Cyber­b­atman

Cyber­b­atman oder Selbst­justiz im Internet

Das Internet ist ein merk­wür­diger Ort. In der digi­talen Rea­lität scheinen die Uhren anders zu ticken; die Technik hilft bei dis­rup­tiven Geschäfts­mo­dellen und bringt Neue­rungen, mit denen keiner gerechnet hat. Ein neuer Trend ist der zum dis­rup­tiven Rechts­ver­ständnis; und, auch wenn ich kein Anwalt bin, das kann eigentlich nur schief gehen.

Ich beziehe mich auf For­de­rungen von Politik und Industrie, bei Cyber­an­griffen “zurück­schlagen” zu dürfen. Hier ist als Bei­spiel ein Spiegel Online-Artikel , wo sich Ver­fas­sungs­schutz­prä­sident Maaßen bezüglich der Cyber­ka­pa­zi­täten Deutsch­lands wie folgt äußert: “Wir halten es für not­wendig, dass wir nicht nur rein defensiv tätig sind. […] Sondern wir müssen auch in der Lage sein, den Gegner anzu­greifen, damit er aufhört, uns weiter zu atta­ckieren.”.

Es gibt genügend Zitate, die in eine ähn­liche Richtung zielen, sowohl aus Deutschland (“Wenn wir iden­ti­fi­ziert haben, woher ein Cyber-Angriff kommt, müssen wir ihn auch aktiv bekämpfen können.”, de Mai­zière) als auch aus dem Ausland, aus Politik und Industrie.

Das Thema bringt einige kri­tische Fragen mit sich, die unge­klärt sind. Ist das denn Notwehr, oder Selbst­justiz? Keine Frage, dass ein lau­fender Angriff geblockt und abge­wehrt werden muss; aber das Starten eines Gegen­an­griffs ist eine andere Kate­gorie. Dafür braucht man auch offensive Kapa­zi­täten, die normale Firmen nicht zur Ver­fügung haben — warum auch?

Welches Problem löst ein Gegen­an­griff? Der eigent­liche, ursprüng­liche Angriff wird dadurch nicht zwangs­läufig gestoppt. Der Angreifer ist meist nicht darauf ange­wiesen, dass bestimmte Web­seiten gerade funk­tio­nieren, so wie Firmen und deren Inter­net­auf­tritte. Server für Angriffe sind oft genug vir­tuell, und wenn eine vir­tuelle Maschine gekapert oder aus­ge­schaltet wird, weicht man auf eine andere Maschine aus.

Dann hat man auf Angrei­fer­seite sogar ein wei­teres wich­tiges Ziel erreicht: man hat weitere Res­sourcen des Opfers gebunden. Wer auch angreift, hat weniger Zeit für die Abwehr.

Wo man sich dabei im recht­lichen Raum aufhält, sollte man vorher prüfen oder prüfen lassen. Gesetze schützen in der west­lichen Gesell­schaft jeden, und ein Angriff ist -unab­hängig von der Intention- ein Angriff. Wie gesagt, ich bin kein Rechts­anwalt. Batman ist auch ein gefei­erter Held und handelt außerhalb des Gesetzes, wenn er die Böse­wichte ver­folgt, ver­prügelt und dabei für mas­siven Kol­la­te­ral­schaden sorgt. Ande­rer­seits ist Batman aber auch nur eine Comic­figur.

Es gibt aber noch ein wesentlich stär­keres Argument, welches gegen einen Gegen­an­griff spricht: das der Zuordnung, oder Attri­bution. Was in der regu­lären Forensik schwierig sein kann, ist im Cyberraum nahezu unmöglich: innerhalb kurzer Zeit eine ein­deutige Iden­ti­fi­kation z.B. des Angreifers her­zu­stellen.

Ein Angriff über das Internet erfolgt so gut wie nie direkt; mehr­fache VPN-Tunnel, das Aus­nutzen von in vor­he­rigen Angriffen geka­perten Servern oder auch die Ver­wendung von Bot­netzen machen es dem Ange­grif­fenen ohne externe Hilfe unmöglich, den Angreifer zu ermitteln. Vielfach sind die offen­sichtlich angrei­fenden Maschinen selbst Opfer; wer also gewinnt bei einem Gegen­schlag?

Den Angreifern geht es heut­zutage kaum noch um das eigene Ego oder um Selbst­dar­stellung; diese Absichten treten zunehmend in den Hin­ter­grund und wirt­schaft­liche oder poli­tische Inter­essen herr­schen vor. Die Angreifer sind durchaus ergeb­nis­ori­en­tiert und denken wirt­schaftlich. Aus­schlag­gebend ist das Ergebnis. Wenn Nation A ein Wahl­er­gebnis einer anderen Nation B mani­pu­lieren will, damit der Wunsch­kan­didat dort regiert, dann ist das Ergebnis wichtig. Ob jemand danach weiß oder nicht, dass der Ver­ur­sacher Nation A war, tritt dabei völlig in den Hin­ter­grund; in dem Fall ist es sogar ein Bonus, wenn die genaue Quelle uner­kannt bleibt.

Für die Durch­führung haben die Angreifer mög­li­cher­weise sogar eine Infra­struktur, die aus­schließlich für diese eine Ope­ration da ist und danach nie mehr zum Einsatz kommt — je nachdem, wieviel Risiko und wieviel Gewinn zu erwarten ist. Letzten Endes haben eben auch kri­mi­nelle Orga­ni­sa­tionen ein gewisses Budget und denken über den Return of Invest nach.

Es gibt auch keine Ehre unter Dieben — ver­schiedene hoch­spe­zia­li­sierte Angrei­fer­gruppen ver­wenden mit­unter die Infra­struktur von tech­nisch weniger ver­sierten Klein­kri­mi­nellen, damit die digitale Spur bei jemand aufhört, der ein Motiv haben könnte. Diese Ver­schleie­rungs­tak­tiken kann man eben­falls mehrfach anwenden, und damit wird die Spu­ren­suche weiter erschwert.

Um also als Ange­grif­fener die Spur bis zum tat­säch­lichen Angreifer zurück­ver­folgen zu können, braucht man Mit­hilfe von Anderen (z.B. Pro­vidern etc.) und Ein­sicht in Log­files ver­schie­denster Platt­formen. Daten­schutz und Rechtslage in anderen Ländern machen die Aufgabe sehr schwer bis unmöglich, zumindest in ver­tret­barer Zeit.

Das Militär brauche keine Sicherheit von 100%, um einen Gegen­schlag aus­zu­führen, sagte die Cyber­se­curity-Spe­zia­listin Mara Tam anlässlich der Kon­ferenz “Tro­opers”; aber damit wird nur betont, dass -übrigens wie viel­leicht auch bei Hand­gra­naten, Panzern oder Kampf­hub­schraubern- für das Militär ins­gesamt andere Regeln gelten als für die Pri­vat­wirt­schaft.

Zu guter Letzt ist es meiner Meinung nach immer eine schlechte Idee, skru­pellose Geset­zes­brecher weiter zu pro­vo­zieren. Als Firma hat man davon nicht viel, außer viel­leicht mehr Ärger. Und wer braucht den schon?