Das Schweizer Militär bildet seit zwei Jahren hackende Soldaten aus. Es gehe in der Ausbildung darum zu lernen, wie die Gegenseite agiere, sagt Armeechef Thomas Süssli: «Deswegen ist ein Teil der Ausbildung tatsächlich Hacking, also aktive Massnahmen, um zu wissen, wie wir uns schützen können.»
Systeme hacken, auch in anderen Staaten, ist erlaubt, wenn der Bundesrat grünes Licht gibt. Ein KMU oder eine Grossbank darf das dagegen nicht. Fragwürdig, findet die Juristin Sanija Ameti.
Es stellt sich die Frage, warum sich Private auf die passive Verteidigung beschränken müssen, um ihre System zu schützen.
Die 28-Jährige schreibt eine Doktorarbeit zu den Rollen von Privaten und dem Staat im Cyberspace und sagt: «Um ihre eigenen Strukturen zu schützen, braucht die Armee aktive Massnahmen. Es stellt sich die Frage, warum sich Private auf die passive Verteidigung beschränken müssen.»
Der Staat habe das Gewaltmonopol im Internet – er sollte Firmen schützen. Aber: «Wenn er das wegen Kapazitätsengpässen nicht kann und auf Eigenwegverantwortung setzt, kann man sich fragen: Sollte Firmen nicht das gleiche Spektrum zur Verfügung stehen wie dem Staat?»
«Aktiven Massnahmen» gegen Hacker können relativ harmlos sein, aber auch Gegenangriffe gehören dazu, die ein anderes Computersystem lahmlegen. Ameti weiss, dass das heikles Terrain ist. «Darum ist es wichtig zu definieren, wie das kontrolliert wird und welche Art aktiver Massnahmen erlaubt sind.»
Kenner der Szene sagen: Bereits heute führen Firmen illegale Gegenangriffe durch. Darum findet Ameti, die bei den jungen Grünliberalen aktiv ist, die Politik müsse sich der Frage annehmen.
Sobald man offensiv im Cyberraum vorgeht, muss man ähnliche Mittel anwenden wie die Kriminellen.
Um Cybersicherheit kümmern sich nicht viele aktiv unter der Bundeshauskuppel. Zu den Ausnahmen gehört der Zürcher Grünliberale Jörg Mäder – Berufsbezeichnung: freischaffender Programmierer. Er hält aber wenig von der Idee seiner jungen Kollegin: «Es darf nicht in Selbstjustiz ausarten. Der Staat und die Wirtschaft sollten als Team auftreten und ihre Stärken ausspielen – in einem klar geregelten Rahmen.»
Ein gewisses Verständnis hat SVP-Nationalrat Franz Grüter, Internet-Spezialist und Verwaltungsratspräsident einer Informatik-Firma. Es gehe um eine heikle Frage. «Sobald man offensiv im Cyberraum vorgeht, muss man ähnliche Mittel anwenden wie die Kriminellen.» Die Forderung komme aber auf, weil ein Unbehagen vorhanden sei. «Der Staat muss hier seine Kompetenzen weiter ausbauen.»
Der «Mr. Cyber» beim Bund
Tatsächlich hat sich der Bund lange fast nur um die Sicherheit seiner eigenen Systeme gekümmert. Unterdessen tut er mehr, unterhält ein Cybersicherheitszentrum mit rund 40 Vollzeitstellen und hat mit Florian Schütz, früher IT-Sicherheitschef bei Zalando, einen «Mister Cyber».
In seiner Abteilung gibt es eine Anlaufstelle für gehackte Firmen: «Sie helfen dabei zu analysieren, wer die Angreifer sind und leisten mit technischem Know-how Unterstützung.» Im Vergleich mit anderen Ländern beschäftigt der Bund aber immer noch sehr wenig Personal im Bereich Cyberabwehr.
Unbekannte Dunkelziffer
Und diese Fachleute tappen bei der Dimension des Problems ein Stück weit im Dunkeln. Eine Meldepflicht gibt es nämlich nicht, und wer von Hackern erpresst wird und Lösegeld zahlt, behält das vielleicht lieber für sich.
Der Bundesrat will darum bald entscheiden, ob es eine Meldepflicht braucht. Längerfristig wird sich die Politik die Frage klären müssen, wie viel der Staat aktiv gegen Hacker tun soll und wie viel er den privaten Unternehmen überlassen will.
