Zum Hauptinhalt springen

Riskante Kriegsspiele – Warum wir im Cyberwar nur verlieren können

Die Wurzeln des Internets gehen zurück in das Jahr 1968, als im Auftrag der US-Luftwaffe die Entwicklung des Computernetzwerkes ARPANET in Kooperation zwischen Verteidigungsministerium und dem Massachusetts Institute of Technology begann. ARPANET vernetzte anfangs eine Handvoll Forschungseinrichtungen, die für das US-Militär tätig waren. Die Vernetzung von Computern und die Übermittlung von Informationen, die in kleine Datenpakete zerteilt wurden, bildeten das Grundprinzip, nach dem auch heute noch das Internet funktioniert. Gefördert wurde das ARPANET von der DARPA, der Defense Advanced Research Projects Agency, die dem US-Verteidigungsministerium unterstellt ist und deren Hauptaufgabe die Förderung militärisch nutzbarer Forschungsaktivitäten ist, mit dem Schwerpunkt auf Grundlagenforschung. Die DARPA wurde schon Ende der Fünfzigerjahre gegründet und verfügt inzwischen über ein jährliches Budget von mehr als drei Milliarden Dollar.1 Einige der von DARPA geförderten Forschungen prägen heute die digitale Welt, wie beispielsweise das Internetprotokoll TCP/IP oder die Erfindung der Computermaus, andere flossen ein in die Raumfahrt, wie die Entwicklung von Satelliten, sehr viele wurden militärisch genutzt, von der Luftwaffe (zum Beispiel Ortungsschutz für Flugzeuge, Drohnen)  über die Marine (U-Boot-Abwehr, Unterwasserdrohnen) bis hin zu sonstigen Streitkräften (M16, Antipanzerwaffen, Helmdisplays, autonome Waffen, Feldroboter).2 

Von der Militärtechnologie zur digitalen Gesellschaft

In den nächsten Jahrzehnten entstand das, was wir heute als Internet bezeichnen. Es vernetzte zuerst vor allem Wissenschaftler*innen. Erst 1994 nutzten mehr Menschen das Internet kommerziell als im Rahmen einer wissenschaftlichen Tätigkeit. Seitdem hat sich das Internet von seinen militärischen Wurzeln emanzipiert, es wurde zur Grundlage der digitalen Gesellschaft, zum Ausgangspunkt einer digitalen Revolution. Neue Geschäftsmodelle entstanden und mit ihnen unzählige kleine, aber auch unvorstellbar große und mächtige Unternehmen, jene, die wir heute als GAFA bezeichnen - die Quasimonopole von Google, Amazon, Facebook und Apple. Das Wissen der Welt wurde mit einem Mausklick erreichbar, Milliarden Menschen konnten sich vernetzen und direkt miteinander kommunizieren. Im Jahr 2019 hat Facebook 2,3 Milliarden Nutzer*innen, auf YouTube teilten oder konsumierten 1,9 Milliarden Menschen Videos, auf WhatsApp schickten sich 1,5 Milliarden Menschen Chatnachrichten, Bilder oder Videos.3 Ein Smartphone hat heute mehr Rechenleistung als die NASA-Apollo-Mondmission, es könnte 120 Millionen Apollos gleichzeitig zum Mond fliegen.4 Egal, welchen Aspekt man betrachtet, wir bewegen uns zunehmend in Dimensionen, die man sich kaum vorstellen kann. Im Jahr 2022 werden etwa 4,8 Zettabytes Daten über das Internet übertragen.5 Ein Zettabyte sind 1000 hoch sieben Bytes, das entspricht einer Trillion Gigabytes oder einer Eins mit 21 Nullen dahinter. Während Datenmengen und vernetzte Geräte exponentiell wachsen, fallen die Preise in den Keller: Ein Gigabyte Speicherplatz kostete 1981 noch 500.000 US-Dollar, im Jahr 2017 waren es nur noch 3 Dollar-Cent.6 

