Sicherheitslogik der Cyberdomäne | Cybersicherheit | bpb.de

Sicherheitspolitik ist nie statisch, da sich Bedrohungen, Akteure, Technologien, aber auch die Parameter der Umwelt stets verändern. Nationale Sicherheitsstrategien müssen für eine größtmögliche Übereinstimmung zwischen staatlichem Handeln und den Bedingungen der Umwelt sorgen. Eine Nichtübereinstimmung kann fatale Folgen haben. Beispiele für veränderte Sicherheitsparameter sind die Erfindung des Maschinengewehrs und des Stacheldrahts im 19. Jahrhundert. Bevor diese Technologien erfunden wurden, herrschte in vielen Streitkräften ein impliziter "Kult der Offensive", eine Strategie, die auf Initiative und Angriffe setzte. Noch in den Napoleonischen Kriegen zu Beginn des 19. Jahrhunderts galt, dass Schlachten durch koordinierte Manöver angreifender Soldatenmassen, auch unter Einsatz der Kavallerie, zu gewinnen seien. Irgendwann kollidierte diese Annahme mit der veränderten technologischen Realität, dass ein Anstürmen auf Artillerie- und Maschinengewehrbefestigungen zu katastrophalen Verlusten führt. Die Parameter der strategischen Umwelt hatten sich durch Technologien von der Offensive zugunsten der Defensive verändert.

Die Erfindung von Nuklearwaffen und Interkontinentalraketen veränderte die strategische Umwelt erneut. Gegen diese Waffen gab und gibt es keine sinnvollen Verteidigungsmöglichkeiten. Die Defensive war auf einmal wieder im Nachteil, und die Offensive, in Form von Erstschlägen, hatte zumindest theoretische Vorteile. Die Sicherheitsstrategie der Abschreckung durch die Androhung von Vergeltung (deterrence by punishment) kompensierte diese Lücke, indem sie eine Pattsituation des Gleichgewichts des Schreckens entstehen ließ, welche die Offensivvorteile neutralisierte.

Für die Cybertheoretiker Michael P. Fischerkeller, Emily O. Goldman und Richard J. Harknett stellen das Internet und der globale Cyber- und Informationsraum eine völlig neue strategische Umwelt zwischenstaatlicher Machtausübung dar, in der die alten Paradigmen der konventionellen und nuklearen Domäne nicht mehr gelten. Die Charakteristika des Cyberspace erfordern ein neues strategisches Denken.

Cyberkonflikte

Auseinandersetzungen im Cyberspace haben nur wenig mit den Merkmalen klassischer Kriege zu tun. Das Gros der Aktivität von Cyberoperationen lässt sich dem Bereich Cyberkriminalität zuordnen. Hierbei ist das Ziel nicht, einen Gegner militärisch niederzuringen, sondern Geld zu verdienen, etwa durch Erpressung mit Ransomware oder Phishing von Zugangsdaten. Eine Subkategorie von Cyberkriminalität ist Hacktivismus, der sich insbesondere im Kontext des russischen Angriffskrieges gegen die Ukraine zeigt: Aktivisten nutzen temporär störende DDoS-Angriffe (Distributed Denial of Service), um Dienste und Webserver zum Beispiel für das Onlinebanking zeitlich begrenzt lahmzulegen. Die Effekte sind meist reversibel und somit relativ geringfügig. Auch Staaten nutzen die Strategien der Cyberkriminalität. Nordkorea ist bekannt dafür, im staatlichen Auftrag alles zu hacken, womit sich im Internet Geld verdienen lässt, um den Staatshaushalt zur Finanzierung des eigenen Nuklearprogramms aufzubessern.

