Deutschland ist bei der Abwehr von Cyberangriffen schlecht aufgestellt. Das ist zwar vielen bewusst, bleibt aber zu oft folgenlos. Bei der notwendigen Reform muss es um mehr gehen als bloß passive Schutzmaßnahmen.
Jeden Tag sind die Deutschen digitalen Angriffen ausgesetzt. Zweimal im vorigen Jahr gab es Attacken, die nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine schwere Krise der Energieversorgung hätten auslösen können.
Zum einen versperrten russische Rechner zu Beginn des Ukraine-Kriegs die Zugänge zu einem amerikanisch betriebenen Satellitennetzwerk. Offline war nach dem Schlag aber nicht nur ein Teil der ukrainischen Militärkommunikation, sondern auch die Fernwartung vieler deutscher Windkrafträder. Zum anderen gefährdete ein Hackerangriff auf die Deutschland-Tochter des russischen Energiekonzerns Rosneft die Versorgung mit Benzin und Mineralöl im Nordosten Deutschlands.
In beiden Fällen ging es einigermaßen glimpflich aus. Die Bürger haben wenig davon mitbekommen. Aber die Attacke auf das Satellitensystem Ka-Sat im Februar 2022 gilt Kundigen als mindestens so bedeutsam wie die spätere Sprengung von drei Strängen der Nord-Stream-Pipelines in der Ostsee. Es belegte die große Verletzlichkeit unserer Infrastruktur durch digitale Offensivaktionen.
Zu viele staatliche Stellen gleichzeitig sind für Cyberabwehr zuständig
Deutschland ist derzeit miserabel gewappnet, um sich vor militärischen Angriffen mit Raketen, Flugzeugen und Panzern zu schützen. Genauso schlecht sind wir vorbereitet auf Attacken in der digitalen Welt. Es fehlt an allem: Technik, Know-how, Personal, Strukturen – und politische Entschlossenheit. Es ist nicht einmal klar, wer überhaupt für die Cyberabwehr zuständig ist. Je nach Zählweise kommen die Experten auf fünfzig oder gar hundert staatliche Akteure, die dabei irgendeine Rolle spielen – vom Bundesnachrichtendienst bis zur örtlichen Polizeibehörde.
Nancy Faeser, Bundesministerin des Innern, hat immerhin die Initiative ergriffen. Sie will dem Bund eine führende Rolle bei der Cyberabwehr übertragen – und dafür das Grundgesetz ändern. Diese notwendige und lange überfällige Reform stößt allerdings auf den Widerstand mächtiger Bundesländer wie Bayern. Zudem will die Sozialdemokratin dem Bundeskriminalamt (BKA) das Recht einräumen, zur Gefahrenabwehr in ausländische Rechner eindringen und diese lahmlegen zu dürfen. Auch dafür müsste das Grundgesetz geändert werden. Hier bekommt Faeser die geballte Gegenwehr ihrer grünen und liberalen Koalitionspartner zu spüren und sogar wichtiger Persönlichkeiten ihrer eigenen Partei, etwa der SPD-Chefin Saskia Esken.
Faeser vermeidet bewusst das Wort „Hackback“
Faeser will das Wort selbst nicht in den Mund nehmen, aber wovon sie in der Sache spricht, ist die Bereitschaft zum Hackback. Beim Hackback, dem englischen Wort für „Zurückhacken“, geht es darum, sich im Falle eines Hackerangriffs nicht nur passiv zu schützen, sondern zum Gegenangriff überzugehen. Deutsche Behörden, zum Beispiel das BKA oder der BND, dürften dann Server im Ausland ausspähen, manipulieren und sogar aktionsunfähig machen.
Für viele ist Hackback Teufelszeug. Im Koalitionsvertrag der Ampelparteien wurden Hackbacks ausdrücklich als Abwehrinstrument ausgeschlossen. Und die Bedenken sind tatsächlich schwerwiegend. Ab wann soll ein Hackback erlaubt sein – schon dann, wenn nur ein einziges Energieunternehmen bedroht ist? Was ist, wenn die Identität des Angreifers nicht klar ist? Nimmt man in Kauf, beim Gegenschlag auch viele Unbeteiligte zu schädigen? Nützen Hackbacks überhaupt etwas angesichts von Tätern, die technologisch immer einen Schritt voraus sind und leicht ausweichen können? Gerät man mit einer aggressiven Cyberabwehr nicht ganz schnell in eine Eskalationsspirale mit den Angreifern, aus der dann nur noch schwer zu entkommen ist?
Es geht auch um Abschreckung
Die Kritiker empfehlen, alle Kräfte auf die eigene Abwehr zu konzentrieren: ein besserer Informationsaustausch von Behörden und Firmen, umfassende Meldepflichten bei Cyberattacken und erkannten Software-Schwachstellen, Ausbildung von Computerexperten, die auf Verteidigung spezialisiert sind und vieles mehr.
All das ist zwingend und dringend. Aber Deutschland sollte die aktive Cyberabwehr, die viele unsere Partnerstaaten betreiben und die von der EU-Kommission ausdrücklich angemahnt wird, nicht von vorneherein ausschließen. So bitter die Erkenntnis ist: Im Zeitalter von Cyberattacken geht es auch um die Fähigkeit zur Abschreckung. Wenn ein Staat erklärt, dass er in jedem Fall darauf verzichtet, selbst große Schläge auf seine Strom- und Funknetze, seine Rat- und Krankenhäuser ohne Gegenschlag hinzunehmen, lädt er potenzielle Angreifer geradezu ein.