Eine Definition vorneweg: Maßnahmen der Passiven Cyberabwehr sind solche, die präventiv ergriffen werden, ohne dass ein konkreter Cyberangriff absehbar ist. Währenddessen sind Maßnahmen der Aktiven Cyberabwehr solche, die reaktiv ergriffen werden, wenn ein konkreter Cyberangriff unmittelbar und absehbar bevorsteht oder bereits begonnen hat.
Insbesondere Maßnahmen der Aktiven Cyberabwehr standen in der Vergangenheit immer wieder in der Kritik. Dies liegt jedoch primär darin begründet, dass Maßnahmen der Aktiven Cyberabwehr häufig mit sogenannten Hackbacks verwechselt werden.
Aktive Cyberabwehrmaßnahmen sind keine Hackbacks
Dabei sind Aktive Cyberabwehr und Hackbacks keineswegs gleichzusetzen – vielmehr sollte darauf geachtet werden, die beiden Begriffe sauber voneinander zu trennen. Unter der Aktiven Cyberabwehr versteht man Gegenmaßnahmen gegen einen akuten, böswilligen Angriff, um diesen zu stoppen und negative Auswirkungen des Angriffs zu verhindern oder abzumildern. Hierbei ließe sich also vielmehr von einer Art digitaler (Selbst-)Verteidigung sprechen. Dies wiederum trägt im Ergebnis zur Stärkung der IT-Sicherheit bei – und somit zur Stärkung der gesamten Gesellschaft, etwa in Bezug auf die Sicherung Kritischer Infrastrukturen und den Schutz vor Datendiebstahl.
Hingegen zielen Hackbacks darauf ab, gezielte Gegenangriffe auf die IT eines böswilligen Angreifers durchzuführen, nachdem dessen Angriff bereits abgeschlossen ist. Hackbacks verfolgen somit in der Regel das alleinige Ziel, sich für einen von dem ursprünglichen Angreifer ausgeführten, früheren Cyberangriff zu rächen und sind somit eine Art digitaler Vergeltungsschlag.
Rechtsunsicherheiten beim Erforschen und Durchführen von Cyberabwehr
Das Erforschen und Durchführen von Maßnahmen der Cyberabwehr ist in Deutschland mit großen Rechtsunsicherheiten verbunden. Dies liegt vor allem in zwei Umständen begründet:
Zum einen entstehen Rechtsakte in der Regel nicht vor dem Hintergrund, speziell die Erforschung und Durchführung von Maßnahmen der Cyberabwehr zu regeln, sondern um der Gesellschaft für einen bestimmten Bereich möglichst allgemeingültige Regeln für das Verhalten unter- und miteinander aufzuerlegen – so zum Beispiel gibt die Europäische Datenschutzgrundverordnung einen Regelungsrahmen für (fast) jede denkbare Form der Verarbeitung personenbezogener Daten vor, enthält aber keine Regelungen, die sich speziell auf die Erforschung und Durchführung von Maßnahmen der Cyberabwehr beziehen.
Dieser Umstand führt dazu, dass die technischen Gegebenheiten und Bedürfnisse der Cyberabwehr häufig nicht zu den für sie geltenden Rechtsakten passen. Ein Beispiel hierfür ist, dass die Datenschutzgrundverordnung davon ausgeht, dass jede personenbezogene Datenverarbeitung vor der Erhebung von Daten detailliert geplant und rechtlich vorbereitet wird.
Cyberabwehrmaßnahmen zielen hingegen in der Regel nicht darauf ab, personenbezogene Daten zu verarbeiten und können derartige Datenverarbeitungen in der Regel auch nicht vorhersehen. Gleichwohl kann es passieren, dass im Rahmen der Abwehr eines Cyberangriffs personenbezogene Daten erhoben werden, ohne dass dies vorher absehbar oder gar datenschutzrechtlich vorbereitbar war.
