Schlägt Deutschland bei Cyberattacken zurück?
7. Juli 2019
Deutsche Spione tragen heute wohl Kapuzenpullis, Wollmützen und Dreitagebart. Und: Sie haben eine "license to hack" - eine Lizenz zum Hacken also. Das suggeriert zumindest das große Foto, das ganz oben auf der Karriere-Seite des deutschen Geheimdienstes (BND) prangt. Darunter aufgelistet sind Stellenangebote für Experten für Cybersicherheit und "Computer Network Exploitation", also die Infiltration und Überwachung von Computern und Computernetzwerken. Eine der Anforderungen: "Bereitschaft zu Dienstreisen im In- und Ausland".
Auch andere westliche Länder forcieren ihre Suche nach solchen Talenten, die in fremde Computernetzwerke eindringen können: Australien, Großbritannien und Kanada schreiben ähnliche Stellen aus. Eine britische Anzeige lässt Bewerber wissen: "Wir können die Computer von Terroristen und Kriminellen hacken, um ihre Pläne zu zerstören." Die australische Regierung sucht Kandidaten, die in der Lage sind, "autonome Cyber-Operationen" zu entwickeln und durchzuführen.
Deutschen Hackern sind die Hände gebunden
Im Vergleich dazu fallen deutsche Hacker aus der Reihe: Sobald sie in ein Netz eingebrochen sind, wird ihre "Lizenz zum Hacken" durch das Grundgesetz klar eingeschränkt. Die deutsche Verfassung schreibt eine strikte Trennung zwischen Polizei und Nachrichtendiensten vor: Der Bundesnachrichtendienst (BND) hat also keine polizeilichen Befugnisse wie etwa Festnahmen oder Hausdurchsuchungen. Für den Spion im Kapuzenpulli heißt das konkret, dass er einen feindlichen Server nicht vom Netz nehmen kann - auch wenn dieser die deutsche Infrastruktur angreift.
In dem äußerst unwahrscheinlichen Fall einer Cyberattacke katastrophalen Ausmaßes, bei der Menschen sterben und Infrastrukturen zerstört werden, dürfte das deutsche Militär mit einem Cyberangriff kontern, um sich selbst zu verteidigen. In so einem Fall - Amerikaner reden oft vom "Cyber Pearl Harbor", um die digitale Katastrophe zu beschreiben - könnte die Bundeswehr sogar einen konventionellen Gegenangriff lancieren.
Solche gravierenden Vorfälle sind aber äußerst selten, verglichen mit der täglichen Flut von Cyberattacken auf Banken, Unternehmen, sogar Krankenhäuser, kurz: theoretisch jeden, der mit dem Internet verbunden ist. Ist ein System einmal infiziert, springt die bösartige Software oft wahllos weiter auf andere Computer.
Hinzu kommen die aufwändigeren, gezielten Attacken auf Abgeordnete, Medienhäuser oder die Server von Behörden, die monatelanger Vorbereitung bedürfen: Im Cyber-Jargon heißen diese "Advanced Persistent Threats". Dabei werden die Computer und Netzwerke von potenziellen Opfern so lange ausspioniert, bis eine Schwachstelle gefunden ist, durch die die Angreifer einbrechen können.
Spionage und Datenklau
Sind sie einmal im System, können sie spionieren, Daten stehlen oder sogar das ganze Netzwerk lahmlegen. Genau hier sind den deutschen Diensten derzeit die Hände gebunden. Noch. Innenminister Horst Seehofer (CSU) möchte die Befugnisse des Bundesnachrichtendienstes ausweiten. Er will ihm auch offensive Fähigkeiten geben und ihn damit auf eine Linie mit anderen Geheimdiensten bringen. Deutschland, erklärte Seehofer Anfang Juni, könne nicht "einfach ohnmächtig" eine Cyberattacke etwa auf ein Krankenhaus oder Kraftwerk über sich ergehen lassen.
Er folgt damit der aggressiveren Haltung anderer Länder, die in den vergangenen Jahren mehrere Angriffe auf ihre Infrastruktur erlebt haben. Darunter die Abschaltung des Stromnetzes 2015 in der Westukraine und der Hackerangriff auf Server der Demokratischen Partei im US-Wahlkampf 2016. In beiden Fällen verwiesen Gesetzgeber und Experten auf russische Hacker, die möglicherweise im Auftrag der Geheimdienste agierten. Möglicherweise, denn die Trennlinie zwischen kriminellen und politisch motivierten Hackern verschwimmt immer mehr.
Andere Staaten hacken bereits zurück: Nach Informationen der Zeitung New York Times führen die USA mittlerweile offensive Cyber-Operationen durch. So sollen die Vereinigten Staaten Schadsoftware in russische Server eingeschleust haben - "in einer Tiefe und mit einer Aggressivität, die es so bisher nicht gab". Diese Strategie wird manchmal als "Vorbereitung des Schlachtfelds" ("preparation of the battlefield") bezeichnet: Im Konfliktfall ist die Software bereits parat und kann schnell aktiviert werden, um einen Server vom Netz zu nehmen. Erst vor kurzem soll das US-Militär einen Cyberangriff auf iranische Raketenkontrollsysteme durchgeführt haben.
