Es gab einmal eine
Zeit, da war der Verteidigungsministerin und ihren Leuten ein Mantra
ziemlich wichtig.
"Nicht Angriff bedeutet Verteidigung, sondern Verteidigung
bedeutet Verteidigung"
Das war im Mai 2016. Die Ministerin hatte gerade das Kommando "Cyber-
und Informationsraum" (CIR) für die Bundeswehr vorgestellt. Und eben dieses Kommando weckte bei Kritikern Ängste, dass auch Deutschland in das internationale Wettrüsten mit Sicherheitslücken und Schadsoftware einsteigen würde.
Ein Wettrüsten, das zwischen Russland und den USA gerade für heftige Spannungen sorgt:
Deswegen eben das Mantra von der Leyens. Die Verteidigungsministerin wollte klarstellen, dass es wirklich nur um Verteidigung ginge. "Systeme härten", wie sie damals betonte. Hier und da fiel auch mal das Wort "Abschreckung".
Nun will sie im Kabinett eine "Agentur für Innovation in der
Cybersicherheit" auf den Weg bringen. Auch ihr Amtskollege und Innenminister Horst Seehofer wird dabei sein. Erst war die Vorstellung für Mittwoch geplant, dann hat das Innenministerium den Termin wieder verschoben. Gründe dafür wurden bislang nicht genannt. Die Agentur soll für die
"IT-Sicherheit" forschen und entwickeln, aber es gibt einige Probleme mit der Planung.
Dabei hat sich an grundsätzlichen Fragen nichts geändert. Rechtlich, technologisch und organisatorisch bleibt der Angriff im Internet für die deutschen Behörden schwierig.
Wann beginnt ein Angriff überhaupt?
Das ist in der IT gar nicht so klar, wie es oft scheint. Dass eine Firewall, das Aufstellen falscher Ziele und der Virenschutz zur "Abwehr" gehören, das ist klar.
Geht der Staat aber bereits zum Angriff über, wenn er versucht, einen Gegner durch das Internet zurückzuverfolgen? Was ist mit dem Versuch, einen laufenden Angriff zu unterbinden, etwa ein Bot-Netz? Darf er dazu Server angreifen, egal in welchem Land sie stehen?
All diese Fragen sind bis heute noch immer nicht eindeutig geklärt.
Welcher Gegner soll überhaupt angegriffen werden?
Es gibt technische Hindernisse bei dieser Frage:
Nach wie vor ist es schwierig, einen Angriff aus dem Internet zurückzuverfolgen.
Attacken laufen mit Monaten der Planung und Durchführung ab. Es gibt normalerweise gar nicht den einen "Angriff" – eher lässt sich das Ganze mit täglicher Spionage vergleichen. Und Spione legen falsche Fährten.
Sogenannte Attribution ist zwar möglich, aber Angreifer benutzen Umwege über andere Länder. Benutzen fremde Sprachen, Codes und verschlüsseln ihre Software.
Am Schluss kann man nie sicher sein, den Richtigen zu treffen. Politische Eskalationen bleiben deshalb eine immense Gefahr.
Es gibt aber auch rechtliche Hindernisse:
Wann ist ein Angriff verhältnismäßig? Wenn ein Unternehmen gehackt wird? Eine politische Stiftung? der Bundestag?
Wann tritt etwa der Verteidigungsfall ein, den es theoretisch braucht, damit die Bundeswehr aktiv werden darf?
Wer entscheidet in solch einer Situation über den Einsatz? Muss es das Parlament tun, wie bei anderen Auslandseinsätzen der Bundeswehr? In der Praxis wird das kaum möglich sein.
Zu viele Behörden mit gegensätzlichen Aufgaben
Es gibt in Deutschland und Europa geradezu einen Dschungel an Behörden und Institutionen, die sich sowohl mit der Verteidigung, als auch mit dem Angriff auf IT-Systeme beschäftigen.
Ihre Aufgaben sind teils so widersprüchlich, dass kaum klar ist, wie eine Koordination am Ende möglich sein soll.
