Wie soll der deutsche Staat reagieren, wenn er durch einen Cyberangriff gehackt wird? Soll er zurückschlagen – in einem Hackback? Bloß nicht, lässt die Bundesregierung verlauten. So scheint es. Doch eigentlich schließt sie nur „aggressive“ Hackbacks aus. Wieso dieser trickreiche politische Einsatz von Adjektiven, der nicht zum ersten Mal vorkommt, ein Problem ist, erklärt unsere Science-Fiction-versierte Kolumnistin @Kryptomania alias Aleksandra Sowa.
Eine Kolumne von Dr. Aleksandra Sowa
„Keine Hackbacks!“, sagte die Bundesinnenministerin Nancy Faeser (SPD) am 12. Juli 2022, als in einer Pressekonferenz die Pläne der Regierung zum Thema Cybersicherheit vorgestellt werden sollten. „Keine aggressiven Hackbacks“, korrigierte sie jedoch der Chief Information Officer (CIO) des Bundes, Markus Richter (CDU), auf Nachfrage der Journalisten. Wenn keine Hackbacks, was bedeutet das dann? „Dabei geht es auch um Maßnahmen, die über eine bloße Aufklärung eines Angriffs hinausgehen“, erklärte die Ministerin, „Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen.“
Die von Fachkreisen erwartete, umfangreiche Cybersicherheitsstrategie wurde in der Pressekonferenz nicht vorgestellt. Die Ministerin versprach lediglich die Weiterentwicklung der von ihrem Vorgänger, Horst Seehofer (CSU), im Jahr 2021 beschlossenen Pläne. Dazu brachte sie eine kurze „Cybersicherheitsagenda“ mit. Das enttäuschte einige Expertinnen und Experten: Denn die von der früheren Großen Koalition aus CDU und SPD vorgelegte Cybersicherheitsstrategie war zuvor auf Kritik gestoßen. Man hatte an die Ampelkoalition also Hoffnungen geknüpft und auf eine Neuformulierung der Strategie gewartet.
Was wäre so problematisch an staatlichen Hackbacks?
Die Idee, Deutschland könne Hackbacks durchführen, also Gegenangriffe bei Hackerattacken, geht auf das Jahr 2017 und den damaligen Bundesinnenminister Thomas de Maizière (CDU) zurück. Auch ein Polizist würde im Einsatz neben einer Schutzweste eine Pistole tragen, begründete er in einer Fernsehsendung die Notwendigkeit einer „Hack-Back-Strategie“. De Maizière wollte neue Befugnisse für digitale Gegenanschläge als Reaktion auf Cyberangriffe etablieren: „Wir müssen auch in der Lage sein, den Gegner anzugreifen, damit er aufhört, uns weiter zu attackieren“, zitieren die Autoren des Arbeitspapiers Digitale Gegenangriffe der Stiftung Politik und Wissenschaft (SWP), Thomas Reinhold und Matthias Schulze, in diesem Zusammenhang außerdem den damaligen Präsidenten des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen (CDU). Damit gemeint war auch die Fähigkeit, „notfalls feindliche Server zu zerstören“.
Zu den ernst zu nehmenden Risiken des Hacking Backs zählten Reinhold und Schulze schon damals, dass „auf Cyber-Angriffe auch mit physischen Waffen reagiert werden kann“. Außerdem seien Tit-for-Tat-Reaktionen denkbar, insbesondere bei Staaten, die sich bereits in physischen (oder diplomatischen) Konflikten befinden und in geografischer Nähe zueinander liegen. Die Aussage, ein Hackback würde im Notfall „wirken“, ist wissenschaftlich ähnlich schwach begründet wie die verbreitete Überzeugung, autonome Fahrzeuge würden die Straßen sicherer machen.
Für Hackbacks gilt aus Sicht einiger Experten sogar das Gegenteil: Sie verursachten IT-Unsicherheit, wie der Cybersicherheits-Experte Sven Herpig von der Stiftung Neue Verantwortung im Interview mit der SZ sagte. Denn Staaten müssten Sicherheitslücken kennen und horten, wie es di NSA seinerzeit tat, um in IT-Systeme anderer Staaten eindringen zu können. Daher riet auch Manuel Atug von AG KRITIS im eGovernment-Podcast im Dezember 2022 dem Innenministerium, vom „offensiven Schwachsinn“ wegzukommen, um „echte“ Sicherheit für Deutschland umzusetzen. Ähnlich pointiert waren die Stellungnahmen zweier Experten in der öffentlichen Anhörung zum IT-Sicherheitsgesetz 2.0 im Ausschuss für Inneres und Heimat. Aber zurück zu Begrifflichkeiten.
„Hackbacks“ oder „Gegenmaßnahmen“: Wo ist der Unterschied?
Keine Hackbacks!, heißt es auch wieder in der am 14. Juni 2023 von Kanzler Olaf Scholz und mehreren Ministerinnen und Minister vorgestellten Nationalen Sicherheitsstrategie. „Hackbacks lehnen wir als Mittel der Cyberabwehr prinzipiell ab“, liest man auf Seite 62 des insgesamt 76-seitigen Dokuments mit dem Titel Wehrhaft. Resilient. Nachhaltig. Integrierte Sicherheit für Deutschland, das eine „erstmalige und umfassende“ Sicherheitsstrategie für Deutschland enthalten soll. Fast gleichlautend mit der Formulierung im Koalitionsvertrag, in dem Hackbacks bereits abgelehnt wurden.
Nein zu Hackbacks, sagt die Bundesregierung, aber gleichzeitig auch Ja zu Gegenmaßnahmen gegen IT-Systeme im In- und Ausland, beeilt sich das Bundesinnenministerium (BMI) zu ergänzen, das sich offenbar anschickt, einen entsprechenden Gesetzesentwurf noch in diesem Jahr vorzulegen. „Sicherlich ist das, wovon das Ministerium hier spricht, mehr als nur Hackbacks – aber es sind eben, in seiner intrusivsten Ausprägung, auch Hackbacks“, kommentierte Sven Herpig von der Stiftung Neue Verantwortung im Tagesspiegel das Vorhaben des BMI und betonte: „Entscheidend ist, dass die Abgeordneten im Bundestag verstehen, dass aktive Cyberabwehr und Hackback im Extremfall das Gleiche meinen: Sicherheitsbehörden sollen als Gegenmaßnahmen in IT-Systeme im In- und Ausland eindringen können.“ Und das entspricht ziemlich genau der Definition, die die Bundesinnenministerin schon im Juni 2022 (s. o.) dargeboten hat.
Warum spricht man dennoch lieber nicht von Hackbacks, die die Bundesregierung und die Ampelkoalition ja ablehnen, sondern flirtet stattdessen mit Begriffen wie „aktive Cyberabwehr“, „aktive Cybersicherheitspolitik“ oder „offensive Cybersicherheit“?
Sven Herpig verweist auf die Definition, die eine Arbeitsgruppe aus Praktikerinnen, Praktikern, Wissenschaftlerinnen und Wissenschaftlern unter seiner Leitung tagend für eine „aktive Cyberabwehr“ erarbeitete. Diese meine „eine oder mehrere technische Maßnahmen, die von einem oder mehreren Staaten gemeinsam implementiert und durch Behörden mandatiert oder ausgeführt werden, deren Ziel es ist, eine laufende, böswillige Cyberoperation oder -kampagne zu neutralisieren, und/oder ihre Auswirkungen zu mitigieren, und/oder sie technisch zu attribuieren.“ Also wie u.a. Hackbacks, nur das gesamte Phänomen umschreibend und ausführlicher formuliert, damit es jeder, insbesondere auch jeder Politiker im Bundestag, versteht. Eventuell ist das derzeit die treffendste Definition, die sogleich wissenschaftlich und fachlich validiert ist.
