Offensive im Dienst der Defensive
Die deutsche Debatte über Cyberabwehr hinkt den internationalen Entwicklungen hinterher. Die neue Bundesregierung sollte einen zeitgemäßen Ansatz entwickeln.
Die Unionsparteien hatten sich im Wahlkampf 2025 für eine aktive Cyberabwehr und erweiterte Kompetenzen für das Bundeswehr-Kommando „Cyber- und Informationsraum“ stark gemacht. Im Koalitionsvertrag mit der SPD heißt es: „Im Rahmen des verfassungsrechtlich Möglichen bauen wir unsere Fähigkeiten zur aktiven Cyberabwehr aus.“
Die Ambition ist nicht neu: Seit 2015 werden in Deutschland die aktive Cyberverteidigung und offensive Cyberoperationen meist unter dem Begriff „Hackback“ diskutiert. Die hypothetische Idee dahinter war bisher, dass man einen laufenden Cyberangriff durch einen „Live“-Eingriff auf Server der Angreifer verhindern könne, im Sinne der zivilen Gefahrenabwehr. Das Bundesinnenministerium entwickelte ein vierstufiges Intensitätsmodell für offensive Gegenreaktionen auf Cyber-
angriffe, beginnend mit der Umleitung des Datenverkehrs von bösartigen IP-
Adressen über die Beschlagnahmung von Domänen bis hin zur Datenmanipulation auf Command- and Control-Servern (C2) zur Steuerung von Cyber-Angriffen und schließlich deren Ausschaltung. Die letzten beiden Stufen wurden als „ultima ratio“ konzipiert. Den Hintergrund bildeten völkerrechtliche und verfassungsrechtliche Überlegungen, nach dem sich ein Einsatz von Gewalt gegen ausländische Systeme in Friedenszeiten verbietet. Die Maßnahmen wurden aufgrund rechtlicher und operativer Bedenken bisher nicht eingeführt, auch aus Sorge vor Eskalation und nicht-intendierten Kaskadeneffekten.
Derzeit findet weltweit ein Wandel von rein defensiven Cybersicherheitsstrategien zu offensiveren statt
Mit der Bundestagswahl 2021 und der Ampel-Koalition, die in ihrem Koalitionsvertrag „Hackbacks“ eindeutig ablehnte, war das Thema erst einmal vom Tisch. Die nationale Sicherheitsstrategie von 2023 erwähnt vage die Stärkung von Cyberfähigkeiten und die Bündelung von Kompetenzen auf Bundesebene. Allerdings würde eine Kompetenzverlagerung von den Ländern zum Bund bedeuten, dass bei Entscheidungen über die zivile Gefahrenabwehr eine Zweidrittelmehrheit im Parlament nötig wäre. Alternativ wird überlegt, die Bundespolizei zu befähigen. Beides scheint aufgrund unklarer politischer Mehrheiten aktuell so ungewiss wie schon während der Ampel-Regierung. Denkbar ist jedoch, dass diese Maßnahme mit anderen im Raum stehenden Grundgesetzänderungen gebündelt wird, etwa zur Reaktivierung der Wehrpflicht im Kontext der Erhöhung der zivilen Verteidigungsfähigkeit/Kriegstüchtigkeit der Gesellschaft.
In der Zwischenzeit hat sich jedoch die internationale Debatte um die aktive Cyberabwehr weiterentwickelt. Russlands Krieg gegen die Ukraine zeigt, dass Cyberoperationen ein etabliertes Mittel der Kriegsführung geworden sind. Damit einher geht die Proliferation von Cyberkriegsführung durch Hacktivisten, Kriminelle und aggressive Nachrichtendienste gegen Opportunitätsziele und unbeteiligte Dritte. Viele Länder sowie die NATO und die Europäische Union haben bereits Lehren daraus gezogen: Zwar sind Cyberfähigkeiten allein kaum kriegsentscheidend, sie sind aber ein wichtiges Werkzeug im Verbund mit konventionellen Fähigkeiten. Ihr Wert auf dem physischen Schlachtfeld liegt im Bereich der Aufklärung gegnerischer Einheiten und Ambitionen sowie der Störung gegnerischer Logistik und Führungsfähigkeiten.
