Lizenz zum Hacken: Wie schlägt Deutschland bei Cyberattacken zurück?

Deutsche Spione tragen heute wohl Kapuzenpullis, Wollmützen und Dreitagebart. Und: Sie haben eine "license to hack" - eine Lizenz zum Hacken also. Das suggeriert zumindest das große Foto, das ganz oben auf der Karriere-Seite des deutschen Geheimdienstes prangt. Darunter aufgelistet sind Stellenangebote für Experten für Cybersicherheit und "Computer Network Exploitation", also die Infiltration und Überwachung von Computern und Computernetzwerken. Eine der Anforderungen: "Bereitschaft zu Dienstreisen im In- und Ausland".
So wirbt der BND im Internet
Auch andere westliche Länder forcieren ihre Suche nach solchen Talenten, die in fremde Computernetzwerke eindringen können: Australien, Großbritannien und Kanada schreiben ähnliche Stellen aus. Eine britische Anzeige lässt Bewerbungskandidaten wissen: "Wir können die Computer von Terroristen und Kriminellen hacken, um ihre Pläne zu zerstören." Die australische Regierung sucht Kandidaten, die in der Lage sind, "autonome Cyber-Operationen" zu entwickeln und durchzuführen.
Deutschen Hackern sind die Hände gebunden
Im Vergleich fallen deutsche Hacker aus der Reihe: Sobald sie in ein Netz eingebrochen sind, wird ihre "Lizenz zum Hacken" durch das Grundgesetz klar eingeschränkt. Die deutsche Verfassung schreibt eine strikte Trennung zwischen Polizei und Nachrichtendiensten vor: Der BND hat also keine polizeilichen Befugnisse wie etwa Festnahmen oder Hausdurchsuchungen. Für den Spion im Kapuzenpulli heißt das konkret, dass er einen feindlichen Server nicht vom Netz nehmen kann - auch wenn dieser die deutsche Infrastruktur angreift.
In dem äußerst unwahrscheinlichen Fall einer Cyberattacke katastrophaler Ausmaße, bei der Menschen sterben und Infrastrukturen zerstört werden, würde das deutsche Militär mit einem Cyberangriff kontern, um sich selbst zu verteidigen. In so einem Fall - Amerikaner reden oft vom "Cyber Pearl Harbor", um die digitale Katastrophe zu beschreiben - könnte die Bundeswehr sogar einen konventionellen Krieg lancieren.
Solch große Vorfälle sind aber äußerst selten, verglichen mit der täglichen Flut von Cyberattacken auf Banken, Unternehmen, sogar Krankenhäuser, kurz: theoretisch jeden, der mit dem Internet verbunden ist. Ist ein System einmal infiziert, springt die bösartige Software oft automatisch wahllos weiter auf andere Computer.
Hinzu kommen die aufwändigeren, gezielten Attacken auf Abgeordnete, Medienhäuser oder die Server von Behörden, die monatelanger Vorbereitung bedürfen: Im Cyber-Jargon heißen diese "Advanced Persistent Threats". Dabei werden die Computer und Netzwerke von potenziellen Opfern so lange ausspioniert, bis eine Schwachstelle gefunden ist, durch die die Angreifer einbrechen können.
Sind sie einmal im System, können sie spionieren, Daten stehlen oder sogar das ganze Netzwerk lahmlegen. Genau hier sind Deutschland derzeit die Hände gebunden. Noch. Innenminister Horst Seehofer möchte die Lizenz des BND ausweiten. Er will ihm auch offensive Fähigkeiten geben und ihn damit auf Linie mit anderen Geheimdiensten bringen. Deutschland, erklärte Seehofer Anfang Juni, könne nicht "einfach ohnmächtig" eine Cyberattacke etwa auf ein Krankenhaus oder Kraftwerk über sich ergehen lassen.
Er folgt damit der aggressiveren Haltung anderer Länder, die in den vergangenen Jahren mehrere Angriffe auf ihre Infrastruktur erlebt haben. Darunter: die Abschaltung des Stromnetzes 2015 in der Westukraine und der Hackerangriff auf Server der Demokratischen Partei im US-Wahlkampf 2016. In beiden Fällen verwiesen Gesetzgeber und Experten auf russische Hacker, die möglicherweise im Auftrag der Geheimdienste agierten. Möglicherweise, denn die Trennlinie zwischen kriminellen und politisch-motivierten Hackern verschwimmt immer mehr.
Andere Staaten hacken bereits zurück: Nach Informationen der Zeitung New York Times führen die USA mittlerweile offensive Cyber-Operationen durch. So sollen die Vereinigten Staaten Schadsoftware in russische Server eingeschleust haben - "in einer Tiefe und mit einer Aggressivität, die es so bisher nicht gab". Diese Strategie wird manchmal als "Vorbereitung des Schlachtfelds" (preparation of the battlefield) bezeichnet: Im Konfliktfall ist die Software bereits parat und kann schnell aktiviert werden, um einen Server vom Netz zu nehmen. Erst vor kurzem soll das US-Militär einen Cyberangriff auf iranische Raketenkontrollsysteme durchgeführt haben.