Das Comeback der „digitalen Souveränität“
Die ganze Verwirrung um Begriffe und das zwanghafte Vermeiden des Wortes Hackback erinnert im Kern an die Karriere, die der Begriff „Digitale Souveränität“ gemacht hat: Zu Beginn der pandemiebedingten Ausgangssperren in Deutschland, als Unternehmen ihre Arbeitsmodi auf Homeoffice, Mobile Workplace oder Flex-Work-Angebote umstellten und für die Mitarbeit fast nur noch elektronische Kanäle, E-Mail, Video-Conferencing oder auch WhatsApp und Facebook nutzten, staubte man ein Konzept ab, das fast so alt wie das Internet ist: die „digitale Souveränität“. In einer Umfrage des eco-Verbands aus dem Jahr 2019 schätzten 500 IT-Experten die Abhängigkeit von außereuropäischen Anbietern als zu hoch ein. Und dies bei ziemlich allen relevanten Aspekten der Informationstechnologie: bei Endgeräten (32,3 Prozent), Bürosoftware (31,7 Prozent), Netzwerk-Software (30,9 Prozent) und verschiedenen Cloud-Services (zwischen 20,4 und 26,6 Prozent).
Die politische Lösung in Form der schon einmal geforderten „digitalen Souveränität“ war schon da, nur aufgrund von Kritik noch nicht umgesetzt; nun schaffte man das dazu passende Problem. Und auf einen Schlag stand ein Konzept, gegen das Netzaktivisten und Internetexperten viele Jahre lang versuchten, sachlich zu argumentieren, wieder auf der politischen Agenda.
Denn obwohl „digitale Souveränität“ harmlos klingt, wurden unter diesem Begriff gerne umstrittene Maßnahmen subsummiert. Dazu gehörten in der Vergangenheit Ideen wie „Websperren“, „deutsche/europäische Infrastrukturen“ oder „Marktortprinzip“, die der Rechtsdurchsetzung dienen oder einfach dabei helfen sollten, die Kontrolle des Staates und der Regierungen über das Internet und digitale Technologien zu erlangen. „So nachvollziehbar dieses gerade bei Themen wie Jugend-, Daten- oder Verbraucherschutz sein mag“, warnte der Vorstand der Internet Society (ISOC.DE), Jan Mönikes, bereits anno 2013, würden solche Forderungen oftmals nur eine „Balkanisierung“ des Internets fördern. Die immer wieder aufkommenden Vorschläge zur „Re-Territorialisierung“ des Internets – ob auf technischer oder rechtlicher Ebene – würden dabei durch zweierlei befördert: den „Gestaltungsanspruch nationalstaatlicher Politik und das Bedürfnis ihrer Bürger, dass (demokratische) Grundentscheidungen wenigstens in ihrem Lebensbereich auch tatsächlich und unbedingt Wirkung entfalten sollen“.
Ab 2019 waren (pandemiebedingt) Bedenkenträger und Bedenken dieser Art nicht mehr en vogue. Nach den Bundestagswahlen im Jahr 2021 hatte „digitale Souveränität“ – „auch auf EU-Ebene“– Eingang in den Koalitionsvertrag gefunden: „Ein digitaler Aufbruch, der unsere Werte, die digitale Souveränität und einen starken Technologiestandort sichert, gelingt nur in einem fortschrittlichen europäischen Rahmen.“ Seit Mai 2023 steht es auch im Programm Sozialdemokratische Digitalpolitik der SPD: „Wir werden digitale Infrastrukturen resilienter machen und die digitale Souveränität stärken.“ Vom No-Go, das zum Grundkonzept des freiheitlichen Internets im Widerspruch stand, in nur wenigen Jahrzehnten zum Lösungsansatz, der angesichts der temporären Gefahrenlage wiederbelebt, mit neuer Überschrift zum Glanz gebracht, den Weg in die Programme der Parteien und der Regierung gefunden hat. Eine erstaunliche Karriere.
