"Hackback" ist eine Illusion -- lasst uns lieber offen und ehrlich über offensive Cyberfähigkeiten reden

"Hackback" ist eine Illusion -- lasst uns lieber offen und ehrlich über offensive Cyberfähigkeiten reden
(original gepostet am 23.01.2018 auf Google+)


In letzter Zeit hört man immer wieder die Forderung, der Staat müsse in der Lage sein, anhaltende Cyberangriffe mit offensiven Gegenmaßnahmen entgegnen zu können -- Neudeutsch gerne auch “Hackback” genannt. Die üblichen “Netzaktivisten” laufen natürlich Sturm gegen diese Bestrebungen, und in der Tat ist ein solches Vorhaben sehr problematisch -- leider findet man aber die wichtigsten Argumente kaum in der jetzigen Diskussion. Ich versuche sie hier zu erläutern:


Es fängt schon damit an, dass man einen erfolgreichen Cyberangriff in den allermeisten Fällen überhaupt nicht mitbekommt, bzw. erst dann wenn es zu spät ist. Firewalls, Intrusion Prevention Systeme usw. können ja nur das mitprotokollieren, was sie als Angriff erkennen, und das können sie üblicherweise auch abwehren. Von den allermeisten erfolgreichen Cyberangriffen erfährt man erst im Nachhinein, wenn der Schaden offensichtlich ist, aber was soll dann ein Gegenangriff noch bringen? Rache, ja, aber mehr nicht.


Aber gehen wir mal davon aus, dass ein anhaltender und offensichtlich erfolgreicher Cyberangriff beobachtet wird, dann ist das erste Problem -- und das wird von den Kritikern auch immer wieder aufgeführt -- die Attribution, d. h. zu erkennen wer denn eigentlich angreift. Und das ist in der digitalen Welt gar nicht so einfach. Es ist möglich (dies[1] ist ein sehr guter Artikel dazu), aber das ist aufwendige Detektivarbeit die Zeit benötigt. Eine zuverlässige Attribution während eines andauernden Cyberangriffs ist extrem unwahrscheinlich.


Befürworter von Hackback führen meistens zwei Hauptziele auf: Erstens die angreifenden Systeme zu zerstören, und zweitens bereits gestohlene Daten zurückzuerobern. Dass auch nur eines von beiden erfolgreich sein könnte, ist aber leider auch extrem unwahrscheinlich:


Anders als in der analogen Welt kann man in der digitalen Angriffe fahren, ohne selbst auch nur die geringste Angriffsfläche zu bieten (Stichwort: Keine offenen Ports oder Dienste). Selbst wenn man also einen Angreifer erkennt, müsste dieser sich schon extrem dumm anstellen, wenn er selbst ausnutzbare Schwächen anbieten würde. Die einzige einigermaßen realistische Option wäre, den Gegner mit einem DDoS-Angriff vom Netz zu nehmen, aber abgesehen von den Schwierigkeiten eines solchen Plans: Was würde das bringen? Ein gut vorbereiteter Angreifer hätte eine oder mehrere Kopien des angreifenden Systems und würde es einfach an einem anderen Ort neu in Stellung bringen. Das geht innerhalb von Sekunden.


Die zweite Motivation, das "Zurückstehlen" von Daten, ist so naiv dass mir fast die Worte fehlen. Gestohlene digitale Daten sind weg. Schlicht und ergreifend. Für den Angreifer ist es trivial diese an mehrere sichere Orte zu kopieren. Er müsste sich schon extrem dämlich anstellen, wenn er sich wieder etwas zurückstehlen lassen würde.



"Hackback" ist eine Illusion. Die Diskussion sollte viel eher darüber gehen, ob und in welchem Umfang unser demokratischer Rechtsstaat selbst zu offensiven Cyberangriffen in der Lage sein sollte. Und dafür gibt es viele gute Gründe: Informationsgewinnung, Aufklärung, Vorbeugung (und ja, das muss gegenüber den Risiken abgewogen werden). Aber offensive Fähigkeiten mit "Hackback" argumentieren zu wollen ist entweder unaufrichtig oder schlecht informiert.



[1] http://www.sueddeutsche.de/digital/it-sicherheit-na-wer-hat-hier-gehackt-1.3772873