In der Folge findet weltweit ein Wandel von defensiven zu offensiveren Cybersicherheitsstrategien statt. Das ohnehin schon offensiv aufgestellte Frankreich etwa will sein militärisches Cyberkommando von 3400 Dienstposten auf 5000 aufstocken. Finnland, das bisher über rein defensive Fähigkeiten verfügte, erwägt, diese um offensive Fähigkeiten zu erweitern. Indien und Japan haben ähnliche Ziele formuliert. In Schweden diskutiert die rechtskonservative Regierung eine militärische Cyberdoktrin. Auch die dänische Cybersicherheitsstrategie sieht eine Aufwertung der offensiven Fähigkeiten vor. Die Niederlande wollen ebenfalls ihr Cyberkommando personell, finanziell und in der operativen Schlagfertigkeit stärken. Die Liste ließe sich fortsetzen.
Vor diesem Hintergrund wird deutlich, dass die deutsche Debatte nicht mehr auf dem aktuellen Stand ist. Hierzulande werden weiterhin implizit zwei Ziele diskutiert: das der Prävention, also der Verhinderung laufender, schwerwiegender Angriffe, und das der Abschreckung durch Vergeltungsandrohung. Die Praxis zeigt, dass beide Ziele mit aktiver Cyberabwehr nach bisheriger deutscher Vorstellung kaum zu erreichen sind.
Konstanter Kontakt
Hilfreich ist deshalb der Blick auf die Erfahrungen jener Nationen, die einen offensiveren Ansatz bereits umgesetzt haben. Die erste Lehre ist, dass ein rein reaktiver Ansatz, der offensive Cyberfähigkeiten nur als Reaktion auf besonders schwerwiegende Cyberangriffe vorsieht und erst dann versucht, diese zu vereiteln, wenn andere Mittel versagt haben („ultima ratio“), in der Praxis kaum funktioniert. Die USA, Großbritannien und Frankreich haben zwar in der Vergangenheit diese Form der „aktiven Verteidigung“ verfolgt, haben sie aber mittlerweile zugunsten des Paradigmas des „konstanten Kontakts“ aufgegeben. Das hat mehrere strategische, technische und operative Gründe.
Schwerwiegende Vorfälle sind tatsächlich eher selten. Aber auch mit vielen kleineren Operationen geringerer Intensität lassen sich strategische Effekte erreichen (Taktik der „tausend Nadelstiche“). Erst bei schwerwiegenden Vorfällen zu reagieren, wenn also „die Lichter ausgehen“, ist nicht sinnvoll. Hinzu kommt: Cyberoperationen brauchen viel zeitlichen Vorlauf, in der Regel mehrere Wochen, weil die Zielsysteme und Angriffsvektoren identifiziert werden müssen. Will man einen Angreifer genau in dem Moment stoppen, in dem er einen stark schädigenden Effekt auslöst, muss man idealerweise schon vorher in den C2-Server eingedrungen sein, von dem aus der Angriff gesteuert wird. Zudem muss man die Funktionsweise des Servers erforscht, seine defensiven Maßnahmen überwunden und Administrationszugang erreicht haben, um etwaige Angriffsbefehle zu stoppen. Die Forschung zeigt recht deutlich, dass Cyberoperationen aufgrund des zeitlichen Vorlaufes als spontanes Vergeltungsmittel auf andere Cyberangriffe kaum geeignet sind.
Auch aus technischen Gründen ist es meist nicht sinnvoll, gegnerische Server auszuschalten. Angreifer verwenden in der Regel eine redundante Angriffsinfrastruktur und wechseln ihre Angriffssysteme dynamisch aus (ein Beispiel dafür ist DNS Fast Flux). Technologien wie Virtualisierung, Automatisierung und „As a service”-Infrastrukturen für Cyberangriffe erleichtern das Vorhalten redundanter Angriffsinfrastruktur binnen Sekunden. Wenn also ein Angriffsserver durch aktive Cyberabwehr deaktiviert wird, tauchen wie bei der griechischen Hydra binnen weniger Sekunden schnell zehn neue auf.
