Cyber-Abwehr wird verstärkt – Das Bulletin Nr. 1
Kaj-Gunnar Sievert, Leiter Kommunikation Armasuisse, teilt mit:
Neues Team beim Cyber-Defence Campus VBS zur Detektion von Software-Schwachstellen
Um Schwachstellen in den Informatiksystemen des VBS aufzuspüren und vor Hackern zu schützen, hat der Cyber-Defence (CYD) Campus des VBS ein Forscherteam aufgebaut. Dieses sucht gezielt nach unbekannten Sicherheitslücken in der eingesetzten Software im VBS und lässt diese beheben. Damit leistet das Team einen wichtigen Beitrag in der Cyberabwehr.
Um die Cyberabwehr im VBS zu stärken und unbekannte Schwachstellen in den Informatiksystemen des Departementes aufzuspüren, hat der CYD Campus des VBS ein neues Team aufgebaut.
Das Team besteht aus sieben spezialisierten Sicherheitsforschern aus dem Bereich der Cybersicherheit, die daneben weiterhin ihre Aufgaben als Projektleiter bei armasuisse Wissenschaft und Technologie wahrnehmen. Sie verfolgen das Ziel, Lücken in eingesetzter Software zu finden, bevor dies Hacker tun können. Das Team durchsucht dabei Softwarekomponenten, welche das VBS im Einsatz hat, nach möglichen Angriffspunkten. Werden Schwachstellen gefunden, informiert der CYD Campus die betroffenen Stellen sowie das Nationale Zentrum für Cybersicherheit NCSC und unterstützt die Hersteller und Betreiber in der Verbesserung ihrer Software.
Ein Beitrag zur Stärkung der Cyberabwehr
Selbst bei hochsicheren Systemen können Schwachstellen nie komplett ausgeschlossen werden. Deshalb ist das systematische Aufspüren und schnelle Beheben der entdeckten Schwachstellen ein wichtiger Bestandteil der Cyberabwehr.
Der CYD Campus VBS wurde im Jahr 2019 im Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) gegründet und ist bei armasuisse Wissenschaft und Technologie angesiedelt. Zu den Aufgaben des CYD Campus gehören die Früherkennung der Entwicklungen im Cyber-Bereich, die Entwicklung und Prüfung von Cyber-Technologien sowie die Ausbildung von Cyber-Fachkräften.
Hackback: Leider keine Zeitenwende im Innenministerium
Die Diskussion um Hackbacks ist wieder da. Unser Gastautor kommentiert, dass sie nach wie vor mehr als nur fragwürdig ist – schon allein aus rechtlichen Gesichtspunkten.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.
Die Russische Föderation führt einen Grauen erregenden, völkerrechtswidrigen Angriffskrieg gegen die Ukraine – und auf einmal scheinen politisch wieder alle Mittel mehr als recht, um den vielzitierten „digitalen Gegenschlag“ auszuführen. Mehr sogar: Jedermann kann sich in dieser Situation zum digitalen Kombattanten aufschwingen und selbst lose Hackerkollektive erklären Staaten ohne Rücksicht auf die völkerrechtliche Legitimation „den Krieg“.
Da wäre es doch mehr als angebracht, wenn sich die Bundesregierung als legitimer Vertreter Deutschlands im Cyberraum nun öffentlich dazu bereit erklärt, endlich auch selbst digitale Gegenschläge durchzuführen – könnte man meinen.
Die Realität ist nicht schwarz-weiß
Wenn es nach dem Willen der neuen Bundesinnenministerin Nancy Faeser geht, die mit der neuerlichen Forderung nach Hackbacks als Nachfolgerin von Horst Seehofer in dessen Fußstapfen tritt, soll der Hackback besser früher als später zum Portfolio der Verteidigungsfähigkeit Deutschlands gehören. „Wir brauchen Möglichkeiten, um auf die Systeme, von denen ein Angriff ausgeht, einzuwirken und dadurch andauernde Attacken zu beenden oder neue Attacken zu verhindern“, sagte sie gegenüber dem Redaktionsnetzwerk Deutschland.
Da passt es dann auch gut, eine möglichst zügige Änderung des Grundgesetzes vorzuschlagen. Doch welchen Zweck verfolgt man damit eigentlich? Die Aussage Faesers ist da vermeintlich klar: Fragen der Sicherheit Deutschlands sollten nicht ideologisch, sondern realistisch betrachtet werden.
Das klingt auf den ersten Blick gut, weil es logisch erscheint: In einer Zeit, in der wir alle mehr denn je in die Realität zurückgeholt werden, ergibt es auch Sinn, in dieser Realität zu denken. Das Problem jedoch ist, dass nicht die eine, schwarz-weiße Realität existiert, die Nancy Faeser sich mit ihren Hackback-Plänen wohl vorstellt.
