Bundesregierungshackerromantik: IT-Sicherheit wie im Kino

Es ist zum Davonlaufen, auf welchem Niveau sich die Bundesregierung bewegt.

Heise schreibt gerade über die Visionen der Nancy Faeser: Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können

Bundesinnenministerin Nancy Faeser hat am Dienstag in Berlin ihre Cybersicherheitsagenda vorgestellt. Kernpunkte des 14-seitigen Plans sind neue Befugnisse für die Sicherheitsbehörden, um massive IT-Angriffe aktiv abwehren zu können, eine neu organisierte Cybersicherheitsarchitektur mit einer führenden Rolle des Bundes, ein verschärfter Kampf gegen Cyberkriminalität sowie die Stärkung der Resilienz des Staates und kritischer Infrastrukturen. […]

Ein besonders umstrittener Punkt ist die “aktive Cyberabwehr”. Die aktuelle, von Ex-Innenminister Horst Seehofer (CSU) vorangetriebene Cybersicherheitsstrategie der Bundesregierung sieht dafür noch Hackbacks vor, also ein Zurückschlagen im Cyberspace. Die Ampel-Koalition lehnt dieses Mittel aber ab. Faeser peilt trotzdem nun auch Maßnahmen an, die über eine bloße Aufklärung einer Attacke hinausgehen: “Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen.” […]

Es gehe etwa um die Fähigkeit, eine Attacke “umzuleiten”, führte die Ministerin aus. Der Bund werde vor allem dem Bundeskriminalamt (BKA) – gegebenenfalls auch mehreren Behörden – einschlägige Zuständigkeiten geben müssen. Nicht geplant sei, mit staatlichen Mitteln ausländische Server mit aggressiven Gegenschlägen zu bekämpfen. Ein Angriff könne aber so schwer sein, dass der Staat sich gezwungen sehe, ihn abzustellen.

Es gelte herauszukommen aus der “Opfersphäre”, ergänzte der IT-Beauftragte der Bundesregierung, Markus Richter. Die Sicherheitsbehörden sollten auch Server in den Blick nehmen, von denen ein Angriff erfolge, um diese “gezielt runterzufahren”. Dieses breite Reaktionsspektrum stehe derzeit noch nicht zur Verfügung.

Zu wenig Ahnung. Zu viel Kino geguckt.

Irgendwie stellen die sich das so vor wie in den Hollywood-Filmen: Irgendein Nerd mit Nerdbrille, der keine Frau abbgekommt, aber alle Passworte erraten kann, weil alle Passworte nach dem Geburtsdatum der Ex-Freundin, der verstorbenen Mutter oder dem Mädchennamen des geliebten Meerschweinchens benannt sind, und zwar auch dann erraten, wenn nebendran die Uhr steht und tickt, und man sich eingeloggt haben muss, bevor die Zeit bei 00:00:00 angekommen ist, weiß in schlimmster Bedrohung einen coolen Trick, mit dem er den Server des finsteren Angreifers runterfahren kann, der sich dann ärgert wie Sauron, dem man den Ring zum Dreieck gekloppt hat.

Mal abgesehen davon, dass man da erst mal wissen müsste, wo der Server ist, und sich sicher sein müsste, dass es nicht 100.000 gehackte Server sind, die über die Welt verteilt sind, und man mit dem „Runterfahren“ nicht auch die Energieversorgung oder die Herz-Lungen-Maschine lahmlegt: Wieso glauben die eigentlich, jeder dahergelaufen Hinz und Kunz könne dem Hacker mal eben den Server „runterfahren“, nur weil er sich für wichtig hält?

Dazu müsste es erst einmal einen exponierten Angriffspunkt geben. Und so doof sind die in der Regel nicht. Schon gar nicht, wenn es „staatliche Hacker“ sind, wie man behauptet.

Und wenn man ihn „runterfährt“?

Das ist nur bei deutschen Behörden und Universitäten so, dass die dann 6 Monate brauchen, um wieder hochzukommen. In virtuellen Umgebungen lassen sich Server auch in unter einder Sekunde, ganz sicher unter 6 Sekunden, wieder starten.

Irgendwie haben die da ganz komische, ganz seltsam romantische Vorstellungen.

Wie im Kino.

Wie James Bond auf Bundesangestelltentarif.