Bundespolizeigesetz: Innenministerium will Hackbacks einführen
Bislang war es vor allem die automatische Gesichtserkennung an Bahnhöfen und Flughäfen, die beim kommenden Bundespolizeigesetz für Aufsehen sorgte. Wie Netzpolitik.org enthüllt, versteckt sich in dem Entwurf aber noch ein heikler Passus: Die Einführung von Hackbacks – also dem staatlichen Gegenschlag bei Cyber-Angriffen.
Es ist ein Wunsch, den Vertreter der deutschen Sicherheitsbehörden seit Jahren äußern: Wenn ein Hacker-Angriff läuft, sollen Behörden zurückschlagen können. Die Idee ist äußerst umstritten. Nun will aber das Innenministerium unter Horst Seehofer (CSU) der Bundespolizei die entsprechenden Rechte einräumen.
In Systeme der Angreifer eindringen oder direkt lahmlegen
Sofern das Gesetz in dieser Form beschlossen wird, könnte die Behörde also bei Hacker-Angriffen über defensive Maßnahmen hinaus tätig werden. Möglich ist damit auch das Eindringen in IT-Systeme, um Daten zu erfassen und auch zu löschen. Konkret heißt es in dem Gesetzentwurf unter § 74 Abwehr von Cyberangriffen:
(2) Die Bundespolizei darf zur Abwehr einer gegenwärtigen Gefahr eines Cyberangriffs mit technischen Mitteln in informationstechnische Systeme, von denen der Cyberangriff ausgeht, 1. eingreifen, und 2. aus ihnen Daten erheben, übernehmen, löschen und verändern.
Außerdem legitimiert der Gesetzentwurf auch Maßnahmen, die „zu einer Überlastung, Nichtverfügbarkeit oder sonstigen Störung der Funktion der für den Cyberangriff genutzten informationstechnischen Infrastruktur führen“ – also etwa Denial-of-Service-Angriffe. Attackiert werden dürfen dabei nicht nur Systeme, von denen der Hacker-Angriff ausgeht, sondern auch die Systeme, über die die Attacke läuft – selbst wenn die jeweiligen Betreiber davon keine Kenntnis haben.
Hackbacks sollen demnach möglich sein, wenn „Leib und Leben einer Person“ in Gefahr und Grundlagen oder der Bestand von Bund und Ländern bedroht sind. Außerdem könnte die Bundespolizei bei Hacker-Angriffen auf kritische Infrastrukturen wie Energieversorger tätig werden.
500.000 Euro für den Kauf von Sicherheitslücken pro Jahr
Weitere Details finden sich in der Erläuterung zum Gesetzentwurf. Finanziell veranschlagt das Innenministerium für die Hackback-Realisierung demnach ein Budget im siebenstelligen Bereich. Für den Personalaufwand werden 1,7 Millionen Euro veranschlagt. Damit soll ein Team mit fünf bis acht hochqualifizierten Mitarbeitern aufgebaut werden, das im Bedarfsfall schnell eingreifen kann.
Jährlich sind zudem 450.000 Euro für Qualifizierungsmaßnahmen vorgesehen. 540.000 Euro will das Innenministerium alle drei bis fünf Jahre für neue Hard- und Software ausgeben.
Außerdem soll die Bundespolizei auch Sicherheitslücken kaufen oder von Partnerbehörden beschaffen können. Dafür ist ein Budget in Höhe von 500.000 Euro pro Jahr vorgesehen. Denkbarer Partner wäre hier Zitis, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Die Behörde wurde 2018 gegründet, um Überwachungswerkzeuge für andere Behörden zu entwickeln.
Warnung vor einem Dammbruch
Bei Netzpolitik.org warnt man bereits vor einem „Dammbruch“. Denn die Hackbacks sind äußerst umstritten. Es gibt sowohl verfassungsrechtlich als auch technisch massive Bedenken, wie auch aus einem im Frühjahr 2019 veröffentlichten Gutachten vom wissenschaftlichen Dienst des Bundestags hervorgeht, das ein Oberstleutnant der Bundeswehr verfasst hat.
Technisch gelten die Bedenken etwa für das Attributionsproblem – es ist äußerst schwierig, bei Hacker-Angriffen die Täter präzise zu identifizieren. Dementsprechend könnten bei einem Gegenangriff auch private oder öffentliche Einrichtungen als Kollateralschaden betroffen sein. Somit würden die Hackbacks nicht nur das gewünschte Ergebnis verfehlen, sondern auch noch „unintendierte Nebenfolgen haben“, wie es in dem Gutachten heißt.
Fraglich ist zudem der Umgang mit Sicherheitslücken. Der bekannte Vorwurf ist: Wenn der Staat diese hortet und nicht schließen lässt, können auch Dritte wie Kriminelle die Lücken ausnutzen. Außerdem sind es nur einmal benutzbare Mittel. Hat der Staat eine Sicherheitslücke ausgenutzt, kann ein Angreifer sich drauf einstellen.
In den kommenden Wochen dürfte es also noch eine ausgiebige Debatte über den Vorstoß geben. Interessant ist zudem, warum nun gerade die Bundespolizei das Recht für Hackbacks erhalten soll. Ursprünglich waren eher der Bundesnachrichtendienst (BND) oder die Bundeswehr im Gespräch.