"Hack Back"

Warum Zurückhacken keine gute Idee ist



Seit April 2017 verantwortet Thomas Ehrlich als Country Manager DACH und Osteuropa das Wachstum und die Positionierung von Varonis in dieser Region, dessen Sicherheitslösungen Daten vor Insider-Bedrohungen und Cyber-Attacken schützen. Zuvor war er seit 1999 beim Datenspeicherungs- und -managementspezialisten NetApp in verschiedenen Positionen tätig, zuletzt als Vice President Global Accounts. Nach seinem Studium der Wirtschaftsinformatik arbeitete er zudem als Systemingenieur bei Silicon Graphics.
Nach Bekanntwerden des Angriffs auf das deutsche Regierungsnetzwerk dauerte es nicht lange, bis die Idee vom "Hack Back" wieder aus der Schublade gekramt wurde.

In Krisenzeiten wird eben gerne auf alte Ideen zurückgegriffen, manchmal sind diese gut ("Warum nehmen wir eigentlich nicht wieder Jupp Heynckes als Trainer?"), manchmal schlecht. Wie in diesem Fall. Selbstverständlich wurde sogleich darauf hingewiesen, dass die derzeitige Gesetzeslage "Hack Backs" - also Cyber-Gegenangriffe - nicht erlaube. Die Diskussion, die rechtlichen Grundlagen hierfür zu ändern, ist jedoch wieder in Gang gesetzt.

Dabei ist die Debatte nicht nur in Deutschland aktuell: So haben im letzten Oktober die US-Abgeordneten Tom Graves und Kyrsten Sinema einen Gesetzentwurf (den Active Cyber Defense Certainty Act) eingebracht, der die "aktive Verteidigung" (der Euphemismus für Gegenangriff) von IT-Systemen ermöglichen soll.

"Wie Du mir, so ich Dir" ist im Fall von Hackerangriffen keine gute Idee. Warum? Wir sagen es Ihnen.
"Wie Du mir, so ich Dir" ist im Fall von Hackerangriffen keine gute Idee. Warum? Wir sagen es Ihnen.
Foto: pathdoc - shutterstock.com

Wildwest-Hackerei?

Was macht Cyber-Gegenangriffe nun zu einer schlechten Idee? Fangen wir mit ganz praktischen Problemen an: gegen wen soll sich der Schlag denn richten? Natürlich gibt es in zahlreichen Fällen mehr oder weniger deutliche Hinweise darauf, wem die Angriffe zuzuordnen sind. Handfeste Beweise sind jedoch eher Mangelware, zumal es für professionelle (insbesondere staatlich bezahlte) Hacker verhältnismäßig leicht ist, eine Identität so zu fälschen, dass sie auf einen anderen Angreifer hindeutet. Damit könnten Gegenschläge also auch völlig Unbeteiligte treffen.

Auch die Frage, wer auf welche Weise "zurückschlagen" darf, ist ungeklärt. Das BSI? Der BND? Der Active Cyber Defense Certainty Act in den USA könnte sogar (angegriffenen) Privat-Unternehmen entsprechende Möglichkeiten einräumen. Spätestens hier kommt man nicht umhin, sich an den Wilden Westen erinnert zu fühlen. Die Folge dürften vor allem weitere Eskalation und internationale Spannungen sein - in diesen unruhigen Zeiten nicht unbedingt die schönste Aussicht.

Defensive schlägt "Hack Back"

Es wird schon jetzt viel Geld und Arbeitskraft in offensive Maßnahmen investiert, etwa den "Staatstrojaner", dessen Entwicklung alleine knapp sechs Millionen Euro verschlungen hat. Und gerade die von der NSA entwickelten Tools haben uns im letzten Jahr unvergleichliche Sicherheitsvorfälle beschert. Wäre es nicht sinnvoller, die (begrenzten) Ressourcen in die Verbesserung der Verteidigung zu stecken, statt sie für Angriffstechniken zu verheizen? Statt Hintertüren einzubauen, diese zu schließen? Statt in dunkelgrauen Bereichen Exploits anzukaufen, Sicherheitstechnologie zu entwickeln und zu verbessern?

Die Strategie der "offensiven Verteidigung", die bereits jetzt betrieben wird, konnte offensichtlich nicht die eigenen Systeme schützen. Es ist also an der Zeit, umzudenken und zu erkennen, dass nicht Angriff, sondern schlicht und einfach Verteidigung die beste Verteidigung ist. (fm)