Abstract

„Die Grundmotive des Krieges sind das Verursachen von Schaden (Angriff) und das Vermeiden von Schaden (Verteidigung), welche sich in den wesentlichen Grundhandlungen, Erkennen und Schaden sowie Täuschen und Schützen widerspiegeln“, schrieb Claudia Otto in dem Beitrag „Das dritte Ich“.^[1] Ob unbemannte und bewaffnete Drohne, Kriegsroboter oder andere Formen künstlicher Intelligenz (KI), es komme ihnen „keine per se gute oder schlechte, sondern eine duale, gar polarisierende Natur zu, die aus der dualen Nutzungsmöglichkeit der Technologie(n) und technologischen Möglichkeiten herrührt“. Gleiche Technologie könne sowohl nützlich als auch schädlich eingesetzt werden: „Für die schädigungswillige Partei ist eine entsprechende Technologie nützlich, für die betroffene Gegenpartei eben schädlich.“

Mit dem Einsatz der Technologie – ob es sich dabei um Kriegsroboter oder um Computer handelt, ist ohne Relevanz – ist das Versprechen eines „weißen“, sauberen Krieges verbunden, das Versprechen gezielter, effektiver Militäroperationen, bei denen weder Zivilbevölkerung noch Zivilpersonen zu Schaden kommen sollten. Solange die elektronischen Krieger noch nicht zur Hand sind, gibt man sich wenigstens mit militärischen Angriffen mittels Computernetzwerkoperation (sogenannter Hack Back oder digitaler Gegenangriff) zufrieden, die zum Schutz der Bevölkerung durchgeführt wird und „sich nicht als Gewaltanwendung darstellt oder auf gewaltsame Auswirkungen abzielt“. Verbunden mit der Hoffnung, militärische oder politische Ziele (lt. Clausewitz sei der Krieg lediglich die Fortsetzung der Staatspolitik mit anderen Mitteln) effektiv, schnell und mit geringem (personellen und finanziellen) Aufwand zu erreichen.

So lautet das Versprechen.

Doch: „Wie sollen autonome Waffensysteme einen Menschen oder eine Zivilpersonengruppe zuverlässig identifizieren und sicher von zulässigen Angriffszielen (etwa Terroristen, Soldaten) unterscheiden?“, fragt Claudia Otto. „Woran sollen autonome Waffensysteme sicher erkennen, dass die Handlung eines Zivilisten eine unmittelbare Teilnahme an Feindseligkeiten ist […]? Wenn Menschen sich durch Verkleidung und Beschmutzung täuschen lassen können, wie soll dann künstliche Intelligenz derartige Täuschungen entlarven?“ Das alles sind Fragen, die nicht erst beim Einsatz von Robotern und KI beantwortet werden sollten. Attribution, wie man die eindeutige Identifizierung des Verursachers und die Zuordnung des Cyberangriffs nennt, ist nicht nur eine der größten Herausforderungen für die IT-Sicherheit. Eindeutige Zuordnung und Abgrenzung der Angriffe sind auch im Rahmen der aktiven Verteidigung – der Hack-Back-Strategie –, die die Bundesregierung seit Jahren konsequent verfolgt, zunehmend schwer und oft gänzlich unmöglich. Und: Auf digitale Gegenschläge kann mit physischen Waffen reagiert werden. Ob die Attribution richtig oder falsch war, ist für die Hack-Back-Zielländer nebensächlich. Mit dem Status quo der Diskussion, den Umsetzungsvorschlägen und ausgewählten technischen Aspekten befasst sich der folgende Beitrag.

Dafür. Und sogar dagegen

„[…] eine Militarisierung ziviler Netzwerkinfrastruktur und die Nutzung dieser als weitere Domäne der Kriegsführung sind abzulehnen und international zu ächten“, forderten Abgeordnete der Fraktion Bündnis 90/Die Grünen in ihrem Antrag „IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern“ und forderten den Bundestag sogleich auf, anstatt über die „verfassungsrechtlich hoch umstrittenen“ digitalen Gegenschläge und einen neuen „Cyberwar“ zu fantasieren, eine „besonnene, ,,an realen Bedrohungslagen orientierte Politik“, die auf „bestmöglich geschützte IT-Systeme, digitale Infrastrukturen sowie innovative IT-Sicherheitslösungen setzt“,^[2] zu beschließen. 

