Hacker aus aller Welt haben es nicht nur auf das Geld von Privatleuten und die Informationen in Unternehmen und Institutionen abgesehen, sondern auch auf systemrelevante Dienste – sie könnten Strom, Wasser, Verkehr oder Börse lahm legen. Reicht es aus, sich dagegen zu schützen – oder müsste ein Land wie Deutschland selbst in der Lage sein zu hacken? Diese Frage wird derzeit diskutiert.
Es ist zweifellos keine einfache Frage, wie man sich aufstellen sollte. Nur gute Verteidigung – oder auch gut im Angriff? Vielleicht muss man sich eine andere Disziplin anschauen, um sich eine Meinung zu bilden.
Warum haben alle Respekt vor dem FC Bayern München? Weil die Mannschaft so eine tolle Verteidigung hat – oder weil die Jungs so elegant Tore schießen können? Ich bin ein Fußball-Depp, aber habe den Eindruck, dass es nicht nur die Verteidigung ist, die den Bayern regelmäßig den Meistertitel beschert, sondern auch die Angriffsstärke.
Maaßen fordert die Möglichkeit zum „Hack Back“
Bei Thema Cyber-Angriffe setzen wir bislang ausschließlich auf Verteidigung, nicht auf Angriff. Angreifen, das tun nur die anderen. Wir (als Deutschland) gehören gefühlt zu den Guten und beschränken uns darauf, Angriffe von außen abzuwehren. Was nicht sonderlich gut gelingt, anderenfalls hätte es keine erfolgreichen Attacken auf Bundestag und Regierung gegeben, um nur zwei prominente Beispiele zu nennen.
Hans-Georg Maaßen, der Chef des Bundesamt für Verfassungsschutz, hat jetzt in einem ARD-Interview dafür geworben, Hackern durch Gegenangriffe das Handwerk zu legen. „Hack Back“ nennt sich das, wenn zurückgehackt wird. Dem ein oder anderen verschließt sich angesichts solcher Gedanken die Luftröhre: Wir sollen andere hacken? Bloß nicht. Dann sind wir ja nicht mehr besser als die anderen…
Angriff ist die beste Verteidigung
Ich bin geneigt, Hans-Georg Maaßen recht zu geben. Nur wer selbst hacken kann und darf, kann sich heute angemessen verteidigen. Wer Hacker abwehren will, darf nicht zimperlich sein – und muss notfalls tief in die Trickkiste greifen können. Neben dem rein praktischen Aspekt gibt es auch noch den der Abschreckung: Hat der Angegriffene glaubwürdig das Zeug dazu, mit denselben Mitteln zurückzuschlagen, überlegt sich der ein oder andere Angreifer, ob er das Risiko eingehen will.
Ja, natürlich: Das bedeutet eine Art von Hochrüstung. Aber letztlich erhöht es das Verständnis dafür, wie IT-Systeme funktionieren und welche Sicherheitsrisiken überall schlummern, wenn man sich theoretisch von allen Seiten nähert. Dazu gehört auch, konsequent durchzuspielen, was alles möglich ist – bei anderen, aber damit auch bei sich selbst. Nur wer Tore schießen kann, kann sich durchsetzen.