Deswegen zeigt die Praxis, dass konstanter Kontakt erforderlich ist. Wenn die aktive Cyberabwehr funktionieren soll, müssen in der Theorie gegnerische Angriffsinfrastruktur laufend infiltriert und die Aktivitäten des Gegners dort konstant überwacht werden. Die Verhinderung von gegnerischen Angriffen beziehungsweise unerwünschten Effekten ad hoc, also ohne vorherige Vorbereitung, ist in vielen Fällen schlicht nicht plausibel.
Durch Automatisierung und das hohe Angriffsvolumen ist es zudem sehr schwierig, alle Angriffe zu verhindern. Dazu sei erwähnt, dass China und Russland hunderttausende Mitarbeiter in ihren Nachrichtendiensten beschäftigen. Von ihnen dürften Tausende mit offensiven Cyber-
operationen beauftragt sein, auch wenn wir die genauen Zahlen nicht kennen – mehr Personal für die Offensive also, als alle europäischen Staaten zusammen aufbringen können. Daneben gibt es Tausende
Cyberkriminelle und Hacktivisten, die teilweise im Staatsauftrag agieren.
Die Erfahrungen in der Cyberabwehr im Ukrainekrieg zeigen, dass es auch auf dem digitalen Schlachtfeld eine sogenannte „force ratio“ gibt, also eine Zahl, die das nötige Truppenverhältnis beschreibt, das benötigt wird, um gegnerische Angriffskräfte erfolgreich zu binden. Es braucht also eine bestimmte Anzahl von digitalen Gegenangreifern, um Cyberattacken des Gegners standhalten zu können. Allein durch die numerische Überlegenheit ist es daher für Deutschland allein nicht plausibel, alle Cyberangriffe des Gegners mit eigenen Gegenangriffen stoppen zu wollen. Totale Verteidigung gegen alle Angriffe ist kein realistisches Ziel.
Kampagnen-Mindset
Die zweite Lehre alliierter Partner im Einsatz offensiver Cyberoperationen ist, dass kurzfristige, taktische Effekte wie das Ausschalten von Servern weniger sinnvoll sind als ein langfristiger Ansatz, der versucht, das gegnerische Angriffsverhalten zu beeinflussen und davon zu lernen. Man gewinnt wenig, wenn man gegnerische Angriffsserver ausschaltet, nur damit der Gegner diese dank Virtualisierung schnell wieder rekonstituieren kann. Erfahrene Cybermächte sprechen hier von einem „Kampagnen-Mindset“, das die eigenen offensiven Operationen beziehungsweise eine aktive Cyberabwehr prägt. Der Fokus liegt auf langfristigen Zielen: die Beobachtung des Gegners und das Lernen von seinen Angriffsmustern über verschiedene IT-Sicherheitsvorfälle hinweg. Es gilt, einzelne Cyberoperationen des Gegners in den größeren Zusammenhang einer Cyberkampagne einzuordnen.
Die Erfahrung zeigt, dass Cyberoperationen oft nach definierten „Playbooks“ ablaufen, dass also immer wieder ähnliche Angriffsroutinen eingesetzt werden. Angreifer nutzen favorisierte Tools und handeln nach Mustern, ihr Verhalten wird antizipierbar. Wenn man die Kenntnis von Angriffsplaybooks mit psychologischem „Profiling“ der Angreifer kombiniert, kann die Verteidigung sprichwörtlich „vor die Kurve“ kommen und sich auf die nächsten Schritte einer Angriffskampagne einstellen. Technisch sollen die „tools, tactics & procedures” (TTP) der Angreifer verstanden sowie “indicators of compromise” gesammelt werden, zum Beispiel die IP-Adressen von Angriffssystemen, Schadsoftwaresignaturen und andere Indizien, um diese Informationen in die eigene Defensive einzuspeisen.