Was sich hinter der neuen Nomenklatur der „digitalen Gegenschläge“ verbirgt, ist nichts anderes als das bekannte Konzept des sogenannten Hack Back, das im April 2017 vom damaligen Bundesinnenminister Thomas de Maizière popularisiert wurde. De Maizière wollte mit der Hack-Back-Strategie^[3] neue Befugnisse für digitale Gegenanschläge als Reaktion auf Cyberangriffe schaffen: „Wir müssen auch in der Lage sein, den Gegner anzugreifen, damit er aufhört, uns weiter zu attackieren“, zitieren die Autoren des Arbeitspapiers „Digitale Gegenangriffe“ der Stiftung Politik und Wissenschaft, Thomas Reinhold und Matthias Schulze, den Innenminister.

Mit einem neuen Namen – digitale Gegenangriffe anstelle Hack Back – und entsprechender Berichterstattung möchte man dem eher negativ konnotierten Hack Back eventuell zu einem neuen, besseren Start und zu gesellschaftlicher Akzeptanz verhelfen. In der öffentlichen Debatte, bemerkte Rainer Rehak im Informatik Spektrum, wird meist dann von „Cyber“ gesprochen, „wenn es um undefinierbare Gefahren geht (Cyberkriminalität, Cyberabwehrzentrum, Cyberkrieg)“. Positiv würde man dagegen von der „digitalen Agenda“, von „Onlinehandel“, „Internet-Governance“ oder „E-Government“ sprechen, „denn da geht es um spezifische informationstechnische Aspekte unserer echten vernetzten Welt, nicht um ein (fernes) Land“ (i. e. Cyberspace).^[4] In der aktuellen Nomenklatur scheint man Wert darauf zu legen, auch sprachlich die digitalen Gegenschläge den (bösen) Cyberangriffen und dem Cyberkrieg gegenüberzustellen. Es gibt zwei Begriffe für Maßnahmen, die technisch und operativ betrachtet gleich oder mindestens vergleichbar sind, aber von verschiedenen Akteuren: dem (guten) Staat oder den (bösen, „russischen“) Hacker.

Hack Back: Was ist das konkret?

Was mit „digitalem Gegenschlag“ (auch Cyber-Gegenangriff genannt) gemeint ist, ist Gegenstand fachlicher Debatten und nicht endgültig festgelegt. Reinhold und Schulze haben in ihrem Arbeitspapier „Digitale Gegenangriffe“ die aktuelle politische Diskussion ausgewertet und verschiedene Termini eruiert, von „hacking back“ über „digital self defense, „responsive cyber defense“ bis hin zu „active defense“. Allesamt „kontrovers diskutiert“, wie die Autoren betonen. „Meist beschreiben diese Begriffe den Vorgang des Eindringens in fremde Computernetzwerke, um Angriffe durch Hacker an der Quelle, d. h. auf ihrem eigenen System zu unterbinden, indem etwa die angreifende Hard- und Software lahmgelegt oder gar zerstört wird.“^[5]

Hacking Back ist klar von der sogenannten passiven Verteidigung abzugrenzen, die einen Perimeter-basierten Schutz umfasst, darunter Firewalls, IDS/IPS, AV-Systeme, Zugriffs- und Zugangskontrollen, aber auch Sperren von IP-Adressen, aus denen DDoS-Attacken gestartet wurden, Awareness-Maßnahmen, Software und Patch-Management zählen Reinhold und Schulze dazu. Passive Verteidigung setzt auf einem Set effektiver IT-Sicherheitskontrollen auf mit dem Ziel, den Gegner aus den eigenen (kritischen) Systemen herauszuhalten. „Am anderen Ende des Spektrums finden sich Praktiken, die sich klar als offensive Cyber-Angriffe definieren lassen“^[6], die darauf abzielen, in ein fremdes Zielsystem einzudringen und dort bestimmte Aktionen und/oder Effekte auszulösen. Von Infiltrieren durch Malware über DoS-Attacken, Vandalismus und Hacktivismus bis hin zu Wirtschaftskriminalität, Sabotage und Spionage reicht das Spektrum der offensiven Angriffe. „Destruktive Angriffe eines staatlichen Akteurs (‚Cyber-Warfare‘) passieren hingegen – soweit die öffentlich bekannt werden – sehr selten“^[7], stellen Reinhold und Schulze fest, was u. a. der hohen Komplexität dieser Angriffe geschuldet sei.

