Diskrepanz zwischen erwarteten und tatsächlichen Cyberattacken im Ukraine-Krieg

Diskrepanz zwischen erwarteten und tatsächlichen Cyberattacken im Ukraine-Krieg

„Eine zentralistische Cyberabwehr kann nicht alles schützen.“

Nach dem russischen Angriff auf die Ukraine fordern Sicherheitspolitiker verstärkt den Aufbau offensiver Cyberfähigkeiten in Deutschland. Dr. Sven Herpig, Themenfeldleiter für internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung (SNV), plädiert dagegen im c’t-Interview eher für eine breite, zivile Cybersicherheit.

c’t: Ukrainische Behörden haben Freiwillige in aller Welt aufgerufen, sich an Cyberattacken gegen Russland zu beteiligen. Halten Sie es für sinnvoll, dabei mitzumachen?

Dr. Sven Herpig: Nein. Natürlich könnten Freiwillige irgendwelche Ziele in Russland ärgern, aber das wird weit weg sein von kriegsentscheidend. Gleichzeitig ist es aus drei Gründen ziemlich gefährlich. Zum einen, weil sich die Personen, die sich daran beteiligen, selbst in das Fadenkreuz der Russen bringen. Zum anderen könnten einzelne dieser Operationen überhaupt nicht im Sinne der Ukraine sein oder auch die Bevölkerung in Russland treffen, die größtenteils nichts für diesen Konflikt kann.

Drittens: Solche freien Hacker dringen wahrscheinlich in Systeme ein, die wenig geschützt sind. Bei denen muss man davon ausgehen, dass zum Beispiel ukrainische oder westliche Nachrichtendienste bereits drin sind. So könnte die russische Seite erfahren, dass sie diese Systeme nicht ausreichend geschützt hat. Damit kann man indirekt die Zugänge von Nachrichtendiensten verbrennen, auf deren Seite man ja eigentlich steht.

c’t: Wie ist Deutschland in Bezug auf seine Cyberabwehr aufgestellt? In der Vergangenheit zeigten Cyberattacken von Kriminellen die Verwundbarkeit.

Herpig: Aktuell lautet die Frage, inwiefern die cyberkriminellen Gruppen, die vielleicht noch erbeutete, aber nicht abgearbeitete Zugänge in bestimmte Organisationen haben, diese priorisieren. Bei mehreren parallel auftretenden Vorfällen, zum Beispiel in Krankenhäusern, sind die staatlichen Ressourcen zur Unterstützung relativ schnell erschöpft.

c’t: Was müsste getan werden, um den Schutz zu verbessern?

Herpig: Ich denke, wir müssen subsidiär besser werden. Eine zentralistische Cyberabwehr kann nicht alles schützen. Man kann viel über Gesetzesänderungen sprechen oder über mehr Ressourcen für das BSI. Aber im Endeffekt müssen wir in der Breite besser werden. Wir brauchen mehr Mobile Incident Response Teams (MIRT), auch in den Bundesländern, die bei gleichzeitigen Vorfällen direkt vor Ort unterstützen. Auch im Bereich Kommunen müssen wir weitaus mehr tun.

c’t: Es gibt Stimmen, die fordern, die Bundeswehr zur bundesweiten Cyberabwehr einzusetzen.

Herpig: Ich bin der Meinung, dass eine zivile Cybersicherheit ausreichend ist. Die Bundeswehr soll ihre eigenen Systeme schützen, damit sind sie schon beschäftigt genug.

c’t: Warum sind Sie für eine zivile Cyberabwehr?

Herpig: Weil der zivile Bereich historisch gewachsen relativ stark aufgebaut ist. Er genießt mehr Vertrauen in der Breite der Organisationen, Firmen und der Bevölkerung. Aber auch, weil ein Großteil von Cyberoperationen nicht während eines Verteidigungsfalls stattfindet. Spionage, Sabotage, Überwachung und vor allem Cyberkriminalität sind alltägliches Geschäft. Ich halte es für völlig ungeeignet, das Militär daranzusetzen, wie es die USA teilweise machen. Das Militär ist nicht dazu da, um sich mit Cyberkriminellen herumzuschlagen oder Wirtschaftsspionage abzuwehren.

c’t: Wie bewerten Sie Forderungen danach, offensive Kapazitäten aufzubauen, also Cyberattacken oder Hackbacks?

Herpig: Für Cyberoperationen flankierend zu Auslandsmandaten gibt es schon eine Rechtsgrundlage. Der Bereich Hackback, also zum Beispiel das Degradieren von Fähigkeiten in ausländischen Netzen, ist ein komplexes Thema. Es kann Grenzfälle geben, wo eine offensive Cyberoperation vereinzelt zu einem temporären taktischen Erfolg führt. In fast allen Anwendungsfällen sind wir aber weitaus besser aufgestellt, wenn wir die wenigen vorhandenen Ressourcen, wie Fachkräfte, dafür einsetzen, um unsere Systeme abzusichern.

c’t: Brauchen wir offensive Cyberfähigkeiten nicht zumindest als Abschreckungspotenzial?

Herpig: Ich habe wenige bis keine Szenarien gesehen, wo Cyberoperationen abschreckende Wirkung haben. Gerade, wenn wir hier über eine Zeitenwende sprechen und Deutschland sich mit neustem Militär-Equipment ausstatten will. Das hat wahrscheinlich mehr abschreckende Wirkung, wenn man denn an Abschreckungstheorien glaubt. Die beste Abschreckung im Cyberraum bleibt weiterhin, dass die Gegner ihre taktischen Ziele nicht erreichen können. Und deswegen sollten wir auch daran arbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert