Gibt es eigentlich eine systematische Aufarbeitung dessen, was in den als vertraulich gestempelten Dokumenten zum NSA-Untersuchungsausschuss drinsteht?

Ich frage deshalb, weil ich letztens den Tipp bekommen habe, mir mal die PDF „MAT A BMI-7-2i“ genauer anzuschauen. (Nur zur Erinnerung: Die brisantesten Dokumente finden sich nicht im Dump, nur VS-NfD-Dokumente, mehr dazu hier.) Dort finden sich ab Seite 330 sehr interessante Ausführungen zum Thema Hacking Back. Die Überschrift: „Möglichkeiten einer aktiven Verteidigung gegen lT-Angriffe“. Analysiert werden dort die rechtlichen Rahmenbedingungen, in einem 27-seitigen Papier des BSI aus dem Jahr 2010. Soweit ich das sehe, wurde das Papier nicht öffentlich diskutiert – auch nicht nach dem Wikileaks-Dump.

Das ist, wie ich finde, ein sehr interessantes Dokument. Viele der Fragen, die wir uns heute stellen und die noch nicht geklärt sind, wurden damals schon aufgeworfen. Eine Antwort in dem Sinne gibt es nicht, aber eben sehr konkrete Überlegungen. Ich gehe davon aus, dass sich die Begründungen in den vergangenen Jahren zwar geändert haben dürften, aber nicht so grundlegend, dass dieses Dokument dadurch obsolet würde. Also lohnt es sich, einen genaueren Blick hineinzuwerfen.

In einem internen Dokument – das BSI-Papier ist als Anhang hinzugefügt – wird auf Punkt 10 der Cybersicherheitsstrategie aus 2011 verwiesen (PDF). Außerdem sollen die Szenarien nur „theoretisch“ sein.

In dem Strategiepapier aus 2011 steht:

„Die Gewährleistung gesamtstaatlicher Sicherheitsvorsorge verpflichtet dazu, ein mit den zuständigen staatlichen Stellen abgestimmtes und vollständiges Instrumentarium für die Abwehr von Angriffen im Cyber-Raum zu schaffen.“

Vollständig ist dann wohl das Codewort für Hackback.

Das Papier wurde explizit in einer Art und Weise erstellt, „die Juristen eine fundierte Bewertung der Rechtslage“ erlauben soll. Also genau das, was derzeit debattiert wird. In der SZ berichtete Georg Mascolo hier.

Dort ist auch eine Stellungnahme zu finden, in der es heißt, dass Hacking Back „unter bestimmten Voraussetzungen verfassungs- und völkerrechtlich möglich“ ist (mit entsprechender gesetzlichen Grundlage).

Auf die Stellungnahme gehe ich gleich noch ein, zuerst Grundsätzliches.

Drei Maßnahmen werden diskutiert. Das Löschen der Daten, das Ausspähen der Infrastruktur und das Manipulieren von Rechnern.

Löschen: Sind Hacker in einem Netzwerk, werden die Daten nach außen geschleust. Meist gibt es dafür einen Server. Nennt sich Drop Zone. Das ist nicht, wo die Daten final landen werden, sondern ein erster Schritt. Da diese Server meist im Ausland liegen, dürfen Behörden darauf nicht zugreifen. Wollen sie aber dürfen – um zum Beispiel diese Daten von dort aus zu löschen.

Ausspähen: Die Trojaner der Hacker sind technisch oft genug schlecht geschrieben. Oder aber die Server haben Schwachstellen, die man ausnutzen kann. Das wären zwei Wege, über die man Hacker hacken kann. Vorteil: Verlässlichere Attribution.

Manipulieren: Rechner werden ausgeknipst, plattgemacht.

Am erstaunlichsten finde ich die Detailtiefe in Punkt 4.2 – dort wird skizziert, wie ein solcher Hack Back detailliert ablaufen kann. Zehn Punkte werden identifiziert. Vom reinen Scannen, um Schwachstellen zu finden, bis hin zum Installieren einer Spionagesoftware und dem „Vergiften“ von Datensammlungen. Mir ist nicht klar, was damit gemeint ist. Ich gehe aber davon aus, dass damit gemeint ist, ein an sich legitimes Set an Daten mit gefälschten Daten zu füttern.

Da es ein Dokument ist, das Juristen vorgelegt werden sollte (wurde?), sollte man sich die Szenarien wohl als Katalog vorstellen, nicht als Wunschliste. Dennoch krass, dass allen Ernstes eine Hackback-Maßnahme ins Spiel gebracht wird, wenn Mitarbeiter des Auswärtigen Amtes einen Trojaner per Mail bekommen (5.2.1, Beispiel 3).

Ein paar Anmerkungen zur Stellungnahme, die nicht Teil des BSI-Papiers ist, sondern im BMI-Dokument steht:

  • IT-Angriffe werden „in der Regel nicht als bewaffneter Angriff“ gewertet, vor allem aber ging man 2010 noch davon aus, dass solche Angriffe von „nicht-staatlichen“ Akteuren ausgehen würden. Einschränkend heißt es noch, dass es schwer werden könnte, die Verbindung zwischen Hacker und Staat zu beweisen.

Finde ich deshalb spannend, da wir in den vergangenen Jahren fast ausschließlich über Angriffe sprechen, die in irgendeiner Form mit Nationen zu tun haben (ob das nun durch finanzielle Mittel für kriminelle Gruppen geschieht, die ihre besten Angriffswerkzeuge für Staaten vorbehalten oder aber durch das Aufbauen dezidierter Teams ist egal.) Dass die Attribution schwierig ist, wird zwar von allen Seiten betont, aber das wirkt oft genug wie ein Rückzug auf sicheres Terrain.

  • Staaten, von deren Gebiet ein Angriff ausgeht, müssen „aktive IT-Abwermaßnahmen dulden“. Der Staat ist in dieser Sicht eine geschlossene Einheit, die für alle Geräte verantwortlich sein _muss_, da sie in deren Hoheitsgebiet fällt. Aber heute wissen nicht einmal die meisten Firmen, welche Geräte sie ans Netz angeschlossen haben.

Das hieße aber auch: Technologischere Staaten müssen eher dulden, dass fremde Dienste und Hackertruppen bei ihnen vorbeischauen. Schließlich gibt es dort mehr IT, damit mehr Unübersichtlichkeit, und auch mehr Schwachstellen, die ausgenutzt werden könnten.

„Die herrschende Meinung sieht dies jedoch bislang anders“ heißt es in der Stellungnahme. Aber man war schon damals unzufrieden darüber.

  • Die Gesetzgebungskompetenz für Hacking-Back-Maßnahmen liege „grundsätzlich bei den Ländern“. Außer es geht um den Schutz der Netze und Einrichtungen des Bundes und der Kritischen Infrastrukturen.
  • Wer diese Angriffe durchführen soll, wird nicht beantwortet. Lediglich, dass die „Organisationseinheiten“ dem BMI angesiedelt werden könnten. Und dass auch CNO-Einheiten der Bundeswehr in Frage kämen.

Weiter unten wird dann ausgeführt, dass für jene Fälle, in denen Hacking Back auf Bundesebene stattfinden soll, die Kompetenz bei der Bundespolizei liegen könnte. Wörtlich:

„Soweit die Kompetenz für aktive Netzverteidigungsmaßnahmen, die in der Sache eine Aufgabe der polizeilichen Gefahrenabwehr sein dürfte, beim Bund liegt, erscheint – da das BKA strukturell mit anderen Arten von Aufgaben betraut ist – eine Betrauung der BPOL mit dieser Aufgabe nicht fernliegend.“

In der völkerrechtlichen Einschätzung kommt das Innenministerium zu folgendem Urteil:

„Nach wohl noch immer deutlich h. M., die jedoch in Bewegung ist, ist hierfür ein Einsatz herkÖmmlicher Waffengewalt erforderlich. Die Nutzung von lT-Hardware und Software als „Angriffsmittel“ wird von der h. M. (herrschende Meinung, Anm. von mir) nicht als Benutzung von Waffen angesehen. Differenzierende Auffassungen sind aber im vordringen begriffen.

Unabhängig davon besteht jedoch Einigkeit, dass gegenüber einem lT-Angriff, der in seiner lntensität unterhalb eines Angriffs im Sinne von Art. 51 UN-Charta und unterhalb eines Verstoßes gegen das Gewaltverbot liegt, nach dem Völkerrecht eine Reaktion hierauf mit wesensgleichen Mitteln jedenfalls im Grundsatz möglich ist.

[usw. usf.]
Darüber hinaus richtet sich die Selbstverteidigung auch bei Reaktion auf einen nicht-staatlichen Angriff immer auch gegen den Host-Staat, d.h. von dessen Territorium der Angriff ausgegangen ist: Es kommt zu Eingriffen in dessen Gebietshoheit. Diese sind unzulässig, wenn der lT-Angriff dem Host-Staat nicht zumindest auch (neben den eigentlichen Urhebern) zugerechnet werden kann. Dafür müsste dem Host-Staat das Operieren der nicht-staatlichen Akteure von seinem Gebiet aus bekannt sein, ohne dass er (trotz Möglichkeit hierzu) etwas hiergegen unternimmt.“

Alles in allem ein sehr lesenswertes Dokument, wie ich finde. Falls ihr mehr Kram findet im NSA-UA Dump von Wikileaks, was man sich mal genauer anschauen könnte und sollte: immer her damit.

hatr