Der kleine Unterscheid zwischen Angriff und aktiver Verteidigung

Die Unterscheidung zwischen passiver und aktiver Verteidigung ist keinesfalls neu oder eine Spezialität des Cyberkrieges, sondern beruht auf der Klassifizierung der Informationssicherheitskontrollen (engl.: Security Controls) im Informationssicherheitsmanagement, wie es von Organisationen gemäß ISO-Standards implementiert wird.^[8] Die Security Controls werden beispielsweise in der internationalen Norm ISO/IEC 27001 – Information technology – Security techniques – Information security management systems – Requirements definiert. Die Anforderungen für die Herstellung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung des Informationssicherheitsmanagementsystems spezifizieren 144 relevante Kontrollen in 14 Gruppen, darunter (exemplarisch): A.9. Zugriffskontrollen (Access Controls); A.10. kryptografische Verfahren; A.12. Sicherheit in Prozessen; A.16. Management von Informationssicherheitsvorfällen (Incident Management); A.18. Einhaltung von Verpflichtungen (Compliance).^[9]

Zu den Sicherheitskontrollen zählen nicht nur Maßnahmen, sondern auch Richtlinien, Prozesse, Organisationen und Praktiken, gestaltet mit dem Ziel, zu gewährleisten, dass:

• Geschäftsziele der Organisation (wobei privater und öffentlicher Sektor gleichermaßen gemeint sind) erreicht und
• unerwünschte Vorfälle verhindert oder aufgedeckt und bewältigt werden.^[10]

Im Hinblick auf den Interventionszeitpunkt (bezogen auf den Zeitpunkt eines potenziellen Sicherheitsvorfalls bzw. Cyberangriffs) wird zwischen folgenden Kontrollkategorien unterschieden:

• präventiv (preventive)
  Ziel: Schaden verhindern.
  Beispiele: kryptografische Verfahren, Zugriffssteuerung (access management), sogenannte Perimeter-Sicherheit
• detektiv (detective)
  Ziel: Aufdeckung des Vorfalls, bevor der Schaden entsteht
  Beispiele: Management der Informationssicherheitsvorfälle (Incident Management), Zugriffssteuerung (access management) 
• korrektiv (corrective) oder reaktiv
  Ziel: Schaden begrenzen
  Beispiele: Management des kontinuierlichen Geschäftsbetriebs (Business Continuity Management), Management der Informationssicherheitsvorfälle (Incident Management)

Weitere Arten von Sicherheitskontrollen, die aufgrund neuer Gefährdungen hinzugefügt worden sind:

• Compensatory – kompensierende Kontrollen (bspw. bei Unwirksamkeit einer generellen Kontrolle werden mehrere Applikationskontrollen eingesetzt)
• Deterrent – abwehrende bzw. abschreckende Kontrollen (reduzieren die Wahrscheinlichkeit einer Schwachstelle, ohne die Exposition auf die Gefahren zu mindern, beispielsweise werden Risiken von Phishing-Mails von der Bank mit einer Awareness-Kampagne gemindert, ohne dass Einfluss auf die Bedrohung selbst genommen wird)

Konkrete Sicherheitsmaßnahmen, welche von den Organisationen ergriffen werden, sind an den Zielen der Sicherheitskontrolle ausgerichtet. Obwohl Gegenangriffe noch nicht zum Instrumentarium der IT-Sicherheitsabteilungen gehören, sind aus dem Umfeld der mit Ransomware erpressten Wirtschaftsunternehmen Beispiele bekannt, bei denen Erpressern mitsamt der Bestätigungsmail über die getätigte Lösegeldüberweisung Malware geschickt wurde, die dann unauffällig technische Daten, IP-Adressen der Angreifer etc. an die Erpressungsopfer zurücksendete. Identitäten so ermittelter Erpresser konnten dann zum Beispiel an die Strafverfolgung übermittelt werden.

