Cyberabwehr – wir brauchen definierte Prozesse und kein «Hack Back»

Noch ist die Erinnerung an das Durcheinander nicht verblasst, mit der sich die Schweiz durch die Corona-Pandemie gewurstelt hat. Sind nun die Fallzahlen das relevante Kriterium für den Ernst der Lage oder nicht? Die Zahl der freien Intensivstation-Plätze? Was ist überhaupt ein Intensivstation-Platz? Natürlich waren einiger dieser Unsicherheiten der Tatsache geschuldet, dass erst nach und nach klar wurde, mit was man es überhaupt zu tun hatte. Doch sie sind auch Ausdruck mangelnder Vorstellungskraft bei der Vorsorge für solche Notlagen. Leider stehen wir angesichts der «Zeitenwende» nach dem russischen Angriffskrieg im Bereich der Cybersicherheit vor ähnlichen Schwierigkeiten; mit dem gravierenden Unterschied, dass zentrale staatliche Akteure keine ausreichende gesetzliche Grundlage haben, um Notlagen im Cyberraum einordnen und effektive Gegenmassnahmen ergreifen zu können.

Der aktuelle Krieg hat einen abrupten Wechsel der Wahrnehmung der internationalen Sicherheitslage zur Folge. Cybersicherheits-Fachleute weltweit warten mit Bangen auf ähnlich destruktive russische «Sonderoperationen» im Cyberraum, wie wir sie aktuell in der realen Welt auf ukrainischem Boden erleben. Die einst gerade in Europa verpönte Sprache des militärischen Realismus erlebt eine Renaissance; im Bereich Cyberabwehr exemplarisch manifestiert durch die Idee des «Hack Back» – des Gegenangriffs auf die Informationstechnik-Infrastruktur des Gegners mit möglicherweise weitreichenden Auswirkungen auf dessen Gesellschaft. Doch ist eine solche Strategie – insbesondere für die Schweiz – der richtige Weg? Die Antwort ist Nein. Vielmehr verstellt eine derart «militarisierte» Sichtweise auf die Cyberabwehr den Blick auf das wahre Problem: fehlende Definition und Prozesse, wie eine «besondere» oder «ausserordentliche» Lage im Cyberraum (um die Begrifflichkeit des Epidemiengesetzes zu verwenden) zu charakterisieren ist.

Eine Fokussierung der Schweizer Cyberabwehr auf die Fähigkeit, Hack-Backs verüben zu können, um damit die Auswirkungen von Cyberangriffen substantiell vermindern können, ist aus rechtlicher wie praktischer Hinsicht falsch. Solange die Schweiz selbst nicht im Kriegszustand ist, wäre lediglich der Nachrichtendienst (der eine zivile Behörde ist) autorisiert, solche Operationen durchzuführen. Das Nachrichtendienstgesetz würde zwar grundsätzlich diese Option erlauben – allerdings nur nach einem Entscheid des Bundesrates. Das Gesetz verlangt dafür das Vorliegen einer konkreten Gefährdung. Das wiederum widerspricht der technischen Natur eines «Hack Back». Denn es handelt sich hier nicht um eine Operation, die man einfach auf Knopfdruck umsetzen kann. «Hack Backs» brauchen monatelange Vorbereitung hochspezialisierter Fachleute, welche in Computersysteme des Gegners eindringen können, um im Fall des eigentlichen «Hack Backs» an entscheidender Stelle Informationen abfangen oder destruktive Manipulationen vornehmen zu können. Nur wenige Nachrichtendienste beherrschen überhaupt diese Fähigkeit – und in der Regel wird dies für Aufklärung genutzt und nicht zur unmittelbaren Gefahrenabwehr. Ein Beispiel ist der (in diesem Bereich ausserordentlich kompetente) niederländische Nachrichtendienst, dem es 2015 gelungen ist, tief in das «Cozy Bear» Netzwerk einzudringen, einer mutmasslich dem russischen Auslandgeheimdienst SWR angegliederten Hacker-Gruppierung. Die Rechtslage in der Schweiz ist mit solchen langfristigen nachrichtendienstlichen Operationen mit Fokus auf die (zivile) Infrastruktur eines allfälligen Gegners nicht kompatibel. Und auch politisch wäre ein solcher Fokus angesichts der ausschliesslich defensiv ausgerichteten Landesverteidigung unklug. Gewiss besitzt der militärische Arm der Cyberabwehr – das Zentrum für Elektronische Operationen – Kompetenzen im Bereich Cyberabwehr. Doch diese (wohlweislich geheim gehaltenen) Fähigkeiten zielen auf die militärische Kommunikation des Gegners, um diesen im Fall eines militärischen Angriffs auf die Schweiz zu stören.