Die Remilitarisierung des ­Cyberraums

In dieser vernetzten Gesellschaft der Big Data erfolgt seit einiger Zeit eine wahrnehmbare Remilitarisierung. Der Cyberraum wird zum Kriegsgebiet, das Waffenarsenal wird um Cyberwaffen ergänzt, die Begehrlichkeiten der Geheimdienste sind nicht nur gewachsen, sondern werden in beunruhigendem Maßstab umgesetzt. Dank NSA-Whistleblower Edward Snowden haben wir alle durch ein unerwartet geöffnetes Fenster einen Blick in eine sonst verschlossene Welt werfen dürfen und einen Eindruck vom schier grenzenlosen Ausmaß der globalen Überwachung des Internet- und Kommunikationsverkehrs durch US-Geheimdienste erhalten. Wir alle erinnern uns an die Monate, in denen eine Schockwelle nach der anderen durch die Medien rollte, weil immer wieder neue, unvorstellbare Dimensionen der Spionage aufgedeckt wurden, die neben der Wirtschaftsspionage unter eigentlich befreundeten Staaten selbst das Abhören von Angela Merkels Handy umfassten, aber auch eine Verquickung deutscher Geheimdienste offenbarten. Untersuchungsausschüsse befassten sich in der Folge mit der Aufklärung, führten aber nicht dazu, dass illegale Überwachungsmaßnahmen zu juristischen oder personellen Konsequenzen führten, sondern zu einer nachträglichen Legalisierung,7 etwa der maßlosen Anzapfung des größten deutschen Internetknotens DE-CIX in Frankfurt/Main. 

Ganz offensichtlich hat hier die parlamentarische Kontrolle völlig versagt, was nicht zuletzt daran liegt, dass sie strukturell nicht funktionieren kann; dafür sind die Kräfteverhältnisse zu ungleich. Immer neue Begehrlichkeiten werden bekannt, Polizeigesetze werden ausgeweitet, neue Cyberinstitutionen geschaffen, es ist immer häufiger die Rede von "aktiver Cyberabwehr", die eben keine Verteidigung mehr ist, sondern ein Angriff, auch wenn er sich Gegenangriff nennt. Bundesinnenminister Seehofer forderte mehrfach diese Option in Form eines staatlichen "Hackbacks", die völkerrechtswidrig wäre und auch mit dem Grundgesetz nicht vereinbar ist, denn Gefahrenabwehr ist Ländersache und nicht Aufgabe von Geheimdiensten, Militär oder anderen Institutionen des Bundes. Es ist hochgradig irritierend, dass selbst der Präsident des BSI, Arne Schönbohm, die Möglichkeit eines Hackbacks fordert,8 denn das Bundesamt für Sicherheit in der Informationstechnik ist ausschließlich zuständig für mehr IT-Sicherheit, für Prävention und Hilfsmaßnahmen bei Hackerangriffen.

Der Staat wird zum digitalen Angreifer

Ein staatliches "Zurückhacken" ist nicht das Gleiche wie ein konventioneller militärischer Gegenschlag im Falle eines Angriffs. Ein Problem ist die mangelhafte Attributionsmöglichkeit, also die sichere Identifikation eines Angreifers. Bei einer Langstreckenrakete lässt sich recht sicher ermitteln, aus welchem Land sie gestartet wurde, bei einem Hackerangriff ist das nicht möglich. Kein Geheimdienst der Welt kann mit 100-prozentiger Sicherheit sagen, woher ein Cyberangriff kam. Zu vielfältig sind die Möglichkeiten der Verschleierung, zu häufig werden falsche Fährten gelegt, "Handschriften" bekannter Hackergruppen imitiert, fremde Server für Angriffe genutzt, ohne dass deren Besitzer eine Ahnung davon haben. Man kann bestenfalls Hinweise und Verdachtsmomente haben, sicher sein kann man sich nicht. 

Stellen wir uns einfach mal vor, ein derartiger Hackback wird ausgeführt und ein Server im Ausland mit Schadsoftware aus Deutschland angegriffen, weil man glaubt, dass er sich in der Hand von Tätern befindet. Aber was, wenn es ein Server in einem Krankenhaus ist? Oder in einer Behörde? Was, wenn man Schulen oder Stromversorger damit lahmlegt? Was würde ein solcher Angriff bedeuten, wenn man zwar das richtige Land im Visier hatte, aber die Täter Kriminelle waren, die im Auftrag eines anderen Landes oder ganz unabhängig agierten? Was, wenn man solche Server in einem Drittland angegriffen hat, das rein gar nichts mit der ganzen Angelegenheit zu tun hatte? Wer sich dieses irrwitzige Vorgehen einmal bei konventioneller Kriegführung vorstellt, merkt schnell, wie gefährlich und absurd ein solcher Ansatz ist. Wir bombardieren ja auch nicht ein Drittland, weil ein terroristischer Einzeltäter oder Angehöriger einer Terrorgruppe aus diesem Land kommt ("mutmaßlich") oder auf seinem Weg zum Terroreinsatz nur durch dieses Land gereist ist. 

