Cyberabwehr steht auf wackligen Beinen
Ist die Schweiz gerüstet gegen Cyberangriffe? Die gesetzliche Grundlage reicht nicht aus, um Bedrohungen unmittelbar begegnen zu können. Die Schweiz muss deshalb dringend eine Debatte führen, welche Angriffszenarien uns erwarten können und welche Kollateralschäden wir akzeptieren.
Der aktuelle russische Angriffskrieg markiert eine "Zeitenwende" und hat einen abrupten Wechsel der Wahrnehmung der internationalen Sicherheitslage zur Folge. Cybersicherheits-Fachleute weltweit warten mit Bangen auf ähnlich destruktive russische "Sonderoperationen" im Cyberraum, wie wir sie aktuell in der realen Welt auf ukrainischem Boden erleben.
Die "Zeitenwende" mag die Möglichkeit eines militärischen Angriffs auf die Schweiz aus dem Reservat des Undenkbaren vertrieben haben. Was uns allerdings mit deutlich gestiegener Wahrscheinlichkeit erwartet, sind Formen der hybriden Kriegsführung mit Auswirkungen auf die Cyber-Infrastruktur der Schweiz. Weitaus sinnvoller als eine Diskussion darüber, welche offensiven Massnahmen zur Cyberabwehr eingesetzt werden dürfen, ist dabei die Erarbeitung von konkreten Szenarien und Prozessen, um solchen Angriffen mit Schutzmassnahmen begegnen zu können. Doch dafür fehlt uns zum einen eine ausreichende gesetzliche Grundlage, um Bedrohungslagen im Cyberraum adäquat erfassen zu können.
Netzneutralität setzt Schranken
Um die Tragweite des Problems zu verstehen, hilft es, sich die konkret möglichen Eskalationsstufen der Cyberabwehr vor Augen zu führen. Beginnen wir mit dem "Normalzustand", der sich heute schon durch regelmässige Angriffsversuche vorab krimineller Akteure auszeichnet. Eine massgebende Abwehr-Instanz ist hier das Nationale Zentrum für Cybersicherheit (NCSC) und das darin angegliederte GovCERT (CERT steht für Computer Emergency Response Team) als technisches Analyseteam. Aktuell kann GovCERT beispielsweise Schadsoftware analysieren und damit verbundene "Command and Control Server" (C2-Server; gewissermassen die technische Infrastruktur eines Angreifers) identifizieren. Das GovCERT sammelt technische Informationen zu solchen C2-Servern und stellt diese den kritischen Infrastrukturen und Internet Service Providern (ISP) zur Verfügung. Die Empfänger können diese Informationen auf freiwilliger Basis zur Blockierung von schädlichen Datenströmen verwenden – es gibt aber keine rechtliche Verpflichtung. Dazu kommt, dass die ISPs gemäss Fernmeldegesetz (FMG) den Traffic im eigenen Netzwerk zwar grundsätzlich filtern dürfen, aber die Netzneutralität hier enge Schranken setzt. Nur bei einer nicht weiter ausgeführten "ausserordentlichen Lage" (Art. 48 FMG) darf der Bundesrat Einschränkungen des Fernmeldeverkehrs vorsehen.
Freiwilligkeit reduziert Missbrauch
Diese beispielhaft genannten Massnahmen wirken gewissermassen wie ein Skalpell. Sie haben kaum Auswirkungen auf das korrekte Funktionieren des Internets, reduzieren jedoch die Risikoexposition einer Organisation massgeblich. Nach Aussagen von Fachleuten ist die erwähnte Freiwilligkeit ausreichend, um in einer "normalen Lage" die Bedrohung durch klassische Cyberangriffe reduzieren zu können. Diese Freiwilligkeit und Kooperation zwischen Staat und Firmen im Rahmen einer Public-Private-Partnership hat zudem den Vorteil, dass das Risiko eines Missbrauchs dieser Massnahme (z.B. unzulässige Einschränkungen der Meinungsfreiheit oder der Netzneutralität) oder von Kollateralschäden stark reduziert wird, da in einem solchen Fall Organisationen aufhören würden, die Datensätze des Bundes zu nutzen.
Verbindliche Vorgaben für kritische Infrastrukturen
Doch was würde in einer "besonderen Lage" geschehen? Eine solche wäre beispielsweise charakterisiert durch verstärkte Operationen staatlicher Akteure, was im aktuellen Sicherheitsumfeld durchaus möglich ist. Dabei muss nicht einmal IT-Infrastruktur in der Schweiz selbst Ziel der Aktivitäten sein, denn die technische Natur des Internets wird mit hoher Sicherheit auch zu Kollateralschäden in der Schweiz führen (das Beispiel des mutmasslichen Angriffs auf einen Kommunikationssatelliten zu Beginn des Ukraine-Kriegs, der die Steuerung von Windkraftwerken in ganz Europa beeinträchtigte, verdeutlicht das exemplarisch). Hier sollte vom Grundsatz ausgegangen werden, dass der Staat auch in einer "besonderen Lage" möglichst lange in den bestehenden Strukturen mit den erfahrenen Teams weiterarbeitet – dafür aber deren Möglichkeiten und rechtlichen Grundlagen ausbaut. So sollte es dem NCSC erlaubt sein, kritische Infrastrukturen zwingend anzuweisen, bestimmten Netzwerkverkehr oder bestimmte Adresselemente zu blockieren, was aktuell rechtlich nicht möglich wäre. Ebenso wäre es denkbar, dass eine verbindliche Vorgabe zur Reduktion der Angriffsoberfläche gemacht wird (z.B. sehr schnelles Einspielen von Sicherheits-Patches, Geofencing, also das Abschotten des Internets gegenüber bestimmten Regionen, oder die Reduktion der gegen das Internet hin exponierten Dienste). Für solche Aktionen ist die gesetzliche Grundlage gelinde gesagt unklar.