Vielmehr ist der Hackback nach wie vor ein hochkomplexes Konstrukt aus politischen, rechtlichen und technischen Erwägungen auf dem internationalen Parkett, sodass es äußerst schwierig sein wird, sich auf einen klaren Standpunkt zu einigen und abschließend Fälle zu definieren, wann und in welchem Ausmaß Deutschland im Cyberraum denn nun „zurückschlägt“.
Mehr Kompetenzen für den Bund in Sachen Cyberabwehr
Wir bewegen uns bei diesem Thema gerade aufgrund seiner Komplexität, unklaren Regulierungsstruktur und der vielfältigen politischen Interessenlage in einer Grauzone, die es äußerst schwierig machen dürfte, klare und verbindliche Aussagen zu treffen. Und damit stellt sich zwangsläufig die Frage, wie solch ein Gesetzgebungsvorschlag aus dem Bundesinnenministerium konkret aussehen soll, um den Hackback in Deutschland verfassungsrechtlich und natürlich auch verfassungskonform zu verankern.
Faesers Konzept sieht vor, dem Bund weitere Befugnisse in Sachen Gefahrenabwehr zu geben, da Cyberattacken auf das Bundesgebiet komplexe und länderübergreifende Gefahren seien. Nur der Bund hat nach einer solchen Argumentation die Kapazitäten, um großflächige Cyberattacken effektiv abzuwehren und im Zweifelsfall „zurückzuschlagen“.
Dieser politische Plan dürfte bei den Ländervertretern sicherlich nicht für Begeisterung sorgen, denn schon im Entstehungsprozess des IT-Sicherheitsgesetzes 2.0 im Jahr 2021 fühlten sich die Länder bis zur letzten Abstimmung im Bundesrat übergangen, weil Gefahrenabwehr und damit IT-Sicherheit eben auch Ländersache sind.
Kommando „Cyber- und Informationsraum“ steht auf verlorenem Posten
Jenseits dieser rechtspolitischen Probleme rund um das grundgesetzliche Kompetenzgefüge zwischen Bund und Ländern gibt es bei den aktuellen Vorhaben Faesers aber noch ganz andere Schwierigkeiten. Denn wenn die Bundesinnenministerin die aktive Cyberabwehr als eine Aufgabe der Gefahrenabwehr sieht, die eigentlich bei den Ländern zu verorten wäre – wo steht dann eigentlich die Bundeswehr mit dem Kommando „Cyber- und Informationsraum“ und seinem dort angesiedelten „Zentrum Cyberoperationen“ (ZCO), das technische Kapazitäten vorhält, um Offensivmaßnahmen im digitalen Raum durchzuführen?
Mit Blick darauf scheint es vielmehr so, als ob die Pläne von Nancy Faeser nicht nur politisch im Bund-Länder-Gefüge, sondern auch im Gefüge der institutionellen Zuständigkeiten für IT-Sicherheit noch völlig unausgegoren sind. Denn noch vor einer entsprechenden Grundgesetzänderung für den Hackback wäre in jedem Falle zu klären, wie die Abgrenzung zwischen (polizeilicher) Gefahrenabwehr, nachrichtendienstlichem Tätigwerden, Strafverfolgung, operativer Cybersecurity und der Zuständigkeit der Bundeswehr konkret aussehen soll. Oder auch: Wer soll eigentlich zurückhacken dürfen?
Auch hier werfen die derzeitigen Vorschläge nur mehr Fragen als Antworten auf. Allein anzukündigen, dass das geplante Sondervermögen zur Aufrüstung der Bundeswehr in Höhe von 100 Milliarden Euro auch der Cyberabwehr zugutekommen soll, hilft da wenig.
Innenpolitische Hackbackpläne jenseits von technischem Sachverstand
Und dann sind da natürlich noch die verschiedenen technischen Expertenmeinungen zum Thema. Häufige Kritikpunkte sind, dass für Hackbacks IT-Sicherheitslücken zurückgehalten werden müssten. Damit würden letztlich alle geschädigt, die eine bestimmte Software nutzen, so auch Infrastruktur und Unternehmen im eigenen Staat.
Auch ist die Attribution von Akteuren, also die Zuordnung eines Cybersicherheitsvorfalls zu einer konkreten Person oder Institution im Cyber- und Informationsraum nicht immer so eindeutig und zweifelsfrei möglich wie bei Kombattanten auf dem physischen Schlachtfeld.