Ein derartig angegriffenes Drittland könnte den unberechtigten Hackback feststellen und vielleicht auf die Idee kommen, dass er von Deutschland ausgeführt wurde und das seinerseits als Angriff interpretieren, vor allem dann, wenn aus Versehen eine kritische Infrastruktur getroffen wurde oder wenn der Hackback außer Kontrolle geraten ist, weil die für den Angriff genutzte Schadsoftware sich weiterverbreitet hat. Schon könnte eine Eskalationsspirale in Gang gesetzt werden, die keineswegs auf zwei Länder oder den Cyberraum begrenzt sein muss. Dieses Spiel mit dem Feuer darf nicht einmal in Gedanken gespielt werden, es ist potenziell gefährlicher als ein Nuklearkrieg. Wer diesen Vergleich übertrieben findet, sollte darüber nachdenken, was alles heute miteinander vernetzt ist, wo überall Software installiert ist, in welchen gesellschaftlichen Bereichen und in welchen Branchen es zu dramatischen Konsequenzen käme, wenn es zu Teil- oder Totalausfällen der IT käme. In Krankenhäusern, bei Verkehrsleitsystemen, Stromnetzen und Kraftwerken, in Behörden und vielen Unternehmen wäre das eine große Katastrophe. Wenn der Cyberspace, der alle diese zivilen Institutionen umfasst, zum Kriegsschauplatz wird, gibt es keine Trennung mehr zwischen zivilen und militärischen Beteiligten an einer Auseinandersetzung. Es würde viele zivile Opfer geben, und der Konflikt könnte rasend schnell eskalieren und sich ausbreiten, denn das Internet kennt keine nationalen Grenzen. 

Leider fehlt uns offensichtlich noch die Erkenntnis, dass der einzige Spielzug, mit dem man einen Cyberwar gewinnen kann, die Entscheidung ist, diese Art Kriegsspiel gar nicht erst zu beginnen - so wie es der Simulationscomputer für einen potenziellen Nuklearkrieg seinerzeit im Film War Games so anschaulich errechnete.

Gefahren gehen aber nicht nur von einem staatlichen Hackback aus, denn alle möglichen Akteure, nicht staatliche und staatliche, können aus kriminellen Absichten oder zum Zwecke der Überwachung Schadsoftware in die Welt setzen und damit unser aller Sicherheit kompromittieren. Anders als bei Atomwaffen, die sich nur in der Hand weniger Länder befinden, deren Anschaffung durch weitere Länder sanktioniert ist und deren Herstellung so viele Ressourcen erfordert, dass die Hürden dafür sehr hoch liegen, gibt es keine umfassende Ächtung von Cyberwaffen oder digitalen Waffen, und die für ihre Entwicklung benötigten Ressourcen sind um Magnituden kleiner. Die Gefahr ist groß, weil Angriffe viel leichter und gleichzeitig ihre poten­ziellen Auswirkungen viel größer geworden sind. Es ist vorstellbar, dass Hackerangriffe uns quasi in das Mittelalter zurückkatapultieren, wenn die Büchse der Pandora einmal geöffnet ist.9 Die Bedrohung für unsere Zivilisation als Ganzes ist vergleichbar mit den Folgen des Klimawandels, nur noch schlechter vorhersagbar. 

Es kann nur eine einzige sinnvolle Schlussfolgerung aus dieser Erkenntnis gezogen werden: Wir müssen alles dafür tun, unsere IT-Systeme sicherer zu machen. Stattdessen begegnet uns eine Maßlosigkeit, die ethische Grenzen vermissen lässt und den Blick für das Ganze verliert. Wie die Snowden-Enthüllungen zeigen, sehen Geheimdienste zuallererst die Überwachungspotenziale, die ihnen eine digitalisierte Gesellschaft bietet. Sie stellen sich vor, wie schön es wäre, wenn sie nicht nur Telefone abhören könnten, sondern auch virtuelle Assistenten wie Alexa oder Siri, wenn sie das Internet der Dinge anzapfen und Kühlschränke, Toaster und Waschmaschinen aushorchen könnten, sie wünschen sich eingebaute Überwachungssoftware in Autos, damit sie nicht nur verfolgen können, wann sich jemand von A nach B bewegt, sondern auch, mit wem man im Auto sitzt und worüber man redet.10 

