Da die Cyberbedrohungen weiter zunehmen, prüfen Regierungen weltweit die Möglichkeit umstrittener Cyberabwehrmaßnahmen wie ‚Hackbacks‘. Am Dienstag (21. November) erscheint dazu eine neue Studie mit politischen Empfehlungen, die von Euractiv bereits eingesehen wurde.
Während die Regierungen darum kämpfen, die zunehmenden Bedrohungen im virtuellen Raum in den Griff zu bekommen, besagt die Studie, dass passive IT-Sicherheitsmaßnahmen und Widerstandsfähigkeit immer noch am wichtigsten sind, und schlägt vor, dass Regierungen, wenn sie aktive Cyberabwehrmaßnahmen einsetzen, dies auch vernünftig und verantwortungsvoll tun müssen.
Im Gegensatz zu passiven Maßnahmen wie Anti-Malware-Software oder Firewalls handelt es sich bei ‚Hackbacks‘ um aggressive Maßnahmen, die das Hacken, Deaktivieren oder Stören der Computergeräte oder Netzwerke des Angreifers beinhalten.
Die Studie wurde von der Arbeitsgruppe „Active Cyber Defense“ des Transatlantischen Cyber-Forums und den Beiträgen von 23 Cyber-Forschern und IT-Analysten unterstützt und von Sven Herpig, Experte für Cybersicherheitspolitik bei der in Berlin ansässigen Stiftung Neue Verantwortung (SNV), verfasst.
„EU-Länder wie Deutschland debattieren seit Jahren über dieses Thema, während Länder wie Rumänien angekündigt haben, solche Maßnahmen bei Bedarf umzusetzen“, teilte Herpig Euractiv mit.
Internationale Vergleiche
Im internationalen Vergleich haben Australien, Japan, China und die USA bereits in den letzten zwei Jahren Maßnahmen zur aktiven Cyberabwehr ergriffen.
Auch die EU erwägt Hackbacks als Lösungsansatz.
„Es haben bisher schon viele EU-Staaten Rahmenbedingungen und einen Spielraum für einen angemessenen Einsatz festgelegt“, äußerte sich Dr. Lukasz Olejnik, ein unabhängiger Forscher und Mitwirkender an der Studie, gegenüber Euractiv.
Im Mai ermutigte der Europäische Rat in seinen Schlussfolgerungen die Mitgliedsstaaten, „ihre Fähigkeiten zur Durchführung von Cyberabwehrmaßnahmen auszubauen. Dies schließt der Situation angemessene proaktive Verteidigungsmaßnahmen, die dem Schutz, der Erkennung, der Verteidigung und der Abschreckung vor Cyberangriffen dienen, ein.“
„Besonders hervorzuheben ist Frankreich, das in seiner Strategie festlegt, dass bei Vorfällen mit einem entsprechenden Ausmaß eine Cyberreaktion eine Möglichkeit darstellt. Dies gilt jedoch auch für andere Optionen, wie den physischen Einsatz. Und genau das ist der Punkt: Die Reaktionen müssen nicht auf Cyberangriffe beschränkt sein“, betonte Olejnik.
Die NATO hat im Juli damit begonnen, die Möglichkeiten einer defensiven Cyberabwehr genauer zu betrachten.
Das zentrale Problem
Eines der wichtigsten Argumente gegen Hackbacks ist das Risiko von Kollateralschäden und diplomatischer Eskalation.
„Hackback ist ein heikles Unterfangen. Es ist nicht immer klar, ob oder wann es sinnvoll ist, im Cyberbereich aktive Gegenmaßnahmen zu ergreifen“, kommentierte Olejnik.
Bei der Bewertung des seit Jahren geführten Diskurses über Hackbacks „ging es in der öffentlichen Debatte selten über ‚wir brauchen das, sonst verlieren wir gegen die Chinesen und Russen‘ auf der einen Seite und ‚wenn wir das tun, könnten wir Krankenhäuser lahmlegen‘ auf der anderen Seite hinaus“, schilderte Herpig Euractiv.