Defensive Cyberabwehr - "wie ein Panzer ohne Waffe"
Estland ist ein anderes Beispiel. Das kleine Land an der Ostsee grenzt an Russland, mit dem es eine komplizierte Geschichte verbindet. Nach jahrzehntelanger sowjetischen Besetzung, unter der viele Esten verhaftet wurden, erlangte Estland in den frühen 1990er-Jahren die Unabhängigkeit.
Im Jahr 2007 beschloss die estnische Regierung, eine Statue aus Sowjetzeiten aus dem Zentrum der Hauptstadt Tallin an einen weniger zentralen Ort zu versetzen. Was folgte, war eine digitale Vergeltungsmaßnahme: ein großer Cyberangriff auf das Bankensystem und einige Internetseiten der Regierung. Experten sind sich einig, dass wohl russische Hacker dafür verantwortlich waren.
Tanel Sepp, Leiter der Cyberprogramme des estnischen Verteidigungsministeriums, kann sich gut daran erinnern: In Brüssel, wo er als Diplomat stationiert war, konnte er keine estnischen Nachrichtenseiten abrufen. Aber, fügt er schnell hinzu: Estland habe schnell die Kontrolle über seine Netzwerke wiedererlangt.
Sepp nimmt sich Zeit für das Gespräch, seine Botschaft ist klar: Estland habe aus dem Vorfall gelernt, das Land sei gewappnet, die Cyberabwehr gestärkt. Man erprobe eine Art Cyber-Wehrpflicht. Und: Seit vergangenem Jahr verfügt das Land über ein Cyber-Kommando, das auch offensive Operationen durchführen soll. Denn: "Cyberabwehr ohne Offensive ist wie ein Panzer ohne Waffe", sagte Tanel Sepp: "Wir müssen notfalls zurückschlagen können."
Doch die Einzelheiten der offensiven Cyberoperationen will er nicht kommentieren. Auch nicht, ob Estland - wie die USA - Operationen zur "Vorbereitung des Schlachtfelds" durchführt. Alle Details seien geheim.
Innenminister Seehofer fordert aktive Cyberabwehr
Auch Deutschland hat einige Cyberattacken auf Regierungseinrichtungen erlebt. 2015 gab es einen Angriff auf das interne Netzwerk des Bundestags - wahrscheinlich ausgeführt von einer Gruppe russischer Hacker, die auch militärische Einrichtungen in mehreren NATO-Staaten ins Visier nahm. 2018 folgte ein Angriff auf das Netzwerk der Bundesverwaltung. Kurz darauf wurden persönliche Daten hunderter deutscher Politiker online veröffentlicht - darunter Kreditkarteninformationen und private Chats.
Diese Angriffe scheinen die deutsche Regierung wachgerüttelt zu haben, nachdem eine frühere Diskussion zur Cyberverteidigung ins Leere lief. Innenminister Horst Seehofer fordert seitdem immer wieder eine "aktive Cyberabwehr" - so nennt die Regierung den digitalen Gegenangriff, der oft auch "Hackback" genannt wird.
Sein Ministerium arbeitet an einem Gesetzentwurf. Die Details sind noch streng geheim - so geheim, dass Regierungssprecher sich strafbar machen würden, wenn sie mit Journalisten darüber redeten. Doch ein internes Arbeitspapier gelangte vor einiger Zeit an die Öffentlichkeit. Demnach scheint es, Seehofers Ministerium wolle den Auslandsgeheimdienst BND befähigen, Daten zu löschen und als letzten Schritt auch feindliche Server abzuschalten.
Der BND in Berlin
Opposition: Hackback-Pläne "unverantwortlich"
Die Pläne, die Befugnisse der Regierungs-Hacker auszuweiten, sorgen für Verärgerung - vor allem bei der Opposition. Im Büro des Linken-Politikers André Hahn in Berlin Mitte stapeln sich Bücher wie "Der CIA Folterreport". Sensible Themen bespricht er nicht am Telefon, sondern lieber persönlich bei Spaziergängen an stark befahrenen Straßen. Paranoid ist er nicht, sagt er, aber er weiß: Handys können gehackt, Emails gelesen werden.
Hahn ist müde nach einer langen Auslandsreise, kommt aber schnell in Fahrt: Seehofers Pläne seien "fahrlässig" und "geschichtsvergessen". Hahn verweist damit auf das Regime der Nationalsozialisten, in dem die Geheime Staatspolizei (Gestapo) Menschen ohne rechtliche Schranken festhalten, foltern und verschwinden lassen konnte. Nach dem Zweiten Weltkrieg folgte die strikte Trennung zwischen Polizei und Nachrichtendiensten. Nie wieder sollte eine Geheimpolizei so agieren können wie die Gestapo.