Defensive
Da ist das Bundesamts
für Sicherheit in der Informationstechnik (BSI), das Unternehmen und
Verwaltung bei der Sicherheit ihrer Systeme helfen soll. Wenn russische
Hackergruppen den Bundestag, die Konrad-Adenauer- oder Friedrich-Ebert
Stiftung angreifen. Dann schickt das BSI die Feuerwehr.
Die Unternehmen und auch Teile der Verwaltung haben außerdem noch eigene Computer Emergency Response Team (CERTS), mit denen sich etwa die deutsche Telekom um ihre eigene Sicherheit kümmert.
Auch noch mit von der Partie ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA).
Offensive
Die Zentrale
Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll der deutschen Polizei die Instrumente liefern, um in Smartphones und Rechner einzudringen und Verschlüsselung zu knacken.
Da sind die Geheimdienste,
allen voran der Bundesnachrichtendienst (BND) mit dem neuen
BND-Gesetz, der am zentralen Internetknotenpunkt in Frankfurt den
deutschen Internet-Traffic anzapft.
Neben dem CIR der Bundeswehr hat auch die NATO eine eigene "Cyber"-Abteilung und plant auch Zentren, die sich mit dem Angriff auf feindliche Systeme beschäftigen.
Die gute Nachricht: Die meisten der Organisationen suchen die Zusammenarbeit und müssen das auch auf Grundlage einer bundesdeutschen Sicherheitsstrategie aus dem Jahr 2016 tun.
Mit jeder neuen "Agentur", wie sie am Mittwoch vorgestellt wird, wird diese Zusammenarbeit schwieriger.
Probleme für die IT-Sicherheit der Bürger
Wer im Internet angreifen will, braucht Sicherheitslücken. Das gilt für die Polizei, die auf das Smartphone eines Verdächtigen zugreifen will, genauso wie für die Bundeswehr, wenn sie gegnerische Systeme angreift.
Im zivilen Bereich gibt es deshalb bereits seit Jahren eine heftige Debatte.
Gerade wenn es um das Hacken von militärischen und Hochsicherheitssystemen geht, braucht etwa die Bundeswehr Hintertüren in gegnerischen Systemen, die sie aufwändig erforschen und/oder (so wie bisher) einkaufen muss. Wird die Lücke bekannt, verliert sie ihren strategischen Nutzen.
Horten Bundeswehr und Polizei aber diese Hintertüren, ohne sie mit Entwicklern zu teilen, bleiben sie auch für jeden Verbrecher offen, der sie findet. Das Internet wird unsicherer.
Die berühmtesten Folgen sind die Epidemien mit den Kryptotrojanern NotPetya und WannaCry – sie verursachten Milliarden von Dollar Schaden und legten sogar Krankenhäuser lahm. Sie nutzten eine Sicherheitslücke, die zuvor bei amerikanischen Geheimdiensten geleakt worden war.
Geht ein Staat also in die Offensive, untergräbt er gleichzeitig die Arbeit von Behörden wie dem BSI und den CERTs, die versuchen, Systeme zu sichern.
Wo sollen eigentlich all die Experten herkommen?
Die neue Agentur von Seehofer und von der Leyen ist auch deshalb so paradox, weil seit Jahren ein Notstand an IT-Experten herrscht.
Die Behörde ZITiS klagte etwa Ende vergangenen Jahres noch laut darüber, nicht das richtige Personal zu finden. Auch das Bundeswehr-Kommando CIR hat Schwierigkeiten, die richtigen Leute zu rekrutieren. Privatunternehmen zahlen schlicht besser und bieten bessere Karrierechancen. IT-Leute, die sich mit den Behörden einlassen, haben außerdem keinen besonders guten Ruf in der Branche.
Zusätzlich kannibalisieren sich die staatlichen Stellen gegenseitig, wenn sie immer neue Stellen schaffen, anstatt die zu benutzen, die es bereits gibt.
Merkel über Putin-Begegnung: "Mich regte vor allem seine Selbstgerechtigkeit auf"
Lange Zeit war es still um die ehemalige Bundeskanzlerin Angela Merkel. Nach Ende ihrer Kanzlerschaft hatte sie nur sehr wenige öffentliche Auftritte. Aktuell steht sie aber wieder im Mittelpunkt medialer Aufmerksamkeit. Am 26. November sollen nämlich ihre Memoiren erscheinen.