Pläne zum digitalen Gegenschlag Wenn der Staat zum Hacker wird

Was tut ein Rechtsstaat, wenn ihm sensible Daten gestohlen wurden? Darf er sich in fremde Server hacken, um Informationen aus der Ferne zu löschen? Die Behörden stehen vor einem Dilemma.
Digitale "Nacheile"

Digitale "Nacheile"

Foto: Michael Walter / DER SPIEGEL

Als im Frühjahr 2015 russische Hacker das Parlakom-Netz des Bundestags angreifen, ist Berlin hilflos. In vielerlei Hinsicht. Es fließen Gigabyte um Gigabyte an Daten ab, Büros von mehr als einem Dutzend Abgeordneter sind betroffen, doch es dauert, bis die Attacke auffällt und abgewehrt werden kann.

Hinter der Operation steckt nach der Überzeugung deutscher Sicherheitsbehörden eine Truppe von IT-Spezialisten aus dem Umfeld des russischen Militärgeheimdienstes GRU. Allerdings fließen die Informationen von den Bundestagsrechnern nicht sofort gen Osten, sie werden zunächst zwischengelagert auf einem Server in Frankreich. Hätte man sie dort aufspüren und vielleicht sogar ihren Abtransport verhindern können?

Bislang stellte sich die Frage nicht, weil es in Deutschland keine staatliche Institution gibt, die derartige Aktionen vornehmen darf. Doch wenn es nach dem Willen führender Vertreter deutscher Sicherheitsbehörden geht, sollen entsprechende Befugnisse und Kompetenzen demnächst geschaffen werden.

Verfassungsschutz möchte den Daten "nacheilen"

"Wir müssen mit der technischen Entwicklung Schritt halten", sagt etwa der Chef des Bundesamts für Verfassungsschutz (BfV), Hans-Georg Maaßen. Dem Parlamentarischen Kontrollgremium des Bundestags erläuterte Maaßen vor einiger Zeit seine Vorstellung einer digitalen "Nacheile". Der Begriff kommt eigentlich aus dem Polizeirecht und beschreibt die Befugnis, einen Flüchtenden auch über Landesgrenzen hinweg verfolgen zu dürfen.

Es müsse möglich sein, gestohlene "Daten löschen zu können, bevor sie weiterverbreitet werden", sagte Maaßen. Deutsche Sicherheitsbehörden sollten Angriffsserver ausländischer Hacker auch selbst mit Schadsoftware infizieren dürfen, um mehr Informationen über die Angreifer zu sammeln.

Solche Vorhaben stoßen andernorts auf Kritik: Sven Herpig, der für die Stiftung Neue Verantwortung das Thema Hackback erforscht und zuvor im Bundesamt für Sicherheit in der Informationstechnik (BSI) für Cybersicherheitsstrategie verantwortlich war, warnt davor, den Staat zum Hacker zu machen. Würde der Rechtsstaat nicht mehr nur vor IT-Angreifern schützen, sondern selbst zum Angreifer werden , dürfte das zu einem immensen Vertrauensverlust in staatliche Institutionen führen. Zumal eine Voraussetzung für den digitalen Gegenschlag Kenntnisse von Schwachstellen seien - die der Staat dann selbst ausnutzte, anstatt sie zu melden und Nutzer abzusichern.

Erbeutete Dateien sind oft längst hundertfach kopiert

Dabei gibt es laut Herpig durchaus sinnvolle Gegenmaßnahmen, die der Staat im Falle eines Angriffs ergreifen könne, etwa das Ausschalten von Botnetzen. "Das Problem ist, dass das politische Berlin derzeit nur über jenen Bereich diskutiert, der nicht sinnvoll und schwer zu realisieren ist: Die Idee, dass man Server 'zerstören' und Dokumente 'zurückklauen' kann."

Auf technischer Ebene lassen sich Inhalte eines Servers mit Aufwand zwar überschreiben, dafür muss man aber tief ins System eingreifen und könnte damit auch andere Inhalte beschädigen. Das ist insofern hochproblematisch, als dass solche Kollateralschäden erhebliche Folgen haben könnten - etwa wenn Angreifer Server nutzten, auf denen auch sensible Daten Unbeteiligter abgelegt wurden.

Zum anderen sieht Herpig erfolgreiche Löschaktionen nur als Teil eines "Katz-und-Maus-Spiels zwischen Angreifern und Ermittlern". Tatsächlich lagern erbeutete Dateien in der Regel nicht nur an einem Ort, sondern werden gezielt über Server in verschiedenen Ländern gestreut. Große Angriffe werden durchschnittlich überhaupt erst nach einem halben Jahr entdeckt. "Wenn es dann darum geht, Dokumente auf drei Servern zu löschen, sind die womöglich längst auf 300 andere Systeme kopiert worden", so Hackback-Forscher Herpig.

"Technisch möglich ist es. Aber der BND darf es nicht."

BND-Chef Bruno Kahl hingegen ist wie sein Geheimdienstkollege Maaßen davon überzeugt, dass Deutschland entsprechende Möglichkeiten braucht. Er sagte im Bundestag, Cyber-Gegenangriffe könnten in manchen Situationen angebracht sein - etwa dann, wenn die Behörden eine IT-Attacke so weit aufgeklärt hätten, dass feindliche Strukturen erkannt und die Ursachen identifiziert worden seien. In einem solchen Fall könne es Sinn machen, die Angriffsquelle direkt auszuschalten, statt sich zurückzuziehen und die Aufgabe jemand anderem aufzuerlegen - er meinte wohl technisch potentere ausländische Geheimdienste. Dafür habe der BND aber bisher keine Befugnis. "Technisch möglich ist es. Die Expertise ist auch vorhanden", sagte Kahl. "Aber der BND darf es nicht." Die Entscheidung darüber liege bei der Politik.

Der digitale Kontrollverlust
Foto: Michael Walter / DER SPIEGEL

Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite. 

Die Große Koalition hatte sich bereits darauf verständigt, eine gesetzliche Regelung zum Hackback zu schaffen. Schon vor Monaten gab der Bundessicherheitsrat eine Analyse zu dem Thema in Auftrag. Sie soll unter anderem die technischen und rechtlichen Probleme virtueller Gegenschläge beschreiben und Lösungsvorschläge erarbeiten. Da Gefahrenabwehr Ländersache ist, müsste zur Beauftragung einer Bundesbehörde mit der Abwehr von Cyberangriffen das Grundgesetz geändert werden. Das Bundesinnenministerium lässt das nach Angaben von Staatssekretär Klaus Vitt derzeit prüfen. Allerdings gibt es unter Behörden bislang noch nicht einmal eine allgemeingültige Definition eines solchen Hackbacks.

Dafür befasst man sich in Sicherheitskreisen indes nicht nur mit Datendiebstahl, sondern mit einem anderen Szenario: Wie lassen sich Akte der Cybersabotage verhindern? Angriffe auf die IT-Systeme kritischer Infrastrukturen könnten etwa Strom- und Wasserversorgung lahmlegen oder Verkehrsflüsse empfindlich stören. Selbst wenn deutsche Behörden von einem bevorstehenden Angriff wüssten, müssten sie ihn derzeit schlimmstenfalls abwarten, abwenden könnten sie ihn wahrscheinlich nicht.