Defensive Cyberabwehr - "wie ein Panzer ohne Waffe"
Estland ist ein anderes Beispiel. Das kleine Land an der Ostsee grenzt an Russland, mit dem es eine komplizierte Geschichte verbindet. Nach jahrzehntelanger sowjetischer Besatzung, unter der viele Esten verhaftet wurden, wurde das Land 1991 unabhängig.
Im Jahr 2007 beschloss die estnische Regierung, eine Statue aus Sowjetzeiten aus dem Zentrum der Hauptstadt Tallinn an einen weniger zentralen Ort zu versetzen. Was folgte, war eine digitale Vergeltungsmaßnahme: ein großer Cyberangriff auf das Bankensystem und einige Internetseiten der Regierung. Experten sind sich einig, dass russische Hacker dafür verantwortlich waren.
Tanel Sepp, Leiter der Cyberprogramme des estnischen Verteidigungsministeriums, kann sich gut daran erinnern: In Brüssel, wo er damals als Diplomat arbeitete, konnte er keine estnischen Nachrichtenseiten abrufen. Aber, fügt er rasch hinzu, Estland habe schnell die Kontrolle über seine Netzwerke wiedererlangt.
Sepp nimmt sich Zeit für das Gespräch, seine Botschaft ist klar: Estland habe aus dem Vorfall gelernt, das Land sei gewappnet, die Cyberabwehr gestärkt. Man erprobe eine Art Cyber-Wehrpflicht. Und: Seit vergangenem Jahr verfügt das Land über ein Cyber-Kommando, das auch offensive Operationen durchführen soll. Denn: "Cyberabwehr ohne Offensive ist wie ein Panzer ohne Waffe", so Tanel Sepp. "Wir müssen notfalls zurückschlagen können."
Doch über die Einzelheiten der offensiven Cyberoperationen will er nicht reden. Auch nicht darüber, ob Estland wie die USA Operationen zur "Vorbereitung des Schlachtfelds" durchführt. Alle Details seien geheim.
Innenminister Seehofer will Hackbacks erlauben
Auch Deutschland hat einige Cyberattacken auf die Netze des Bundes erlebt. 2015 gab es einen Angriff auf das interne Netzwerk des Bundestags - wahrscheinlich ausgeführt von einer Gruppe russischer Hacker, die auch militärische Einrichtungen in mehreren NATO-Staaten ins Visier nahm. 2018 folgte ein Angriff auf das Netzwerk der Bundesverwaltung. Diese Angriffe scheinen die deutsche Regierung wachgerüttelt zu haben, nachdem eine frühere Diskussion zur Cyberverteidigung ins Leere lief. Innenminister Horst Seehofer fordert seitdem immer wieder eine "aktive Cyberabwehr" - so nennt die Regierung den digitalen Gegenangriff, der oft auch "Hackback" genannt wird.
Sein Ministerium arbeitet an einem Gesetzentwurf. Die Details sind noch streng geheim - so geheim, dass Regierungssprecher sich strafbar machen würden, wenn sie mit Journalisten darüber redeten. Doch ein internes Arbeitspapier gelangte vor einiger Zeit an die Öffentlichkeit. Dieses legt nahe, dass das Innenministerium den Auslandsgeheimdienst BND befähigen möchte, im Rahmen von Hackbacks Daten zu löschen und als letzten Schritt auch die von Angreifern genutzten Server abzuschalten.
Opposition: Hackback-Pläne "unverantwortlich"
Die Pläne, die Befugnisse der Regierungs-Hacker auszuweiten, sorgen für Verärgerung - vor allem bei der Opposition. Im Büro des Linken-Politikers André Hahn in Berlin Mitte stapeln sich Bücher wie "Der CIA Folterreport". Sensible Themen bespricht er nicht am Telefon, sondern lieber persönlich bei Spaziergängen an stark befahrenen Straßen. Paranoid ist er nicht, sagt er, aber er weiß: Handys können gehackt, Emails gelesen werden.
Hahn ist müde nach einer langen Auslandsreise, kommt aber schnell in Fahrt: Seehofers Pläne seien "fahrlässig" und "geschichtsvergessen". Hahn verweist damit auf das Regime der Nationalsozialisten, in dem die Geheime Staatspolizei (Gestapo) Menschen ohne rechtliche Schranken festhalten, foltern und verschwinden lassen konnte. Nach dem Zweiten Weltkrieg wurden Polizei und Nachrichtendienste strikt getrennt. Nie wieder sollte eine Geheimpolizei so agieren können wie die Gestapo.