Daneben ist Cyberspionage mit politischen oder wirtschaftlichen Zielen eines der häufigsten Phänomene im Cyberspace. Durch den systematischen Diebstahl geistigen Eigentums mittels Cyberkampagnen, also mehrere aufeinander aufbauende Cyberoperationen etwa gegen zentrale Unternehmen eines Wirtschaftszweiges, können Staaten ihre Machtressourcen vergrößern. Chinesische Akteure betreiben sehr intensiv Cyberspionage in Sektoren, in denen China bis 2025 weltweit führend oder von westlichen Technologien unabhängig sein will, darunter Künstliche Intelligenz, autonomes Fahren, Luftfahrt, Fotovoltaik, Halbleitertechnologie und vieles mehr. Exemplarisch sind Spionageoperationen gegen Unternehmen wie Solarworld, deren Solarpanel-Technologie gestohlen und kurz darauf in chinesischen Produkten auftauchte. Dies drängte Solarworld aufgrund günstigerer Preise aus dem Markt. China ist heute Weltmarktführer in der Produktion von Solarpanels und kann dies als Machtmittel gegenüber dem Westen einsetzen. Hier zeigt sich wie durch Cyberoperationen strategische Gewinne erzielt und Machtbalancen verschoben werden können.

In den vergangenen Jahren zeigte sich zudem, dass der Cyber- und Informationsraum eine geeignete Domäne für Subversionskampagnen ist, die darauf abzielen, das politische System in anderen Ländern zu beeinflussen. Diese Strategie, die Teil der hybriden Kriegsführung ist, wird etwa von Russland eingesetzt. Ein Beispiel dafür ist die Beeinflussung der US-Wahlen 2016 durch eine "Hack and Leak"-Operation, bei der interne E-Mails der US-Demokraten veröffentlicht wurden, um diesen zu schaden. Insbesondere autoritäre Staaten machen sich Tools zur Manipulation von Internetinhalten zur Konsolidierung ihrer Macht zunutze.

Statistisch gesehen sind Cyberkriminalität, Hacktivismus, politische und wirtschaftliche Spionage sowie Informationsoperationen die häufigsten Anwendungsfelder von Cyberoperationen. Militärische Cyberoperationen, die etwa darauf abzielen, Zielgeräte zu hacken und zu zerstören, kommen zwar vor, sind aber selten. Prominent zu nennen sind die Operationen Stuxnet, Industroyer und Industroyer2 sowie der Viasat-Hack im Kontext der russischen Invasion 2022. Hierbei wurden tatsächlich physische Effekte hervorgerufen und Computer-Hardware beziehungsweise im Falle Stuxnets und Industroyer auch industrielle Steuerungsanlagen sabotiert und beschädigt. Dennoch ist der empirische Befund relativ deutlich: Die große Mehrzahl aller Cyberoperationen entspricht nicht der Logik militärischer Gewalt- und Zwangsausübung und ist deshalb völkerrechtlich nicht als Einsatz von Waffengewalt zu klassifizieren. Aufgrund dieses Befundes sieht die Cyberkonfliktforschung die Domäne weniger als eine der militärischen Gewaltaustragung, auch wenn Cyberoperationen in Kombination mit konventioneller Waffengewalt etwa in Kriegen eingesetzt werden (können). Die Metapher des Cyberkrieges ist insofern irreführend, als sie Parameter der strategischen Umwelt des Cyberspace fehlerhaft charakterisiert.

Charakteristika der Cyberdomäne

Für die Cybertheoretiker Fischerkeller, Goldman und Harknett ist die strategische Umwelt des Cyberspace wie folgt gekennzeichnet: die Summe aller durch Netzwerke verbundenen Hard- und Software, die von Menschen gemacht und daher veränderbar sind. Das heißt, die Akteure können und müssen die Bedingungen ihrer Sicherheit weitgehend selbst gestalten, indem sie ihre Hard- und Software modifizieren. Dazu gehören die Installation von Schutztechnologien für Netzwerke, die Schließung von Sicherheitslücken oder die Etablierung neuer organisatorischer Policies wie User-Rechtemanagement und Backupstrategien.

Die zentrale Dynamik von Konflikten im Cyberspace ist die Ausnutzung (exploitation) von Sicherheitslücken und der Versuch, diese zu schließen beziehungsweise zu verkleinern: Die Angreifer versuchen unbefugt in Systeme einzudringen und deren Vertraulichkeit, Integrität oder Verfügbarkeit zu beeinträchtigen. Die Netzwerkverteidiger versuchen hingegen, dies durch Modifikation des Terrains, also der eigenen Netzwerk- und Softwareinfrastruktur, zu vereiteln. Aufgrund dieser Dynamik ist der Cyberspace auf der Makroebene resilient – es ist schwierig, das gesamte Internet auf einmal abzuschalten – und gleichzeitig auf der Mikroebene verwundbar, da jedes einzelne System mit genügend Aufwand gehackt werden kann und nie hundertprozentig sicher ist.

