Pläne zum digitalen Gegenschlag Wenn der Staat zum Hacker wird

Was tut ein Rechtsstaat, wenn ihm sensible Daten gestohlen wurden? Darf er sich in fremde Server hacken, um Informationen aus der Ferne zu löschen? Die Behörden stehen vor einem Dilemma.

Digitale "Nacheile"
Michael Walter / DER SPIEGEL

Digitale "Nacheile"

Von und


Als im Frühjahr 2015 russische Hacker das Parlakom-Netz des Bundestags angreifen, ist Berlin hilflos. In vielerlei Hinsicht. Es fließen Gigabyte um Gigabyte an Daten ab, Büros von mehr als einem Dutzend Abgeordneter sind betroffen, doch es dauert, bis die Attacke auffällt und abgewehrt werden kann.

Hinter der Operation steckt nach der Überzeugung deutscher Sicherheitsbehörden eine Truppe von IT-Spezialisten aus dem Umfeld des russischen Militärgeheimdienstes GRU. Allerdings fließen die Informationen von den Bundestagsrechnern nicht sofort gen Osten, sie werden zunächst zwischengelagert auf einem Server in Frankreich. Hätte man sie dort aufspüren und vielleicht sogar ihren Abtransport verhindern können?

Bislang stellte sich die Frage nicht, weil es in Deutschland keine staatliche Institution gibt, die derartige Aktionen vornehmen darf. Doch wenn es nach dem Willen führender Vertreter deutscher Sicherheitsbehörden geht, sollen entsprechende Befugnisse und Kompetenzen demnächst geschaffen werden.

Verfassungsschutz möchte den Daten "nacheilen"

"Wir müssen mit der technischen Entwicklung Schritt halten", sagt etwa der Chef des Bundesamts für Verfassungsschutz (BfV), Hans-Georg Maaßen. Dem Parlamentarischen Kontrollgremium des Bundestags erläuterte Maaßen vor einiger Zeit seine Vorstellung einer digitalen "Nacheile". Der Begriff kommt eigentlich aus dem Polizeirecht und beschreibt die Befugnis, einen Flüchtenden auch über Landesgrenzen hinweg verfolgen zu dürfen.

Es müsse möglich sein, gestohlene "Daten löschen zu können, bevor sie weiterverbreitet werden", sagte Maaßen. Deutsche Sicherheitsbehörden sollten Angriffsserver ausländischer Hacker auch selbst mit Schadsoftware infizieren dürfen, um mehr Informationen über die Angreifer zu sammeln.

Solche Vorhaben stoßen andernorts auf Kritik: Sven Herpig, der für die Stiftung Neue Verantwortung das Thema Hackback erforscht und zuvor im Bundesamt für Sicherheit in der Informationstechnik (BSI) für Cybersicherheitsstrategie verantwortlich war, warnt davor, den Staat zum Hacker zu machen. Würde der Rechtsstaat nicht mehr nur vor IT-Angreifern schützen, sondern selbst zum Angreifer werden, dürfte das zu einem immensen Vertrauensverlust in staatliche Institutionen führen. Zumal eine Voraussetzung für den digitalen Gegenschlag Kenntnisse von Schwachstellen seien - die der Staat dann selbst ausnutzte, anstatt sie zu melden und Nutzer abzusichern.

Erbeutete Dateien sind oft längst hundertfach kopiert

Dabei gibt es laut Herpig durchaus sinnvolle Gegenmaßnahmen, die der Staat im Falle eines Angriffs ergreifen könne, etwa das Ausschalten von Botnetzen. "Das Problem ist, dass das politische Berlin derzeit nur über jenen Bereich diskutiert, der nicht sinnvoll und schwer zu realisieren ist: Die Idee, dass man Server 'zerstören' und Dokumente 'zurückklauen' kann."

Auf technischer Ebene lassen sich Inhalte eines Servers mit Aufwand zwar überschreiben, dafür muss man aber tief ins System eingreifen und könnte damit auch andere Inhalte beschädigen. Das ist insofern hochproblematisch, als dass solche Kollateralschäden erhebliche Folgen haben könnten - etwa wenn Angreifer Server nutzten, auf denen auch sensible Daten Unbeteiligter abgelegt wurden.

Zum anderen sieht Herpig erfolgreiche Löschaktionen nur als Teil eines "Katz-und-Maus-Spiels zwischen Angreifern und Ermittlern". Tatsächlich lagern erbeutete Dateien in der Regel nicht nur an einem Ort, sondern werden gezielt über Server in verschiedenen Ländern gestreut. Große Angriffe werden durchschnittlich überhaupt erst nach einem halben Jahr entdeckt. "Wenn es dann darum geht, Dokumente auf drei Servern zu löschen, sind die womöglich längst auf 300 andere Systeme kopiert worden", so Hackback-Forscher Herpig.

"Technisch möglich ist es. Aber der BND darf es nicht."

BND-Chef Bruno Kahl hingegen ist wie sein Geheimdienstkollege Maaßen davon überzeugt, dass Deutschland entsprechende Möglichkeiten braucht. Er sagte im Bundestag, Cyber-Gegenangriffe könnten in manchen Situationen angebracht sein - etwa dann, wenn die Behörden eine IT-Attacke so weit aufgeklärt hätten, dass feindliche Strukturen erkannt und die Ursachen identifiziert worden seien. In einem solchen Fall könne es Sinn machen, die Angriffsquelle direkt auszuschalten, statt sich zurückzuziehen und die Aufgabe jemand anderem aufzuerlegen - er meinte wohl technisch potentere ausländische Geheimdienste. Dafür habe der BND aber bisher keine Befugnis. "Technisch möglich ist es. Die Expertise ist auch vorhanden", sagte Kahl. "Aber der BND darf es nicht." Die Entscheidung darüber liege bei der Politik.