Staatliche Überwachungs­fantasien

Ich bin in der DDR aufgewachsen, ich habe die Stasi noch erlebt. Als ich Studentin war, wurden meine Briefe geöffnet, mein Wohnheimzimmer mit der Schreibmaschine darin durchsucht. Ich lebte im Bewusstsein, überwacht zu werden, und weiß aus eigenem Erleben, dass es keine Freiheit mit Überwachung geben kann, denn wer überwacht wird, ist nicht frei. Massenüberwachung ist mit einer Demokratie nicht vereinbar. Sie ist das Werkzeug totalitärer Systeme, die dadurch ihre Existenz verlängern wollen, dass sie ihre Bevölkerung kontrollieren. Geheimdienste aller Länder haben aber das inhärente Bedürfnis, immer mehr wissen zu wollen, möglichst viele Daten zu sammeln und auszuwerten, auch wenn sie sich in einem demokratischen Land befinden. Ihr Wunschtraum ist eine transparente Bevölkerung bei möglichst vollständiger eigener Obskurität. Wie der Teufel das Weihwasser scheuen sie daher parlamentarische Kontrolle, die ein notwendiges Sicherheitsnetz für unsere Demokratie ist und den Zweck hat, klare Grenzen für geheimdienstliche Aktivitäten zu ziehen, die sich an unseren demokratischen Werten orientieren. Dass es sich bei dieser Beschreibung nicht um eine Orwell'sche Wahnvorstellung handelt, zeigen die Aktivitäten der NSA nur zu deutlich. Auch Massenüberwachung hat heute ein ganz an­deres Gefahrenpotenzial als zu Stasi-Zeiten, wo die Welt noch weitgehend analog funktionierte, als es weder Facebook noch WhatsApp gab, keine Cookies auf Webseiten und kein Internet der Dinge. 

Neben den Geheimdiensten wachsen aber auch die Begehrlichkeiten des Militärs in Deutschland, und immer häufiger arbeiten sie Hand in Hand, mitunter sogar zusammen mit der Polizei. So wurde 2017 die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gegründet, eine neue Einrichtung, die auf dem Gelände der Bundeswehr in München ihren finalen Sitz haben wird, zu deren Hauptaufgaben das Brechen von Verschlüsselungen, das Ausforschen von sozialen Netzwerken in Echtzeit und die Telekommunikationsüberwachung gehören und in deren Beirat Bundespolizei, BKA, BND, das Bundesamt für Verfassungsschutz und der Militärische Abschirmdienst gemeinsam über das Arbeitsprogramm bestimmen.11 Diese Zusammensetzung verletzt das Trennungsgebot zwischen Polizei und Geheimdiensten, das es seit den Erfahrungen mit der Gestapo aus der Nazizeit gibt. Eine parlamentarische Kontrolle der ­ZITiS ist praktisch unmöglich, denn sie unterliegt nicht den im Gesetz über die parlamentarische Kontrolle nachrichtendienstlicher Tätigkeit geregelten Zuständigkeiten des Parlamentarischen Kontrollgremiums (PKGrG), aber auch nicht der allgemeinen parlamentarischen Kontrolle: Die Beantwortung konkreter Fragen der Linksfraktion im Bundestag wurde abgelehnt, weil die erfragten Informationen nicht einmal als eingestufte Verschlusssachen in der Geheimschutzstelle des Bundestages hinterlegt werden könnten. So befindet sich die die ZITiS in einer Kontrolllücke. Die Verquickung mit dem Militär ist auch daran erkennbar, dass die Behörde Studienförde­rungen an der Universität der Bundeswehr ­anbietet. 

Bis 2020 sollen bei ZITiS 400 Mitarbeiter*innen angestellt sein. Der Markt für Cybersecurity-Expert*innen ist leergefegt, was ein zusätzliches Sicherheitsproblem darstellt. So wurden im Oktober 2018 die ersten 81 Stellen bei der ZITiS besetzt, aber drei von vier eingestellten Personen waren aus anderen Behörden abgeworben worden, nur jeder Vierte kam vom "freien Markt". Die ZITiS bietet im Durchschnitt höhere Gehälter als andere Behörden. So liegen Anfang 2019 veröffentlichten Stellenanzeigen13 zufolge die Einstiegsgehälter im Bereich Telekommunikationsüberwachung14 über denen des BSI.15 Wenn Cybersicherheitsexpert*innen in einer auf Angriff ausgelegten Behörde besser bezahlt werden als bei einer Behörde, deren Aufgabe die Verteidigung ist, kann man sich vorstellen, was passiert und welche Konsequenzen das für die Qualität unserer Verteidigungskompetenzen hat. 

