Seit mehr als sechs Jahren wird in der deutschen Cybersicherheitspolitik über die Frage gestritten, ob deutsche Sicherheitsbehörden – kurz der Staat – in IT-Systeme im In- und Ausland eindringen können soll, um böswillige Cyberaktivitäten von Kriminellen und Nachrichtendiensten an der Quelle zu stoppen.
Das ist aus verschiedenen Gründen umstritten (PDF-Dokument; 13 Seiten). Sicherheitsbehörden etwa sind dafür, weil sie – ihrer Meinung nach – mit den bisherigen Befugnissen nicht mehr weiterkommen. Aktivist:innen, Nicht-Regierungsorganisationen; Wissenschaftler:innen und einzelne Politiker:innen argumentieren dagegen, weil so Unbeteiligte geschädigt und Konflikte eskalieren könnten.
In der öffentlichen und politischen Debatte etablierte sich der Begriff „Hackback“. Er ist unmissverständlich und macht schnell klar, worum es eigentlich geht: IT-Systeme, von denen eine Cyberoperation („Hack“) ausgeht, mit Gegenmaßnahmen beantworten („Hackback“). Das federführende Bundesinnenministerium (BMI) verwies bisher darauf, dass der Begriff Hackback „... von der Bundesregierung jedoch konzeptionell grundsätzlich nicht verwendet [wird]“ (PDF-Dokumente).
Eine Rechtsgrundlage für Hackbacks, die nicht so heißen dürfen
Die lange Debatte um Hackbacks schien mit dem Koalitionsvertrag der Ampel endlich ein Ende zu finden. Im Koalitionsvertrag der Regierungsparteien heißt es: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“. In der danach veröffentlichten Nationalen Sicherheitsstrategie steht ebenfalls zu lesen: „Hackbacks lehnen wir als Mittel der Cyberabwehr prinzipiell ab“. Daher konnte das Innenministerium sich nicht dauerhaft auf den Standpunkt stellen, dass es den Begriff Hackback konzeptionell nicht verwendet – denn er steht immerhin im Koalitionsvertrag und der Nationalen Sicherheitsstrategie. Gleichzeitig konnte das BMI nicht auf die in der Öffentlichkeit verwendete Definition von Hackbacks zurückgreifen.
Denn: Gegen IT-Systeme im In- und Ausland gerichtete Gegenmaßnahmen durchzuführen, ist genau das, wofür man im Ministerium eigentlich unter anderem eine Rechtsgrundlage schaffen lassen will. Dieser Logik nach konnten Hackbacks aber nicht das sein, was sie im öffentlichen Diskurs sind. Denn sonst würde das BMI mit seinen Plänen gegen den Koalitionsvertrag verstoßen. Eine Umdeutung des Begriffs musste also her.
Aus Gegenmaßnahmen werden illegale Vergeltungsmaßnahmen
In Antworten auf Kleine Anfragen definiert das BMI Hackbacks seit Neuestem als etwas, das nach internationalem Recht nicht zulässig ist: „digitale Vergeltungsmaßnahmen“ (PDF-Dokumente). Dass es sich hierbei um eine Nebelkerze des Ministeriums handelt, ist offensichtlich. Wenn die Widersacher von Hackbacks – die Regierungsfraktionen – wirklich diese Bedeutung im Sinne gehabt hätten, hätten sie es dann in den Koalitionsvertrag geschrieben?
Das wäre so, als würde man dort lesen: Wir wollen mehr investigative Befugnisse für die Polizeien schaffen, aber Folter lehnen wir als Methode der Informationsbeschaffung grundsätzlich ab. Es ist klar, dass die Regierungsfraktionen eigentlich ablehnen, wofür das BMI jetzt versucht, einen Rechtsrahmen zu schaffen: Gegenmaßnahmen gegen IT-Systeme im In- und Ausland.
Aktive Cyberabwehr oder Gefahrenabwehr im Cyberraum: im Kern auch Hackbacks
Verwendet werden für das Vorhaben allerdings seit jeher andere Namen: wahlweise Aktive Cyberabwehr oder Gefahrenabwehr im Cyberraum. Das soll es politisch leichter machen, den notwendigen Rechtssetzungsbedarf durch den Bundestag zu bringen – vor allem, wenn es einer Grundgesetzänderung bedarf. Schließlich hatte man sich politisch bereits verpflichtet, auf Hackbacks zu verzichten.
