Harald Wenisch: Hackbacks werden im aktuellen Konflikt zur Realität

by Anthony Torno

Perspektivenwechsel Cybersecurity, heißt es beim kommenden Confare Digitale CIO ThinkTank. Geht Sicherheit nur auf Kosten von Usability? Ist Cybersecurity eine Aufgabe für die IT? Und muss Cybersecurity ein Kostenfaktor sein? Krieg in Europa gibt dem Thema Digitale Sicherheit eine weitere Dimension. Sicherheits- und Datenschutz-Experte Harald Wenisch, Sprecher der IT Security Experts Group der Wirtschaftskammer Österreich, gibt in seinem Beitrag einen Überblick über das aktuelle Cyberwar-Risiko, die rechtlichen Rahmenbedingungen und die Gefahren eines „Hackback“.

Der Wunsch nach globaler Verantwortung für die Gefahrenabwehr im Cyberspace wird immer lauter. Seit dem Ukraine Konflikt prüfen einige Staaten Maßnahmen zur aktiven Abwehr von Cyberangriffen.

Zwar werden von vielen EU-Staaten „Hackbacks“ als eine Form der Cybersicherheit entschieden abgelehnt und sind sie rechtlich äußerst problematisch, doch am Beispiel der Cyber-Armee aus Volontären der zivilen Gesellschaft vieler Länder, die über Social-Media-Kanäle rekrutiert wurde, ist dies in der Form bereits beunruhigende Realität geworden.

Mit solchen digitalen Waffen sei es unmöglich, klare Grenzen zwischen Angriff und Verteidigung zu ziehen. Die Frage nach der Legitimierung eines solchen Einsatzes sei ebenso ungeklärt wie die Schwelle, ab der er stattfinden dürfe.

Die NATO Beistandsverpflichtung im Cyberkrieg 

Ein NATO-Sprecher sagte sogar heuer Ende März auf einem Nato-Sondergipfel, Ziel sei es, durch gegenseitige Hilfeleistung “den Preis für die Angreifer zu erhöhen”. Artikel 5 – der Fall der Allianz – würde laut NATO-Mitgliedern ausgelöst, wenn es zu einem schweren Cyber-Angriff kommt. Schwere und anhaltende Cyberangriffe könnten daher unter bestimmten Umständen „als bewaffneter Angriff angesehen werden“. Die NATO würde in diesem Fall mit den geeigneten Instrumenten reagieren.

Das in Österreich vorgesehene Sonderbudget von 10 Milliarden Euro soll auch für den Ausbau des Cyberschutzes des Bundeheers verwendet werden. Die Frage, wie viel davon in den Cyberschutz fließen wird, wird hinter den Kulissen offenbar diskutiert. Klar ist jedoch, dass man um mit Bedrohungen auf technischer Ebene Schritt zu halten, auch die eigenen Fähigkeiten verbessern müssen.

Was sind die konkreten Gefahren? 

Als Experten sorgen wir uns aber eher um ein anderes Szenario als um einen großen Cyberangriff: eine Reihe winziger Angriffe auf wichtige Infrastrukturen, die nicht sofort als militärische Angriffe eingestuft werden. Die Unternehmen der kritischen Infrastrukturen können aufgrund der bestehenden Rechtslage nur mit Abwehrmaßnahmen verteidigen. Dies gilt auch dann, wenn die Möglichkeit besteht, aktiv gegen die angreifenden Strukturen vorzugehen, um weiteren Schaden zu reduzieren. 

Das Konzept, mit Malware wie RURansom in russische Systeme einzubrechen und sie lahmzulegen, ist ein schlechtes. Besser wäre es, aktuelle Cyber-Sicherheitssysteme zu aktivieren und wichtige Infrastrukturbetreiber aufzuklären. Abgesehen von kurzfristigen taktischen Auswirkungen hilft das bloße Abschalten oder Löschen gegnerischer Angriffssysteme langfristig wenig. Das habe damit zu tun, dass das Kosten-Nutzen-Verhältnis für den Angreifer günstig sei. Mit einer Vielzahl niederschwelliger Cyberangriffe lassen sich erhebliche strategische Vorteile erzielen, ohne dass die Gefahr einer Entdeckung oder Verfolgung besteht.

Wieviel Schutz kann der Staat bieten?

Bei der Analyse des langfristigen strategischen Erfolgs sogenannter Hackbacks sind sich jedoch auch die Sicherheitsexperten weiterhin uneins. Das aktive Cyber-Abwehrprogramm z.B. von US-Präsident Barack Obama ist gescheitert, heißt es in einem neuen noch unveröffentlichten Studienpapier der Amerikaner. 2016 hat die Terrorgruppe „Islamischer Staat“ einfach eine neue Cyber-Struktur aufgebaut, nachdem die USA die vorherige mit Cyber-Technologie zerstört hatten.

Dennoch werden mittelfristig die Rufe nach einer robusteren Cyberabwehr immer lauter. Viele Entscheider und Bürger sind sicherlich der Ansicht, dass der Staat bereit sein muss, sich und dessen Unternehmen im Falle eines schwerwiegenden Cyberangriffs zu schützen.

Welche Mittel aber der Staat einsetzen muss zur Sicherung wesentlicher Infrastrukturen, muss im Kontext der Situation bestimmt werden. Ob Ideen von „Hackbacks“ eine Mehrheit finden, bieten auf jeden Fall reichlich Stoff für Diskussionen, jedenfalls vernehmen wir bei einigen Klienten schon seit mehreren Jahren bei unseren regelmäßigen Sicherheitsaudits ähnliche Ideen.

Harald Wenisch ist Sachverständiger für IT und Sicherheitsthemen, zertifizierter Datacenter Manager und ISO 27001 Lead Auditor.

Mit seiner rund 24-jährigen Branchenerfahrung in diversen Leitungsfunktionen besitzt er zusätzlich noch zahlreiche Zertifizierungen in seinen Fachgebieten.

Seine beruflichen Stationen führten ihn vom behördlichen Sektor über die Telekommunikationsbrache bis hin zur kritischen Infrastruktur.

Er leitet mehrere Arbeitskreise zu den Themen Normierung, Sicherheit und Krisenmanagement. Zudem schult und berät er nationale und internationale Top-Unternehmen in sicherheitsrelevanten Fragen.

Für Sie ausgewählt

Leave a Comment

CIO News

Mit den Confare CIONews, Facts & Trends rund um IT, Innovation, Digitalisierung, Tech, Leadership und Kulturwandel bleiben Sie up2date.