Stephen King würde das alles nicht gefallen
Wofür „digitale Souveränität“ Jahrzehnte brauchte, das will Hackback in wenigen Jahren bis Monaten erreichen. Nicht lange genug, damit die Bedenkenträger ihre Gegenargumente abstellen oder vergessen würden, oder damit sie, wie bei mancher anderen Internetidee, ausstarben. Es geht diesmal anders: „Keine Hackbacks“ bedeutet keineswegs „keine Hackbacks“, sondern eben nur keine „aggressiven“ Hackbacks. So, wie keine Scoring-Systeme im AI Act der EU oder im Koalitionsvertrag – wo es heißt: „biometrische Erkennung im öffentlichen Raum sowie automatisierte staatliche Scoring-Systeme durch KI sind europarechtlich auszuschließen“– keinesfalls Verbot des Scoring bedeuten, sondern nur von solchem, das staatlich und vollautomatisiert ist.
Und wer glaubte, Art. 22 der DSGVO, der ein Verbot von Profiling umfasst, Unternehmen wie die Schufa AG von der Erdoberfläche wegfegen würde, war im Irrtum: Es heißt zwar in Art. 22 (1): „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“, doch bereits Absatz (2) enthält eine Reihe wesentlicher Ausnahmen, für die diese Regelung nicht gilt. Und außerdem bezieht sich das Verbot auf Scoring-Systeme, die „ausschließlich auf einer automatisierten Verarbeitung“ basieren. Und wo gibt es bitte ein System, bei dem der Hausmeister oder der Wartungstechniker nicht ab und zu den Ein- oder Ausschaltknopf drückt…
So, wie Stephen King den angehenden Schriftstellern in dem (autobiografischen) Ratgeber Das Leben und das Schreiben dringend riet: „Keine Adverbien!“, möchte man den Politikern, die die Gesetze schreiben, empfehlen, keine Adjektive zu nutzen. Eigentlich sagte Stephen King wörtlich: „Das Adverb ist nicht Ihr Freund.“ Und erläuterte, warum: „Durch Adverbien teilt uns der Verfasser oft mit, dass er Angst hat, sich eindeutig auszudrücken, dass er sein Anliegen oder Bild nicht vermitteln kann.“ King nennt auch ein Beispiel dafür: „Er macht die Tür fest zu“. Kein übler Satz, gibt er zu, aber „ob das Wort ‚fest‘ wirklich sein muss“? Ist damit gemeint, dass die Tür zugemacht wurde? Oder wurde die Tür zugeknallt? Oder irgendwo dazwischen? Das bleibt unklar. „Er macht die Tür zu“ reicht also vollkommen. Der Rest ist die Frage des Kontexts.
Ist es nicht genauso mit der Ablehnung von „aggressiven“ Hackbacks, was auch immer diese sein mögen? Mit Adjektiven scheint man in der Politik genau das erreichen zu wollen: sich nicht eindeutig auszudrücken. Und noch mehr: den Sinn zu verwischen, die Bedeutung abzumildern oder gar den Sinn umzukehren. Das, schrieb Felix Neumann von der Konrad-Adenauer-Stiftung (KAS), war in der DDR der Fall: Im Kleinen politischen Wörterbuch der SED fand der Autor den Begriff „sozialistische Demokratie“, die, im Unterschied zur „bürgerlichen Demokratie“ westlicher Prägung, die für die politischen Systeme mit kapitalistischer Wirtschaftsordnung, Ausbeutung der Armen und Diktatur der Bourgeoisie galt, die „wirkliche, realisierbare Demokratie“ war. „Wenn Kommunisten von ‚echter‘ Demokratie reden, meinen sie Diktatur und Gewaltherrschaft“, schrieb der KAS-Autor, dessen Arbeitgeber an genau die christlich-demokratische Partei gebunden ist, die u.a. den Begriff „wehrhafte Demokratie“ eingeführt und propagiert hat.