Die «Zeitenwende» mag die Möglichkeit eines militärischen Angriffs auf die Schweiz aus dem Reservat des Undenkbaren vertrieben haben. Was uns aber mit deutlich gestiegener Wahrscheinlichkeit erwartet, sind Formen der hybriden Kriegsführung mit Auswirkungen auf die Cyber-Infrastruktur der Schweiz. Weitaus sinnvoller als eine Diskussion darüber, welche offensive Massnahmen zur Cyberabwehr eingesetzt werden dürfen, ist die Erarbeitung von konkreten Szenarien und Prozesse, um solchen Angriffen mit Schutzmassnahmen begegnen zu können. Doch dafür fehlt uns zum einen eine ausreichende gesetzliche Grundlage, um Bedrohungslagen im Cyberraum adäquat erfassen zu können. Zudem führen wir keine Debatte darüber, welche Massnahmen wir akzeptieren würden, um unmittelbare Bedrohungen im Cyberraum begegnen zu können.

Um die Tragweise des Problems zu verstehen hilft es, sich die konkret möglichen Eskalationsstufen der Cyberabwehr vor Augen zu führen. Beginnen wir mit dem «Normalzustand», der sich heute schon durch regelmässige Angriffsversuche vorab krimineller Akteure auszeichnet. Eine massgebende Abwehr-Instanz ist hier das Nationale Zentrum für Cybersicherheit (NCSC) und das darin angegliederte GovCERT (CERT steht für Computer Emergency Response Team) als technisches Analyseteam. Aktuell kann GovCERT beispielsweise Schadsoftware analysieren und damit verbundene «Command and Control Server» (C2-Server; gewissermassen die technische Infrastruktur eines Angreifers) identifizieren. Das GovCERT sammelt technische Informationen zu solchen C2-Servern und stellt diese den kritischen Infrastrukturen und Internet Service Providern (ISP) zur Verfügung. Die Empfänger können diese Informationen auf freiwilliger Basis zur Blockierung von schädlichen Datenströmen verwenden – es gibt aber keine rechtliche Verpflichtung. Dazu kommt, dass die ISPs gemäss Fernmeldegesetz (FMG) den Traffic im eigenen Netzwerk zwar grundsätzlich filtern dürfen, aber die Netzneutralität hier enge Schranken setzt. Nur bei einer nicht weiter ausgeführten «ausserordentlichen Lage» (Art. 48 FMG) darf der Bundesrat Einschränkungen des Fernmeldeverkehrs vorsehen. 

Diese beispielhaft genannten Massnahmen wirken gewissermassen wie ein Skalpell. Sie haben kaum Auswirkungen auf das korrekte Funktionieren des Internets, reduzieren jedoch die Risikoexposition einer Organisation massgeblich. Nach Aussagen von Fachleuten ist die erwähnte Freiwilligkeit ausreichend, um in einer «normalen Lage» die Bedrohung durch klassische Cyberangriffe reduzieren zu können. Diese Freiwilligkeit und Kooperation zwischen Staat und Firmen im Rahmen einer Public-Private-Partnership hat zudem den Vorteil, dass das Risiko eines Missbrauchs dieser Massnahme (z.B. unzulässige Einschränkungen der Meinungsfreiheit oder der Netzneutralität) oder von Kollateralschäden stark reduziert wird, da in einem solchen Fall Organisationen aufhören würden, die Datensätze des Bundes zu nutzen. 

Doch was würde in einer «besonderen Lage» geschehen? Eine solche wäre beispielsweise charakterisiert durch verstärkte Operationen staatlicher Akteure, was im aktuellen Sicherheitsumfeld durchaus möglich ist. Dabei muss nicht einmal IT-Infrastruktur in der Schweiz selbst Ziel der Aktivitäten sein, denn die technische Natur des Internets wird mit hoher Sicherheit auch zu Kollateralschäden in der Schweiz führen (das Beispiel des mutmasslichen Angriffs auf einen Kommunikationssatelliten zu Beginn des Ukraine-Kriegs, der die Steuerung von Windkraftwerken in ganz Europa beeinträchtigte, verdeutlicht das exemplarisch). Hier sollte vom Grundsatz ausgegangen werden, dass der Staat auch in einer «besonderen Lage» möglichst lange in den bestehenden Strukturen mit den erfahrenen Teams weiterarbeitet – dafür aber deren Möglichkeiten und rechtlichen Grundlagen ausbaut. So sollte es dem NCSC erlaubt sein, kritische Infrastrukturen zwingend anzuweisen, bestimmten Netzwerkverkehr oder bestimmte Adresselemente zu blockieren, was aktuell rechtlich nicht möglich wäre. Ebenso wäre es denkbar, dass eine verbindliche Vorgabe zur Reduktion der Angriffsoberfläche gemacht wird (z.B. sehr schnelles Einspielen von Sicherheits-Patches, ein Geofencing oder die Reduktion der gegen das Internet hin exponierten Dienste). Für solche Aktionen ist die gesetzliche Grundlage gelinde gesagt unklar. 