Zahlreiche mit Deutschland verbündete Cybermächte verfolgen heute nicht mehr explizit das Ziel der Abschreckung durch Vergeltungsandrohung
Damit eine aktive Cyberabwehr mit Fokus auf einen Kampagnen-Mindset erfolgreich ist und strategischen Nutzen bringt, müssen also einige Bedingungen erfüllt sein: So bedarf es neben technischem, forensischem Personal auch verschiedener Analysten, Linguisten und Psychologen, die den Gegner kontinuierlich beobachten. Bei der Operation „Endgame“, die das Bundeskriminalamt (BKA) 2024 federführend leitete, wurde dieser Kampagnenansatz erfolgreich gegen Cyberkriminelle angewendet. Auch hier zeigte sich: Es wird Personal mit diversen Hintergründen aus verschiedenen Behörden benötigt, da Nachrichtendienste, Polizeien und Militärs unterschiedliche Fähigkeiten mitbringen.
Zudem muss die Cyberoffensive mit der -defensive zusammenarbeiten, damit die aktive Cyberabwehr einen strategischen Nutzen hat. In der Industrie spricht man von einem „Purple team“-Ansatz, der Angreifer (rot) und Verteidiger (blau) mischt. Das Wissen, das bei offensiven Cyberoperationen über den Gegner gewonnen wird, muss in die eigene Verteidigung einfließen, damit die Verteidiger sich auf künftige Angriffe des Gegners vorbereiten können. Versickert das Wissen in nachrichtendienstlichen Informationssilos und wird nicht geteilt, ist nichts gewonnen.
Gewinne verwehren
Die dritte Lehre ist, dass Cyberabschreckung anders gedacht werden muss. Abschreckung zielt auf eine Änderung der Kosten/Nutzen-Analyse des Angreifers mit dem Ziel, ihn gänzlich von Angriffen abzubringen, weil die zu befürchtenden Kosten einer Gegenreaktion (in Form von Sanktionen oder Cybergegenreaktionen) schwerer wiegen als der zu erwartende Nutzen. Auch wenn viele EU-Staaten die Abschreckung von Cyberangriffen als Ziel ihrer Cybersicherheitsstrategien nennen, gibt es in der Praxis wenig Indizien, dass dies gelingt. Auch die Forschung ist skeptisch, dass Cyberabschreckung funktioniert, da die Parameter des digitalen Raums komplett anders funktionieren als etwa bei der nuklearen Abschreckung.
Zahlreiche mit Deutschland verbündete Cybermächte verfolgen heute nicht mehr explizit das Ziel der Abschreckung durch Vergeltungsandrohung. Die Praxis zeigt: Das Verfügen über offensive Cyberfähigkeiten schreckt Gegner nicht ab, und auch die Drohung mit Cyberoperationen als Vergeltungsschlag für einen Angriff bringt wenig. Das liegt unter anderem daran, dass der Cyberspace gegenwärtig strukturell offensiv-dominant ist, weil es so viel unsichere Software und ausnutzbare Sicherheitslücken gibt und dadurch Angriffe einfach und kostengünstig sind; zudem sind die erwarteten Vorteile und Gewinne von Cyberoperationen sehr lohnend. Unter diesen Bedingungen funktioniert die Abschreckung gegnerischer Angriffe nicht.
Aus dieser Analyse ergeben sich drei Handlungsmöglichkeiten: die Kosten für Cyberangriffe zu erhöhen, etwa durch bessere IT-Sicherheit („deterrence by denial“) eine effektivere Bestrafung anzustreben (durch stärkere Cybersanktionsregime oder glaubwürdigere Vergeltungsandrohung) oder die Gewinne zu reduzieren.
Letzteres ist der Ansatz, den erfahrenere Cybermächte verfolgen. Es geht also nicht mehr primär darum, Angriffe vollends zu verhindern, sondern die strategischen Gewinne, die daraus generiert werden, zu neutralisieren: Sind Angreifer etwa auf sensible Daten aus, dann werden ihnen manipulierte Daten untergeschoben, aus denen sich kein nachrichtendienstlicher Gewinn ziehen lässt (Täuschung). Ist das Ziel die Disruption, kann dieser Effekt durch effektive Backup-Strategien neu-
tralisiert werden (Cyberresilienz). Es geht also darum, neue Wege zu finden, dem Gegner die Gewinne aus seinen Angriffen zu verwehren.