Werde Mitglied von 1E9!
Hier geht’s um Technologien und Ideen, mit denen wir die Welt besser machen können. Du unterstützt konstruktiven Journalismus statt Streit und Probleme! Als 1E9-Mitglied bekommst du frühen Zugriff auf unsere Inhalte, exklusive Newsletter, Workshops und Events. Vor allem aber wirst du Teil einer Community von Zukunftsoptimisten, die viel voneinander lernen.
Jetzt Mitglied werden!Unwissenheit ist Stärke, aber alles bleibt begrifflich beim Alten
Das falsche (richtige) Adjektiv, richtig eingesetzt, kann sogar zur Umkehrung der Bedeutung führen. Es hängt davon ab, wer den Sprachgebrauch kontrolliert und in welcher Absicht. Es ist eine Entwicklung, vor der schon Aldous Huxley in Wiedersehen mit der Schönen neuen Welt (1959) gewarnt hat. Demokratien – ob unter dem Druck der Überbevölkerung oder der durch exzessiven Einsatz von Technologie fortschreitenden Überorganisierung – laufen seiner Erzählung nach Gefahr, mit der Zeit ihr Wesen zu verändern und zu einer Art gewaltlosen Totalitarismus überzugehen: „Die wunderlichen altmodischen Gebräuche – Wahlen, Parlament, Verfassungsgerichtshöfe und alles Übrige – werden bleiben“, auch „diee Verfassungen werden nicht widerrufen und die guten Gesetze nicht aus dem Gesetzbuch gestrichen werden“. Begriffe wie Demokratie und Freiheit „werden das Thema jeder Rundfunksendung und jedes Leitartikels sein – aber Demokratie und Freiheit in dem Sinn, den ihnen der Sprecher oder der Schreiber geben wird“. Die traditionellen Namen und geheiligten Lösungsworte der „guten alten Zeit“ bleiben also. Währenddessen „werden die herrschende Oligarchie und ihre gut gedrillte Elite von Soldaten, Polizisten, Gedankenverfertigern und Gehirnmanipulatoren hübsch still das ganze Werk so laufen lassen, wie es ihnen passt“, schrieb Huxley.
Sein Konkurrent in Sachen Dystopien und Schriftstellerkollege George Orwell erreichte es in 1984 auf direkterem Wege: „Krieg ist Frieden! Freiheit ist Sklaverei! Unwissenheit ist Stärke!“, heißen die Parolen, mit denen vom Wahrheitsministerium Ozeaniens Begriffe umgekehrt wurden. So weit würden die Ampelkoalition und das Bundesinnenministerium natürlich nicht gehen. Hier heißt es: Ein Hackback ist kein Hackback ist eine digitale Vergeltungsmaßnahme. Es sind höchstens „sprachliche Taschenspielertricks“, wie es Sven Herpig nennt, und noch lange keine Gehirnmanipulationen. Keine „aggressiven“ jedenfalls.
Dr. Aleksandra Sowa gründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Sie ist zertifizierter Datenschutzauditor und IT-Compliance-Manager. Aleksandra ist Autorin diverser Bücher und Fachpublikationen. Sie war Mitglied des legendären Virtuellen Ortsvereins (VOV) der SPD, ist Mitglied der Grundwertekommission und trat als Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages auf. Außerdem kennt sie sich bestens mit Science Fiction aus und ist bei Twitter als @Kryptomania84 unterwegs.
Alle Ausgaben ihrer Kolumne für 1E9 findet ihr hier.
Hat dir der Artikel gefallen? Dann freuen wir uns über deine Unterstützung! Werde Mitglied bei 1E9 oder folge uns bei Twitter, Facebook, Instagram oder LinkedIn und verbreite unsere Inhalte weiter. Danke!
Sprich mit Job, dem Bot!
War der Artikel hilfreich für dich? Hast du noch Fragen oder Anmerkungen? Ich freue mich, wenn du mir Feedback gibst!