Kolumne : Aktive Verteidigung ist oft die einzige Möglichkeit

Im September 2021 beschloss die damalige Bundesregierung die „Cybersicherheitsstrategie für Deutschland 2021“ als strategischen Rahmen für das Regierungshandeln der Jahre 2022-2026. Die öffentliche Diskussion dazu war gemischt. Vieles wurde gelobt, etwa der Fokus auf Maßnahmen und Messbarkeit. Vieles wurde kritisiert, neben wichtigen inhaltlichen Punkten auch der Entstehungsprozess der Strategie, denn Öffentlichkeit und Wissenschaft wurden kaum eingebunden.

Im Koalitionsvertrag der neuen Bundesregierung wird eine Weiterentwicklung der Cybersicherheitsstrategie angekündigt. An vielen Stellen geht der Koalitionsvertrag deutlich über die aktuelle Strategie hinaus oder widerspricht dieser sogar. Auch deshalb wäre eine baldige Überarbeitung sinnvoll – mit einer besseren Einbeziehung von Öffentlichkeit und Wissenschaft. 

Viel Detailarbeit notwendig

Viele Positionen im Koalitionsvertrag sind auch aus Sicht der Wissenschaft zu begrüßen, erfordern aber noch viel Detailarbeit, bevor sie umgesetzt werden können.

Beispielsweise legt der Koalitionsvertrag nahe, dass die neue Bundesregierung eine flächendeckende Ende-zu-Ende-Verschlüsselung ohne Hintertüren möchte. Die Koalition sieht den Staat in der Vorreiterrolle: er soll seinen Bürgern für alle Angebote einen verschlüsselten Zugang anbieten.

Das ist sinnvoll, impliziert aber, dass der Staat eine entsprechende Infrastruktur aufbaut, die jedem ein für die Verschlüsselung notwendiges Public-Key-Zertifikat gibt, mit dem sich der Sender verifizieren lässt, und dass die Bürger über die notwendige Soft- und Hardware verfügen. Die Erfahrung zeigt, dass dies alles andere als einfach ist und gut geplant werden muss.

Hersteller sollen haften

Hersteller sollen künftig für Schäden haften, die fahrlässig durch Lücken in ihren Produkten entstehen. Der Staat soll Schwachstellen weder kaufen noch offenlassen, was deren Nutzung für Überwachungsmaßnahmen allerdings nicht ausschließt. Alle staatlichen Stellen bekannte Schwachstellen müssen dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik, gemeldet werden, naheliegenderweise damit das BSI diese den Herstellern mitteilt.

Für die Wissenschaft ist sehr wichtig: Für das gezielte Suchen von Schwachstellen in IT-Systemen soll ein zweifelsfrei legales Vorgehen geschaffen werden. Auch dies sind alles wichtige Forderungen, die Details sind aber nicht so einfach. Beispielsweise ist das BSI prinzipiell die richtige Behörde zur Behandlung von Schwachstellen, aber eine umfassende Beurteilung von Schwachstellen kann sehr aufwändig werden. Es ist auch anzunehmen, dass IT-Hersteller erst davon überzeugt werden müssen, dass eine Meldung von Schwachstellen via BSI der beste Weg ist.

Die aktive Verteidigung ist sinnvoll

Der Koalitionsvertrag lehnt „Hackbacks“ als Mittel der Cyberabwehr ab, allerdings ohne näher zu beschreiben, was damit gemeint ist. Ein Hackback im Sinne eines Vergeltungsangriffs gegen den vermuteten Urheber eines Angriffs ist auch aus wissenschaftlicher Sicht abzulehnen. Von rechtlichen Fragen abgesehen, müsste man für eine Vergeltung zweifelsfrei sicher sein, wer hinter einem Angriff steckt – und das ist in der Praxis höchst selten der Fall.

Durchaus sinnvoll ist aber die sogenannte aktive Verteidigung, d.h. Maßnahmen, durch die die technische Quelle eines Angriffs blockiert wird. Eine solche aktive Verteidigung braucht viel Wissen und muss sorgfältig geplant werden, damit keine negativen Seiteneffekte eintreten. In vielen Fällen ist sie aber die einzige Möglichkeit, einen Cyberangriff abzuwehren.

Die Entwicklung von praktisch anwendbaren Methoden der aktiven Verteidigung sowie von Prozessen, wie diese rechtsstaatlich eingesetzt werden können, ist ein wichtiges, aktuelles Thema der angewandten Cybersicherheitsforschung – beispielsweise auch meiner Forschungsgruppe in ATHENE.

Auch zu anderen Themen wie Privatsphärenschutz, Anonymität und Überprüfbarkeit von Algorithmen enthält der Koalitionsvertrag sinnvolle Vorhaben, deren Umsetzung für die Cybersicherheitsforschung herausfordernd sein wird.

Cybersicherheit als digitale Schlüsseltechnologie

Die Koalition nennt Cybersicherheit leider nicht explizit in ihrer Liste der zentralen Zukunftsfelder, betrachtet Cybersicherheit aber als eine der digitalen Schlüsseltechnologien, die es zu stärken gilt. Es ist also zu erwarten, dass die Bundesregierung den erfolgreich eingeschlagenen Weg der Förderung exzellenter, angewandter Cybersicherheitsforschung an Universitäten und außeruniversitären Forschungseinrichtungen fortsetzen wird. Die künftige Cybersicherheitsstrategie muss aber in der Forschung weitergehen als die aktuelle.

Zum einen müssen Forschungseinrichtungen an sich als kritische Infrastruktur betrachtet werden. Sie sind vermehrt das Ziel von Cyberangriffen, sind aber – wie unsere Analysen belegen – oft schlecht geschützt. Die Cyberabwehrfähigkeiten von Forschungseinrichtungen müssen deutlich verbessert werden. Zum anderen sollte die Cybersicherheitsforschung enger in die künftige nationale Cybersicherheitsarchitektur eingebunden werden. Bislang ist die Forschung beispielsweise im Nationalen Cyber-Sicherheitsrat, dem zentralen Strategiegremium auf Bundesebene, direkt überhaupt nicht beteiligt.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Leiterin des Forschungsbereichs Analytics-based Cybersecurity im Forschungszentrum ATHENE. 

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.