Mythos #12: Die beste Cyberverteidigung ist ein guter Cyberangriff.
Sven Herpig
Mythos: Die offensive Nutzung von Cyberfähigkeiten als Reaktion auf Cyberangriffe (gelegentlich auch als „Hackback“ bezeichnet) schreckt Kriminelle und (staatlich geförderte) Akteure ab und verbessert somit die Sicherheit für Regierungen, Unternehmen, kritische Infrastrukturen und Bürger*innen („Abschreckung durch Bestrafung“).
Stimmt’s? Die Vereinigten Staaten von Amerika gehören zu den führenden Ländern bei der Durchführung offensiver Cyberoperationen mit dem Ziel der Abschreckung von Gegnern. Die offensive Nutzung von Cyberfähigkeiten ist eine von vielen Optionen bei der Entscheidung, wie auf Cyberoperationen reagiert werden soll. Weitere Mittel sind politische und wirtschaftliche Sanktionen, Geheim‑ und militärische Operationen, strafrechtliche Anklagen sowie gezielte finanzielle Sanktionen gegen Einzelpersonen.
Wenn Abschreckung durch Bestrafung funktioniert, müsste es zu einem deutlichen Rückgang der Cyberoperationen gegen die Vereinigten Staaten von Amerika kommen, die indes jedoch nach wie vor unter umfangreichem Datendiebstahl und anderen Cyberoperationen (DNC, Blaupause des F-35 Stealth Fighters, OPM, Equifax) zu leiden haben. Da diese Strategie nicht zu funktionieren scheint, hat die US-Regierung ihre Politik von dem Versuch, einen Gegner durch Cybermittel abzuschrecken, auf die Durchführung von Cyberoperationen verlagert, um gegnerische Cyberoperationen gemäß der neuen strategischen Doktrin der „präventiven Verteidigung“ und des „ständigen Einsatzes“ bereits im Vorfeld zu verhindern.
Neben dem anscheinenden Scheitern des Prinzips von Abschreckung durch Bestrafung bestehen gewaltige Herausforderungen auch im Fall offensiver sofortiger Gegenmaßnahmen zur Störung laufender Angriffe oder zur Wiedererlangung „gestohlener“ Daten, sogenannter „Hackbacks“. Die Zuordnung eines Angriffs und die rechtzeitige Reaktion ohne vorherige Vorbereitung (beispielsweise sorgfältiges Scannen/Kompromittieren anfälliger Systemen) ist nahezu unmöglich. Derartige Strategien würden daher eher zu mehr IT-Unsicherheit führen, da die zuständigen Stellen Schwachstellen und Hackertools vorhalten müssten, ohne eine angemessene Chance auf deren erfolgreiche Nutzung zu haben.
Bis auf wenige Ausnahmen, darunter die angebliche Cyberkampagne von USA und Israel gegen nukleare Anreicherungsanlagen im Iran (Stuxnet), haben Cyberoperationen einen bestimmten Schwellenwert noch nicht überschritten und befinden sich daher derzeit eher am unteren Ende eines Eskalationszyklus. Andere Reaktionen wie beispielsweise Sanktionen und Gerichtsverfahren sind gegebenenfalls verhältnismäßiger und wirksamer und könnten daher bessere Ergebnisse bei der Abwehr bringen. Es existieren allerdings keine zuverlässigen Daten als Beleg, dass eine dieser Reaktionsstrategien eine dauerhafte (abschreckende) Wirkung erzielt.
Es ist schlicht nicht bewiesen, dass offensive Cyberabwehr funktioniert. Die Vereinigten Staaten von Amerika als Hauptakteur haben ihre Strategie von der Abschreckung auf die Verhinderung von Cyberoperationen umgestellt. Die Zuordnung von Cyberoperationen ist nach wie vor eine große Herausforderung. Eine forensische Analyse von Angriffen ist zeitaufwendig und verlangt Informationen über die Täter*innen, die zunehmend aus dem Code anderer Bedrohungsakteure (Vault7) zusammengesetzte Malware für False-Flag-Operationen einsetzen. Wenn die Identifizierung von Täter*innen nach wie vor schwierig bleibt, schrecken kaum Angreifer*innen von ihren Vorhaben zurück, da sie auf ihre Anonymität vertrauen können.
Stimmt also nicht! Der Einsatz oder die Androhung präventiver, offensiver Cyberfähigkeiten hindert den Gegner nicht daran anzugreifen. Der Einsatz besserer IT-Sicherheits‑ und Resilienzmechanismen hat nicht unbedingt abschreckende Wirkung („Abschreckung durch Zugangsverweigerung“), verringert jedoch die Erfolgswahrscheinlichkeit des gegnerischen Angriffs und erhöht somit die Sicherheit für Regierungen, Unternehmen, kritische Infrastrukturen und Bürger*innen.
Quelle: Sven Herpig, Anti-War and the Cyber Triangle: Strategic Implications of Cyber Operations and Cyber Security for the State, Dissertation, University of Hull (2015); Sven Herpig und Thomas Reinhold, Spotting the bear: credible attribution and Russian operations in cyberspace, Chaillot Paper 148 (2018), 33‑42.