Die Eintrittsbarrieren für Cyberoperationen sind niedrig: Anders als in der nuklearen Domäne können auch nicht-staatliche Akteure mit geringerem Aufwand zur Bedrohung werden und Staaten herausfordern, und das von überall auf der Welt. Die grenzüberschreitende Natur führt dazu, dass der Kontakt zwischen Antagonisten, etwa staatlichen Rivalen oder Bedrohungsakteuren, permanent stattfindet und nicht etwa nur episodisch, wie im Falle von konventionellen Kriegen.

Die sogenannte Cyber-Persistenz-Theorie geht davon aus, dass die Kombination von Vernetzung und konstantem Kontakt mit dem Gegner sowie die Strukturmerkmale – wie Makro-Resilienz und Mikro-Verwundbarkeit – die Grundlage für eine bestimmte Handlungslogik bilden: Staaten und nicht-staatliche Akteure versuchen ständig, die Initiative zu ergreifen, um nicht ins Hintertreffen zu geraten – das sprichwörtliche Katz- und Maus- Spiel zwischen immer neuen Angriffstechniken und Abwehrtechnologien. So erklären sich die Autoren die Zunahme von Cyberaktivitäten am unteren bis mittleren Ende des Konfliktspektrums, also Cyberkriminalität, Subversion und Spionage. Gleichzeitig erklärt sich damit auch das weitgehende Ausbleiben zerstörerischer, militärischer Cyberangriffe: Eine kumulative Strategie vieler kleiner, niedrigschwelliger Cyberoperationen ist langfristig gewinnbringender als große Cyberoperationen mit destruktiven Effekten, die nur einmal wirken.

Als eine der ersten umfassenden Theorien zur Erklärung von Cyberkonflikten hat die Cyber-Persistenz-Theorie natürlich auch einige Schwachpunkte. Sie fokussiert stark auf strukturelle Merkmale und staatliches Handeln, ähnlich wie der Realismus als Theorie in den internationalen Beziehungen, an dem sie sich orientiert. Die Motive und Interessen nicht-staatlicher Akteure bleiben weitgehend unterbelichtet. Sie ist stark von rationalistischen Annahmen wie Kosten und Nutzen geprägt. Andere Faktoren, die das Verhalten von Akteuren erklären, wie Ideen, Normen und Rechte, bleiben unterbelichtet.

Gefahrenabwehr

Die Cyber-Persistenz-Theorie ist auch für Deutschlands nationale Sicherheitsstrategie interessant. Die erste Lehre ist: Sicherheit im Cyberspace lässt sich nur global herstellen – der Fokus auf eine rein nationale (Cyber-)Sicherheitsstrategie greift also zu kurz. Alle Beteiligten im global vernetzten Raum müssen die Bedingungen ihrer Sicherheit verbessern, damit es für jeden sicherer wird. Die Dynamik gleicht dem Problem des Klimawandels: Alle müssen ihre schädlichen Emissionen, in Form von digitalen Verwundbarkeiten und Schwachstellen, reduzieren, damit die Umwelt für alle sicherer wird.

Problematisch ist auch die unkritische Übertragung von Sicherheitskonzepten aus der nuklearen oder konventionellen Domäne auf den Cyberspace. Dazu gehört die Vorstellung, Cyberoperationen primär als Mittel militärischer Gewalt zu verstehen, mit dem der eigene politische Wille einem Gegner aufgezwungen werden kann. Das ist nach dem preußischen Generalmajor und Militärtheoretiker Carl von Clausewitz das primäre Ziel des (konventionellen) Krieges: den gegnerischen Willen mit Waffengewalt und Zwang zu brechen. Das gesamte völkerrechtliche Instrumentarium und auch das Grundgesetz basieren auf der Annahme, militärische Gewalt begrenzen zu wollen. Deswegen gibt es eine klare, rechtliche Trennung zwischen Krieg und Frieden, ziviler Gefahrenabwehr und militärischer Landes- und Bündnisverteidigung. Dazu gehört auch das Konzept der Aufteilung der Welt in voneinander abgegrenzte Staatsterritorien, über die die Staaten souverän verfügen und äußere Einmischung verhindern wollen. All diese (juristischen) Konzepte, die aus der Westfälischen Ordnung seit 1648 entspringen, sind in einem globalen Cyber- und Informationsraum nur wenig hilfreich.

