Das BKA ist keine „Hackback“-Behörde

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 31.03.2023

Rechtsgebiete: Öffentliches RechtStrafrechtIT-RechtIT-Sicherheitsrecht|5035 Aufrufe

Jüngst legten die umfangreichen journalistischen Recherchen um die russischen Vulkan-Files wieder einmal mehr dar, dass wir spätestens seit Beginn des Russland-Ukraine-Krieges von einem neuen Ausmaß der Cyber-Bedrohungslage sprechen können – doch es konnte auch nachgewiesen werden, dass das russische Unternehmen „Vulkan“ wohl schon seit 2012 aktiv gewesen sein soll. Politiker:innen und Behörden haben die neuesten Erkenntnisse zum Anlass genommen, um Schlussfolgerungen für die nationale Cybersicherheitsarchitektur zu ziehen. So ist bislang bekannt, dass nicht nur Kritische Infrastrukturen verstärkt das Ziel von russischen Cyberangriffen sind, sondern auch herkömmliche Unternehmen wie zum Beispiel Siemens oder Amazon Web Services (AWS) durch eingeschleuste ehemalige Mitarbeiter Sicherheitsrisiken für die Cybersicherheit ausgesetzt sind.

Bundesinnenministerin Faeser betonte daher, dass es stärker als bislang möglich sein müsse, Cyberangriffe zu erkennen und zu stoppen. Hierzu sei das BKA am besten geeignet und es gehe dabei explizit nicht um digitale Gegenschläge. Dazu ist festzustellen: Das BKA ist rechtlich und struktursystematisch nicht die geeignete Behörde, um mit Befugnissen zur aktiven Cyberabwehr ausgestattet zu werden. Denn beim BKA handelt es sich als Bundesoberbehörde um eine der drei Bundespolizeibehörden mit einem Schwerpunkt im Bereich der Informations- und Ermittlungsarbeit primär zur Aufklärung und Verfolgung von Straftaten und zur teilweisen Durchführung von Gefahrenabwehrmaßnahmen, worunter jedoch keine aktiven Cyberabwehrmaßnahmen fallen, die unter Umständen auch auf fremdem Staatsgebiet ihre Wirkung entfalten können. Die Befugnisse des BKA zum verdeckten Eingriff in informationstechnische Systeme befassen sich primär mit der Datenerhebung und entsprechenden Auswertung, aber nicht mit der Manipulation und Veränderung von Daten im Sinne einer aktiven und gezielten technischen sowie ggf. unwiderruflichen Systemschädigung.

Es ist bedauerlich, dass die jüngsten Enthüllungen erneut dazu genutzt werden, um auf anderem Wege die aktive Cyberabwehr in die rechtspolitische Debatte einzubringen, anstelle defensive Cyberfähigkeiten weiter als bislang zu stärken. Maßnahmen aktiver Cyberabwehr sind nicht nur in technischer Hinsicht bereits höchst fragwürdig, sondern sie missachten auch bestehende und gewachsene Zuständigkeiten in der gegenwärtigen nationalen Cybersicherheitsarchitektur. Aktive Cyberfähigkeiten sind bei der Bundeswehr im Kommando „Cyber- und Informationsraum“ zu verorten und bedürfen im Sinne der Effekt-Äquivalenz einer Schwere von ausländischen Cyberattacken, die nicht mehr mit polizeilichen Mitteln abwendbar ist. Ein solcher begrifflicher „Cyberwar“, der überdies eines Bundestagsbeschlusses bedarf, ist bislang nicht feststellbar. Für die operative Cybersicherheit und Unterstützung bei Prävention und passiver Abwehr von Cyberangriffen ist in Deutschland das BSI zuständig, das überdies mit seinem Ausbau als Zentralstelle weitere Zuständigkeiten im Bereich der Gefahrenabwehr im Cyberraum übertragen bekommen soll.