Da Cyber-Bedrohungen weiter zunehmen, prüfen Regierungen die Möglichkeit umstrittener Cyber-Verteidigungsoperationen wie Hackbacks, so ein neuer Aktionsplan, der am Dienstag (21. November) veröffentlicht und von Euractiv eingesehen wurde.
Da Regierungen darum kämpfen, die zunehmenden Bedrohungen im Cyberspace einzudämmen, schlägt der Aktionsplan aktive Cyber-Verteidigungseinsätze als beste Lösung vor.
Im Gegensatz zu passiven Maßnahmen wie Anti-Malware-Software oder Firewalls handelt es sich bei Hackbacks um aggressive Maßnahmen, die das Hacken, Deaktivieren oder Unterbrechen der Computergeräte oder Netzwerke des Angreifers umfassen.
Unterstützt durch die Arbeitsgruppe „Aktive Cyberabwehr“ des Transatlantic Cyber Forum und Beiträge von 23 Cyberforschern und IT-Analysten wurde der Aktionsplan vom Cybersicherheitspolitikexperten Sven Herpig von der Berliner Denkfabrik Stiftung Neue Verantwortung (SNV) verfasst.
„EU-Mitgliedstaaten wie Deutschland debattieren dieses Thema seit Jahren, während andere Länder wie Rumänien angekündigt haben, bei Bedarf solche Maßnahmen umzusetzen“, sagte Herpig gegenüber Euractiv.
Internationaler Vergleich
Im internationalen Vergleich verfolgen Australien, Japan, China und die USA Maßnahmen zur Ausübung von Cyber-Abwehrmaßnahmen, die alle in den vergangenen zwei Jahren die Einführung einer aktiven Cyber-Abwehr angekündigt haben.
Auch die EU erwägt Hackbacks als Lösungsansatz.
„Bis heute haben viele EU-Staaten die Schwellenwerte und den Spielraum für gültige Reaktionen bekannt gegeben“, schreibt ein Mitarbeiter des Aktionsplans Dr. Lukasz Olejnik, ein unabhängiger Forscher, sagte Euractiv.
Im Mai forderten die Schlussfolgerungen des EU-Rats die Mitgliedstaaten auf, „ihre Fähigkeiten zur Durchführung von Cyber-Abwehroperationen auszubauen, einschließlich gegebenenfalls proaktiver Abwehrmaßnahmen zum Schutz, zur Erkennung, zur Abwehr und zur Abschreckung von Cyberangriffen.“
„Besonders hervorzuheben ist Frankreich, das in seiner Strategie feststellt, dass Cyber-Reaktion eine Option ist, wenn Ereignisse das richtige Ausmaß erreichen.“ Aber das gilt auch für andere, einschließlich kinetischer. Und das ist der Punkt: Die Antworten müssen nicht auf Cyber beschränkt sein.“ betonte Olejnik.
Die NATO begann im Juli, die Möglichkeiten defensiver Cyberabwehroperationen zu prüfen.
Das Kernproblem
Eines der größten Argumente gegen Hackbacks ist das potenzielle Risiko von Kollateralschäden und diplomatischer Eskalation.
„Hackback ist ein kniffliges Unterfangen. Es ist möglicherweise nicht klar, ob und wann Vergeltungsmaßnahmen im Cyberbereich sinnvoll sind“, kommentierte Olejnik.
Bewertet man den seit Jahren geführten Diskurs über Hackbacks, „kam man in der öffentlichen Debatte selten über ‚Wir brauchen das; andernfalls verlieren wir auf der einen Seite gegen die Chinesen und Russen und auf der anderen Seite: „Wenn wir das tun, können wir Krankenhäuser lahmlegen“, sagte Herpig gegenüber Euractiv.
Die Verpflichtung von Internetdienstanbietern, böswilligen Datenverkehr zu blockieren oder umzuleiten, um eine Befehls- und Kontrollinfrastruktur zu übernehmen, die in böswilligen Cyberkampagnen verwendet wird, um Malware auf den Systemen der Opfer zu deinstallieren oder zu neutralisieren oder Patches bereitzustellen, gelten laut Aktionsplan als aktive Cyberabwehrmaßnahmen geklärt.
Anders als bei offensiven Cyberoperationen besteht das Ziel beispielsweise nicht darin, Geheimdienstinformationen zu sammeln.
„Wenn Staaten auf eine Reaktion zurückgreifen, sollten sie ein Gleichgewicht zwischen der Verhältnismäßigkeit der Reaktion und den angestrebten Zielen finden. Es ist auch von größter Bedeutung, die Rechtmäßigkeit der Reaktionen zu beurteilen, wenn Aktivitäten unterhalb der Schwelle eines bewaffneten Konflikts stattfinden“, empfahl Olejnik.
Hackback-Prinzipien
Im Aktionsplan heißt es, dass die Einhaltung des Völkerrechts und eine effektive Kommunikation mit Verbündeten und strategischen Partnern Faktoren sind, die eine entscheidende Rolle in einem robusten Rahmen für verantwortungsvolles Hackbacking spielen.
„Wir haben uns daher vorgenommen, eine Gruppe von Forschern und Praktikern einzuberufen, um konkrete, operative Normen zu entwerfen, die es Staaten, die diese Maßnahmen planen oder bereits umsetzen, ermöglichen würden, dies verantwortungsvoller zu tun“, sagte Herpig gegenüber Euractiv.
„Dies sollte keineswegs eine Haltung zu diesem Thema widerspiegeln, sondern eine Möglichkeit bieten, es besser zu machen, wenn Staaten dies ohnehin planen“, fügte er hinzu.
Ein weiterer wichtiger Aspekt ist die Entwicklung, Erprobung und Anwendung von Fähigkeiten, um sicherzustellen, dass die aktive Cyber-Abwehr präzise ist und wie vorgesehen gegen böswillige Cyber-Aktivitäten wirkt.
„Mit anderen Worten: Ist es sinnvoll zu antworten? Würde es den Zielstaat überhaupt interessieren? Die Auswirkungen müssen auch für eine rechtmäßige Reaktion mit Repressalien oder Retorsionen berücksichtigt werden. Wurde die Auslandstätigkeit von einem Staat durchgeführt? Wie schwerwiegend war es?“ Olejnik erklärte.
„Die Cyberangriffe, die wir oft erleben, haben keine Auswirkungen oder erreichen möglicherweise die Grenze einer Einmischung in innere Angelegenheiten. Aber keiner erreicht das ernsthafte Ausmaß der Gewaltanwendung“, fügte er hinzu.
Die neun im Aktionsplan dargelegten operativen Normen gehen auf die Notwendigkeit von Präzision ein und sollen Regierungen bei der Entwicklung ihrer aktiven Cyber-Abwehrpolitik unterstützen.
Um die Verhältnismäßigkeit der Maßnahmen zu gewährleisten, müssen Regierungen über ein technisches Verständnis der Cyber-Einsatzumgebung des Gegners verfügen und ihre Maßnahmen so weit wie möglich einschränken, um zu vermeiden, dass sie auf die Lieferketten und kritische Infrastrukturen Dritter abzielen.
„Regierungen sollten politische, rechtliche und aufsichtsrechtliche Rahmenbedingungen für aktive Cyber-Abwehrmaßnahmen schaffen und den Schwerpunkt auf Folgenabschätzung und Transparenz legen“, heißt es im Aktionsplan.
[Edited by Luca Bertuzzi/Alice Taylor]