Die globale Natur des Cyberspace bedeutet, dass eine reine Perimeterlogik, also der Schutz durch Abschottung und Barrieren wie der Grenzschutz im konventionellen Bereich, unzureichend ist. Gleichzeitig liegt in der Interkonnektivität das größte Wertschöpfungspotenzial des Internets, weshalb Abschottung keine sinnvolle Strategie ist. Cyberoperationen können von überall auf der Welt gestartet werden, auch vom eigenen Land aus. Sie können eine nationale Perimeterverteidigung umgehen, etwa durch VPN-Tunnel. Ein Grenzschutzparadigma reicht daher nicht aus. Sicherheit muss überall im Innern der Gesellschaft stattfinden.

Zudem ist die Dichotomie zwischen Krieg und Frieden wenig hilfreich, da Cyberoperationen weder Krieg noch Frieden sind. Der Politikwissenschaftler Lucas Kello prägte hierfür den Begriff "Unfrieden". Westliche Demokratien, die sich an das Völkerrecht gebunden fühlen, können daher nicht angemessen auf Cyberoperationen reagieren, da Ausnahmen vom Gewaltverbot wie das Recht auf Selbstverteidigung bei den meisten Cyberoperationen nicht greifen. Militärische Cybergegenschläge sind nur zulässig, wenn der initiale Angriff in Umfang und Wirkung einem bewaffneten Angriff gleichkommt. Dies gilt auch für Cyberoperationen der Bundeswehr zur Landes- oder Bündnisverteidigung, die erst in einem Szenario des Verteidigungsfalls gestartet werden könnten – dies wäre beim Großteil der angesprochenen Bedrohungen – Spionage, Cyberkriminalität und Subversion – nicht der Fall.

Zudem zeigt sich, dass die Reaktion mit nicht-militärischen Mitteln, etwa in Form von Wirtschaftssanktionen, Einreisebeschränkungen und Kontensperrungen, kaum dazu führen, dass russische, chinesische oder nordkoreanische Angreifer von ihren Operationen ablassen. Ähnliches gilt für westliche Bemühungen, unverbindliche Normen für staatliches Verhalten im Cyberspace zu etablieren, etwa eine normative Ächtung von Angriffen auf kritische Infrastrukturen. Diese haben in den vergangenen Jahren trotz bestehender Normen eher zu- als abgenommen. Laut Goldman, Harknett und Fischerkeller ist das auch kein Wunder: Die mit Cyberoperationen angestrebten strategischen Gewinne sind weitaus höher als der wirtschaftliche Schaden, der durch kleinere Sanktionen oder moralische Ächtung entsteht – zumal Nordkorea bereits so hoch sanktioniert ist, wie kaum ein anderes Land. Für den Politikwissenschaftler Tobias Liebetrau erzeugt dieser Umstand der ineffektiven Reaktionswerkzeuge eine strategische Lücke für westliche Staaten. Im gegenwärtigen völkerrechtlichen Rahmen sind Cybersanktionen das schärfste Schwert, das man ziehen kann, ohne in eine Kriegssituation eskalieren zu wollen. Dennoch zeigt sich, dass sie kaum wirken. Die nächsthöhere Reaktionsstufe wäre die Ausrufung des Verteidigungsfalles analog zu Artikel 5 der NATO, der auch militärische Gegenreaktionen – einschließlich Cyberoperationen durch die NATO – ermöglichen würde. Cyberoperationen unterhalb der rechtlich notwendigen Gewaltschwelle erlauben die Ausrufung des Verteidigungsfalles jedoch nicht. Zudem hätte die Ausrufung auch konventionelles Eskalationspotenzial, weshalb die meisten Staaten davor zurückschrecken dürften. Insofern gibt es derzeit kaum wirksame Strategien, das Kosten-Nutzen-Kalkül von Angreifern zu beeinflussen.

