwerpunkt Krieg in der Ukraine
## ARTIKEL ZUM THEMA
(DIR) Erfolglose Verfassungsbeschwerde: Kaspersky verliert in Karlsruhe
Die Virenschutz-Firma klagte gegen die Warnung, es könne von Russland für
Cyber-Attacken genutzt werden. Karlsruhe lehnte die Beschwerde ab.
(DIR) Treffen der G7-Digitalminister: Schutzwälle gegen Cyberattacken
Die G7-Digitalminister:innen wollen die digitale Infrastruktur der Ukraine
stärken. Das Thema Nachhaltigkeit erlebt einen Bedeutungsverlust.
(DIR) Kriegsverbrechen in der Ukraine: Hoffnung auf Gerechtigkeit
Das Bündnis „Ukraine 5 AM Coalition“ sammelt Beweise für russische
Kriegsverbrechen. Über eine Plattform können Bürger:innen Aussagen
machen.
(DIR) Experte über russische Cyberattacken: „Das würde Panik erzeugen“
Russland ist eine Cybermacht – und führt seine Kriege nicht nur analog.
Experte Mischa Hansel sagt, wie auch Deutschland ein digitaler Angriff
treffen könnte.
(DIR) Cyberangriffe im Ukraine-Krieg: Sabotage und Attacken aus dem Netz
Cyberoperationen sind Teil der Kriegsführung und oft lange vorbereitet.
Auch deutsche Sicherheitsbehörden stellen sich auf digitale Angriffe ein.