Der digitale Kontrollverlust
  • Michael Walter / DER SPIEGEL
    Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Die Große Koalition hatte sich bereits darauf verständigt, eine gesetzliche Regelung zum Hackback zu schaffen. Schon vor Monaten gab der Bundessicherheitsrat eine Analyse zu dem Thema in Auftrag. Sie soll unter anderem die technischen und rechtlichen Probleme virtueller Gegenschläge beschreiben und Lösungsvorschläge erarbeiten. Da Gefahrenabwehr Ländersache ist, müsste zur Beauftragung einer Bundesbehörde mit der Abwehr von Cyberangriffen das Grundgesetz geändert werden. Das Bundesinnenministerium lässt das nach Angaben von Staatssekretär Klaus Vitt derzeit prüfen. Allerdings gibt es unter Behörden bislang noch nicht einmal eine allgemeingültige Definition eines solchen Hackbacks.

Dafür befasst man sich in Sicherheitskreisen indes nicht nur mit Datendiebstahl, sondern mit einem anderen Szenario: Wie lassen sich Akte der Cybersabotage verhindern? Angriffe auf die IT-Systeme kritischer Infrastrukturen könnten etwa Strom- und Wasserversorgung lahmlegen oder Verkehrsflüsse empfindlich stören. Selbst wenn deutsche Behörden von einem bevorstehenden Angriff wüssten, müssten sie ihn derzeit schlimmstenfalls abwarten, abwenden könnten sie ihn wahrscheinlich nicht.



insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
weiß-mans 10.12.2017
1. Und wieder mal Benjamin Franklin
Wenn der Staat selbst zum Hacker wird, dann ist es nur noch eine Frage der Zeit, bis diese Möglichkeiten genutzt werden, nicht nur Angriffe aus dem Internet abzuwehren, sondern selbst "interessante Informationen" zu erlangen. Wie immer gilt Benjamin Franklins schon frühe Erkenntnis: „Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“
111ich111 10.12.2017
2. Technisch möglich ist so ziemlich alles
"Technisch möglich ist es. Die Expertise ist auch vorhanden", sagte Kahl. "Aber der BND darf es nicht." Die Entscheidung darüber liege bei der Politik. Dieser Satz gilt auch für einen Flug zum Mars. Da soll den Politikern (Neuland) vorgegaukelt werden, dass der BND alles könnte, wenn er nur alle rechtlichen und finanziellen Mittel zur Verfügung hätte. Das oberste Ziel muss unabdingbar Datensicherheit sein. Denn wo nichts "geklaut" wird (in Bezug auf IT kann dieser Begriff falscher nicht sein), muss auch nichts "zurückgeholt" bzw. "gelöscht" werden. Dazu müssen aber auch die Strukturen geschaffen und entsprechende Personal- und Sachmittel zur Verfügung gestellt werden (auch und überwiegend in der freien Wirtschaft, also außerhalb politischen Zugriffs). Und Entscheider, die von der Materie eine Ahnung haben. Dann brauchts auch keine neue Rechtsgrundlage für den BND.
moritz27 10.12.2017
3. Das ist das Doofe
am Internet. Internationale digitale Verbreitung, aber anlaoge nationale Gesetzgebungen. Die Angreifer lachen sich ins Fäustchen, wenn sie wissen, die könnten uns angreifen, aber die dürfen es gar nicht. Der neue Justizminister hat da viel mehr zu tun, als nur gegen Hatespeech vorzugehen.
Actionscript 10.12.2017
4. Schutz gegen Hackerangriffe
ist der wichtigste Schritt. Und hier kann noch sehr viel getan werden. Das bezieht sich auch auf intensives Training von Nutzern bzw Security Updates.Einloggen sollte nur mit Doppelsicherung möglich sein. Natürlich kann man Hacken nicht komplett ausschliessen aber sehr erschweren.
genugistgenug 10.12.2017
5. Darf es nicht oder kann es nicht?
Mal überlegen: Zurückklauen geht doch nur, wenn schon geklaut wurde. Doch wieso verhindert man nicht das "klauen"? Vor allem, wieso sollen dieselben Behörden, die das klauen nicht verhinderten, in der Lage sein "zurück zu klauen"? Vor allem was wurde geklaut? NSU Akten vor dem shreddern? Merkels Telefongespräche, Weihnachtsmarktattentäter AMRI, usw. Die Zusatzfrage ist auch: Wer ist dort qualifiziert genug um das durchzuführen? Hinweis: Die Bundeswehr nimmt inzwischen Soldaten OHNE Hauptschulabschluss. Den dürfen die nachholen. Und wenn ich überlege, wer aus den IT Ausbildungen in der Verwaltung landete, waren das nicht die hellsten Lichter unterm Weihnachtsbaum - dafür aber die Gehorsamsten (Umschulung nach Jahrzehnten in Bundeswehr, usw.). Kreatives Denken, ja denken alleine war mehr wie verpöhnt und unbekannt. Frage: Welcher IT Typ reiht sich ganz unten in eine Befehlskette ein, die nur aus Inkompetenz besteht und in der man nichts bewegen kann? PS Es ist übrigens ganz leicht "einzubrechen" - so lange man es außerhalb der Dienstzeiten macht. Nicht virtuelles Beispiel. Weihnachtsmarktattentäter AMRI der nur während der Dienstzeiten überwacht wurde und das auch mehr wie lückenhaft. Legt man das auf die IT um, dann werden die Bits und Bytes sicher automatisch an Dritte umgeleitet und das sind sicher nicht nur befreundete "Dienste'.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.