Warum die Ähnlichkeit von Werkzeugen zum Problem werden kann
Zum anderen werden für die Abwehr von Cyberangriffen häufig die gleichen oder sehr ähnliche Werkzeuge genutzt, wie für die abzuwehrenden Cyberangriffe selbst – wenn auch mit völlig unterschiedlichen Absichten: Während ein Angreifer diese Werkzeuge nutzt, um einen Angriff gegen IT-Anwendungen, -Systeme oder -Infrastrukturen auszuüben, setzt der Abwehrende die Werkzeuge ein, um einen solchen Angriff zu verhindern oder zu beenden.
Häufig verbieten Rechtsakte jedoch den Einsatz dieser Werkzeuge, ohne (aus Sicht des einen Cyberangriff Abwehrenden) rechtssicher klarzustellen, ob auch die von ihm ausgeführte Abwehrhandlung des Cyberangriffs unter Strafe gestellt ist.
Mittel- und langfristig könnten die bestehenden Rechtsunsicherheiten dazu führen, dass Maßnahmen der Cyberabwehr aus Angst vor Strafen nicht mehr in ausreichendem Maße erforscht und/oder zur Abwehr von Cyberangriffen eingesetzt werden. Dies wiederum würde dazu führen, dass Angriffe gegen etwa Kritische Infrastrukturen, persönliche Daten und Geschäftsgeheimnisse nicht nur weiter zunehmen, sondern auch immer erfolgreicher werden können und somit unsere Gesellschaft geschwächt wird.
Cyberabwehrmaßnahmen im Überblick
Um im Rahmen des rechtlichen Diskurses auf den rechtssicheren Einsatz von Cyberabwehrmaßnahmen hinwirken zu können, bedarf es zunächst einer Schärfung des Verständnisses für die Begriffe der Passiven und Aktiven Cyberabwehr sowie der mit diesen Begriffen verbundenen Maßnahmen.
Die beiden Formen der Cyberabwehr lassen sich in Bezug auf ihren Wirkungsbereich weiter differenzieren: Maßnahmen, die der Abwehr von Cyberangriffen dienen, können entweder auf die zu verteidigenden IT-Infrastrukturen beschränkt sein und daher intern stattfinden, oder Auswirkungen haben, die über diese IT-Infrastrukturen hinausgehen und daher externer Natur sein beziehungsweise (zusätzlich) extern wirken (so auch ähnlich Denning/Strawser, Active Cyber Defense: Applying Air Defense to theCyber Domain, 2017).
Darüber hinaus können Maßnahmen mit (zusätzlich) externer Wirkung dahingehend unterschieden werden, ob die Maßnahmen intrusiv oder nicht intrusiv sind. Maßnahmen mit (zusätzlich) externer Wirkung sind intrusiv, wenn es aufgrund der Maßnahmen zu einem unbefugten Zugriff auf IT-Anwendungen, -Systeme oder -Infrastrukturen oder die Beeinträchtigung ihrer Vertraulichkeit, Integrität oder Verfügbarkeit kommt beziehungsweise der Versuch hierzu unternommen wird, definiert das US-Institut für Normung Nist.
Nicht-intrusiv sind Maßnahmen mit (zusätzlich) externer Wirkung hingegen dann, wenn sie kein Eindringen in die IT-Anwendungen, -Systeme oder -Infrastrukturen des Angreifers erfordern und auch nicht die Vertraulichkeit, Integrität oder Verfügbarkeit dieser beeinträchtigen, für die Haya Shulman und Michael Waidner Beispiele nennen (Shulman/Waidner, Der Weg zur aktiven Cyberabwehr, FAZ 2022).
