Das klingt gut, dachte ich mir, als ich die ersten Kapitel der Nationalen Sicherheitsstrategie las: Darin führt die Bundesregierung das Konzept der »Integrierten Sicherheit« ein. Mit diesem Konzept möchte sie sich davon lösen, Sicherheit aus verteidigungspolitischer Sicht zu behandeln und stattdessen auf das »Zusammenwirken aller relevanten Akteure, Mittel und Instrumente« setzen. Das ist neu, denn bisher hat das Verteidigungsministerium das Thema in dessen »Weißbüchern« vor allem mit Bezug auf die Bundeswehr abgehandelt.

Der Cyberraum, die neue Kriegsdimension

Wie die Bundesregierung Integrierte Sicherheit umsetzen will, schaue ich mir bezüglich der Cybersicherheit an, der die Nationale Sicherheitsstrategie mehrere Seiten widmet. Dass Cybersicherheit in der Strategie einen relevanten Platz bekommt, ist richtig und wichtig - viele Leser*innen werden wissen, dass gezielte Angriffe auf Computernetzwerke, also Cyberangriffe, nicht erst seit der russischen Invasion in die Ukraine zunehmen. Der Cyberraum ist eine »neue Kriegsdimension«, wie der Chef der Cyberagentur kürzlich sagte, er ist aber noch viel mehr: Wir kommunizieren und bewegen uns fast alle alltäglich im Internet, privat oder beruflich. Sicherheit im Cyberraum bedeutet, jede*n von uns und unsere ganze Gesellschaft vor persönlichen, wirtschaftlichen und politischen Schäden zu schützen.

Was also tun für mehr Cybersicherheit? Die Bundesregierung möchte »unsere Fähigkeiten zur Abwehr von Cyberangriffen stärken«. Alleinstehend ist dieser Satz unkonkret, denn Cyberabwehr ist ein sehr weiter Begriff, der ganz verschiedene Ansätze umfasst. Um einzuordnen, was genau die Bundesregierung möchte, lohnt es sich, diesen Begriff genauer auseinander zu nehmen. Im Folgenden stelle ich den Begriff Cyberabwehr aus zwei verschiedenen Perspektiven vor und ordne Aussagen der Sicherheitsstrategie diesbezüglich ein. Dabei werde ich zeigen, dass sich die Bundesregierung leider nicht, wie erhofft, von ihren verteidigungspolitischen Ursprüngen trennt.

IT-Sicherheit ist Cyberabwehr

Unter Cyberabwehr kann erstens IT-Sicherheit verstanden werden. Diese zu stärken heißt, alles dafür zu tun, das IT-Systeme und Daten geschützt sind und bleiben. Drei »Schutzziele« der IT-Sicherheit konkretisieren, was dabei wichtig ist: Erstens müssen Systeme und Daten für Berechtigte jederzeit abrufbar und einsatzbereit sein (Verfügbarkeit). Zweitens dürfen Unbefugte keine Einsicht in Systeme haben bzw. Daten nicht lesen können (Vertraulichkeit). Drittens dürfen Unbefugte Systeme oder Daten nicht verändern können (Integrität).

Fähigkeiten zur Cyberabwehr im Sinne von IT-Sicherheit zu stärken bedeutet, technisch-organisatorische Maßnahmen bzgl. der eigenen Infrastruktur auszubauen. Hierzu zählen z. B. Verschlüsselung, eine Firewall, (gute) Passwörter, durchdachte Befugnisse und zeitnahe Updates. Updates sind elementar, um bekannt gewordene Softwareschwachstellen zu schließen. Hacker*innen können sie dann nicht als Einfallstor ausnutzen, um in Systeme zu gelangen. Solche Maßnahmen sind absolut unbedenklich.

