Hackback-Erlaubnis: Kabinett macht Weg frei

Ein „Meilenstein für die Sicherheitsarchitektur Deutschlands“ sei das Gesetz zur Stärkung der Cybersicherheit, sagte Bundesinnenminister Alexander Dobrindt (CSU). Denn damit komme als „Kernbestandteil“ die „aktive Cyberabwehr“. „Wir schlagen zurück, wir schalten die Bedrohung aus. Wenn wir angegriffen werden, werden wir die Angreifer stören und ihre Infrastruktur zerstören können.“ Politisch wird diese neue Befugnis für das Bundeskriminalamt mit der geänderten Sicherheitslage und der erhöhten Dringlichkeit begründet.

„Aktive Cyberabwehr“ soll kein Hackback sein

Umstritten ist, dass nach dem Willen der Bundesregierung künftig mutmaßliche Angreifersysteme zur Gefahrenabwehr lahmgelegt oder manipuliert werden dürfen. „Bisher haben wir bei Angriffen reagiert, indem wir versucht haben, sie in schadlose Bereiche des Netzes umzuleiten“, erläutert Dobrindt. Das sei wirkungsvoll, aber bislang das Einzige an aktiver Abwehr. Software und Server von Angreifern im Ausland würden künftig ebenfalls ins Visier genommen, was aus seiner Sicht einen qualitativen Unterschied darstellt. Es handele sich bei den vorgesehenen Maßnahmen um eine notwendige Ergänzung zu allen anderen, ebenfalls vorgenommenen Maßnahmen wie der Härtung von IT-Systemen oder gesetzlichen Verpflichtungen zu mehr IT-Sicherheit wie durch die NIS2-Regeln.

Kritiker sehen in der Regelung die Befugnis zum Hackback – bei der bereits in einem frühen Stadium in fremde Systeme eingedrungen werden könne. Da professionelle Angreifer sich jedoch regelmäßig fremder Geräte bedienten, beträfen die Maßnahmen nicht die Urheber, sondern Dritte. Diese Befürchtung hält Bundesinnenminister Alexander Dobrindt (CSU) jedoch für unbegründet. Eine Gefahr, hier unbeabsichtigt Grenzen des völkerrechtlich Zulässigen zu überschreiten, sieht der Minister nicht.

Vergleichsmaßstab: Herrenloser Koffer

Ein Hackback sei ein ungerichteter Vergeltungsschlag, hier gehe es hingegen um konkrete Gefahrenabwehr durch Bundeskriminalamt, Bundespolizei und Bundesamt für Sicherheit in der Informationstechnik. Daher bedürfe es auch keiner Änderung am Grundgesetz, sagte der Minister. „Wir gehen nicht wahllos auf Server zu, sondern es muss klar sein, dass von dieser Serverstruktur die Gefahr ausgeht.“ Wer genau hinter dem System stecke, sei dafür irrelevant. Der Minister zieht dabei eine Analogie: „Wenn von einem herrenlosen Koffer eine Gefahr ausgeht, dann schreiten wir dagegen ein und klären nicht erst auf, wem dieser Koffer gehört.“ Oft sei heute allerdings bekannt, wem angreifende Geräte zuzurechnen seien.

Vom IoT-Device über Server bis zu gekaperten Cloudinstanzen soll das BKA künftig frühzeitig eingreifen können, um Angriffe wie DDoS-Attacken von vornherein zu unterbinden, indem etwa Command & Control-Server identifiziert und unschädlich gemacht werden.

Kritik vonseiten der Zivilgesellschaft

Nach den Vorhaben für Vorratsdatenspeicherung, den Umsetzungsgesetzen zur digitalen Beweissicherung, den Datenanalyse- und biometrischen Internetabgleichsbefugnissen ist das bereits das dritte große Paket, mit dem die schwarz-rote Bundesregierung Polizeien und Staatsanwaltschaften weitere Befugnisse einräumen will. Gegen Teile dieser Pläne, die zudem im Eiltempo den Bundestag passieren sollen, gibt es scharfe Kritik aus der Zivilgesellschaft.

(dmk)