Trugschlüsse

Die hohe operative Geschwindigkeit und der ständige Kontakt mit Gegnern erfordern permanente Investitionen in die IT-Sicherheit sowie proaktives Handeln und Antizipieren der nächsten Schritte der Angreifer. Laut dem Oberbefehlshaber des United States Cyber Command (USCYBERCOM), Paul Nakasone, sind rein reaktive Strategien zum Scheitern verurteilt. Eine einzelne Reaktion auf lediglich besonders schwerwiegende Cybervorfälle, analog zur militärischen Gewaltanwendung, reicht in einem Kontext kumulativer, niedrigschwelliger Cyberkampagnen nicht aus. Deshalb greift auch die Idee zu kurz, einzelne, besonders schwerwiegende Cyberangriffe durch Hackbacks zu stoppen, also durch das Ausschalten gegnerischer Angriffsinfrastruktur mithilfe eigener Cyberoperationen. Es gibt nur wenige plausible Szenarien, bei denen so etwas taktisch sinnvoll wäre. Selbst wenn die Operation gelingen sollte, stellt sich die Frage, wie nachhaltig das Deaktivieren gegnerischer Angriffsinfrastruktur ist. Angriffsinfrastruktur ist aufgrund der geringen Einstiegskosten günstig, und resiliente Angreifer können diese bei Verlust schnell auswechseln. Mittlerweile existiert ein komplexes Untergrundökosystem für Cyberkriminelle, in dem alle Bestandteile für Cyberoperationen günstig und anonym erworben werden können. Die Vorzüge von Hackbacks sind also extrem kurzlebig und rein taktischer Natur, nicht aber strategisch nachhaltig. Für Goldman, Harknett und Fischerkeller ist auch dies aus Sicht der Angreifer nicht verwunderlich: Die Einstiegskosten sind gering, verwundbare Systeme vielfältig verfügbar, und permanentes Agieren und Ergreifen der Initiative führen zu Gewinnen.

Ein zweiter Trugschluss ist die Übertragung des Abschreckungsparadigmas auf den Bereich "Cyber". Die Idee der Abschreckung durch Androhung von Vergeltung stammt aus der nuklearen Domäne, wo diese Androhung glaubhaft mit katastrophalen Folgen verbunden ist. In der Cyberdomäne ist diese Glaubwürdigkeit sehr schwer zu erreichen, da Cyberoperationen auf Geheimhaltung angewiesen sind, um erfolgreich zu sein. Statt einiger Atommächte gibt es Dutzende von Staaten mit Cyberfähigkeiten und eine unüberschaubare Zahl nicht-staatlicher Akteure, deren Identität oft unklar ist. Da Abschreckung auf die Entscheidungsfindung eines Akteurs und seine Interessen zugeschnitten sein muss, um wirksam zu sein, ist unklar, wie dies in der multipolaren Welt des Cyberspace erreicht werden kann. Oft weiß man gar nicht, wer der Angreifer ist, den man abschrecken will. Neben diesen praktischen Schwierigkeiten gibt es strategische Probleme: Es ist unwahrscheinlich, dass mit Androhung einer Cyberoperation das strategische Verhalten von Gegnern manipuliert werden kann. Goldman, Hartnett und Fischerkeller argumentieren, dass die Chance auf eine Belohnung und nicht die Angst vor Vergeltung der Hauptanreiz für Staaten ist, sich an Cyberoperationen zu beteiligen. Das bedeutet, dass sie dieses Verhalten nicht aufgeben werden, solange Gewinnanreize existieren.

Deshalb ist für USCYBERCOM die Strategie eine andere: Es geht nicht um das Deaktivieren gegnerischer Angriffsinfrastruktur mittels eigener, disruptiver Cyberoperationen, sondern darum, vom Angreifer zu lernen. Die Idee ist, Angreifer in ihrer eigenen Angriffsinfrastruktur oder beim threat hunting in Opfernetzwerken zu beobachten und die dort gesammelten Informationen über ihr Verhalten und ihre Pläne für die Verteidigung zu nutzen. Dieses Wissen wird gesammelt, um eigene Verteidigungssysteme proaktiv darauf einzustellen.