Um dem BND zu erlauben, offensiv zu hacken, müsste also das Grundgesetz geändert werden. Für den Linken-Politiker Hahn ist die Idee so "absurd", dass er sich gar nicht damit befassen will. Hahn gehört zu den Abgeordneten, die den BND und andere Nachrichtendienste im parlamentarischen Kontrollgremium überwachen sollen.
Tatsächlich, sagt Hahn, stamme der Großteil seines Wissens über geheime Operationen aus investigativer Berichterstattung. Denn die Geheimdienste würden so wenig wie möglich über ihre Arbeit preisgeben. Er nennt das Kontrollgremium deshalb "ein sehr stumpfes Schwert" - und warnt, den Geheimdiensten noch mehr Befugnisse zu geben.
Auch andere Oppositionelle, darunter die Grünen und die wirtschaftsliberale FDP, sind strikt dagegen, den BND mit einer offensiven Cyberabwehr zu beauftragen. Er halte das Vorhaben, dem BND weitere digitale Befugnisse zu geben, für "extrem bedenklich", sagt Stephan Thomae von der FDP.
Sind Hackbacks der richtige Weg?
Mehrere Politiker und Experten, mit denen die DW Kontakt aufnahm, bezweifeln, dass Hackbacks überhaupt eine nützliche Form der Verteidigung sind. Darunter ist auch Matthias Schulze von der Stiftung Wissenschaft und Politik, einer Berliner Denkfabrik, die die Bundesregierung berät.
Mehrere verschlossene Türen, die sich nur mit einem Hausausweis öffnen lassen, führen zu seinem kleinen Büro. Auf dem Tisch liegt das Buch "Click Here to Kill Everybody". Schulze nimmt sich viel Zeit. Das Thema digitale Gegenangriffe ist ihm wichtig, von Seehofers Plänen hält er wenig. Zum einen führten Hacker ihre Angriffe oft von Computern unschuldiger Unbeteiligter aus - etwa Krankenhäusern, die durch einen Vergeltungsschlag geschädigt werden könnten. Außerdem, sagt Schulze, sei es fast nutzlos, Daten zu löschen, weil jeder professionelle Hacker sowieso eine Kopie seiner Daten sichere.
Anstatt die Verteidigungsfähigkeit zu erhöhen, solle Deutschland lieber mehr in die Internetsicherheit investieren. Denn aktive Cyberabwehr macht das gesamte Internet unsicherer: Sowohl ausländische als auch inländische Geheimdienste nutzen Hintertüren - Schwachstellen in der Software, die Außenstehenden den Zugang zu Systemen ermöglichen. Doch steht eine Tür offen, kann sie jeder benutzen, der sie findet - egal ob Kriminelle, Terroristen oder auch Teenager, die gut hacken können. Wer sich einmal Zugang verschafft hat, kann den Nutzer erpressen, ausspionieren oder ganz den Computer übernehmen.
"Es gibt keine Sicherheitslücken nur für die Guten. Entweder es gibt die Lücken und das System ist für alle unsicher, oder es gibt keine Sicherheitslücken und das Internet ist für alle sicherer", betont Schulze.
Treibt das Ministerium die Pläne voran?
Doch trotz der Bedenken hält das Innenministerium an seinen Plänen fest. "Aktive Cyberabwehr ist ein unverzichtbares Instrument im Rahmen der nationalen Cyber-Sicherheitsarchitektur", so die schriftliche Antwort aus dem Innenministerium auf Fragen nach Details des Gesetzes. Angesichts möglicher Cyberangriffe auf kritische Infrastruktur, "können wir es uns nicht leisten, nichts zu tun".
Wann das Gesetz verabschiedet werden soll, welche rechtlichen Folgen es haben könnte, ob wirklich der BND die Befugnisse erhalten soll - darauf erhielt die DW keine Antwort.
Viele Oppositionelle fürchten, dass die Regierungskoalition den Plan für eine offensivere Cybersicherheit umsetzt - selbst wenn sie Gefahr läuft, dass dieser verfassungswidrig sein könnte. Theoretisch könnte die Regierung also Hackbacks erlauben. Solange das Bundesverfassungsgericht ihren Einsatz nicht verbietet, könnte die Regierung sie auch anwenden. Nicht "undenkbar", sagt Hahn. In anderen Fällen sei die Regierung so verfahren.
Eines ist klar: Sollte Deutschlands Geheimdienst juristisch grünes Licht bekommen, ist der Wechsel zu offensiven Operationen recht einfach. Sobald ein Hacker Zugriff auf ein Netzwerk hat, ist das Löschen von Daten "trivial", sagt Matthias Schulze. Anders gesagt: Die Spione, die Deutschland rekrutieren will, könnten schnell - und weitgehend unbemerkt - in die Offensive gehen.
Mitarbeit: Thomas Allinson