Und was wäre, wenn wir – um die Analogie des Epidemiengesetzes auszureizen – in einer «ausserordentlichen Lage» wären? Ein solches Szenario wäre beispielsweise dann gegeben, wenn massive Angriffe auf die staatlichen Netzwerke im Gange wären, um das zivile Leben in der Schweiz zu stören. Das FMG gibt hier dem Bundesrat grundsätzlich Handlungsspieltraum – doch es fehlt eine Debatte darüber, wie diese Lage überhaupt charakterisiert werden kann und welche Gegenmassnahmen akzeptabel wären. Eine solche Massnahme wäre es beispielsweise, gewisse Netze nicht mehr zu annoncieren. Gemeint ist damit, dass die Routing-informationen für gewisse Netze zurückgehalten werden, diese also faktisch nicht mehr zugänglich sind. Russland hat aktuell diesen Weg gewählt und die globale Annoncierung eines ihrer Regierungsnetzwerke gestoppt; vermutlich aufgrund der heftigen Angriffe von Anonymous und der «IT-Army» der Ukraine. Gewisse globale Netzwerkdienstleister haben auch Verträge zu Verbindungen von und zu Russland gestoppt, was zwar keine komplette Abtrennung bedeutet, da es noch genügend andere Routen gibt, aber dennoch bisher in diesem Ausmass noch nie stattgefunden hat. 

Solche Massnahmen hätten aber enorme Kollateralschäden, gerade in einem derart internationalen vernetzten Land wie die Schweiz. Schweizer Konzerne könnten etwa nicht mehr mit ihren Tochterunternehmen kommunizieren oder ausländische Unternehmen könnten sich nicht mehr mit der Zolldirektion austauschen, was den Warenfluss gravierend stören würde. Für ein solches Szenario sind wir nicht gerüstet. Weder führen wir eine gesellschaftliche Debatte darüber, welche Kollateralschäden wir bereit wären in Kauf zu nehmen, noch haben wir das rechtliche Instrumentarium, damit die staatlichen Stellen überhaupt nach definierten Kriterien bestimmen können, wann sich unser Cyberraum in einer «besonderen» oder gar «ausserordentlichen» Lage befindet. Stattdessen sprechen wir über «Hack Backs», die nach Aussagen von Fachleuten nur in sehr wenigen Fällen eine gute Antwort wären und deren Erfolgsaussichten unklar sind – gerade wenn sich der Gegner auch darauf einstellt und hochgerüstet ist. Darüber hinaus bergen sie ein grosses Risiko für eine ungewollte Eskalation.

Wir riskieren damit, die Versäumnisse der Corona-Pandemie zu wiederholen – allerdings mit dem Unterschied, dass die Übergänge von einer «normalen» zu einer «besonderen» oder gar «ausserordentlichen» Lage im Cyberraum weitaus dynamischer sein können. In der Corona-Pandemie hatten wir wenigstens etwas Zeit – wenn auch manchmal nur wenige Tage oder Wochen – um zu lernen und zu reagieren. Im Fall eines ausgewiesenen Cyberkonflikts dürfte uns diese Zeit fehlen und die Fachleute, welche unseren Cyberraum schützen, müssen schnell und rechtssicher agieren können. Wir müssen deshalb jetzt dringend eine Debatte darüber führen, welche Szenarien uns erwarten können, welche Kollateralschäden wir akzeptieren und welchen Handlungsspielraum wir den Fachleuten einräumen wollen. 

Natürlich wird es – wie in der Pandemie – auch hier einen Bereich der Selbstverantwortung von Unternehmen und Individuen geben, um die eigene Cyberinfrastruktur zu schützen und das Risiko von Angriffen zu minimieren. Doch auch in der Cybersicherheit wird sich die Frage stellen, ob der Staat Massnahmen anordnen muss, um die Sicherheit aller zu gewährleisten. Wir sollten diese Debatte jetzt führen, anstatt im Notfall ad hoc zu reagieren und analoge gesellschaftlichen Verwerfungen zu riskieren, die wir in der Corona-Pandemie erlebt haben