Hackback – Cyber-Abwehr proaktiv

Entwurf für IT-Sicherheitsgesetz 2.0

Von in IT-Sicherheit
07
Jun
'19

Es vergeht kaum eine Woche, in der nicht ein Hacker-Angriff von sich Reden macht. Mit dem IT-Sicherheitsgesetz 2.0 soll damit Schluss sein. Es sieht vor, dass das BSI künftig zum Gegenangriff übergehen darf. Die Devise lautet: Hackback – Cyber-Abwehr proaktiv.

Welche Befugnisse den digitalen Gegenangriff ermöglichen sollen, erfahren Sie bei uns.

Zu sehen ist ein Mann in einem dunklen Raum. Licht, erzeugt durch einen Laptop-Bildschirm, fällt auf das Gesicht des Mannes. Vielleicht ist er ein Hacker und die Cyber-Abwehr proaktiv macht ihm Angst. Bild: www.unsplash.com / 广博 郝

Hacker aufgepasst: Unter dem Motto „Hackback – Cyber-Abwehr proaktiv“ soll künftig zum Gegenschlag angesetzt werden. Bild: www.unsplash.com / 广博 郝

Was ist Cyber-Abwehr?

Im Jahr 2011 verabschiedete die Bundesregierung ihre Cyber-Sicherheitsstrategie – und erweckte damit das Nationale Cyber-Abwehrzentrum, kurz Cyber-AZ genannt, zum Leben. Seine Aufgabe ist es, Schutz- und Abwehrmaßnahmen zu koordinieren und der Gefährdung durch Cyber-Spionage, Cyber-Ausspähung, Cyber-Terrorismus und Cyber-Crime entgegenzuwirken.

Das bedeutet: Alle Informationen zu Cyber-Angriffen laufen an dieser Stelle zusammen. Durch die Vernetzung mit verschiedenen Behörden entsteht auf Basis der gesammelten Informationen ein ganzheitliches Lagebild, sodass das Abwehrzentrum am Ende eine fundierte Handlungsempfehlung herausgeben kann.

Seit 2011 sind die Anforderungen an die Cyber-Abwehr dank der schnellen Entwicklung im Zuge der Digitalisierung allerdings weiter gestiegen. Im Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz gefasst IT-Sicherheitsgesetz 2.0, heißt es, dass die Gesamtzahl der Angriffe zwar auf hohem Niveau stagnieren, die Attacken insgesamt qualitativ aber immer ausgefeilter und für die Betroffenen entsprechend gefährlicher werden. Das zeigen auch Ransomware-Angriffe wie WannaCry. Und vor dem Hintergrund der zunehmenden Verbreitung von IoT-Geräten (Internet of Things) könnten solche Angriffe in Zukunft noch heiklere, wirtschaftliche Auswirkungen haben.

Neuer Leitsatz: Cyber-Abwehr proaktiv

Deshalb müssen neue Sicherheitsstrategien her. Das machte jüngst auch Michael Niemeier, Vizepräsident des Bundesamts für Verfassungsschutz, bei der 7. Potsdamer Konferenz für Nationale CyberSicherheit deutlich. Er betonte, dass eine robuste up-to-date Cyber-Abwehr notwendig ist, wenn im Zuge der Digitalisierung der Wettbewerbsvorteil von Wirtschaft und Forschung geplündert, kritische Infrastruktur infiltriert und politische Institutionen strategisch ausspioniert werden können.

Vorbei die Zeiten, in denen auf Probleme mit der IT-Sicherheit lediglich reagiert wurde. Das Innenministerium, dem Horst Seehofer vorsteht, bläst nach dem Leitsatz „Hackback – Cyber-Abwehr proaktiv“ sozusagen zum digitalen Gegenangriff. Aber was stellt es sich darunter vor? Sowohl das Bundesamt für Sicherheit in der Informatrionstechnologie (BSI) als auch die Strafverfolgungs- und Sicherheitsbehörden sollen zum Schutz von Gesellschaft, Wirtschaft und Staat zusätzliche Befugnisse erhalten. Oder noch kürzer formuliert: Sie dürfen künftig offensiv in IT-Systeme eindringen und dadurch sozusagen selbst zu Hackern werden.

Das könnte wie folgt aussehen: Auf der Suche nach unsicheren Geräten durchforstet das Bundesamt das Internet; ins Visier können Server, WLAN-Netze oder Smartphones geraten, aber auch Geräte, die zum Internet der Dinge gehören, zum Beispiel Überwachungskameras, Kühlschränke oder Babyphone. Das Problem: Um feststellen zu können, ob ein Gerät ein unsicheres Passwort nutzt, muss sich das BSI darauf einloggen – und das ist strenggenommen ein Hacking-Angriff.

Provider müssen kooperieren

Allerdings reicht es nicht aus, ein Sicherheitslücke lediglich zu entdecken – man muss sie auch schließen können. Hier kommen die Provider ins Spiel. Sie sollen künftig dazu verpflichtet sein, IP-Adressen herauszugeben, damit die Inhaber oder Betreiber betroffener Geräte informiert werden können. Auch wenn ein Provider feststellt, dass sich ein Hacker Zugang zu personenbezogenen Daten verschafft und diese verbreitet hat, muss er künftig einer Meldepflicht nachgehen und die Daten des Opfers herausgeben.

Das ist immer noch nicht alles. Oft werden Hacker-Angriffe oder Spam-Kampagnen von Botnetzen ausgespielt, gesteuert über einen zentralen Server. Ist ein solcher Server entdeckt, soll das Bundesamt dem Internet-Anbieter anordnen können, dessen Datenverkehr zu blockieren. In einem zweiten Schritt erfolgt laut Theorie die Umleitung des Internetverkehrs von dem schädlichen Kommando-Server auf die BSI-eigenen Server, wodurch das BSI die Kontrolle über das Botnetz übernimmt. Durch die Auslieferung einer Bereinigungssoftware an die Bots kann das BSI die Schadsoftware anschließend entfernen.

