LOAD e.V.

Weil Angriff nicht die beste Verteidigung ist – LOAD Policy Brief zur Notwendigkeit einer defensiven Cyberabwehrstrategie

Die Gefahr durch Cyberangriffe ist real. So steht es schwarz auf weiß im jährlichen Lagebericht zur IT-Sicherheit  des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nicht nur IT-Systeme der Bundesregierung sind im Visier der Angreifer, auch Unternehmen und Privatnutzer:innen sind in den vergangen Jahren vermehrt Opfer von gezielten Angriffen oder von Ransomware geworden. Vor diesem Hintergrund ist es begrüßenswert, dass die Politik über Antworten auf die Bedrohungsszenarien nachdenkt. Problematisch wird es allerdings, wenn Lösungen präsentiert werden, die sich an der Logik traditioneller Kriegsführung orientieren und davon ausgehen, dass Abschreckung funktioniere und präzise Gegenschläge mit eigenen Cyberwaffen möglich wären.  Ganz im Gegenteil ist bei sogenannten Hackbacks die Gefahr von Kollateralschäden und für Schäden an kritischer ziviler Infrastruktur hoch, falls man überhaupt mit Sicherheit feststellen kann, woher der Angriff stammt.

Foto: Viktor Hanacek (CC0)

Es ist daher müßig darüber zu sinnieren, welche Behörden und Ministerien im Falle eines Cyberangriffs einbezogen werden müssten und ob am Ende des Tages das Militär, eine Polizeibehörde oder der Bundesnachrichtendienst für die Ausführung von Hackbacks zuständig sein sollte.  Stattdessen muss Deutschland in eine strikt defensive Cybersicherheitsstrategie investieren und sich auf europäischer und internationaler Ebene für die Ächtung digitaler Waffen und für strategische Autonomie im Hard- und Softwarebereich einsetzen.

Als Zivilgesellschaft sind wir besonders betroffen, wenn Cyberschläge erfolgen. Zivile Einrichtungen wie Krankenhäuser oder andere kritische Infrastrukturen wie Kraftwerke können vom Feind genutzt werden, um einen Angriff durchzuführen. Da eine korrekte Attribution des Angreifers nicht möglich ist und er sich hinter diesen zivilen Einrichtungen “verstecken” kann, kann ein Gegenschlag immer auch zivile Infrastruktur treffen. 

Ebenso ist es problematisch, wenn Sicherheitslücken offen gehalten werden, um diese für Cyberangriffe zu nutzen und dann Ransom- oder Malware von Kriminellen diese Sicherheitslücken ausnutzt. WannaCry und NotPetya sind nur zwei solche Beispiele, die zeigen, dass es für die Zivilgesellschaft und Wirtschaft mehr als fatal ist, wenn Sicherheitslücken offen gehalten werden. Auch ein Management von Sicherheitslücken, ein sogenannter „Vulnerabilites Equities Process“, trägt nicht zur Sicherheit bei.

Die deutsche Sicherheitspolitik bedient sich nicht nur Sprachbildern, sondern auch Vorhaben, die dem militärischen Aufrüsten aus dem Kalten Krieg gleichen. Wir haben jedoch nicht nur den Kalten Krieg überwunden, wir sind auch in einer digitalen Welt angelangt, in der die Mechanismen aus dieser Zeit nicht mehr funktionieren. Politiker:innen müssen lernen und begreifen, dass Computercode nicht wie ein Panzer auf Militärparaden präsentiert werden kann. Abschreckung durch Präsentation der Waffen funktioniert hier nicht mehr. Sicherheitspolitik und Sicherheitspolitiker:innen müssen sich dringend mit diesen neuen Gegebenheiten beschäftigen und gewissenhaft und vorausschauend auf sie reagieren. Mit einem  Wett- und Aufrüsten mit Cyberwaffen tun sie dies nicht. 

Deutschland soll nicht Nichts tun. Neben höheren Investitionen in IT-Sicherheit, nicht  nur in kritische Infrastrukturen sondern auch in rechtliche Regelungen, wie zum Beispiel ein Recht auf Verschlüsselung, wäre schon einiges gewonnen. Daneben brauchen wir unbedingt Bildung – nicht  nur in der Schule. Von IT-Fachkräften über einfache Angestellten bis hin zu Führungskräften braucht es fortlaufende Fort- und Weiterbildungsprogramme, sowie mehr Professuren, die sich mit dem Thema IT-Sicherheit beschäftigen. Ebenso stünde es Deutschland sehr gut, sich aktiv auf internationaler Ebene für einen Digitalwaffensperrvertrag stark zu machen und eine “Digitale Genfer Konvention” zu initiieren. Das wird Cyberangriffe – erst recht nicht  von Kriminellen – nicht verhindern, eine internationale Ächtung dieser, ebenso wie bei ABC-Waffen, sollte aber unser Mindestanspruch sein. 

Cyberangriffen begegnet man, indem man ihnen keine Einfallstore bietet. Das geht nur mit höchsten Standards und der höchsten Priorität von IT-Sicherheit. Hierauf muss das Augenmerk der Bundesregierung liegen. Wenn Bürger:innen tagelang im Dunkeln sitzen, Chaos im Verkehr ausbricht und Menschen auf Intensivstationen nur noch mit Notstromaggregaten behandelt werden können, werden sie nicht fragen: “Warum habt ihr nicht zurück gehackt?” sondern “warum habt ihr uns nicht geschützt?”. 

LOAD verurteilt den Einsatz und die Bereitstellung jeglicher offensiver Wirkmittel im Cyberraum. Wir setzen uns stattdessen für eine strikt defensive Cybersicherheitsstrategie ein, denn wie wir in unserem Policy Brief darlegen, ist Angriff im Cyberraum nicht die beste Verteidigung.

Autoren:  Ruben Dieckhoff und Johannes Rundfeldt

Unser Policy Brief

Dieser  Beitrag  wurde zuerst im Tagesspiegel Background Digitalisierung & KI am 1. Oktober 2019 veröffentlicht.