Cyberresilienz

In der IT-Sicherheit fand in den vergangenen Jahren ein Paradigmenwechsel statt, der der Strukturbeschreibung der Cyber-Persistenz-Theorie Rechnung trägt. Statt wie in der konventionellen Domäne geht es nicht mehr nur darum, Angreifer durch erfolgreiche Verteidigung am Betreten des eigenen Territoriums zu hindern. Moderne Strategien sind von der folgenden Annahme gekennzeichnet: Gehe davon aus, dass deine Verteidigung bereits versagt hat und ein Angreifer bereits in deinem Netzwerk aktiv ist. Es reicht also nicht, wie in der konventionellen Domäne, sich allein auf Verteidigung zu konzentrieren. Das Ziel muss Cyberresilienz sein. Resilienz beschreibt die schnelle Wiederanlauffähigkeit nach einem erfolgreichen Cybervorfall. Sie greift also dann, wenn die Verteidigung bereits versagt hat und wirkt ergänzend zu dieser.

Resilienzstrategien sind nicht neu: Viele Maßnahmen des analogen Katastrophenschutzes im Kalten Krieg, etwa das Anlegen strategischer Vorräte oder das Zurückhalten analoger Kommunikationssysteme für den Fall eines Stromausfalls, basieren auf dem Resilienzgedanken. Aus dem Paradigma ergeben sich unter anderem vier Trends: Erstens müssen die Verteidiger Ressourcen, Strukturen und Prozesse definieren, um erfolgreiche Cyberangriffe auf ihre Infrastruktur zu bewältigen. Das heißt, sie müssen Pläne für die Wiederherstellung der Infrastruktur erstellen und sogenanntes Incident Response üben. Es geht also darum, den Worst Case zu planen, um im Ernstfall vorbereitet zu sein. Dies ist ein kontinuierlicher Prozess, der immer wieder überdacht und erweitert werden muss, um sich an neue Angriffsmethoden anzupassen. Für Betreiber kritischer Infrastrukturen ist dies in Deutschland bereits verpflichtend, eine Ausweitung auf weitere Sektoren wäre sinnvoll.

Zweitens gibt es seit einigen Jahren den technischen Trend der Zero-Trust-Architektur. Zero Trust geht davon aus, dass es aufgrund der Mischung von Cloud- und Vor-Ort-Infrastruktur keine klassischen Netzwerkgrenzen mehr gibt und somit keinem Element in der eigenen Infrastruktur vollständig vertraut werden kann. Nutzerinnen und Nutzer müssen sich also permanent authentifizieren, und Geräte müssen permanent hinsichtlich ihres Verhaltens und ihrer Privilegien geprüft werden. Im November 2022 verkündete das US-Verteidigungsministerium eine Zero-Trust-Strategie , die eine Umstellung aller internen Systeme auf diese Architektur vorsieht. Für sensible Regierungsnetzwerke ist dieser Ansatz sinnvoll, wenngleich ein komplexes Unterfangen.

Drittens müssen die Verteidiger ständig die Bedingungen ihrer eigenen Sicherheit gestalten, indem sie die Parameter ihres eigenen Terrains verändern und updaten. Ziel muss es sein, Angreifern die erfolgreiche Ausnutzung von Schwachstellen zu verwehren. Dazu gehören das schnelle Einspielen von Sicherheitsupdates für Soft- und Hardware sowie die Etablierung von Prozessen zur Erkennung und Behebung von Sicherheitslücken. Da viele Sicherheitslücken außerhalb der Kontrolle von Endkunden liegen, etwa bei Netzwerkdienstleistern, gilt hier für die Hersteller von Software, dass diese sogenannte Coordinated Vulnerability Disclosure Policies etablieren sollten. Dies ist ein Prozess, bei dem Schwachstellenforscher legal Sicherheitslücken an die Hersteller melden können, und diese sich dazu verpflichten, die Lücken zu schließen und gegebenenfalls Belohnungen auszuzahlen, sogenannte Bug Bounties. Dadurch können schwerwiegende, unbekannte Sicherheitslücken schneller gefunden und geschlossen werden, bevor sie von Angreifern ausgenutzt werden können. Staaten wie die Niederlande, Belgien, Litauen und Frankreich haben solche Policies bereits etabliert.