Offensive Maßnahmen zur Cyberabwehr

Ein zweites Verständnis begreift Cyberabwehr im Sinne von »offensiven Maßnahmen«. Offensive Maßnahmen sind Aktivitäten, die vermeintliche Angreifer*innen identifizieren und/oder versuchen, deren Netze zu infiltrieren. Sie gehen damit inhaltlich weiter als IT-Sicherheitsmaßnahmen, die sich nur auf die eigene Infrastruktur beziehen. Eine relativ unkritische offensive Maßnahme umfasst so genannte »Honeypots«. (Das sind simulierte Server, die ein Cyberkrimineller nicht von echten Servern unterscheiden kann. Ein Cyberangriff auf einen Honeypot schadet nicht, gibt aber Informationen über den Cyberangriff preis, aus denen man z. B. Maßnahmen für die eigene IT-Sicherheit ableiten kann.)

Eine scharf kritisierte offensive Maßnahme sind »Hackbacks«. Dies sind Aktionen, bei denen der Staat zurückhackt. Das Problem ist, dass der Staat hierbei womöglich selbst Schutzziele der IT-Sicherheit verletzt, indem er zum Beispiel Verschlüsselungen knackt und Systeme lahmlegt. Bei solchen Maßnahmen stellt sich einerseits die Frage der Sinnhaftigkeit, da womöglich Unbeteiligte geschädigt werden. Andererseits befinden wir uns hier an der Schwelle zu kriegerischen Handlungen: Konflikte können eskalieren und werfen weitreichende rechtliche und politische Fragen der Verantwortung auf.

Bei »Hackbacks« würde der Staat selbst Schutzziele der IT-Sicherheit verletzen.

In der Sicherheitsstrategie kann man lesen, dass die Bundesregierung für ein Recht auf Verschlüsselung eintritt. Das ist eine wichtige Maßnahme für Cyberabwehr im Sinne von IT-Sicherheit, denn Verschlüsselung ist grundlegend für das Schutzziel Vertraulichkeit. Schließlich kann eine unverschlüsselte E-Mail (ähnlich wie eine Postkarte) mit vergleichsweise wenig Aufwand unbemerkt mitgelesen werden. Verschlüsselung schützt damit Persönlichkeitsrechte, aber auch wirtschaftliche oder politische Geheimnisse.

Weiter gelesen weicht die Bundesregierung ihre Einstellung zu Verschlüsselung jedoch auf. Verschlüsselung wird zur Bedrohung: »Schwere und Organisierte Kriminalität bedroht nahezu alle Staaten der Welt. Die Täter (...) führen ihre Kommunikation mit Hilfe von Verschlüsselungstechniken [durch].« Es folgen viele Absätze dazu, »regelwidriges und aggressives Verhalten von Cyberakteuren nicht hin(zu)nehmen«. Die Bundesregierung bekennt sich hier zu einer offensiven Cyberabwehr.

Ähnlich zweideutig ist die Bundesregierung in ihrer Haltung zu Hackbacks. Auf den ersten Blick scheint klar zu sein: Hackbacks lehnt die Bundesregierung entsprechend des Koalitionsvertrages »grundsätzlich« - entsprechend Nationaler Sicherheitsstrategie »prinzipiell« - ab. Nun kann man fragen, warum die Bundesregierung sich bemüht, grundsätzlich oder prinzipiell abzulehnen, anstatt eine deutliche (»generelle«) Ablehnung zu formulieren. Im Juristischen steht »gründsätzlich« (so wie »prinzipiell«) für eine Regel, die Ausnahmen zulässt.

Zusammenfassend setzt sich die Bundesregierung also für Cyberabwehr im Sinne von IT-Sicherheit ein, will aber auch offensive Maßnahmen (darunter die viel kritisierten Hackbacks) verfolgen. Warum ist diese Zweigleisigkeit problematisch? Das staatliche Interesse, Angriffe aufzuklären oder abzuschwächen, ist schließlich legitim.

Offensive Maßnahmen können die IT-Sicherheit bedrohen.