Ein weiteres Beispiel für die Militarisierung des Cyberraums in Deutschland ist die Schaffung der Cyberagentur (vormals ADIC). Diese Agentur für Innovation in der Cybersicherheit wird 2019 im Raum Halle-Leipzig gegründet und soll etwa 100 Mitarbeiter*innen umfassen. Die Bundesregierung sagt ganz klar, dass die Funktionsweise der Einrichtung zur Förderung von Cybersicherheitsforschungsprojekten sich an der DARPA in den USA orientieren soll, und hat dafür ein Budget von 200 Millionen Euro über die ersten fünf Jahre bewilligt. Die Cyberagentur soll mit den Worten der Bundesverteidigungsministerin Ursula von der Leyen im "militärischen und zivilen Sektor [...] als 'Schatzsucher'"16 agieren und mit sämtlichen Cyberstellen der Bundeswehr kooperieren - mit dem Cyber Innovation Hub in Berlin, dem Kommando Cyber- und Informationsraum und - wie die ZITiS - auch mit dem Studiengang Cybersicherheit an der Bundeswehruniversität in München.17 Wenn diese Einrichtung auch gemeinsam von BMI und BMVg gegründet wurde, ist doch offensichtlich, dass sie eher unter der Kontrolle der Bundeswehr und des Bundesverteidigungsministeriums steht. Allerdings sollen im Feld der IT-Sicherheit explizit innere und äußere Sicherheit stärker miteinander verknüpft werden,18 mit anderen Worten, Militär und Geheimdienste sollen stärker miteinander verbunden werden - eine beunruhigende Vorstellung, denn so wird auch ein Cybereinsatz der Bundeswehr im Inneren denkbar, was genauso ein No-Go sein muss wie jeder andere militärische Einsatz der Bundeswehr im Inland. Um höhere Gehälter zahlen zu können, erhielt die Cyberagentur eine Ausnahmegenehmigung vom Finanzministerium und wirbt damit ganz wie die ZITiS wichtige IT-Sicherheits-(Verteidigungs-)fachkräfte von anderen Behörden ab. Und wie die ZITiS entzieht sich auch die Cyberagentur vollständig jeder parlamentarischen Kontrolle, denn sie wurde wie ein beliebiges öffentliches Unternehmen als eine GmbH gegründet. 

Verteidigung der digitalen Sicherheit

Die wachsenden Risiken in einer digitalisierten Gesellschaft werden wir nicht beherrschen können, wenn wir uns nicht vollständig auf die Verteidigung konzentrieren. Wir reden schon lange nicht mehr nur von Computern oder Handys. In wenigen Jahren werden wir 50 Milliarden vernetzte Geräte19 auf der Welt haben, vom Smart Meter über die Fitnessarmbanduhr bis zum autonom fahrenden Auto. Gerade das exponentiell wachsende Internet der Dinge stellt uns vor große Herausforderungen hinsichtlich der IT-Sicherheit, denn viele Produkte verfügen über ein sehr mangelhaftes Sicherheitsniveau, haben keinen oder nur ungenügenden Passwortschutz, keine oder ungenügende Wartung durch Software-Updates sowie zahlreiche Sicherheitslücken, die offen stehen wie Scheunentore. Verbraucher*innen sind völlig damit überfordert, die Risiken überhaupt einzuschätzen, die mit dem Kauf derartiger Produkte einhergehen, zumal in den meisten Fällen die Risiken intransparent sind, weil die dafür nötigen Informationen nicht angegeben werden. 

Auch wegen dieser so häufig mangelhaften Produktqualität ist die Ausweitung der Produkthaftpflicht auf IT-Hersteller überfällig und muss eben auch Schäden umfassen, die ein smarter Toaster anrichtet, wenn er aufgrund mangelnder IT-Sicherheit Teil eines schädlichen Botnetzes geworden ist. 

Schon jetzt gibt es laut BSI über 600 Millionen bekannte Schadprogramme, jeden Tag kommen ca. 280 000 hinzu. Allein für die zehn am häufigsten verwendeten Softwareprodukte waren schon 2016 etwa 1000 Schwachstellen bekannt.20 Wer Angriffskompetenzen, also Hackerfähigkeiten, aufbaut, schädigt vorsätzlich unser aller IT-Sicherheit, denn man kann nur IT-Systeme hacken, wenn man Sicherheitslücken ausnutzt, anstatt sie zu schließen. Es gibt aber keine guten Sicherheitslücken, um Terroristen zu überwachen, und böse Sicherheitslücken, die den Rest der Gesellschaft Hackerrisiken aussetzen; es gibt nur ganz allgemein Sicherheitslücken in Hardware oder Software, die für jeden Menschen, der ein Gerät mit dieser Hardware oder Software verwendet, ein Risiko darstellen. Deshalb erhöht jede Sicherheitslücke, die ein Geheimdienst entdeckt oder auf dem schwarzen Markt für Steuergelder ankauft, um sie später einmal selbst zum Hacken zu verwenden, die Gefahr für uns alle. 

