Hackerangriffe: Warum die Cyberabwehr der Bundesregierung eine Schwachstelle hat

Auch Behörden sind der Gefahr von Cyberangriffen zunehmend ausgesetzt, weshalb ein zentraler Punkt in der neuen Cyberstrategie ist, das „Bundesamt für Sicherheit in der Informationstechnik (BSI) frühzeitig in Digitalisierungsvorhaben des Bundes einzubinden“. Wann immer es auf Bundesebene um Digitalfragen geht, soll das BSI ein Auge auf die Schwesterbehörden haben.

Insgesamt steckt die Bundesregierung nach Ansicht von Experten beim Thema Cybersicherheit in einem Dilemma zwischen der eigenen Informationsbeschaffung auf der einen und der höchstmöglichen Sicherheit für Bürger, Unternehmen und Verwaltung auf der anderen Seite.

„Das vorliegende Papier löst diesen Widerspruch nicht auf“, sagt Sven Herpig, Cybersicherheitsexperte von der Stiftung Neue Verantwortung. Ein Beispiel ist die Frage, inwieweit Sicherheitsbehörden unentdeckte Schwachstellen in Soft- oder Hardware ausnutzen dürfen, statt sie den Betroffenen direkt zu melden.

Das Ziel davon, die IT-Schwachstellen offenzuhalten, können etwa Spionage, militärische Cyber-Operationen oder Staatstrojaner zur Überwachung von Verdächtigen sein. Doch das kann auch nach hinten losgehen: 2017 nutzten Hacker eine Sicherheitslücke bei Microsoft für einen Angriff mit der Verschlüsselungssoftware Ransomware, von dem Nutzer weltweit betroffen waren. Dabei handelte es sich allerdings um eine Schwachstelle, die dem US-Geheimdienst NSA seit Jahren bekannt war – nur Microsoft nicht.

Risikoabwägung zwischen Gefährdung und Nutzen

Das Strategiepapier der Bundesregierung spricht von einer „Risikoabwägung“ zwischen dem „Gefährdungspotenzial“ dieser Sicherheitslücken und dem „prognostizierten Nutzen für die nachrichtendienstliche Aufklärung, Gefahrenabwehr und Strafverfolgung“. Bereits Ende Juni hatten Digitalexperten in einem offenen Brief der Bundesregierung deshalb vorgeworfen, „auf Kosten der IT-Sicherheit die Überwachung durch deutsche Sicherheitsbehörden voranzutreiben“.

Auch IT-Experte Herpig schätzt solche Schwachstellen als „Problem für die IT-Sicherheit in Deutschland“ ein. Trotz des Protests hat das Bundeskabinett die umstrittene Stelle in der Strategie am Mittwoch verabschiedet.

Auch in anderen Bereichen sollen staatliche Stellen mehr Kompetenzen erhalten. So will die Bundesregierung prüfen lassen, ob „Ermittlungsmaßnahmen, wie Telekommunikationsüberwachung und Online-Durchsuchung, auch für die Ermittlung von Computerdelikten zur Verfügung stehen sollten“.

Lesen Sie auch:

• Bundesregierung: Russland steckt hinter Cyberattacken auf Abgeordnete
• Interview: Cyberexperte warnt vor Wahlmanipulation in Deutschland
• Fünf Maßnahmen gegen Cyberangriffe: So schützen sich Firmen und Behörden vor Hackern

Eine große Frage allerdings lässt das Strategiepapier unbeantwortet: Wie aktiv dürfen Behörden selbst werden? Sollen sie im Fall eines Angriffs „zurückhacken“ dürfen? Das Ziel dieser sogenannten „Hack-backs“ ist, Angriffe dann zu stoppen, wenn sie passieren – etwa dadurch, fremde Rechner zu deaktivieren. Die Wirksamkeit dieser digitalen Gegenstöße ist allerdings umstritten. „Das erste Ziel sollte immer sein, Systeme im Vorhinein abzusichern und nach einem Vorfall so schnell wie möglich wieder ans Laufen zu bringen“, sagt Herpig.

Wie wichtig eine umfassende Cyberabwehr auch für offizielle Stellen ist, zeigt sich gerade in diesen Tagen noch einmal eindrücklich. Bundes- und Landtagsabgeordnete sollen Opfer von Cyberattacken geworden sein, die dem russischen Geheimdienst GRU zugeordnet werden können. Ein mögliches Ziel: Einfluss auf die Bundestagswahl zu nehmen.

Der Angriff könne als ein Hinweis darauf gedeutet werden, dass eine Manipulation geplant sein könnte, so Cyberexperte Herpig. Außerdem solle der Glaube an „einen reibungslosen Ablauf der Wahl“ erschüttert werden. Herpig bezeichnet die Parteien als das „schwächste Glied“ – für sie seien bisher noch keine rechtlichen Mindeststandards zur IT-Sicherheit festgelegt worden.

Mehr: Wie der Cyberkrieg den Westen bedroht