Umstrittene Cyber-Gegenwehr
Hackback: Was soll der Staat dürfen?
Staatliche Befugnisse beim Abwehren digitaler Angriffe sind ein kontroverses Thema. Der Koalitionsvertrag der Ampelregierung lehnt Hackbacks ausdrücklich ab. Doch Bundesinnenministerin Nancy Faeser (SPD) will offensive Cybermaßnahmen ermöglichen. Ob es deutschen Behörden erlaubt sein soll, Sicherheitslücken in fremden IT-Systemen heimlich auszunutzen oder gar selbst zu schaffen, ist heiß umstritten.
Cyberangriffe haben für die deutsche Wirtschaft allein im Jahr 2022 einen Schaden von knapp 206 Milliarden Euro verursacht, berichtete der IT-Wirtschaftsverband Bitkom vor wenigen Wochen. Diese Zahl scheint zwar hoch gegriffen, aber fest steht: Es gibt immer mehr Netzangriffe und immer höhere Schäden. Dabei ist hochprofessionelle organisierte Kriminalität maßgeblich am Werk. Das betonen die Sicherheitsbehörden immer wieder und verweisen dabei auf Ermittlungserfolge der vergangenen Jahre. Die vielleicht meist gelobte Aktion, die das Bundeskriminalamt (BKA) im digitalen Raum je ausgeführt hat, richtete sich gegen ein ausgeklügeltes System von Schadsoftware, die unter der Bezeichnung Emotet bekannt wurde [1]. Frühestens seit 2014 hat diese Abertausende von Rechnern infiziert. Dabei nutzte sie immer neue Methoden, um nicht entdeckt zu werden.
Das Emotet-Konzept gilt als so gefährlich, weil die Basistrojaner nahezu beliebig Schadmodule nachladen können. Doch damit war 2021 Schluss: Im Januar übernahmen die Ermittlungsbehörden in einer internationalen Operation zunächst die Infrastruktur; das BKA ließ infizierte Rechner nur noch mit kontrollierten Command- und Control-Servern kommunizieren. Im April machten die Kriminalbeamten Emotet dann „auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar“, wie es heißt. Ein großer Erfolg? Schon wenige Monate später tauchten Trojaner der gleichen Art wieder auf [2,3].