Hahn: Grundgesetzänderung wäre "absurd"
Um dem BND zu erlauben, offensiv zu hacken, müsste also das Grundgesetz geändert werden. Für den Linken-Politiker Hahn ist die Idee so "absurd", dass er sich gar nicht damit befassen will. Hahn gehört zu den Abgeordneten, die den BND und andere Nachrichtendienste im Parlamentarischen Kontrollgremium des Bundestags überwachen sollen.
Tatsächlich, sagt Hahn, stamme der Großteil seines Wissens über geheime Operationen aus investigativer Berichterstattung in den Medien. Denn die Geheimdienste würden so wenig wie möglich über ihre Arbeit preisgeben. Er nennt das Kontrollgremium deshalb "ein sehr stumpfes Schwert" - und warnt davor, den Geheimdiensten noch mehr Befugnisse zu geben.
Auch andere Oppositionspolitiker, darunter die Grünen und die wirtschaftsliberale FDP, sind strikt dagegen, den BND mit einer offensiven Cyberabwehr zu beauftragen. Er halte das Vorhaben, dem BND weitere digitale Befugnisse zu geben, für "extrem bedenklich", sagt der FDP-Abgeordnete Stephan Thomae, auch er Mitglied im Parlamentarischen Kontrollgremium.
Sind Hackbacks der richtige Weg?
Mehrere Politiker und Experten, mit denen die DW Kontakt aufnahm, bezweifeln, dass Hackbacks überhaupt eine sinnvolle Form der Verteidigung sind. Darunter ist auch Matthias Schulze von der "Stiftung Wissenschaft und Politik", einer Berliner Denkfabrik, die die Bundesregierung berät.
Mehrere verschlossene Türen, die sich nur mit einem Hausausweis öffnen lassen, führen zu seinem kleinen Büro. Auf dem Tisch liegt das Buch "Click Here to Kill Everybody". Schulze nimmt sich viel Zeit für das Gespräch. Das Thema digitale Gegenangriffe ist ihm wichtig, von Seehofers Plänen hält er wenig. Zum einen führten Hacker ihre Angriffe oft von Computern unschuldiger Unbeteiligter aus, etwa von Krankenhäusern, die durch einen Vergeltungsschlag geschädigt werden könnten. Außerdem, sagt Schulze, sei es fast nutzlos, gestohlene Daten auf fremden Servern zu löschen, weil jeder professionelle Hacker ohnehin eine Kopie seiner Daten sichere.
Anstatt die Verteidigungsfähigkeit zu erhöhen, solle Deutschland lieber mehr in die Internetsicherheit investieren, rät Schulze. Denn aktive Cyberabwehr mache das gesamte Internet unsicherer. Sowohl ausländische als auch inländische Geheimdienste nutzen Hintertüren - Schwachstellen in der Software, die Außenstehenden den Zugang zu Systemen ermöglichen. Steht eine Tür erst einmal offen, kann jeder, der sie findet, sie benutzen - egal ob Kriminelle, Terroristen oder auch Teenager, die gut hacken können. Wer sich einmal Zugang verschafft hat, kann den Nutzer erpressen, ausspionieren oder die Kontrolle über den Computer übernehmen.
"Es gibt keine Sicherheitslücken nur für die Guten. Entweder es gibt die Lücken und das System ist für alle unsicher, oder es gibt keine Sicherheitslücken und das Internet ist für alle sicherer", betont Schulze.
Treibt das Ministerium die Pläne voran?
Doch trotz der vielen Einwände hält das Innenministerium an seinen Plänen fest. "Aktive Cyberabwehr ist ein unverzichtbares Instrument im Rahmen der nationalen Cyber-Sicherheitsarchitektur", so die schriftliche Antwort des Ministeriums auf Fragen nach Details des geplanten Gesetzes. Angesichts möglicher Cyberangriffe auf kritische Infrastrukturen, "können wir es uns nicht leisten, nichts zu tun".
Wann das Gesetz verabschiedet werden soll, welche rechtlichen Folgen es haben könnte und ob tatsächlich der BND die Befugnis zum Hackback erhalten soll - darauf erhielt die DW keine Antwort.
Viele Oppositionspolitiker fürchten, dass die Koalition aus CDU/CSU und SPD ihren Plan für eine offensivere Cyberabwehr umsetzt - auch auf die Gefahr hin, dass dieser verfassungswidrig sein könnte. Dann könnte die Regierung so lange Hackbacks anwenden, bis das Bundesverfassungsgericht ihren Einsatz verbietet. Dieses Vorgehen sei "nicht undenkbar", sagt Hahn. In anderen Fällen sei die Regierung auch schon so vorgegangen.
Eines ist klar: Sollte Deutschlands Geheimdienst vom Gesetzgeber grünes Licht bekommen, ist der Wechsel zu offensiven Operationen recht einfach. Sobald ein Hacker Zugriff auf ein Netzwerk habe, sei das Löschen von Daten "trivial", sagt Matthias Schulze. Anders gesagt: Die Spione, die Deutschland rekrutieren will, könnten schnell - und weitgehend unbemerkt - in die Offensive gehen.
Mitarbeit: Thomas Allinson