Wissenschaftlicher Dienst des Bundestags warnt erneut vor Hackbacks

Gutachten führt Erfahrungen offensiv agierender Staaten als warnende Beispiele an. Neues IT-Gesetz soll Weg für Cyberattacken ebnen

Der Wissenschaftliche Dienst des Deutschen Bundestages hat in einem Gutachten vor einer möglichen Eskalation im Falle einer militärischen Cyber-Strategie gewarnt. Das interne Papier wurde am Dienstag vom Portal "Netzpolitik.org" veröffentlicht. Es war zuvor offenbar als Verschlusssache Mitgliedern mehrerer Bundestagsausschüsse zugegangen.

Bei einem Einsatz digitaler Waffen könne das erfasste Ziel grundsätzlich nicht so ausgeschaltet werden, dass Kollateralschäden ausgeschlossen werden, heißt es in dem Papier, das von einem Oberstleutnant der Bundeswehr verfasst wurde. Der Autor nimmt damit indirekt Bezug auf ein oft angestrengtes Beispiel, bei dem im Rahmen eines staatlichen Cyberangriffs ein Server ausgeschaltet wird, an dem auch die Stromversorgung eines Krankenhauses anhängig ist, so dass Zivilisten sterben. Im Gutachten ist von einem sogenannten Kaskadeneffekt die Rede.

Die Veröffentlichung kommt unmittelbar bevor in diesem September nach der parlamentarischen Sommerpause eine Gesetzesinitiative der Bundesregierung zu "Hackbacks" lanciert werden soll. Bei großangelegten Attacken - etwa auf Stromnetze oder wichtige Infrastruktur - soll mit sogenannten Hackbacks in ausländische Server vorgedrungen werden, um diese lahmzulegen. Die Parteien der Großen Koalition streiten seit Monaten darüber, ob und wie deutsche Sicherheitsbehörden bei Cyberangriffen aus dem Ausland zurückschlagen dürfen. Deutliche Differenzen herrschen auch zwischen den Ministerien.

Der Wissenschaftliche Dienst des Bundestags hatte Mitte vergangenen Jahres schon einmal festgestellt, dass Hackbacks gegen das Gewaltverbot im Grundgesetz verstoßen. In dem Gutachten, das die Linken-Abgeordnete Heike Hänsel in Auftrag gegeben hatte, hieß es, Hackbacks seien unvereinbar mit dem in Art. 26 Abs. 1 des Grundgesetzes verankerten Verbot friedensstörender Handlungen bezeichnet. Die Bundesregierung gehe zwar davon aus, dass für Cyberangriffe keine besonderen rechtlichen Regelungen bestünden und sich ihr Einsatz nach den allgemeinen rechtlichen Vorgaben für militärische Einsätze richte, zitiert das Gutachten die Regierungsposition. In der Fachliteratur werde jedoch überwiegend davon ausgegangen, dass auch Cyberangriffe eine Verletzung des völkerrechtlichen Gewaltverbots darstellen könnten, wenn eine bestimmte Erheblichkeitsschwelle überschritten wird. Friedensstörende Handlungen seien festzustellen, wenn es zu einer schwerwiegenden Beeinträchtigung des zwischenstaatlichen Verkehrs komme.

Dessen ungeachtet will vor allem Innenminister Horst Seehofer (CSU) das demnächst zur Debatte stehende "IT-Sicherheitsgesetz 2.0" dafür nutzen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Hacker-Behörde umzubauen.

Das neue Gutachten stellt nun fest, dass der Einsatz der Bundeswehr im Cyberraum denselben rechtlichen Voraussetzungen wie jeder andere Einsatz deutscher Streitkräfte unterliegt. "Die rechtliche Zulässigkeit von konkreten Operationen im Cyberraum ist demnach wie bei anderen militärischen Maßnahmen in jedem Einzelfall zu prüfen", heißt es in der Analyse. Die Bundesregierung hatte auf eine Kleine Anfrage der Grünen tatsächlich auch schon zugestanden, dass mögliche offensive Cyberoperationen dem Parlamentsvorbehalt unterliegen und von Bundestag "nach Einzelfallprüfung" mandatiert werden müssen.

"Hohe Eskalationsgefahr"

Nach Aussage der Bundesregierung wird an einer konzeptionellen Weiterentwicklung von Cybermaßnahmen gearbeitet, um den sich wandelnden Bedrohungslagen gerecht zu werden, heißt es im Gutachten. Federführend ist dabei sei das Innenministerium, das mit der Gründung des BSI (1991) und des Nationalen Cyber-Abwehrzentrums (2011) Behörden geschaffen hat, deren Kerngeschäft die Abwehr von Cyberbedrohungen darstelle. "Konkret geht es dabei bislang um den Austausch von Informationen und Anwendererfahrungen sowie deren Auswertung zu sicherheitsgewährleistenden oder wenigstens -unterstützenden Maßnahmen und Empfehlungen", schreibt der Autor.

Die Problematik digitaler Waffen bezeichnet er als dem Themengebiet immanent:

Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich, die Frage nach der Legitimierung eines solchen Einsatzes überhaupt und ab welcher Schwelle ebenso ungeklärt wie diejenige nach den durchführenden Akteuren, das Ausbilden von technischen Fähigkeiten zu "Hackbacks" gleichbedeutend mit dem Vorbereiten offensiver Aktionen, die gleichwohl im Gegensatz zur bisher geübten Praxis zurückhaltender deutscher Außen- und Sicherheitspolitik zu stehen scheint.

In technischer Hinsicht könne beim Einsatz digitaler Waffen das anvisierte Ziel "grundsätzlich nicht so ausgeschaltet werden, dass unintendierte Schäden ausgeschlossen werden können". Angeschlossene Systeme könnten beim Angriff entweder direkt mitbetroffen oder via Kaskadeneffekt in Mitleidenschaft gezogen werden. Die Entwicklung solcher Fähigkeiten berge nach Meinung von Experten zudem das Risiko eines Rüstungswettlaufes und einer Militarisierung des Internets. Dies würde mehr neue Probleme schaffen, als bestehende Fragen lösen. "Die Erfahrung bereits einschlägig agierender Staaten wie den USA, Großbritanniens und Frankreichs wird hier als warnendes Beispiel angeführt", heißt es im Resümee deutlich.

Anstatt in einen solchen Wettlauf einzutreten empfiehlt der Experte des Wissenschaftlichen Dienstes des Bundestags Investitionen in die Hochtechnologie. Dies könne im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen. Denn: "Bei der Anwendung offensiver Fähigkeiten, vor allem aggressiver Varianten wie 'Hackbacks', ist die Eskalationsgefahr zu groß, zumal Verursacher regelmäßig nicht zweifelsfrei identifiziert werden könnten."

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.