"Ausserordentliche Lage" definieren
Und was wäre, wenn wir – um die Analogie des Epidemiengesetzes zu verwenden – in einer "ausserordentlichen Lage" wären? Ein solches Szenario wäre beispielsweise dann gegeben, wenn massive Angriffe auf die staatlichen Netzwerke im Gange wären, um das zivile Leben in der Schweiz zu stören. Das FMG gibt hier dem Bundesrat grundsätzlich Handlungsspieltraum – doch es fehlt eine Debatte darüber, wie diese Lage überhaupt charakterisiert werden kann und welche Gegenmassnahmen akzeptabel wären. Eine solche Massnahme wäre es beispielsweise, gewisse Netze nicht mehr zu annoncieren. Gemeint ist damit, dass die Routing-informationen für gewisse Netze zurückgehalten werden, diese also faktisch nicht mehr zugänglich sind. Russland hat aktuell diesen Weg gewählt und die globale Annoncierung eines ihrer Regierungsnetzwerke gestoppt; vermutlich aufgrund der heftigen Angriffe von Anonymous und der "IT-Army" der Ukraine. Gewisse globale Netzwerkdienstleister haben auch Verträge zu Verbindungen von und zu Russland gestoppt, was zwar keine komplette Abtrennung bedeutet, da es noch genügend andere Routen gibt, aber dennoch bisher in diesem Ausmass noch nie stattgefunden hat.
Gegenangriffe sind riskant
Solche Massnahmen hätten aber enorme Kollateralschäden zur Folge, gerade in einem derart internationalen vernetzten Land wie die Schweiz. Schweizer Konzerne könnten etwa nicht mehr mit ihren Tochterunternehmen kommunizieren oder ausländische Unternehmen könnten sich nicht mehr mit der Zolldirektion austauschen, was den Warenfluss gravierend stören würde. Für ein solches Szenario sind wir nicht gerüstet. Weder führen wir eine gesellschaftliche Debatte darüber, welche Kollateralschäden wir bereit wären in Kauf zu nehmen, noch haben wir das rechtliche Instrumentarium, damit die staatlichen Stellen überhaupt nach definierten Kriterien bestimmen können, wann sich unser Cyberraum in einer "besonderen" oder gar "ausserordentlichen" Lage befindet. Stattdessen sprechen wir über Gegenangriffe, die nach Aussagen von Fachleuten nur in sehr wenigen Fällen eine gute Antwort wären und deren Erfolgsaussichten unklar sind – gerade wenn sich der Gegner auch darauf einstellt und hochgerüstet ist. Darüber hinaus bergen sie ein grosses Risiko für eine ungewollte Eskalation.
Rasch auf Cyberkonflikte reagieren
Wir riskieren damit, die Versäumnisse der Corona-Pandemie zu wiederholen – allerdings mit dem Unterschied, dass die Übergänge von einer "normalen" zu einer "besonderen" oder gar "ausserordentlichen" Lage im Cyberraum weitaus dynamischer sein können. In der Corona-Pandemie hatten wir wenigstens etwas Zeit – wenn auch manchmal nur wenige Tage oder Wochen – um zu lernen und zu reagieren. Im Fall eines ausgewiesenen Cyberkonflikts dürfte uns diese Zeit fehlen und die Fachleute, welche unseren Cyberraum schützen, müssen schnell und rechtssicher agieren können. Wir müssen deshalb jetzt dringend eine Debatte darüber führen, welche Szenarien uns erwarten können, welche Kollateralschäden wir akzeptieren und welchen Handlungsspielraum wir den Fachleuten einräumen wollen.
Natürlich wird es – wie in der Pandemie – auch hier einen Bereich der Selbstverantwortung von Unternehmen und Individuen geben, um die eigene Cyberinfrastruktur zu schützen und das Risiko von Angriffen zu minimieren. Doch auch in der Cybersicherheit wird sich die Frage stellen, ob der Staat Massnahmen anordnen muss, um die Sicherheit aller zu gewährleisten. Wir sollten diese Debatte jetzt führen, anstatt im Notfall ad hoc zu reagieren und analoge gesellschaftlichen Verwerfungen zu riskieren, die wir in der Corona-Pandemie erlebt haben.
Dieser Beitrag erschien zuerst auf News.UZH.ch und in einer noch ausführlicheren Form bei unseren Kollegen von Inside-IT.
Markus Christen ist Geschäftsleiter der "Digital Society Initiative" der Universität Zürich und forscht im Rahmen des Nationalen Forschungsprogramms 77 "Digitale Transformation" zu ethischen Fragen der Cybersicherheit.