Laut der Studie gelten die Beauftragung von Internetdienstanbietern, den bösartigen Datenverkehr zu blockieren oder umzuleiten, die Übernahme einer Befehls- und Kontrollinfrastruktur, die von bösartigen Cyberkampagnen genutzt wird, die Deinstallation oder Neutralisierung von Malware auf den Systemen der Betroffenen oder die Installation von Patches als aktive Cyberabwehrmaßnahmen.
Anders als bei offensiven Cybermaßnahmen besteht das Ziel nicht darin, zum Beispiel nachrichtendienstliche Erkenntnisse zu sammeln.
„Wenn die Staaten auf eine Reaktion zurückgreifen, sollten sie eine Balance zwischen der Verhältnismäßigkeit der Reaktion und den angestrebten Zielen finden. Es ist auch von höchster Wichtigkeit, die Rechtmäßigkeit von Reaktionen zu prüfen, wenn die Aktivitäten unterhalb der Schwelle eines bewaffneten Konflikts stattfinden“, betonte Olejnik.
Grundsätze des Hackbacking
In der Studie heißt es, dass die Einhaltung des Völkerrechts und eine wirksame Kommunikation mit Verbündeten und strategischen Partnern eine entscheidende Rolle für verantwortungsvolles Hackbacking spielen.
„Wir haben daher eine Gruppe von Forschern und Akteuren aus der Praxis einberufen, um konkrete, operationelle Normen zu entwerfen, die es Staaten, die solche Maßnahmen planen oder bereits durchführen, ermöglichen, dies verantwortungsvoller zu tun“, so Herpig gegenüber Euractiv.
„Dies soll auf keinen Fall eine bestimmte Haltung zu dem Thema widerspiegeln, sondern einen Weg aufzeigen, wie man es besser machen kann, wenn die Staaten ohnehin planen, es zu tun“, fügte er hinzu.
Ein weiterer wichtiger Aspekt ist die Entwicklung, Erprobung und Anwendung von Maßnahmen, um sicherzustellen, dass die aktive Cyberabwehr präzise ist und wie beabsichtigt gegen bösartige Cyberaktivitäten funktioniert.
„Mit anderen Worten: Macht es Sinn, zu reagieren? Würde es den angegriffenen Staat überhaupt kümmern? Auch die Auswirkungen einer rechtmäßigen Reaktion in Form von Repressalien oder Vergeltungsmaßnahmen müssen berücksichtigt werden. Wurde die ausländische Aktivität von einem Staat durchgeführt? Wie schwerwiegend war sie?“ erklärte Olejnik.
„Die Cyberangriffe, die wir häufig erleben, haben keine Auswirkungen oder erreichen vielleicht die Schwelle zur Einmischung in innere Angelegenheiten. Aber keiner erreicht die Schwelle zur Anwendung von Gewalt“, fügte er hinzu.
Die neun operativen Normen, die in der Studie umrissen werden, adressieren das Bedürfnis nach Präzision und zielen darauf ab, Regierungen bei der Entwicklung ihrer aktiven Cyberabwehrpolitik zu unterstützen.
Um die Verhältnismäßigkeit der Maßnahmen zu gewährleisten, müssen die Regierungen ein technisches Verständnis des gegnerischen Cybereinsatzes haben und ihre Maßnahmen so weit wie möglich einschränken, um zu vermeiden, dass die Lieferketten und kritischen Infrastrukturen Dritter angegriffen werden.
„Die Regierungen sollten politische, rechtliche und kontrollierende Rahmenbedingungen für aktive Cyberabwehrmaßnahmen schaffen und auf Folgenabschätzung und Transparenz Wert legen“, heißt es in der Studie.
[Bearbeitet von Luca Bertuzzi/Alice Taylor/Kjeld Neubert]