Der Staat als Sicherheitsrisiko

Nach Pressemeldungen soll der BND selbst ein Budget von 4,5 Millionen Euro über einen Zeitraum von 2015 bis 2020 erhalten haben, um Sicherheitslücken aufzukaufen.21 Bei der NSA in den USA waren es im Jahre 2013 sogar mehr als 25 Millionen Dollar. Von den Risiken dieser Praxis erhielten wir im Jahr 2017 einen Eindruck, denn Kriminelle setzten zu Erpresserzwecken das Schadprogramm WannaCry ein, das eine Sicherheitslücke bei Windows ausnutzte - die der NSA bereits fünf Jahre bekannt war, von dieser aber geheim gehalten wurde -, und konnten so mehr als 230 000 Computer in 150 Ländern infizieren. Betroffen waren unter anderem das Unternehmen Telefónica, der britische National Health Service, das rumänische Außenministerium, das russische Innenministerium, aber auch 450 Rechner der Deutschen Bahn, wodurch eine regionale Leitstelle und viele Anzeigetafeln ausfielen. 

Was es stattdessen braucht, ist ein striktes Verbot für staatliche Stellen, Informationen zu bisher unbekannten Schwachstellen aufzukaufen, und eine verbindliche, allgemeine Meldepflicht für Sicherheitslücken, die natürlich von Geheimdiensten entdeckte Schwachstellen ein­schließen muss. Der Handel mit Sicherheitslücken sollte international geächtet werden; dafür können andere Anreize geschaffen werden, die das Entdecken und Melden von Sicherheitslücken attraktiv machen. 

Unsere Bundeswehr muss eine reine Friedensarmee sein, die auf Defensive statt auf Offensive setzt, selbst im Verteidigungsfall. Eine "aktive Cyberabwehr" ist jedenfalls nicht denkbar ohne die Entwicklung von Angriffskompetenzen, ohne Erhöhung der allgemeinen Sicherheitsrisiken und bei Berücksichtigung der unsicheren Attribution von Cyberangriffen außerdem gleichbedeutend mit einer "Selbstverteidigung auf Verdacht" gegen einen Staat, dem der Angriff zugeschrieben wird - was völkerrechtlich gar nicht zulässig ist. 

Das humanitäre Völkerrecht schreibt auch klar ein Unterscheidungsgebot vor: Militärische Angriffe dürfen nur gegen militärische Ziele, nicht auf zivile Objekte oder Zivilpersonen gerichtet werden. Bei Hackbacks ist es nicht sicher möglich, genau vorherzusagen, welche Art von Ziel man eigentlich angreift. Hohe zivile Kollateralschäden sind daher nicht auszuschließen. Noch ist nicht klar, wer eigentlich in Deutschland derartige Hackbacks ausführen soll, aber wenn dafür die Cyberwar-Kompetenzen der Bundeswehr genutzt werden sollten, stellt sich zusätzlich die Frage nach dem Parlaments­vorbehalt. Es ist ja wohl unrealistisch, davon auszugehen, dass ein staatlicher Hackerangriff auf ein Ziel im Ausland vorher im Bundestag offen debattiert wird. Bundesinnenminister Seehofer sprach im Digitalausschuss des Bundestages im Kontext der von ihm gewünschten Hackback-Legalisierung mittels einer Grundgesetzänderung auch davon, dass solche Entscheidungen "gegebenenfalls in wenigen Minuten gefällt werden müssten" - dann wäre der vorgeschriebene Parlamentsvorbehalt für Einsätze der Bundeswehr ohnehin nicht machbar. 

Transparenz und digitale Bildung für mehr digitale Sicherheit

Investitionen in IT-Sicherheit und IT-Sicherheitsforschung sind richtig, aber auch sie sollten sich auf die Defensive konzentrieren. Dazu gehört auch eine klare Ausweitung der Entwicklung und Nutzung von Open Source und Open Hardware, denn in einer immer komplexer werdenden, digital vernetzten Welt werden Transparenz und Nachvollziehbarkeit immer wichtigere Voraussetzungen für mehr Sicherheit und Vertrauen. Offene Produkte erlauben den Innenblick, sie sind keine Blackboxes, in denen man besonders gut heimliche Hintertüren verstecken kann. Open Source ist nicht per se sicherer, aber ihre Überprüfbarkeit macht es wahrscheinlicher, dass Schwachstellen gefunden und damit auch, dass sie geschlossen werden. Wir sollten weltweit mehr Fokus auf Chips und Software legen, die längere Entwicklungszyklen haben, aber dafür verlässlicher und überprüfbar sind. Security by Design und Security by Default22 sollten die Richtschnur für alle IT-Produkte sein, aber auch staatliche Vorgaben zu Mindeststandards in der IT-Sicherheit sind erforderlich. Mindestupdatepflichten für Software sollten genauso dazugehören wie ein Passwortschutz für vernetzte Geräte, der diesen Namen verdient und eben keine selbst gewählten Passwörter akzeptiert, die "123456","qwertz" oder "Passwort" heißen. Dass diese Passwörter millionenfach genutzt werden können, hat ja nicht nur mit den Anwendern zu tun, sondern auch mit verantwortungslosem Produktdesign. 

