Die Stiftung Neue Verantwortung (SNV) hat neun operative Normen für die "aktive Cyberabwehr" vorgestellt. Das umstrittene Konzept der "Hackbacks" wird dabei diskutiert. Hackbacks bezeichnen offensive Maßnahmen zur Bekämpfung von Cyberangriffen. Diese können jedoch zu einem umfassenden Cyberkrieg führen. Dennoch setzen immer weiterhin Regierungen auf dieses Instrument. Die SNV plädiert deshalb dafür, Standards für Maßnahmen gegen IT-Systeme im In- und Ausland zu definieren.
Länder wie die USA, Großbritannien, Australien & China haben bereits politische Rahmenbedingungen für eine aktive Cyberabwehr geschaffen oder entsprechende Operationen durchgeführt. Auch die deutsche Bundesregierung lehnt Hackbacks grundsätzlich ab, strebt jedoch die Schaffung einer Bundeskompetenz zur Gefahrenabwehr bei schwerwiegenden Cyberangriffen aus dem In- und Ausland an. Dabei sollen völkerrechtliche Pflichten und Normen für verantwortliches Staatenverhalten im Cyberraum berücksichtigt werden.
Die SNV möchte dabei helfen, Klarheit über verantwortungsvolles Verhalten in der operativen Ebene zu schaffen. So sollen vor allem das Risiko von Kollateralschäden und diplomatischer Eskalation verringert werden. Der erste Grundsatz des SNV-Vorschlags lautet daher: "Beantworten, nicht vergelten". Aktive Cyberabwehrmaßnahmen sollen immer eine Reaktion auf böswillige Hacking-Aktivitäten sein und diese neutralisieren oder abschwächen. Dabei muss zunächst klar sein wer der Gegner ist.
Die aktive Cyberabwehr sollte nur als letztes Mittel zum Einsatz kommen und tiefgreifende Operationen sollten vermieden werden, da diese nur kurzfristig die nationale Cybersicherheit optimieren jedoch langfristig wenig nachhaltigen Erfolg haben. Es ist daher wichtig; operative Räume zu priorisieren und sich auf die eigenen rechtlichen Zuständigkeitsbereiche zu konzentrieren. Zudem sollten Übergriffe auf unbeteiligte Parteien vermieden werden. Die Politik sollte zunächst politische rechtliche und aufsichtsrechtliche Rahmenbedingungen schaffen und dabei einen Schwerpunkt auf Folgenabschätzung & Transparenz legen.
Die SNV nennt als Anforderungen an eine operative Behörde technische Exzellenz operatives Fachwissen und die Bereitschaft sich strengen Rahmenbedingungen unter einer zentralen Autorität zu unterwerfen. Auch ein tiefes technisches Verständnis der Einsatzumgebung des Gegners ist wichtig. Die Maßnahmen sollten so begrenzt wie möglich sein und sich gezielt auf Dritte konzentrieren, insbesondere auf Lieferketten und kritische Infrastrukturen. Die eigenen Fähigkeiten sollten sorgfältig geplant, vorab getestet und ständig optimiert werden um Effizienz, Wirksamkeit und Verhältnismäßigkeit der Aktionen zu gewährleisten.
Kommentare