Dazu spielt es dem BMI in die Karten, dass es bislang nie konkrete Befugnisse zur Diskussion stellte, sondern immer nur über „Aktive Cyberabwehr“ und „Befugnisse für Gefahrenabwehr“ im Cyberraum sprach. Sicherlich ist das, wovon das Ministerium hier spricht, mehr als nur Hackbacks – aber es sind eben, in seiner intrusivsten Ausprägung, auch Hackbacks.
Das BMI wird sehr wahrscheinlich nach der Sommerpause einen entsprechenden Gesetzesvorschlag vorlegen. Entscheidend ist, dass die Abgeordneten im Bundestag verstehen, dass Aktive Cyberabwehr und Hackback im Extremfall das Gleiche meinen: Sicherheitsbehörden sollen als Gegenmaßnahmen in IT-Systeme im In- und Ausland eindringen können. Genau das also, wovor Vertreter:innen aus Zivilgesellschaft und Wissenschaft seit Jahren gewarnt haben. Unabhängig wie man zu dem Thema steht, täten die handelnden Personen bei dieser sicherheitspolitisch enorm wichtigen Fragestellung gut daran, transparent über konkrete Befugnisse zu reden, anstatt sich hinter Begriffen zu verstecken und diese umzudefinieren.
Exkurs: Definitionen von Aktiver Cyberabwehr und Hackback
Eine Arbeitsgruppe aus Praktiker:innen und Wissenschaftler:innen unter Leitung des Autors hat für Aktive Cyberabwehr die folgende Definition erarbeitet (PDF-Dokument; 56 Seiten): „eine oder mehrere technische Maßnahmen, die von einem oder mehreren Staaten gemeinsam implementiert und durch Behörden mandatiert oder ausgeführt werden, deren Ziel es ist, eine laufende, böswillige Cyberoperation oder -kampagne zu neutralisieren, und/oder ihre Auswirkungen zu mitigieren, und/oder sie technisch zu attribuieren“. Aus Regierungskreisen ist zu hören, dass die dort intern verwendete Definition relativ ähnlich ist. Unter anderem folgende bereits bestehende Befugnisse fallen unter diese Definition:
- BSIG §7b: Einsatz von „Honeypots“
- BSIG §7c: Anordnung zur Umleitung und Analyse des Datenverkehrs (ggü. TK-Diensteanbietern)
- BSIG §7c: Anordnung zur technischen Bereinigung (ggü. TK-Diensteanbietern)
- BNDG §34: Eingriff in informationstechnische Systeme von Ausländern im Ausland („Gefahrenfrüherkennung“)
- BNDG §19: Strategische Ausland-Fernmeldeaufklärung („Gefahrenfrüherkennung“)
Hackbacks stellen gemäß Autor eine intrusive Unterkategorie von Maßnahmen der Aktiven Cyberabwehr dar. Es lässt sich daher folgende Definition für Hackbacks ableiten: „Technische, intrusive [i.S.v. Einwirkung auf Vertraulichkeit, Integrität und Verfügbarkeit], Maßnahmen im Rahmen von defensiven [i.S.d. Reactio, nicht der Actio] Operationen im In- und/oder Ausland zum Neutralisieren, Abschwächen und/oder Zurechnen von kriminellen, nachrichtendienstlichen und/oder militärischen Aktivitäten gegen die in der Sicherheitsverantwortung liegenden [i.S.v. z. B. beim Staat: Behörden, Kritis, Ubi, ...] IT-Infrastrukturen“.
Der Vollständigkeit halber sollte erwähnt werden, dass es auch andere Haltungen und Definitionen gibt. Aufgrund dieser Uneinigkeit ist es daher, wie im vorliegenden Beitrag beschrieben, vor allem wichtig darüber zu reden, ob es sich um intrusive oder nicht-intrusive Maßnahmen handelt, über die wir hier reden – und wo sie ab welchem Gefährdungspotenzial wirken sollen.
Konkrete Maßnahmen und Diskussionspunkte, um die es sich bei der ganzen Debatte handelt, finden sich unter anderem hier:
- Stiftung Neue Verantwortung (2018): Aktive Cyber-Abwehr / Hackback
- Sven Herpig (2021): Active Cyber Defense Operations – Assessment and Safeguards (PDF-Dokument; 56 Seiten)
- Haya Shulman und Michael Waidner (2022): Aktive Cyberabwehr
- Tanya Gärtner und Annika Selzer (2023): Begriffsverwirrung verhindern: Was Maßnahmen Aktiver Cyberabwehr sind – und was nicht
Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Wie gut ist Deutschlands Cybersicherheitspolitik?