Eine der größten Schwachstellen ist jedoch tatsächlich auch der Mensch selbst, deshalb braucht es mehr lebenslange Bildungs- und Aufklärungsangebote, auch niedrigschwellig und für alle gesellschaftlichen Schichten, um Grundkompetenzen in Sachen IT-Sicherheit zu verbessern. Zu oft noch wird ein gefundener USB-Stick arglos in den privaten oder den Dienstrechner gesteckt, zu häufig auf Links in Phishing-Mails geklickt oder ein leicht zu ratendes Passwort verwendet, viel zu selten werden Mails verschlüsselt, Konten bei sozialen Netzen durch Zwei-Faktor-Authentifizierung geschützt und wird Software regelmäßig aktualisiert. Das BSI sollte auch zu diesem Zweck als nationale Verbraucherschutzbehörde ausgebaut werden, denn bessere Prävention in der Fläche ist ein wichtiger Beitrag. Mehr Sicherheit für uns alle erfordert Engagement von allen, von Politik, Wirtschaft, Wissenschaft und Zivilgesellschaft. 

Ich hoffe sehr, dass es nicht erst zu einer Katastrophe kommen muss, um zu verstehen, dass wir nur gemeinsam die Infrastruktur und Basis der digitalen Gesellschaft sicherer machen können - und dass gemeinsam auch bedeutet, damit aufzuhören, IT-Sicherheit in nationalen Grenzen zu denken. 

1 "Budget". www.darpa.mil/about-us/budget (Stand: 28. März 2019).

2 "A Selected History of DARPA Innovation". www.darpa.mil/Timeline/index.html (Stand: 28. März 2019).

3 "Ranking der größten sozialen Netzwerke und Messenger nach der Anzahl der monatlich aktiven Nutzer (MAU) im Januar 2019 (in Millionen)". de.statista.com/statistik/daten/studie/181086/umfrage/die-weltweit-groessten-social-networks-nach-anzahl-der-user/ (Stand: 6. Juni 2019).

4 Puiu, Tibi (2019): "Your smartphone is millions of times more powerful than all of NASA's combined computing in 1969". www.zmescience.com/research/technology/smartphone-power-compared-to-apollo-432/ (Stand: 6. Juni 2019).

5 "Cisco Visual Networking Index: Forecast and Trends, 2017-2022 White Paper". www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/white-paper-c11-741490.html (Stand: 28. März 2019).

6 Klein, Andy (2017): "Hard Drive Cost per Gigabyte". www.backblaze.com/blog/hard-drive-cost-per-gigabyte/ (Stand: 28. März 2019).

7 "BND darf am Internetknoten weiter Daten abzapfen". www.spiegel.de/netzwelt/netzpolitik/de-cix-betreiber-von-internet-knoten-verliert-klage-gegen-bnd-a-1210243.html (Stand: 13. Mai 2019).

8 Unger, Christian (2018): "Hackerangriffe kann man sich wie eine Pizza bestellen". www.morgenpost.de/politik/article215355473/Hackerangriffe-kann-man-sich-wie-eine-Pizza-bestellen.html (Stand: 28. März 2019). 

9 Ein solches Szenario beschreibt Marc Elsberg sehr eindrücklich in seinem Roman Blackout - Morgen ist es zu spät. (https://de.wikipedia.org/wiki/Blackout_%E2%80%93_Morgen_ist_es_zu_sp%C3%A4t). 

10 Linder, Roland/Theile, Gustav (2019): "Auch die Geheimdienste wollen mit Alexa spionieren". www.faz.net/aktuell/wirtschaft/diginomics/geheimdienste-wollen-alexa-offenbar-zur-ueberwachung-nutzen-16136726.html (Stand: 23. Mai 2019).

11 Deutscher Bundestag, Drucksache 19/6246 (2019): "Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Dr. André Hahn, Gökay Akbulut, Anke Domscheit-Berg, weiterer Abgeordneter und der Fraktion DIE LINKE". Berlin. dipbt.bundestag.de/dip21/btd/19/062/1906246.pdf (Stand: 1. April 2019).