Handlungsempfehlungen
Vor dem Hintergrund offensiverer Cybersicherheitspolitik sollte die neue Bundesregierung insbesondere die folgenden Punkte berücksichtigen: Es ist unwahrscheinlich, dass autokratische Staaten ihre Cyberoperationen freiwillig begrenzen. Deshalb ist es umso wichtiger, dass die westlichen Demokratien eine Alternative entwickeln und offensive Operationen auch in Friedenszeiten nach demokratischen und ethischen Prinzipien gestalten.
Die Cyberdiplomatie muss sich an die hybride Bedrohungslage anpassen und braucht neue Instrumente. Dazu können neue Sanktionstypen gehören, etwa gegen spezifische Industriesektoren, aber auch Cyberoperationen gegen russische oder chinesische C2-Infrastruktur.
In Deutschland sollte offen darüber diskutiert werden, was man unter „verantwortlicher Cyberoffensive“ versteht, so wie einige Partnerstaaten das seit Jahren tun. Um Kollateralschäden und Kaskaden-
effekte zu verhindern, sollten Cyberoperationen zielgerichtet und maßgeschneidert angelegt werden. Zudem sollten sie vor dem Einsatz auf „Cyberranges“ getestet werden. Dabei handelt es sich um simulierte Testumgebungen. Zur Begrenzung von Kollateralschäden sollte auf automatisierte Verbreitungsmechanismen („Würmer“) verzichtet werden.
Sinnvoll ist der Einbau technischer Notabschaltungen, um etwa eine Schadsoftware aus der Ferne stoppen zu können. Auf die Nutzung von „Zero-Day“-Sicherheitslücken sollte verzichtet werden, wenn sich daraus Risiken für die eigene Gesellschaft oder für Verbündete ergeben. Allerdings braucht Deutschland, wie andere verantwortungsbewusste Cybernationen auch, ein Schwachstellenmanagement. Ein solches umzusetzen wurde bisher versäumt. Im Übrigen gilt: Offensive Strategien sind kein Ersatz für Investitionen in die defensive Cybersicherheit. Das langfristige Ziel muss sein, das Grundproblem der Offensiv-
dominanz, nämlich zu viele Sicherheitslücken in Hard- und Software, zu beheben.
Verantwortungsvolle Cyberoperationen sollten sich allein gegen gegnerische C2-Systeme richten, nicht aber gegen zivile und vor allem kritische Infrastruktur. Wird diese vom Gegner als Schutzschild missbraucht, müssen negative Effekte und Serviceausfälle vermieden werden. Im bewaffneten Konflikt gelten selbstverständlich die Regeln des humanitären Völkerrechts. Die Zielplanung und Operationsführung sollten interdisziplinär sein und neben der juristischen Einschätzung auch eine politische Risiko- sowie eine technische Analyse der (nicht-intendierten) Folgeeffekte umfassen. Und: Die Offensive muss im Dienst der Defensive stehen.
Der Einsatz offensiver Fähigkeiten sollte von einer Kommunikationsstrategie begleitet werden. Dazu gehört auch die Veröffentlichung der eigenen Cyberdok-
trin, die definiert, nach welchen Kriterien und Gesichtspunkten Cyberoperationen durchgeführt werden. Sehr vorbildlich sind in dieser Hinsicht Dänemark, Frankreich und Großbritannien. Die verantwortlichen Stellen der Länder legen recht deutlich dar, was sie unter verschiedenen Typen von Cyberoperationen verstehen und wann und wie sie diese einsetzen wollen. Transparenz statt absichtlicher Ambiguität sollte das Leitmotiv sein.
Internationale Politik 4, Juli/August 2025, S. 89-94
Teilen
Themen und Regionen
Artikel können Sie noch kostenlos lesen.
Die Internationale Politik steht für sorgfältig recherchierte, fundierte Analysen und Artikel. Wir freuen uns, dass Sie sich für unser Angebot interessieren. Drei Texte können Sie kostenlos lesen. Danach empfehlen wir Ihnen ein Abo der IP, im Print, per App und/oder Online, denn unabhängigen Qualitätsjournalismus kann es nicht umsonst geben.