Meine erste Antwort ist, dass offensive Maßnahmen zu Lasten der IT-Sicherheit gehen, wenn dadurch Verschlüsselung aufgeweicht wird oder Sicherheitslücken offengehalten werden. Dies passiert beispielsweise, wenn Geheimdienste nicht öffentlich bekannte Schwachstellen (so genannte Zero Days) suchen und kaufen, die sie für offensive Cybermaßnahmen nutzen und weiter geheim halten. Die Gefahr liegt hier nicht nur darin, dass Geheimdienste ihre Fähigkeiten missbrauchen. Ein Beispiel ist die Späh-Software Pegasus, mit der internationale Geheimdienste etwa 50.000 Personen (darunter EU-Politiker*innen, Journalist*innen und Aktivist*innen) überwachten. Ein Geheimdienst, der Schwachstellen geheim hält, riskiert wissentlich, dass auch die eigene Bevölkerung Cyberangriffen schutzlos ausgesetzt ist.

Meine zweite Antwort auf die problematische Zweigleisigkeit der Bundesregierung ist mit einer weiteren Frage verbunden, nämlich ob offensive Maßnahmen überhaupt das richtige Mittel sind, um Cyberangriffe abzuwehren oder abzuschwächen. Angriffe abwehren und abschwächen, das kann eine gute IT-Sicherheit nämlich auch – und zwar effektiver! Wirtschaftlich oder politisch motivierte Cyberangriffe wird es immer geben, ob mit oder ohne offensive Maßnahmen. Besser ist daher eine Sicherheitspolitik, die sich dafür einsetzt, uns digital möglichst wenig angreifbar zu machen und Angriffsfolgen gering zu halten. Hier gäbe es viel zu tun: Studien decken immer wieder auf, dass viel zu viele Unternehmen veraltete Softwaresysteme einsetzen oder dass sie Updates nicht oder zu selten durchführen. Das betrifft auch Politik und Verwaltung: Erst kürzlich versäumte das Digitalministerium, ein Update durchzuführen, sodass Mobiltelefondaten ihrer Mitarbeiter*innen tagelang ausspähbar waren. Es sind grundlegende Versäumnisse, die es Hacker*innen einfach machen, erfolgreich anzugreifen und zu spionieren. Umso fahrlässiger ist es, wenn schon einfache Schutzmaßnahmen nicht durchgesetzt werden.

»Grundlegende Versäumnisse machen es Hacker*innen leicht.«

Statt offensive Cyberabwehr voranzutreiben, sollte die Bundesregierung defensive Maßnahmen vorantreiben. Sicherheitsexpert*innen haben dazu schon viele Vorschläge unterbreitet, zu denen die Sicherheitsstrategie leider kein Wort verliert. Um nur einige der Vorschläge zu nennen: Entdeckte Schwachstellen müssen in einem verantwortlichen (so genannten Responsible Disclosure) Verfahren öffentlich gemacht werden, damit alle Betroffenen die Schwachstellen schließen können und unser aller Sicherheit steigt. Der sogenannte »Hackerparagraph« muss abgeschafft werden – mit diesem werden in Deutschland ethische Hacker*innen bestraft, die verantwortungsbewusst auf Sicherheitslücken aufmerksam machen. Es müssen Anforderungen für Security-by-Design-Lösungen durchgesetzt werden, sodass Produkte bereits auf einem hohen Sicherheitsniveau entwickelt und verkauft werden. Schließlich gibt es aktuell ein Wirrwarr an Organisationen, Verantwortungen und Regulierungen, die es Akteuren erschweren, sich bezüglich IT-Sicherheit zu informieren und diese umzusetzen. Hier sollte die Bundesregierung evaluieren, welche Wege und Verantwortungen notwendig und effektiv sind.

Die Bundesregierung hat es entgegen ihres eigenen Vorhabens versäumt, ein Konzept integrierter Sicherheit für den Cyberraum zu verfassen. Denn ihr Fokus auf offensive Maßnahmen steht für Geheimhaltung und eine Stärkung der Fähigkeiten von Bundeswehr und Nachrichtendiensten – nicht für Beteiligung. Damit verharrt Deutschland nicht nur im verteidigungspolitischen Denken – die Bundesregierung verpasst, das voranzubringen, was für einen geschützten Cyberraum tatsächlich wichtig ist: eine stärkere IT-Sicherheit.