Offensiver Wille statt Zurückhaltung?
Cyberabwehr: Noch viel zu tun und hoher Diskussionsbedarf | Komplexe Gesamtlage erfordert ebenso komplexe Lösungen
Probleme aktiver Cyberabwehr
-
„Hackbacks“ bzw. die Zerstörung von IT-Systemen bewirkt unabwägbare technische Schwierigkeiten
-
Es existiert kein definiertes Schutzziel
-
Reaktionsfähigkeit von Politik und Sicherheitsbehörden hinkt Internet-Providern hinterher.
-
Staat soll Sicherheitslücken zügig schließen
-
Häufig lässt Debatte die Unterscheidung "innen" und "außen" vergessen. Diplomatie immer noch erste Maßnahme.
Der Vergleich mit den USA lag nahe: Vor zehn Jahren hätte das Land vor ganz ähnlichen Herausforderungen gestanden wie die Bundesrepublik heute, reflektierte einer der Teilnehmer. Erstaunlicherweise habe sich diese Kenntnis um die jüngste Geschichte in Deutschland nicht bezahlt gemacht. Offensiver Wille sei hier an die Stelle von defensiver Zurückhaltung getreten, und stelle eine gefährliche Entwicklung für das Land dar.
Klar ist in jedem Fall, dass die Komplexität der Gesamtlage auch eine Komplexität der Lösungen erfordert.
Von fremder Erfahrung und komplexen Strukturen
Während die Gesprächsteilnehmer im weiteren Diskussionsverlauf verdeutlichten, wie diffizil sich aufgrund der restriktiven Gesetzeslage und komplexen Akteurskonstellation bereits eine ureigene deutsche Auseinandersetzung mit Cyberabwehr darstellt, stand die Frage nach einer präventiven oder offensiven Cyberabwehr schließlich im Kern der Diskussion.
Die Ultima Ratio steht am Ende eines Prozesses
Als äußerst divers sollte sich der Meinungsspiegel über die Frage herausstellen, ob eine „aktive Cyberabwehr“ eher passiv, also präventiv, oder aktiv ausgestaltet sein müsse, um ein maximales Maß an Schutz zu gewährleisten. Eindrücklich wurde von einer Stimme auf eine Reduktion der Debatte auf die Maßnahme des „Hackbacks“ gewarnt und für eine Gesamtbetrachtung der Palette an Möglichkeiten geworben.
Argumente für die Ausgestaltung aktiver Cyberabwehr
-
Stärkere Ausdifferenzierung von Maßnahmen
-
Breite Palette von Maßnahmen inklusiver und nicht-inklusiver Natur (Frühwarnsysteme, Aufklärung im Netz)
-
Zusammenführung von Kompetenzen unter dem Dach eines Cyberabwehr-Zentrums Plus"´, ohne Kompetenzen des Bundes auf die Länder zu verlagern
-
Schaffung eines Lageplans durch die Kooperation von Behörden (im Cyberabwehr-Zentrum Plus)
Ein Diskutant wies auf die prozessuale Perspektive von Cyberabwehr hin: Tatsächlich würde der Hackback, der sooft im Fokus der Aufmerksamkeit von Medien stehe, nur den letzten Schritt in einer Reihe von Maßnahmen darstellen. Ihm gingen andere Maßnahmen wie zum Beispiel Wirtschaftssanktionen voraus. Es handle sich um hochkomplexe und sensible zwischenstaatliche Interaktionen, die nicht ohne weiteres und ohne langwierigen Vorlauf erfolgen könnten.
Tatsächlich würde der Hackback nur den letzten Schritt einer Reihe von Maßnahmen darstellen. Ihm gingen andere Maßnahmen wie zum Beispiel Wirtschaftssanktionen voraus.
Mahnung vor invasiven Methoden
Gänzlich ausschließen wollten einige Panel-Teilnehmer massive Ultima-Ratio-Lösungen invasiver Natur. Sie beleuchteten die Frage aus einem anderen Blickwinkel: So sei auch eine passive Schutzabwehr einer „aktiven Cyberabwehr“ zuzuordnen. Es gäbe mannigfache Möglichkeiten, Angreifer in die Schranken zu verweisen, ohne den intrusiven Weg zu wählen. Hinzu käme die Komplexität der Technologien. So würde sich bereits die „Attributierung“ häufig zu einer überkomplexen Angelegenheit entwickeln, und es ließe sich nicht ausschließen, dass von der Gegenseite absichtlich eine falsche Fährte gelegt wird. Unter solchen Umständen könne die offensive Cyberabwehr unversehens zur veritablen Sisyphos-Arbeit anwachsen, die noch dazu neue Eskalationsstufen provoziere. Durch eine präventive Vorarbeit könnten solche Szenarien jedoch abgewendet werden.
Internetprovider als Unterstützer einer aktiven Cyberabwehr?
Eher pessimistisch blieb der Blick der Teilnehmer auf die Rolle der Internetprovider, allerdings aus unterschiedlichen Gründen. Deutlich wurde dabei vor allem die Kluft, welche sich zwischen Wirtschaft und Politik auftut. Dies äußerte sich in den Aussagen von zwei Plenums-Teilnehmern, die aus unterschiedlichen Perspektiven zeigten, wie stark die Stoßrichtungen von Politik und Wirtschaft häufig divergieren. So habe die Erfahrung gezeigt, dass Internetprovider eher nicht proaktiv agieren, solange ihre eigenen Interessen nicht maßgeblich betroffen seien. Eine Antwort auf die Frage, woher dieses Selbstverständnis und die scheinbare Autarkie von der Politik stammen könnte, bot sich wenige Momente darauf, als die Reaktionsfähigkeit der Behörden im Fall einer Cyberattacke zur Sprache kam. Bis die Behörden soweit seien, zu reagieren, könnten die Internetprovider innerhalb von 15 Minuten die notwendigen Maßnahmen einleiten, um noch Schlimmeres zu verhindern, so ein Panel-Teilnehmer.
Es lässt sich nicht ausschließen, dass von der Gegenseite absichtlich eine falsche Fährte gelegt wird. Unter solchen Umständen könnte die offensive Cyberabwehr unversehens zur veritablen Sisyphos-Arbeit anwachsen, die noch dazu neue Eskalationsstufen provoziert.
Das Cyberabwehr-Zentrum Plus als Lageplan-Lieferant
Im Panel wurde auch auf die hohe Bedeutung einer holistische Herangehensweise hingewiesen: So verfügten Sicherheitsbehörden in der analogen Welt über viele Befugnisse, die sie in der digitalen Welt nicht hätten. Eben dies sei nicht immer nachvollziehbar und führe mithin zu einem lückenhaften Lageplan, der ein Eingreifen zusätzlich erschwere. Umso wichtiger sei die Zusammenarbeit, zum Beispiel in Form der aktuell in Neugestaltung befindlichen Kooperationseinrichtung „Cyberabwehr-Zentrum“, auch „Cyberabwehr-Zentrum Plus“ genannt. Unter Beteiligung der Kernbehörden könne so ein dringend benötigtes Lagebild geschaffen werden.
Auch die Rolle des Bundesamts für Sicherheit in der Informationstechnik wurde erwähnt und dabei hervorgehoben, wie wichtig es sei, die Behörde mit ausreichend Schlagkraft auszustatten.