Kolumne Aktive Cyberabwehr statt Hackback?

Die neue Bundesregierung wird die Cybersicherheitspolitik in Deutschland stark vorantreiben wollen, jedenfalls wenn man den Koalitionsvertrag als Grundlage nimmt, denn: in keinem anderen deutschen Koalitionsvertrag für die Bundesebene wurde konkreter über IT- und Cybersicherheit gesprochen. Das trifft auch auf den Themenbereich Aktive Cyberabwehr und Hackbacks zu, der derzeit auch auf EU-Ebene vorangetrieben wird (Tagesspiegel berichtete). Hierzu heißt es im Koalitionsvertrag: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“. Was aber verbirgt sich dahinter und warum wird ein spezifisches Instrument der Cyberabwehr von der Bundesregierung grundsätzlich ausgeschlossen? Dazu lohnt es sich die Entwicklungen der letzten Jahre zu betrachten.

Der Diskurs über Aktive Cyberabwehr und/ oder Hackbacks wurde seit spätestens 2017 auch in der deutschen politischen Öffentlichkeit ausgetragen. Im damaligen Bundesministerium des Innern, für Bau und Heimat firmierte ein nicht-öffentliches Konzept zum Thema als „Vier-Stufen-Plan“, im Bundesministerium der Verteidigung reihte es sich in die Irrungen des „Digitalen Verteidigungsfalls“ ein. Weite Zustimmung in den sicherheitspolitischen Kreisen der Bundesregierung suggerierte, dass deutsche Sicherheitsbehörden Befugnisse zur aktiven Abwehr von Cyberoperationen unterhalb der Schwelle eines bewaffneten Konfliktes bekommen sollten. Die Bundesrepublik Deutschland sollte künftig digitale Gegenwehr leisten können. Klaus Vitt, damaliger Staatssekretär des Bundesministeriums des Innern, für Bau und Heimat und IT-Beauftragter der Bundesregierung, zufolge zeige die Erfahrung, „dass eine rein defensive Cyberabwehr künftig nicht mehr reichen wird (…). Wir benötigen als letzten Schritt auch Möglichkeiten für eine aktive zivile Abwehr“. Im Sommer 2020 stoppten dann offenbar die Sozialdemokraten das Vorhaben Hackback. In der Nachbereitung der internationalen Operation Ladybird forderte der BKA-Präsident in einer Sitzung des Innenausschusses im Februar 2021, die Gesetzeslage bei aktiver Cyberabwehr an die Praxis anzupassen.

Cyberabwehr: Diese Rechtsgrundlagen sind bereits da

Das gesteigerte Interesse der Sicherheitsbehörden, die entsprechenden Rechtsgrundlagen auf- und auszubauen, zeigt sich auch in der im September 2021 verabschiedeten Cybersicherheitsstrategie für Deutschland 2021. Die scheidende Bundesregierung nutzte diese letzte Chance, das Thema aktive Cyberabwehr der neuen Regierung ins Aufgabenheft zu schreiben. Dort wird folgender Zustand angestrebt:

„Durch die Schaffung einer erweiterten Gesetzgebungs- und Verwaltungskompetenz des Bundes für die Gefahrenabwehr besonders schwerer und bedeutender Cyberangriffe werden die Möglichkeiten für eine effektive Cyberabwehr erweitert. Gegen die Ursachen schwerer Cyberangriffe kann aktiv vorgegangen werden, um deren schädliche Wirkung im besten Fall komplett zu unterbinden.“

Es wird auch eine direkte Beziehung zu den Aufgaben der deutschen Nachrichtendienste hergestellt:

„Die verbesserte Früherkennung und Aufklärung von Cyberangriffen hat zur Erhöhung gegebener Warnhinweise zur Gefahrenabwehr, zur nachhaltigen Unterstützung der Präventionsarbeit sowie zur politischen Attribuierung von Cyberakteuren ausländischer Provenienz beigetragen.“

Zu guter Letzt wird dort auch die internationale Komponente betont:

„Mit der Umsetzung des NATO „Cyber Defence Pledge“ werden die Cyberabwehr und Cyberverteidigung verstärkt. Im Verbund mit seinen Partnern bleibt Deutschland handlungsfähig.“

Die Frage ist nun, ob es sich hier um einen Widerspruch der Cybersicherheitsstrategie zu dem danach verabschiedeten Koalitionsvertrag handelt, wie möglicherweise auch schon beim Thema Schwachstellenmanagement, oder ob sie sich in Einklang bringen lassen.

