Cyberagenda ohne Sicherheit: Offensive Eingriffe in IT-Systeme gefährden immer die allgemeine IT-Sicherheit.

Pressemitteilung vom 28.7.2022 zur Cybersicherheitsagenda des Bundesinnenministeriums

Cyberagenda ohne Sicherheit: Offensive Eingriffe in IT-Systeme gefährden immer die allgemeine IT-Sicherheit.

Pressemitteilung vom 28.7.2022 zur Cybersicherheitsagenda des Bundesinnenministeriums

Ein vertrauensvoller Diskurs erfordert  begriffliche Klarheit, stattdessen wird mit unscharfen Begriffen eine sinnvolle Debatte verhindert. „Hackbacks”, „aktive Cyberabwehr”, „Cyberverteidigung” oder „Gefahrenabwehr”, alles läuft hinaus auf offensive Eingriffe in IT-Systeme: Diese Eingriffe operieren grundsätzlich auf offenen Sicherheitslücken und führen somit zu struktureller Unsicherheit. Denn notwendigerweise werden  dafür staatliche Ressourcen darauf verwendet Sicherheitslücken zu pflegen, anstatt diese zu schließen. Damit schadet jegliche offensive Ausrichtung sogenannter Sicherheitsmaßnahmen der Allgemeinheit. Gute Sicherheitsmaßnahmen hingegen sind defensiv und müssen darauf ausgerichtet sein, allgemein die technische Integrität aller IT-Systeme zu schützen.

Bereits die Cybersicherheitsstrategie 2021 [1] wurde wegen einiger Vorstöße hinsichtlich der Ausweitung der Kompetenzen der Sicherheitsbehörden stark kritisiert [2]. In einem von ca. 60 Verbänden und Unternehmen und 80 Einzelpersonenen getragenen offenen Briefs wurde angemahnt die „Büchse der Pandora" offensiver IT-Eingriffe („effektive Cyberabwehr") geschlossen zu halten:

„Weiterhin fordert die Cybersicherheitsstrategie unter anderem Befugnisse zur Aktiven Cyberabwehr; eine Maßnahme die so umstritten ist, dass sich sogar die aktuelle Bundesregierung selbst dagegen entschieden hat sie voranzutreiben [3]. Es handelt sich hierbei nicht etwa um eine minimale Befugniserweiterung, sondern um ein Legislativvorhaben, welches sehr wahrscheinlich in einer Grundgesetzänderung münden wird. Es ist damit definitiv ein Vorhaben, über dessen Platz in einer Strategie eine neue Bundesregierung entscheiden sollte."

In der zuletzt vorgestellten Cybersicherheitsagenda schlägt die neue Bundesregierung offenbar in die selbe alte Kerbe. In der Pressemitteilung vom 12.7.2022 wird Bundesinnenministerin Faeser zitiert mit den Worten: „Wir werden neue Befugnisse zur Gefahrenabwehr für die Sicherheitsbehörden schaffen. Dabei geht es auch um Maßnahmen, die über eine bloße Aufklärung eines Angriffs hinausgehen. Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen". Der beschriebene Eingriff in das System impliziert einen invasiven Eingriff, der ohne die Ausnutzung von Sicherheitslücken schwer vorstellbar ist. Zugleich distanziert sich die Regierung  durch die Zurückweisung des Begriff Hackbacks als „konzeptionell grundsätzlich nicht verwendet" [4] von ihrem Koalitionsversprechen eines Verzichts auf Hackbacks. Dort hies es noch: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ [5]

Die Verschleierung durch wechselnde Begrifflichkeiten erscheint wenig hilfreich für einen sinnvollen und vertrauensvollen politischen Diskurs. Vielmehr wirkt die Zurückweisung des zuvor negierten Begriff „Hackbacks” vor dem Hintergrund der Forderung invasiver Eingriffsbefugnisse irreführend und schleierhaft. Hierbei möchten wir verweisen auf die Stellungnahmen des LOAD e.V. und der AG KRITIS die dies ebenfalls kritisieren.

Die Fokussierung von Ressourcen auf Gegenangriffe ist immanent verbunden mit einer strukturellen IT-Unsicherheit, da Angriffe auf IT-Systeme immer darauf angewiesen sind Sicherheitslücken zu pflegen, die für die offensiven Zugriffe genutzt werden. Ressourcen fließen schlimmstenfalls zu Beschaffung von Sicherheitslücken auf illegalen Umschlagplätzen und somit der Finanzierung organisierter Kriminalität, bestenfalls werden gefundene Sicherheitslücken lediglich nicht geschlossen. In jedem Fall werden dadurch Angriffspunkte für alle geschaffen und somit Kriminalität gefördert.

Die Verwendung wechselnder unklarer Begrifflichkeiten steht einer vertrauensvollen Zusammenarbeit zwischen Staat, Wissenschaft, Wirtschaft und Zivilgesellschaft im Weg, die aber erklärtes Ziel der Cybersicherheitsstrategie (7.2 und 8.2.2) ist. Die Abwägungen zwischen Interessen und Risiken sollten im Sinne einer vertrauensvollen Zusammenarbeit gesellschaftlich diskutiert und verhandelt werden.

Wir rufen die Bundesregierung auf, die progressiven Punkte im Koalitionsvertrag, die auf eine kompromisslose vertrauenswürdige IT hinarbeiten (Verschlüsselung, Bekämpfung von Sicherheitslücken) ernst zu nehmen, statt durch nebulöse Terminologien zu verwässern und hinter die Programme vorausgehender Regierungen zurück zu fallen.

Quellen

Kontakt bezüglich dieser Pressemitteilung

Rainer Rehak, E-Mail: rainer [dot] rehak [ät] fiff [punkt] de

Über das FIfF

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FifF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen. Hier finden sich unsere 10 Werte.