Nachrichtendienstliche Operationen fremder Mächte dürften vielfach schwierig von militärischen Operationen im Cyberraum abgrenzbar sein. Private Akteure und Hackerkollektive beteiligen sich mehr oder weniger losgelöst von fremden staatlichen Mächten an Aktionen im Cyberspace, sodass man hier nicht ohne Weiteres als Bundeswehr drauflos und zurückhacken kann.
Computersysteme und Hackernetzwerke können selbst nach einem erfolgreichen digitalen Gegenschlag in der Regel recht zügig wiederhergestellt werden, da Knowhow und Ressourcen nach wie vor physisch verfügbar sind – selbst ein erfolgreicher Hackback hätte somit nur eine recht kurze Halbwertszeit.
Und zuletzt steht Deutschland in der völkerrechtlichen Verantwortung, zu entscheiden, wann die Schwelle zum digitalen Krieg überschritten ist und die Bundeswehr digital für Gegenschläge eingesetzt werden darf.
Fast drei Jahre lang nur auf der Stelle getreten
Bereits im Juni 2019 schrieb der Verfasser dieses Beitrags einen Artikel zur damals aktuellen (rechts)politischen Debatte zum Hackback, beziehungsweise der „aktiven Cyberabwehr“ und stellte fest, dass die geführte Debatte bislang „genauso umfassend wie fruchtlos“ gewesen sei.
Fazit war seinerzeit ebenso, dass Hackbacks als aktive Maßnahmen zur Cyber-Sicherheit nicht die Schwelle von militärischen Operationen überschreiten dürfen. Jetzt, knapp drei Jahre später, wird unter einer neuen Bundesregierung und unter anderen Vorzeichen wieder über den Hackback geredet.
Doch wir scheinen in der Diskussion eigentlich immer noch an genau derselben Stelle zu stehen. Die Konstellation mag zwar etwas anders sein, das ändert aber nichts an den technischen, rechtlichen und politischen Gegebenheiten des Hackbacks. Nach wie vor ist die behördliche Zuständigkeitsordnung höchst diffizil und die dargestellten politischen, institutionellen, rechtlichen und technischen Rahmenbedingungen sind mehr als komplex.
Selbst wenn es Nancy Faeser gelingen sollte, ein halbwegs abgestimmtes Konzept zum Hackback und nicht nur ein oberflächliches politisches Statement vorzulegen, müsste sie immer noch enorme politische Hürden in der Ampelkoalition meistern, die von ihren Ankündigungen alles andere als begeistert ist.
Wir können nur hoffen, dass es nicht so weit kommt, und die bestehenden Ressourcen jenseits politischer Rhetorik sinnvoller im Sinne der IT-Sicherheit eingesetzt werden. Einen Vorschlag gibt es schon, der auch keine Grundgesetzänderung erfordert: „Passive Cyberabwehr“ stärken, also die IT-Systeme von Staat, kritischen Infrastrukturen und Unternehmen widerstandsfähig machen – damit Angriffe weniger Schaden anrichten und im besten Fall gar nicht erst gelingen.
Förderung für Cyber-Abwehr
Cyberangriffe nehmen nicht nur zu, sie werden auch immer vielfältiger und komplexer. Die Angriffe betreffen längst nicht mehr nur Technologie- und Industrieunternehmen. Es gebe praktisch kein Unternehmen, das nicht mit der Gefahr von Cyberangriffen konfrontiert wird, meint Martin Heimhilcher, Obmann der Sparte Information und Consulting der Wirtschaftskammer Wien.
Speziell seit dem Angriff Russlands auf die Ukraine ist Vorsicht geboten. Wurde doch von Russland „feindlich gesinnten Staaten“ mit Reaktionen gedroht. Bereits in der Vergangenheit gab es immer wieder deutliche Hinweise, dass Russland im Cyberterrorismus eine führende Rolle einnimmt. Was tun? Ein erster Schritt ist es, den potenziellen Angreifern die Sache nicht zu einfach zu machen.
Seit 1. April bietet das aws eine spezielle Förderung für Betriebe, die präventiv vorgehen wollen. In Form eines nicht rückzahlbaren Zuschusses werden Investitionen zur Stärkung ihrer Cybersecurity von 2.000 bis 50.000 Euro gefördert. Die aws steuert bei aktivierungspflichtigen Neuinvestitionen (materielle und immaterielle Investitionen), Leistungen externer Anbieter im Bereich IT- und Cybersecurity sowie sonstige Kosten wie Lizenzen für IT-Sicherheitslösungen 40 Prozent bei.
www.aws.at/aws-digitalisierung/kmucybersecurity
