Pentest Blog

30. November 2017 – Secutorial

Angriff gegen unbekannt

"Kein Hacking durch deutsche Behörden": SySS-Geschäftsführer Sebastian Schreiber widerspricht ZITiS-Chef Wilfried Karl

Der neue Präsident der Entschlüsselungsbehörde ZITiS Wilfried Karl fordert, dass Behörden bei Hackerangriffen zurückschlagen dürfen; Verfassungsschützer Maaßen und Innenminister de Maizière stoßen in dasselbe Horn. Als Beispiel nennt Karl den Bundestagshack von 2015: "Wäre es nicht wünschenswert", so fragt er, "entwendete Dateien und Dokumente zumindest auf den Servern der Diebe zu löschen?"

Das klingt ja, als hätte einzig die fehlende Rechtsgrundlage die deutschen Behörden daran gehindert, das Diebesgut zurückzuklauen. So einfach geht das nicht, Herr Karl!

  1. Daten auf fremden Servern zu löschen ist nicht einfach – schließlich machen auch Hacker Backups.

  2. Karl macht nicht deutlich, was denn das Ziel des Gegenangriffs sein soll. Die IP-Adresse, von der aus angegriffen wurde? Die Mitglieder der Personengruppe, denen der Angriff zugeschrieben wird? Die Staaten, aus denen der Angriff scheinbar kommt? Die vermuteten Autoren der Hackertools? Die vermuteten Auftraggeber des Hackerangriffs?

  3. Wer einen Konflikt hervorrufen möchte, erfindet gerne gegnerische Aggressionen: Der erfundene Tonkin-Zwischenfall 1964 führte zum Einstieg der USA in den Vietnamkrieg. Die erfundenen rollenden Biowaffenlabore begründeten den Irak-Krieg 2003. Wenn wir Cyber-Gegenschläge oder Cyber-Notwehr akzeptieren, dann schaffen wir einen universellen Vorwand für Gegenschläge.

  4. Hackerattacken werden zur Verschleierung stets so ausgeführt, dass sie staatliche Grenzen überschreiten. Ein behördlicher Gegenangriff auf fremde Staatsgebiete ist völkerrechtlich nicht statthaft und gefährdet den Frieden im Sinne des allgemeinen Gewaltverbots der UN-Charta.

  5. Die Wahl des Ziels eines Gegenangriffs basiert lediglich auf einem Verdacht, digitale Spuren können aber auch gezielt gelegt werden. Man kann daher auch den Falschen erwischen. Wenn eine deutsche Behörde den Falschen hackt, darf dieser dann – das wäre konsequent – auch die deutsche Behörde hacken?

  6. Im Internet gibt es zahlreiche virale Angriffe: Kompromittierte Systeme hacken autonom Drittsysteme. Botnetze bestehen aus Tausenden von Systemen: Soll auch bei Botnet-Angriffen gegengehackt werden dürfen?

  7. Beim Thema Datenklau steht Russland heute unter Generalverdacht. Aber haben nicht von unserer Bundesregierung bezahlte Agenten diverse Bankdaten aus der Schweiz gestohlen? Wollen wir wirklich, dass Schweizer Behörden in deutsche Behördenserver eindringen dürfen, um dort die gestohlenen Daten zu löschen?      

Meine Forderung deshalb: Kein Hacking durch deutsche Behörden – auch weil alles andere als klar ist, wer den Kürzeren zieht.      

Termine

12.12.2017 - 13.12.2017
SySS-Schulung – Secu3: Incident Detection
25.01.2018
Live-Hack mit Sebastian Schreiber, Fokustag "Cyber-Versicherung", Leipzig
06.02.2018 - 07.02.2018
SySS-Schulung - Hack1: Hacking Workshop 1
08.02.2018 - 09.02.2018
SySS-Schulung - Hack2: Hacking Workshop 2