Die nachfolgende Auflistung (Gärtner, Towards a Taxonomy of Cyber Defence in International Law, GI Informatik 2023) gibt Beispiele für Maßnahmen der verschiedenen Formen passiver und aktiver Cyberabwehr:
Maßnahmen der Passiven Cyberabwehr mit interner Wirkung
- Einfache Benutzerauthentifizierung, z. B. durch ein Passwort, ohne weitere Konsequenzen bei mehreren Fehlversuchen der Passworteingabe
- Sichere Passwörter
- Benutzerschulungen
Maßnahmen der Passiven Cyberabwehr mit (zusätzlicher) externer Wirkung
- Austausch von Bedrohungsinformationen, z. B. zwischen Strafverfolgungsbehörden und kommerziellen Dienstleistern (nicht-intrusive Maßnahme; Denning/Strawser, Active Cyber Defense: Applying Air Defense to the Cyber Domain, 2017)
- Kontinuierliches Abfangen von Cyber-Bedrohungen (intrusive Maßnahme; U. S. Cyber Command, Achieve and Maintain Cyberspace Superiority, 2018)
- Präventives Abschwächen der Cyber-Fähigkeiten von Angreifern (intrusive Maßnahme; U. S. Cyber Command, Achieve and Maintain Cyberspace Superiority, 2018).
Maßnahmen der aktiven Cyberabwehr mit interner Wirkung
- Benutzerauthentifizierung inkl. Reaktionen auf fehlgeschlagene Authentifizierung (z. B. Sperrung des Accounts)
- Behebung von Schwachstellen in den verteidigten IT-Infrastrukturen
- Bewusste (Fehl-)Konfiguration eines IT-Systems, die im Falle eines Angriffs als Köder wirkt und den Angreifer von kritischen IT-Ressourcen weglockt, den Angriff verlangsamt oder Vorwarnungen gibt
Maßnahmen der aktiven Cyberabwehr mit (zusätzlich) externer Wirkung
- Wiederherstellung eines durch einen Cyberangriff umgeleiteten Datenflusses (nicht-intrusive Maßnahme)
- Zufällige Änderungen der IP-Adresse des Opfers eines Cyberangriffs durch den Verteidiger, um den Cyberangriff zu erschweren (nicht-intrusive Maßnahme; Dewar, Active Cyber Defense, 2017
- (Vorübergehende) Unterbrechung oder Übernahme der IT-Infrastruktur des Angreifers, um einen Angriff zu stoppen (intrusive Maßnahme).
Fazit
Bis mehr Klarheit über die rechtliche Zulässigkeit der Erforschung und des Einsatzes der verschiedenen Formen von Cyberabwehrmaßnahmen geschaffen ist, sind die Erforschung und der Einsatz dieser Maßnahmen mit einem hohen Maß an Rechtsunsicherheit behaftet, was mittel- und langfristig zu einer Schwächung unserer IT und Gesellschaft führen könnte. Dementsprechend ist die rechtssichere Gestaltung des Einsatzes derartiger Maßnahmen von hohem gesellschaftlichem Interesse und bildet einen Schwerpunkt der rechtlichen Forschungsarbeiten des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene.
Oberste Priorität bei der Erforschung dieses Themenkomplexes haben dabei die Interessen der Gesellschaft, die einerseits von einer starken und sicheren IT-Landschaft, andererseits aber auch von Regeln für die Wissenschaft profitiert – denn Wissenschaft muss rechtssicher sein, darf aber nicht im rechtsfreien Raum erfolgen, sondern bedarf adäquater Regeln .
Eine saubere Abgrenzung der unterschiedlichen Formen von Cyberabwehrmaßnahmen stellt einen wichtigen ersten Schritt dar, um aus rechtlicher Sicht die Grenze zwischen rechtmäßigem und unrechtmäßigem Verhalten im Cyberspace zu bestimmen.
Tanya Gärtner ist wissenschaftliche Mitarbeiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und am Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.
Annika Selzer leitet am Fraunhofer SIT die Forschungsabteilung „IT-Law & Interdisciplinary Privacy Research“ und co-koordiniert in ATHENE den Forschungsbereich „Legal Aspects of Privacy and IT-Security“.
Der Beitrag gibt die persönliche Meinung der Autorinnen wieder. Dieser Beitrag wurde vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung für das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE unterstützt.