Hilfreich ist hierbei gegebenenfalls ein Blick auf das genaue Wording. Die Cybersicherheitsstrategie spricht von Cyberabwehrund definiert diese als „alle Maßnahmen mit dem Ziel, den Erfolg von tatsächlichen oder geplanten Cyberangriffen zu verhindern oder abzuschwächen“. Aber spätestens mit Verabschiedung des IT-Sicherheitsgesetzes 2.0 gibt es bereits Cyberabwehr-Befugnisse. Hierunter fallen zum Beispiel die Anordnungen an Telekommunikationsdiensteanbieter nach § 7c BSIG, unter anderem technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme zu verteilen. Betrachtet man die Gefahrenfrüherkennung im Cyberraum als Teil dieser Cyberabwehr-Definition, fallen unter anderem auch die neuen Befugnisse des Bundesnachrichtendienstes, zum Beispiel „Eingriff in informationstechnische Systeme von Ausländern im Ausland“ gemäß § 34 BNDG und „Strategische Ausland-Fernmeldeaufklärung“ gemäß § 19 BNDG, darunter.

Welche Optionen lässt sich die Bundesregierung offen?

Der Koalitionsvertrag schließt jedoch Hackbacks nur grundsätzlich aus, das heißt es kann Ausnahmen geben, und nur als Instrumente der Cyberabwehr, nicht aber zum Beispiel als Instrumente der Cyberverteidigung. Die Cybersicherheitsstrategie definiert Cyberverteidigung als „die in der Bundeswehr im Rahmen ihres verfassungsmäßigen Auftrages und der vorhandenen defensiven und offensiven Fähigkeiten zum Wirken im Cyberraum, die zur Einsatz- und Operationsführung geeignet und erforderlich sind oder zur Abwehr von (militärischen) Cyberangriffen und damit dem Schutz eigener Informationen, IT, sowie Waffen- und Wirksysteme dienen“.

Der Begriff Hackback hingegen ist weder im Koalitionsvertrag noch sonst irgendwo von offizieller Stelle definiert; er wurde von der letzten Bundesregierung konzeptionell grundsätzlich nicht verwendet, weder für Aktivitäten der Cyberabwehr noch der Cyberverteidigung. Weiterhin steht zu bezweifeln, dass er jemals gesetzlich definiert werden wird. Aus dem Diskurs der letzten Jahre ließe sich konstruieren, dass es sich dabei um besonders intrusive Maßnahmen der Cyberabwehr und Cyberverteidigung handelt, vor allem wenn sie gegen IT-Systeme im Ausland gerichtet sind und die Integrität, Verfügbarkeit oder Vertraulichkeit verletzten. 

Es ist anzunehmen, dass nicht allen Beteiligten klar war, welche Geister man mit der Aussage im Koalitionsvertrag rief. Die Bundesregierung steht vor dem Spagat, sich daran zu halten und gleichzeitig den Interessen der Bundessicherheitsbehörden zu folgen und Befugnisse zur Gefahrenabwehr im Cyberraum auszubauen – oder zumindest nicht einzuschränken. Um diesen Zielkonflikt aufzulösen, muss die Bundesregierung als ersten Schritt erklären, was für sie „Hackback“ im Sinne des Koalitionsvertrags bedeutet und den Begriff von bestehenden und zukünftigen Cyberabwehr-Befugnissen abgrenzen. Zusätzlich wäre es wichtig zu wissen, ob Hackback bei Cyberverteidigung gemäß der Bundesregierung in Frage kommt und aufgrund welcher möglicher Ausnahmen im Koalitionsvertrag von „grundsätzlich“ gesprochen wird, anstatt diese kategorisch auszuschließen.

Es ist anzunehmen, dass die Bundesregierung „Hackback“ so eng definieren wird, dass nicht alle intrusiven Maßnahmen und Operationen im In- und Ausland davon erfasst werden, damit entsprechende Befugnisse bei den Sicherheitsbehörden ausgebaut werden können. Damit einhergehend fängt der politische Diskurs über das Für und Wider von Aktiver Cyberabwehr und Hackback in der Legislaturperiode vermutlich von vorne an.  Das wiederum widerspricht eigentlich den Plänen des Bundesinnenministeriums, das vermutlich lieber heute als morgen die Rechtsgrundlage entsprechend anpassen würde. 

Sven Herpig ist Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Er hat in Zusammenarbeit mit einer transatlantischen Expert:innenarbeitsgruppe im November 2021 eine umfassende Analyse zu aktiven Cyberabwehroperationen veröffentlicht.