Der Gesetzesentwurf sieht weiterhin vor, dass das BSI auch jene Geräten säubern darf, die durch die Attacke mit Schadsoftware verseucht sind. Die Opfer des Hacker-Angriff bekommen von all dem also möglicherweise gar nichts mit.

Zu sehen ist ein Serverraum. Eine Hand hantiert daran. Bild: www.pixabay.com / ColossusCloud

Mit einem Hackback könnte bei einer Cyber-Attacke künftig der Server des Angreifers lahmgelegt werden. Bild: www.pixabay.com / ColossusCloud

Hackback – ein Vier-Stufen-Plan

Neben dem Entwurf zum IT-Sicherheitskonzept 2.0 gibt es noch ein weiteres, internes Papier der Bundesregierung. Das ist eigentlich nicht für die Öffentlichkeit bestimmt, liegt aber wohl dem investigativen Reporterteam „BR Recherche“ vor. Laut diesem Papier ist geplant, Cyber-Angriffe künftig aktiv abzuwehren und dazu sogar Server zu zerstören, von denen die Angriffe ausgeführt werden. Im Detail geht es um einen Vier-Stufen-Plan, mit dem die Bundesregierung „erhebliche Cyber-Angriffe aus dem Ausland“ abwehren will – als Beispiel: eine Cyber-Attacke auf ein Krankenhaus.

Der Plan sieht nach BR-Informationen wie folgt aus:

  • Stufe 1 & Stufe 2:
    In den ersten beiden Stufen soll es möglich sein, „Datenverkehre zu blockieren oder umzulenken“. Hier kämen die Telekommunikationsunternehmen in die Pflicht oder die Polizeibehörden des Bundes würden aktiv.
  • Stufe 3: 
    In Stufe Drei soll die zuständige Behörde fremde Netzwerke hacken dürfen, um Daten zu verändern oder zu löschen. Das könnte das aktuell hackende Programm sein oder auch ein Datenpaket, das illegal von einem fremden Server kopiert und nun auf dem Server des Hackers aufzufinden ist. Das war zum Beispiel 2015 der Fall. Nachdem der Bundestag gehackt worden war, entdeckten Mitarbeiter des Verfassungsschutzes auf einem Server in Osteuropa ein Datenpaket des Parlaments und hätten dieses gern gelöscht, waren dazu aber nicht befugt.
  • Stufe 4:
    Mit der vierten Stufe gehen die Befugnisse noch deutlich weiter. Hier gehe es, so der BR, um „Maßnahmen, um auf die Funktionsfähigkeit des zum Angriff genutzten IT-Systems einzuwirken“. Hierbei sei es der zuständigen Behörde erlaubt, in Systeme einzudringen und sie herunterzufahren.

Welche Stufe in einem Angriffsfall zu wählen ist, soll in einem mehrteiligen Abstimmungsprozess entschieden werden: Das Cyber-Abwehrzentrum stimmt unter Beteiligung von Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz und Bundesamt für Sicherheit in der Informationstechnik ab, ob eine CNI-Maßnahme den Angriff beenden oder zumindest schwächen würde; dann müsste ein Gremium, in dem Kanzleramt, Auswärtiges Amt, Justiz-, Verteidigungs- und Innenministerium vertreten sind, darüber entscheiden. Erst danach würde die proaktive Cyber-Abwehr durchgeführt – möglicherweise durch den BND als ausführende Instanz. Was interne Kreise als „Computer Network Intervention“ (CNI) deklarieren, bezeichnen Kritiker als „Hackback“: Der Staat hackt zurück.

Hackback in der der Kritik

Wie weit darf der Staat im Auftrag der Sicherheit gehen? Darf er selbst zum Hacker werden? Oder überschreitet er damit vielleicht die Individualrechte des Einzelnen? Kein Wunder, dass bei so einem brisanten Thema die Alarmglocken schrillen. Einige Stimmen verlangen, dass die Bundesregierung zu allererst die Weichen für mehr IT-Sicherheit stellt – nach dem Motto: Wenn ein Cyber-Angriff gar nicht möglich ist, muss es auch nicht zu einem Hackback kommen. Andere Stimmen sprechen von einem digitalen Wettrüsten.

Es könnte in jedem Fall sein, dass durch die Bestimmungen zur aktiven Cyber-Abwehr eine Änderung des Grundgesetzes einhergehen muss. Schließlich seien das Grundrecht auf digitale Intimsphäre, die Unverletzlichkeit der Wohnung und das Fernmeldegeheimnis betroffen. Noch steht allerdings nichts fest. Die Abstimmungen zu den Neuerungen in Sachen proaktive Cyber-Abwehr dauern an.

Sofern Sie nicht wollen, dass Regierungsbehörden künftig eine Sicherheitslücke auf Ihren Systemen entdecken und darauf zugreifen, sollten Sie auf jeden Fall versorgen und in Sachen IT-Sicherheit aktiv werden. Unsere Experten aus dem IT.SERVICE-NETWORK unterziehen Ihr System einem intensiven IT-Sicherheitscheck und geben Ihnen Empfehlungen zu Anti-Virus-Management, Firewall-Management, Patch-Management, Backup-Management und Co.

Janina Kröger

Janina Kröger ist seit 2019 Redakteurin im Blog des IT-SERVICE.NETWORK. Zuvor arbeitete die studierte Germanistin und Anglistin als Redakteurin beim WESTFALEN-BLATT und beim PUBLICPRESS VERLAG.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.