Gutachten warnt vor Kollateralschäden bei Cyber-Angriffen

Angriffe über das digitale Netz – sogenannte Cyber-Angriffe – können ähnliche Folgen haben wie klassische Militäraktionen. Ein Bundestagsgutachten hat nun auf die Gefahren hingewiesen und von der geplanten Offensiv-Strategie der Bundesregierung abgeraten.

Der Wissenschaftliche Dienst des Deutschen Bundestages hat in einem Gutachten vor den Folgen einer offensiv ausgerichteten Cyber-Sicherheitsstrategie gewarnt. Das als “Nur für den Dienstgebrauch” eingestufte Papier wurde am Dienstag vom Portal Netzpolitik.org veröffentlicht. Der Gutachter stammt aus den Reihen der Bundeswehr und tendiert im Gegensatz zur Bundesregierung eher zu einer defensiven Cyber-Strategie.

Beim Einsatz digitaler Waffen könne das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, dass unbeabsichtigte Schäden ausgeschlossen sind, heißt es in dem Gutachten. Systeme, die an das eigentliche Ziel angeschlossen sind, könnten bei einem Angriff entweder direkt mitbetroffen sein oder über einen Kaskadeneffekt in Mitleidenschaft gezogen werden.

Bei einem sogenannten “Hackback” geht es darum, mit groß angelegten Attacken – etwa auf Stromnetze oder andere Teile wichtiger Infrastruktur – in ausländische Server einzudringen, um diese lahmzulegen. Die schwarz-rote Koalition im Bund streitet seit Monaten darüber, ob und wie deutsche Sicherheitsbehörden bei Cyber-Angriffen aus dem Ausland zurückschlagen dürfen.

Digitaler Rüstungswettlauf

Das Bundestagsgutachten warnt eindringlich vor dem “Risiko eines Rüstungswettlaufes und einer Militarisierung des Internets – was mehr neue Probleme schaffen als bestehende lösen würde”. Als Alternative befürwortet der Gutachter – ein Oberstleutnant der Bundeswehr – eine Verstärkung der Abwehrfähigkeiten im Cyber-Raum: “Anstatt in einen […] Wettlauf einzutreten, werden stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen.”
Er empfiehlt, auf eine defensive digitale Verteidigungsstrategie zu setzen, Sicherheitslücken zu schließen und widerstandsfähige Systeme zu bauen.

Eine Abschreckung durch Aufrüstung und Machtdemonstrationen funktioniere hingegen nicht. Das US-Militär empfiehlt dennoch seit einigen Jahren auf digitaler Ebene eine ähnliche militärische Strategie wie im Kalten Krieg zu verfolgen. Kleine, gezielte Angriffe wie auf das Raketenprogramm Nordkoreas, auf Internetrouter in Syrien oder die iranischen Revolutionsgarden sollen die militärischen Möglichkeiten demonstrieren und den Gegner präventiv einschüchtern. Regelmäßige Angriffe auf US-amerikanische Systeme bleiben dennoch nicht aus. Da selbst die USA mit deutlich mehr Mitteln keinen Erfolg mit dieser offensiven Strategie haben, gelte das für Deutschland ebenfalls als “eher unwahrscheinlich”, urteilt das Gutachten.

Die geplanten Offensivmaßnahmen weisen einige Schwierigkeiten auf: Die Art der digitalen Angriffe müsse ständig – auch in Friedenszeiten – überarbeitet und angepasst werden, weil die Gegenseite beispielsweise Sicherheitslücken schließt oder Hard- oder Software tauscht. Jede Art von Angriff kann voraussichtlich nur ein einziges Mal eingesetzt werden, da der Gegner nach einem Angriff die entsprechenden Lücken im System schließen wird.

Angreifer unbekannt

Im digitalen Raum ist es meist außergewöhnlich schwierig festzustellen, wer zu welcher Seite gehört, oder überhaupt zu einer Partei. Das Gutachten fasst die Situation folgendermaßen zusammen: “Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen.”

Meist weisen nur Indizien auf den Urheber eines Cyber-Angriffs hin. Selbst bei den größten globalen Angriffen konnte nicht bewiesen werden, ob eine staatliche Behörde dahinter steckte, eine staatlich beauftragte Gruppe oder staatsunabhängige Aggressoren. Deswegen empfiehlt das Gutachten stattdessen “Investitionen in die Hochtechnologie, die im Ergebnis zu resilienteren [widerstandsfähigeren] Systemen führen”. In diesem Fall wäre es dann egal, wer der Angreifer ist. “Cyber-Sicherheit ist nur global und gemeinsam erreichbar und kann auch nicht gegen andere, sondern nur mit anderen Staaten durchgesetzt werden.”

Dürfen wir das?

Ausführlich beschäftigt sich das Gutachten mit der Frage, welche Institution in Deutschland überhaupt technisch und rechtlich in der Lage sind, Hackbacks durchzuführen. Der Wissenschaftliche Dienst des Bundestags ordnet diese Fähigkeit vor allem der Bundeswehr und seinem Zentrum Cyber-Operationen (ZCO) zu. Für den Einsatz deutscher Streitkräfte bestünden allerdings hohe verfassungsrechtliche Hürden: “Der Einsatz der Bundeswehr zum Hackback müsste folglich einen Verteidigungsfall voraussetzen, also die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt.” Außerdem entscheide allein der Bundestag über den Einsatz der Bundeswehr.

Für Hackbacks durch den Auslandsgeheimdienst BND, der vor allem von der Union ins Gespräch gebracht wurde, sieht der Gutachter starke Zweifel an der rechtlichen Zuständigkeit: “Abgesehen davon wird bezweifelt, dass [beim BND] überhaupt die technische Kompetenz vorliegt, um Hackbacks zu realisieren.” (dpa / hcz)