Der Politologe Sven Herpig (31) arbeitet beim Thinktank Stiftung Neue Verantwortung und leitet das Transatlantische Cyber-Forum. Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) koordinierte er die Cyber-Strategie.

SZ: Herr Herpig, darf ein Staat sich zurückholen, was ihm geklaut wurde?

Sven Herpig: Die Chance, dass ich einmal geklaute Dokumente wieder zurückbekomme, ist relativ gering. Digitale Dokumente werden auch nicht gestohlen, sondern beliebig kopiert. Das bedeutet, dass ich meist weiterhin im Besitz des Dokumentes bin, aber der Angreifer auch. Kopien können dann auch an weiteren Orten liegen.

Wie laufen solche Hacker-Angriffe ab?

Hacker verschaffen sich Zugang zu einem System oder Netzwerk und extrahieren dann Kopien von Dateien und Dokumenten. Für Angreifer ist es sinnvoll, über einen Umweg anzugreifen, sich also eines Mittelmanns zu bedienen. Das heißt, die Hacker kopieren die Daten erst auf den Computer eines Unbeteiligten, den sie aber übernommen haben. Dieser steht meist in einem dritten Land.

Also, wenn der deutsche Staat angegriffen wird von, zum Beispiel, iranischen Hackern, dann liegt dieser Drittserver in, sagen wir mal, Malaysia?

Zum Beispiel, ja. Von dort werden die Daten auf Server oder Geräte kopiert, die den Hackern gehören. Oder es werden beliebig weitere Computer dazwischengeschaltet.

Was passiert, wenn man sich in diesen Server in Malaysia hackt?

Man verschafft sich unrechtmäßig Zugang zu dem System eines vermutlich Unschuldigen in einem Drittland. Und nehmen wir mal an, die Daten sind nur auf einem Server und Sie haben sich dort hineingehackt. Was machen Sie denn dann?

Als Staat? Ich lösche die Daten.

Ja, aber Sie müssen die Daten nachhaltig löschen. Das ist aufwendiger, als mal eben Dateien in den Papierkorb zu ziehen. Der Angreifer darf sie nicht rekonstruieren können. Sie müssen also den Speicherbereich, auf dem die Daten liegen, mehrfach überschreiben. Das heißt, Sie greifen intensiv in dieses Drittsystem ein und richten dort Schaden an.

Warum ist das ein Problem?

Man kann nicht einfach "zurückcybern", wie die Bundesregierung es gerne hätte. Ich will zwei Gründe nennen: erstens, man bewegt sich in einem Bereich, der außerhalb der deutschen Rechtssprechung liegt. Eine deutsche Behörde greift Computer in einem dritten Land an, das unbeteiligt ist. Sogar ein direkter Rückangriff in das Land, aus dem der Angriff kommt, wäre unter diesen Umständen problematisch.

Weil es zu einer Krise kommen könnte?

Der Cyberraum funktioniert anders, es gibt keine "digitale Luftabwehr" - bei einem Hack-Back richten Sie Schaden direkt in einem anderen Land an. Das wirkt dann nach außen erst einmal wie klassische Cyberspionage oder -sabotage. Das gilt sowohl für das Land, in dem der "Mittelsmann" steht, als auch für das Land des Verursachers des Angriffs. Sie müssen dann erklären, was Sie in deren Netzen machen. Das klappt vielleicht bei Ländern, mit denen Sie gut kooperieren.

Geheimdienste wollen andere nicht darauf aufmerksam machen, dass Daten abgeflossen sind. Es heißt dann: Wenn wir die auch noch darauf hinweisen, ziehen die sich erst einmal eine Privatkopie.

Stimmt, das ist ganz klar eine Abwägungssache. Die Alternative wäre der Vorwurf der Cyberspionage. Ich sehe aber auch Probleme operativer Natur. Bei solchen Hackback-Angriffen muss ich schnell reagieren. Das beißt sich gegebenenfalls mit der zeitlichen Komponente, diesen ersten Server sorgfältig zu prüfen: Was verbirgt sich dahinter? Vielleicht gehört er ja zu einer wichtigen Einrichtung, wie einem Krankenhaus. Wenn ich den also durch eine unvorhergesehene Wechselwirkung lahmlege, beschädige ich das Eigentum eines Dritten, vielleicht hat es sogar Auswirkungen auf das Krankenhaus. Aber selbst wenn die Möglichkeit bestünde, die Daten komplett zu löschen, bevor sie kopiert werden, wären diese Arten von Hackback-Operationen immer noch problematisch.

Warum?

Sie verursachen IT-Unsicherheit. Der Staat muss ja wissen, wie man die Server knackt. Dafür muss er die Schwachstellen in den Systemen kennen. Das ist kein Problem, wenn es sich um bekannte Sicherheitslücken handelt, die im Angreifersystem einfach noch nicht geschlossen sind. Kritisch wird es erst, wenn der Staat dafür bisher unbekannte Schwachstellen hortet, wie gerade bei der CIA und der NSA gesehen.

Schwachstellen, die es anderen Staaten auch ermöglichen könnten, hierzulande einzudringen?

Genau. Bei solchen Schwachstellen können Sie nur hoffen, dass sie niemand anderes kennt. Der Staat hat kein Interesse daran, diese Informationen weiterzugeben, weil diese Sicherheitslücken dann geschlossen würden. Er selbst kann sie dann nicht mehr so effizient nutzen. Also würden auch die eigenen Systeme wie die der Bundesverwaltung oder kritische Infrastrukturen weiterhin angreifbar bleiben. Das ist ein zweischneidiges Schwert.

Deshalb gründet das Bundesinnenministerium doch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Das sind Codeknacker vom Dienst.

Fast. Zitis soll die Werkzeuge und Schwachstellen bereitstellen, die dann von den Behörden genutzt werden, um Cyber-Angriffe wie Hackbacks auszuführen. Sie selbst hat keine operativen Befugnisse und es ist auch noch unklar, welche Behörde in Deutschland überhaupt Hackbacks durchführen können soll. Wenn aber ihre Idee von nationaler Cyber-Sicherheit die ist, dass sie effektiv digital zurückangreifen können, dann geben sie Geld aus für einen Prozess, der ein Feigenblatt ist. Wer Sicherheit will, soll dafür sorgen, dass die eigenen Systeme sicherer sind.

Das soll die Alternative sein? Wir wissen, dass IT-Systeme unsicher sind, gerade auch im Bundestag.

Aber die Reaktion darauf darf nicht sein, dass wir die Offensive als Allheilmittel betrachten und digitales Räuberschach spielen. Vor allem vor dem Hintergrund, dass Fachkräfte fehlen, sollten wir lieber verhindern, dass die Dokumente geklaut werden.