Viertens ist es wichtig, die nächsten Schritte der Angreifer zu antizipieren, um Abwehrstrategien schnell anpassen zu können. Spätestens seit dem Krieg in der Ukraine zeigt sich der Mehrwert von Threat Intelligence, also Informationen über das Verhalten von Angreifern, ihre Motive, Tools, Techniken und Vorgehensweisen. Dieses Wissen ermöglicht es den Verteidigern, voneinander zu lernen. Da komplexe, fortgeschrittene Angreifer in der Regel mehrere Ziele gleichzeitig attackieren und eben auf kumulative Operationen setzen, helfen die Informationen allen potenziellen Opfern dieser Kampagne. Diese müssen aber rasch von einem Unternehmen zu allen anderen vergleichbaren Organisationen gelangen, die vielleicht ebenfalls von der gleichen Kampagne betroffen sind. Idealerweise geschieht dies in Echtzeit, etwa durch automatisierte Bedrohungsfeeds, die direkt live in die Verteidigungssysteme eingebettet sind. Eine erweiterte Form dieses Threat Intelligence Sharing ist das sogenannte Threat Hunting: Im Kontext des Ukrainekrieges entsandten die Europäische Union und USCYBERCOM Netzwerkverteidiger in die Ukraine, um in Netzwerken potenzieller Opfer gezielt nach der Präsenz von Bedrohungsakteuren zu suchen und die daraus generierten Informationen mit anderen Stellen zu teilen. Threat Hunting soll die Vorteile von Angreifern reduzieren. Allerdings ist es eine rein taktische Maßnahme und wird nicht dazu führen, dass Angreifer ihre Motivationen ändern. Aber es macht Cyberoperationen schwieriger, erhöht somit die Friktion und führt bisweilen zur Minderung der Gewinne. Damit all dies hierzulande wirken kann, braucht es aber den Abbau von Barrieren und Informationssilos sowie die Reduktion des Behörden- und Zuständigkeitswirrwars des deutschen Föderalismus in der Cybersicherheit. Lange behördliche Genehmigungsketten und der schleppende Austausch über die sinnbildlichen Faxgeräte der deutschen Verwaltung sind zu langsam. Im weiteren Sinne gilt das natürlich auch für die EU: Eine nationalstaatliche Logik reicht nicht aus, im Idealfall gibt es ein EU-weites Threat Intelligence Sharing in Echtzeit.

Fünftens wird für all diese Elemente Personal benötigt. Gegenwärtig herrscht in Deutschland jedoch ein IT-Fachkräftemangel. Dies gilt insbesondere für die öffentliche Verwaltung. Knappes Angebot führt zu steigenden Preisen und Löhnen für qualifiziertes Personal und in der Summe dazu, dass IT-Sicherheit immer noch recht teuer ist. Gleichzeitig wird es aufgrund der geringen Einstiegskosten und das arbeitsteilige Untergrundökosystem immer billiger für Angreifer, komplexe Angriffe zu starten. Solange die Defensive teuer und Offensive billig ist, wird sich das Katz- und Maus-Spiel nicht zugunsten der Defensive verändern. Die Maßnahmen, die getroffen werden können, sind seit Jahren bekannt und werden von anderen Ländern wie Israel oder Estland vorgelebt. Dazu gehören verpflichtende Programmierkenntnisse und Informatikunterricht an Schulen, einschließlich der Vermittlung von digitaler Medienkompetenz und IT-Sicherheitshygiene. Und letztlich müssen die Hürden für die Anwerbung ausländischer Fachkräfte gesenkt werden, und es muss ein Paradigmenwechsel in der Rekrutierung stattfinden: weg von der deutschen Fixierung auf Hochschulabschlüsse und Zertifikate, hin zu einer breiteren Anerkennung alternativer Karrierewege – schließlich sind viele gute Hackerinnen und Hacker Studienabbrecherinnen und Autodidakten.