Das leidige Thema Hackback ist zurück auf der Tagesordnung. Die Diskussion um diese manchmal als „offensive Cyberabwehr“ umschriebene Maßnahme gehört fast schon zu den Zombies in der Digitalpolitik. Genauso wie die Vorratsdatenspeicherung, eine Klarnamenpflicht im Internet und Netzsperren.
Dabei hatte die Ampelkoalition gut begonnen, gerade im Bereich Digitalpolitik und Cybersicherheit war der Koalitionsvertrag erfreulich klar. Hackbacks werden da ausgeschlossen, auch soll der Bund keine Schwachstellen in IT-Sicherheitsprodukten ankaufen, um entsprechende Hacking-Maßnahmen zu ermöglichen. Im Kontext der mittlerweile viel zitierten „Zeitenwende“ möchte Bundesinnenministerin Nancy Faeser (SPD) nun offenbar hinter diesen Konsens zurück. Das ist aus verschiedenen Gründen eine schlechte Idee.
Aktionismus statt Strategie
Denn auch wenn „aktive Cyberabwehr“ irgendwie aktiv und stark klingt, ist sie vor allem eins – aktionistisch. Der IT-Sicherheit dürfte damit eher nicht gedient sein. Denn wer die kritischen Systeme anderer Länder angreift, legitimiert und normalisiert dadurch Angriffe auf diese Infrastrukturen. Heißt auch: Das Fadenkreuz auf die heimische Infrastruktur dürfte durch Hackback-Operationen größer werden, nicht kleiner.
Selbst wenn Hackback-Operationen erfolgreich durchgeführt werden, kann gerade im Kontext des aktuellen Krieges in der Ukraine beobachtet werden, dass damit wenig erreicht werden dürfte. Das von Russland verwendete Material ist meist alt und wenig vernetzt. Und Leaks von Gruppen wie Anonymous, etwa über in der Ukraine eingesetzte russische Soldaten, haben bislang auch nicht dazu beigetragen, den Konflikt einzuhegen oder zu beenden. Unklar bleibt also, welches strategische Ziel ein Hackback in der Praxis erreichen soll.
Klar ist auch: Wer Hackbacks will, der wird wohl nicht umhinkommen, Exploits zu horten. Wer aber verhindert, dass Schwachstellen in Software geschlossen werden, vermindert das Cybersicherheitsniveau insgesamt. Die Regierung sollte also unbedingt bei ihren bisherigen Plänen bleiben.
Es gibt trotzdem genug zu tun
Das heißt aber natürlich nicht, dass das Thema Cybersicherheit bereits ausreichend adressiert wäre. Jeden Tag werden Unternehmen in Deutschland und Europa Opfer von Cyberangriffen. Viele dieser Angriffe wären vermeidbar, wenn Unternehmen einfache Sicherheitsmaßnahmen ergreifen würden. Sichere Fernwartungszugänge, vernünftige Passwörter, Zugriffsbeschränkungen und regelmäßige Backups. Auch in diesem Bereich kann man sich nur wiederholen.
Anstatt also abstrakt über offensive Fähigkeiten des Bundes zu spekulieren, sollte lieber die Defensive in der Breite der Wirtschaft und Gesellschaft gestärkt werden. Das ist erst einmal Aufgabe der Wirtschaft, da kann sich kein Unternehmen rausreden. Aber die Politik kann die notwendigen Rahmenbedingungen dafür schaffen.
Wieso nicht Sonderabschreibungen im Bereich der IT-Sicherheit? Oder ein massives Förderprogramm für die Ausbildung von IT-Fachkräften auf allen Ebenen? Von Fachinformatiker:innen bis hin zu studierten Spezialist:innen für IT-Sicherheit wird alles dringend gebraucht.
Was es ebenfalls braucht sind niedrigschwellige Beratungsangebote. Gute Beispiele wie das Kompetenzzentrum Digital.Sicher.NRW gibt es bereits. Denn nur wenn Unternehmen sich mit ihren ganz konkreten Fragen an kompetente Ansprechpartner wenden können, ohne gleich mit einer Vielzahl von Angeboten für Tools, Beratungsleistungen und Software überhäuft zu werden, kann die notwendige Beschäftigung mit ganzheitlichen IT-Sicherheitskonzepten beginnen.
„Offense wins games – defense wins championships” – wir sollten diesen Satz als Gesellschaft beherzigen. Nur durch eine gute Cybersicherheit in der Breite der Unternehmen in allen Sektoren können wir unsere eigene Resilienz steigern. Und wenn der Bund etwas tun möchte, dann sollte er die eigenen Systeme noch deutlich besser härten.