12 Ebd.

13 Siehe hierzu die Stellenangebote des ZITiS unter www.zitis.bund.de/DE/Karriere/Stellenangebote/stellenangebote_node.html (Stand: 1. April 2019).

14 Biselli, Anna (2018): "Statt Mate: Hackerbehörde ZITiS findet nicht genug Personal und probierts mit 2.000 Koffein-Shots". netzpolitik.org/2018/statt-mate-hackerbehoerde-zitis-findet-nicht-genug-personal-und-probierts-mit-2-000-koffein-shots/ (Stand: 1. April 2019).

15 "Tabelle TVöD Bund, gültig vom 1. März 2018 bis
31. März 2019". www.bsi.bund.de/SharedDocs/Stellenangebote/DE/Entgelttabelle.pdf (Stand: 28. März 2019).

16 Bundesministerium der Verteidigung (2019):
"BMVg und BMI geben Standort für neue Cyberagentur be­kannt". www.bmvg.de/de/aktuelles/st­andort-fuer-neue-cyberagentur-30534 (Stand:
28. März 2019).

17 Ebd.

18 Bundesministerium der Verteidigung (2018): "Bundeskabinett beschließt Cyberagentur". www.bmvg.de/de/aktuelles/bundeskabinett-beschliesst-cyberagentur-27392 (Stand: 28. März 2019).

19 "Prognose zur Anzahl vernetzter Geräte weltweit in den Jahren 2003 bis 2020". de.statista.com/statistik/daten/studie/479023/umfrage/prognose-zur-anzahl-der-vernetzten-geraete-weltweit/ (Stand: 13. Mai 2019).

20 Steiner, Henning (2017): "Die Lücke der Software: Wie eine Hackerin ins System kommt". www.hr-inforadio.de/programm/dossiers/die-luecke-in-der-software-wie-eine-hackerin-ins-system-kommt,schwachstellen-in-software_einfallstor-fuer-hacker-100.html (Stand: 28. März 2019).

21 Voss, Oliver (2017). "Erpressersoftware 'WannaCry': Sicherheitslücken auf der ganzen Welt". www.tagesspiegel.de/wirtschaft/erpressersoftware-wannacry-sicherheitsluecken-auf-der-ganzen-welt/19806608.html (Stand: 28. März 2019).

22 Security by Design: Entwicklung von Produkten und Diensten mit einem dem Stand der Technik entsprechenden Sicherheitsniveau.
Security by Default: Die Grundeinstellungen eines Produkts müssen möglichst sichere Einstellungen sein, also keine voreingestellten Passwörter, die "0000" oder "admin" heißen.
Quelle: Hahn, André (MdB), Domscheit-Berg, Anke (MdB) et. al. (2018). Fraktion DIE LINKE. im Bundestag (Hg.): "Cybersicherheit" - ein Beitrag für einen sicheren digitalen Raum", S. 12. www.linksfraktion.de/fileadmin/user_upload/180709_Digitale_Sicherheit.pdf (Stand 23. Mai 2019).

Zusammenfassung

Anke Domscheit-Berg

Anke Domscheit-Berg (51) ist Publizistin, Netz­aktivistin und Mitglied des Deutschen Bundestages. Für die ­Fraktion DIE LINKE ist sie netzpolitische Sprecherin, Obfrau im Ausschuss Digitale Agenda sowie stell­vertretendes Mitglied in der Enquete­kommission Künstliche Intelligenz. Nach fast 15 Jahren bei Accenture, McKinsey und Microsoft war sie seit 2011 selbständig. Die Autorin mehrerer Bücher publiziert in zahlreichen Medien und hält Vorträge im In- und Ausland. Ihr Schwerpunkt ist die gemeinwohlorientierte Gestaltung der digitalen Geslellschaft.

anke.domscheit-berg@bundestag.de


Download als PDF

Alle Artikel dieser Ausgabe

Mehr Ver­antwortung für den Cyberspace – aber wie?
Götz Neuneck
"Cyberkrieg": Geschichte und Gegenwart eines umkämpften Begriffs
Philipp von Wussow
Die Aussicht auf Frieden im ­Cyberspace
George R. Lucas, Jr.
Über Cyber, Krieg und Cyberkrieg
Eneken Tikk, Mika Kerttunen
Riskante Kriegsspiele – Warum wir im Cyberwar nur verlieren können
Anke Domscheit-Berg
Cybersicherheit und Cyberverteidigung – stärkerer Schutz durch ressortübergreifende Zusammenarbeit
Andreas Könen

Specials

Ludwig Leinhos José Luis Triguero de la Torre Matthias Friese