Aktive Cyber-Abwehr / Hackback

Impulse

Spätestens seit dem Angriff auf die IT-Systeme des Deutschen Bundestags im Jahr 2015 beschäftigen sich die deutschen (Sicherheits-)Behörden mit der Frage, wie man offensiv auf Cyber-Angriffe reagieren kann. Diese schwelende Debatte ist unter verschiedenen Begriffen wie “Digitaler Gegenangriff”, “Hackback”, “Aktive Cyber-Abwehr” oder auch “finaler digitaler Rettungsschuss” bekannt. Die aktuelle Regierung erarbeitet hierzu einen Gesetzgebungsvorschlag.

Es gibt jedoch bisher keine differenzierte öffentliche Debatte. Aus dem Bundesministerium des Innern (jetzt: des Innern, für Bau und Heimat) hieß es 2017, man wolle die Sicherheitsbehörden befähigen Daten zurückzustehlen und Rechner zu zerstören. Gegner dieses Vorhabens sehen eine Unvereinbarkeit mit dem Völkerrecht und Krankenhäuser als Kollateralschaden. In der Tat sind bei der Umsetzung der Aktivitäten die aktuell in dieser Debatte genannt werden viele wichtige technische und völkerrechtliche Fragen unbeantwortet. Es mangelt auch an empirischer Grundlage, dass diese Aktivitäten zu mehr Cyber-Sicherheit führen und selbst hypothetische Beispiele, die eine rechtliche Grundlage dieser Aktivitäten begründen würden, bedienen sich oft bei fehlerbehafteten Analogien und sehr weit hergeholten Szenarien.

Bevor man bei diesen Aspekten weiter in die Tiefe geht, tut man aber gut daran sich mit den zwei grundlegenden Fragen zu beschäftigen: Was ist ein digitaler Gegenangriff und welche Aktivitäten fallen darunter?

Dr. Sven Herpig hat hierzu mit Vertreter:innen verschiedener (Sicherheits-)Behörden und Ministerien, sowie Expert:innen aus technischen und nicht-technischen Disziplinen gesprochen.

Folgende Definition bietet sich an: “Eine aktive Gegenmaßnahme unterhalb der Schwelle des bewaffneten Konflikts, die dazu ausgelegt ist einen Cyber-Angriff abzuwehren und/ oder aufzuklären”

Hiermit soll u.a. verdeutlicht werden, dass sich die deutsche Debatte derzeit rein im zivilen und nicht im militärischen Kontext versteht.

Die rechtlichen und technischen Fähigkeiten zur Durchführung von Aktivitäten, welche unter diese Definition fallen, sollen bei unterschiedlichen Behörden aufgebaut werden. Folgende Aktivitäten lassen sich unter der o.g. Definition verstehen und entsprechend kategorisieren. Diese Betrachtung erfolgt unabhängig davon, ob es dafür bereits eine rechtliche Grundlage gibt oder nicht.

 

1. Passive Verteidigung

Dient hauptsächlich zur Prävention und Detektion von Cyber-Angriffen

  • Schutz der eigenen Systeme
    z.B. Firewalls und Antivirus-Programme
  • Aufspüren von Angriffen
    z.B. Intrusion-Detection-Systeme und Canary Tokens
  • Passives Sammeln von Informationen zur Reaktion und ggf. Aufklärung
    z.B. Honeypots

 

2. Aktive Verteidigung

Dient hauptsächlich zur Reaktion und Aufklärung von Cyber-Angriffen

  • Unterstützung durch Internet Service Provider zur Abwehr von Cyber-Angriffen
    z.B. Blocken und Umleiten von DDoS-Angriffen
  • Aktives Sammeln von Informationen zur Aufklärung
    z.B. Beacons, die nach Diebstahl ihren aktuellen Ort melden oder nachrichtendienstliche Aufklärung gegen Internet Exchange Points

 

3. Übernahme der externen Angreifer-Infrastruktur

Dient hauptsächlich zur Reaktion und Aufklärung von Cyber-Angriffen, sowie als repressive Maßnahmen gegen den Angreifer

  • Unterstützung durch Internet Service Provider bei der Unterbindung der Kommunikation zwischen der Command-and-Control Infrastruktur und infizierten Systemen (Bots)
    z.B. Walled Garden
  • Unterstützung durch Hosting Betreiber und Internet Service Betreiber bei (international) koordinierten Botnet-Takedowns
    z.B. Sinkholing, forensische Analyse inkl. Snapshots oder Data Recovery
  • Unterstützung durch Hosting Betreiber bei der Unterbindung der Datenextraktion
    z.B. Anordnung zum Löschen von Daten
  • Unterstützung durch Internet Service Provider und Hosting Betreiber zur Desinfektion infizierter Systeme (Bots)
    z.B. Einspielen von Sicherheitssoftware mittels der Command-and-Control Infrastruktur
  • Direkter Zugriff auf die Systeme um Logdaten/"Opferlisten" und verwendete Tools zu betrachten.
    z.B. Hacken von Command-und-Control Systemen

 

4. Infiltration der internen Angreifer-Infrastruktur

Dient hauptsächlich zur Aufklärung von Cyber-Angriffen sowie als repressive Maßnahmen gegen den Angreifer

  • Erhöhung der Qualität der Attribution/ Zurechenbarkeit
    z.B. Aufklärung in Systemen der Angreifer, inklusive Nutzung von Sensoren wie Webcams
  • Unterbindung der Datennutzung
    z.B. invasive Datenfallen, gezieltes Löschen oder Verschlüsseln von Daten
  • (Temporäre) Störung der Angreifer-Systeme
    z.B. durch Überschreiben der BIOS-Firmware oder eigene DDoS-Angriffe