«Der digitale Gegenangriff ist keine brauchbare Strategie für die Cyber-Verteidigung»

«Der digitale Gegenangriff ist keine brauchbare Strategie für die Cyber-Verteidigung», Neue Zürcher Zeitung vom 1. August 2020

Vor vierzehn Tagen forderte die Juristin Sanija Ameti in der NZZ gesetzliche Grundlagen für aktive Massnahmen privater Unternehmen im Kampf gegen Cyber-Kriminelle. Das sei gefährlich, findet IT-Unternehmer Fabian Reinhard in seiner Replik.

Dicke digitale Burgmauern mit Schiessscharten und Schützen helfen uns im Cyberspace nicht weiter. Die Analogie von Sanija Ameti aus dem Mittelalter ist unzweckmässig, und ihre Folgerungen, Privaten aktive Massnahmen zu erlauben, sind gefährlich. Unbestritten ist, dass Angriffe auf die digitale Infrastruktur privater Unternehmen sowie auf kritische staatliche Infrastruktur zunehmen. Unsere Welt wird digital vernetzter und damit auch digital verletzlicher. Kriminelle Akteure wie auch Staaten setzen zunehmend auf Cyber-Waffen; Krieg und Frieden sind im Cyberspace unscharfe Kategorien.

Verteidigung ist die beste Verteidigung

Ameti fordert gesetzliche Grundlagen für die Möglichkeiten und Schranken aktiver Massnahmen Privater unter staatlicher Aufsicht. Denn diese können, wie Ameti ausführt, (völker)rechtlich problematische, offensive Elemente enthalten. Sie argumentiert gemäss der These des Angreifervorteils und im Blick auf die zu hohen Verteidigungskosten.

Die Cyber-Verteidigung hat sich aber weiterentwickelt. Moderne defensive Strategien setzen auf Verteidigung in der Tiefe. Man akzeptiert, dass es keine sicheren Zonen geben kann, und muss ergo davon ausgehen, dass sich der Feind – sprichwörtlich – bereits in der Burg befindet. Dicke digitale Burgmauern helfen also wenig; Schiessscharten nach draussen noch weniger. Verteidigung ist die beste Verteidigung.

Gäbe es aber nicht doch Fälle, wo aktive Massnahmen, eine digitale Gegenattacke, die bessere Verteidigung wäre? Klar dagegen spricht die notorisch schwierige Zuordnung des Angriffs. Ein technisch versierter Angreifer kann sich mit technischen Mitteln relativ einfach unkenntlich machen.

Die Gefahr digitaler Kollateralschäden ist damit sehr real: Oft nutzt der Angreifer nämlich die Infrastruktur eines unbeteiligten Dritten als Brückenkopf. Man muss daher davon ausgehen, dass bei der Gegenattacke auf den Falschen geschossen wird und dass unbeteiligte Dritte zu Schaden kommen. Auch besteht bei einem Gegenangriff das Risiko einer ungewollten Eskalationsspirale.

Es ist zudem zu bezweifeln, dass Cyber-Gegenangriffe eines Unternehmens überhaupt zielführend sein können. Gegenwärtig verbreitet Schadsoftware sich etwa als Ransomware, welche die Daten des Opfers verschlüsselt. Nach einer Lösegeldzahlung übergibt der Erpresser den Schlüssel zur Wiederherstellung der Daten. Ein «Hack-back» bringt die verlorenen Daten nicht zurück, ein «Back-up» hingegen schon.

Möglichkeit einer internationalen Cyber-Security

Ein Unternehmen, welches einen Gegenangriff auszuführen plant, müsste über digitale Offensivwaffen verfügen. Offensive Mittel erfordern oft als Trojaner eingeschmuggelte Systeme im Perimeter der Gegenseite oder das Aufkaufen von noch nicht öffentlich bekannten Lücken auf einem Graumarkt für sogenannte «Zero Day Exploits».

Diese Operationen sind nicht ohne Risiken und zählen daher zum klandestinen Tätigkeitsfeld von Geheim- und Nachrichtendiensten. Die gefährlichen Cyber-Tools müssen ausschliesslich im eigenen Arsenal bleiben, doch es besteht ein hohes Proliferationsrisiko.

Digitale Strategien von Unternehmen sind analytisch klar abzugrenzen von staatlichen Cyber-Strategien. Eine Militarisierung des Cyberspace verbunden mit einem digitalen Wettrüsten macht die digitale Welt nicht zu einem besseren Ort. Stattdessen braucht es mehr internationale Zusammenarbeit bei der Strafverfolgung Cyber-Krimineller.

Denkbar wäre eine internationale Allianz für Cyber-Security, welche die Defensive stärkt, aber auch nachrichtendienstliche Frühwarnsysteme im sogenannten Darknet installiert. Die Verfolgung von Cyber-Kriminellen funktioniert auf internationaler Ebene ungenügend.

Der digitale Gegenangriff ist allgemein keine brauchbare Strategie für die digitale Verteidigung der neutralen Schweiz. Ganz unabhängig von Ametis Überlegungen über aktive Massnahmen unter staatlicher Aufsicht: Für private Unternehmen dürfen offensive Mittel und digitale Selbstjustiz überhaupt keine Option sein.

Fabian Reinhard ist IT-Unternehmer, er hat Internationale Beziehungen an der Universität Zürich studiert und sich an der Harvard Kennedy School weitergebildet. Er ist Präsident der FDP Stadt Luzern.