Über kaum eine Option zur Abwehr von Cyberangriffen wird in Politik und IT-Szene so vehement gestritten wie über die Frage, ob der Staat das Recht bekommen sollte, selbst Cyberattacken auf Hacker durchzuführen. Sicherheitsexperten wie Manuel Atug von der AG Kritis lehnen diese sogenannten „Hackbacks“ in der Cyberabwehr als „Gefahr für die eigene Bevölkerung“ grundsätzlich ab. Hingegen hat angesichts einer wachsenden digitalen Bedrohung aus dem Netz etwa Bundesinnenministerin Nancy Faeser erst Ende März wieder für das Bundeskriminalamt (BKA) das Recht gefordert, via Hackbacks „Angriffe zu stoppen“.
Kritiker sehen in solchen Plänen nicht bloß einen Verstoß gegen den Koalitionsvertrag, der festlegt: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ Vor allem verweisen sie darauf, dass auch eine Grundgesetzänderung, die Cyberschläge gegen Hacker erlaubte, nicht das Kernproblem dieser Abwehrstrategie behebe: dass sich nämlich die Quelle eines Cyberangriffs im Netz in der Regel wirksam verschleiern lasse.
Damit sei ein staatlicher Gegenschlag, der ausschließlich die Hacker lahmlege, kaum möglich. Mehr noch, weil Angreifer bewusst falsche Fährten legten, sei das Risiko viel zu groß, bei einem staatlichen Cyberschlag Unbeteiligte zu treffen.
Wie Gegenschläge zielgenauer ablaufen könnten, erklärt Faeser bisher nicht: „Bis heute ist das Innenministerium das Konzept schuldig geblieben, welche konkreten Befugnisse den Sicherheitsbehörden fehlen, um unsere Cybersicherheit durch aktive Cyberabwehr zu stärken“, monierte vor wenigen Tagen erst Sven Herpig, Cyberexperte der Stiftung Neue Verantwortung auf dem Cyberprotection Day der WirtschaftsWoche.
Die Medusa geköpft
Dass und wie es möglich ist, Cyberkriminellen wirksam das Handwerk zu legen, zeigen verschiedene erfolgreiche Schläge deutscher und internationaler Ermittlungsbehörden. Anfang Mai erst meldete der US-Geheimdienst FBI, es sei Spezialisten im Zuge der „Aktion Medusa“ gelungen, die Infrastruktur der dem russischen Geheimdienst FSB zugerechneten „Snake“-Schadsoftware auszuschalten. Dabei setzten die US-Fachleute auf eine ähnliche Taktik wie die, mit der auch Ermittler aus Deutschland und anderen EU-Staaten Anfang 2021 die Hackerplattform Emotet lahmgelegt hatten.
Statt nämlich die vermuteten Hacker oder von diesen genutzte Server möglicherweise direkt zu attackieren, zielten die Ermittler in beiden Fällen auf Rechner eindeutig identifizierbarer Hacking-Opfer und die dort installierte Schadsoftware. Bei Snake hatten die US-Sicherheitsexperten dazu ein Spezialprogramm namens Perseus programmiert, benannt nach dem Helden aus der griechischen Mythologie, der für seine Enthauptung des Monsters Medusa bekannt ist. Perseus entschärfte die Schadsoftware, indem das Programm Snake veranlasste, Teile seiner selbst mit unschädlichem Code zu überschreiben.
Im Fall von Emotet hatte der deutsche IT-Sicherheitsdienstleister G Data für die europäischen Fahnder ein ähnliches Programm entwickelt, das die Fahnder in den Updateprozess der Schadsoftware einschleusten. Damit verbreitete sich das Abschaltmodul ohne weiteres Zutun der Ermittler automatisch über das aus gekaperten Computern bestehende Emotet-Netzwerk.
Hacker-Plattform schaltet sich selbst ab
Binnen weniger Stunden deaktivierte sich die Schadsoftware auf diese Weise auf den Rechnern der Opfer von alleine. Und auch im Fall des Hacker-Netzwerks „Cyclops Blink“, hinter dem nach Einschätzungen von Cyberexperten Täter mit Kontakten zum Geheimdienst-Netzwerk GRU steckten, gelang es westlichen Ermittlern im Frühjahr 2022, das Schadprogramm auf den Rechnern der Hacking-Opfer auszuschalten.
Die Beispiele zeigen: Statt pauschal das Recht zum Hackback zu fordern und dabei womöglich Kollateralschäden im Netz oder politische Eskalationen bei elektronischen Angriffen auf Server im Ausland zu riskieren, sollte Innenministerin Faeser besser auf smarte Schläge gegen Cybergangster setzen.
Die technische Kompetenz dafür, das belegt der Fall Emotet, ist auch in Deutschland vorhanden. Und sollte es dabei tatsächlich noch rechtliche Grauzonen geben, lassen sich diese auch ausräumen, ohne am Grundgesetz schrauben zu müssen.
Lesen Sie auch: Seit über einem Jahr verteidigt sich die Ukraine erfolgreich gegen Attacken russischer Hacker. Woran das liegt und was westliche Unternehmen davon lernen können.