Der Zombie-Krieg

Gebiete und Ziele, auf die man zu Gegenangriffen in Deutschland ausholen möchte, reichen von „Rettungsmissionen“, bei denen gestohlene und/oder entwendete Daten und Informationen bei dem Angreifer vernichtet (oder zurückgewonnen) werden, über „Cyber-Hygiene“, wobei infizierte bzw. durch Botnetze zombisierte Computer zwangsbereinigt werden, bis hin zu Ultima Ratio, wobei das Opfer „den Stecker beim Angreifer ziehen“ kann. Damit ist auch die Fähigkeit gemeint, notfalls „feindliche Server“ zu zerstören.

Die Idee des Steckerziehens oder mittels manipulierter Hardware die Abwehr oder Angriffsmöglichkeiten des Gegners auf ein Minimum zu reduzieren oder gar abzuschaffen, nährt die Fantasie des Militärs seit mehr als einem Jahrzehnt. Auch wenn solche Szenarien aktuell weder in den Medien noch in der Politik als Form der Cyber-Warfare Erwähnung finden, ist das Konzept des sogenannten Kill Switch immer wieder aufgegriffen worden. Das „Malicious Chip Design“ ermöglicht einen Gegenangriff auf Hardwareebene, nämlich über einen Zugriff auf die Prozessoren.^[11] Kill Switch sollte in die Chips der Geräte eingebaut werden, die für den Militärgebrauch bestimmt waren und ferngesteuert (remote) deaktiviert bzw. zerstört werden sollten, falls sie in feindliche Hände gelangen. Während beim Kill Switch jede Manipulation eines Chips mit seiner Zerstörung endet, bieten sogenannte Backdoors (Hintertüren) die Möglichkeit, weitgehend unauffälliger in die Systeme einzugreifen und bestimmte Funktionen zu de- oder zu aktivieren.

IEEE Spectrum berichtete, dass das französische Militär seine „defense contractors“ verpflichtet haben sollte, solche manipulierten Chips in Militärequipment einzubauen. Europäische Prozessorhersteller sollen fernsteuerbare „Funktionalitäten“ in die Prozessoren integriert haben, und die New York Times berichtete, Kill Switch könnte 2007 von der israelischen Armee bei den Angriffen auf die vermuteten syrischen Nuklearanlagen eingesetzt worden sein.^[12] Bis heute konnte der mysteriöse Ausfall der Radarwarnanlagen während des Angriffs nicht endgültig geklärt werden. Gelegentlich ist von einer Hintertür in den Radar-Chips die Rede, durch die Radaranlagen zeitweise außer Betrieb genommen werden sollten.^[13] Ob das Problem nun real oder nur Fiktion ist: Die Hardwaresicherheit – konkret die Prozessorsicherheit – steht seitdem ziemlich weit vorn auf der Liste der Probleme, mit denen Sicherheitsforscher ringen. Es wurden etwa auf der International Conference on Information Warfare and Security (ICIW 2011) Methoden und Ideen entwickelt, etwaige Erweiterungen oder Ergänzungen, sogenannte Malicious Inclusions (MI) in Prozessoren mittels spezieller Tests aufzudecken.^[14]

Frage des Gegners

Eine der wesentlichen Fragen für die Durchführung digitaler Gegenschläge, die, bevor es sinnvoll ist, über die technischen oder juristischen Grundlagen zu diskutieren, geklärt werden sollte, ist die Frage des Angriffsziels. Cyberangriffe sind nicht nur häufig schwer aufzudecken, wie Deutschland kürzlich am Beispiel des Angriffs auf das Regierungsnetz feststellen durfte. Es darf inzwischen schwer bis unmöglich sein, den Angriff einem bestimmten Angreifer (oder einer Gruppe von Angreifern) zuzuordnen. Nicht ohne Grund nannte der Sicherheitsexperte Eugene Kaspersky auf der IT-Sicherheitskonferenz des BMBF in Berlin^[15] die Attribution, wie man die Zuordnung einer Attacke zu ihrem Urheber nennt, als eine der größten zukünftigen Herausforderungen für die IT-Sicherheit. Attribution ist eine Art forensischer Profilierung, die sich verschiedener analytischer Methoden bedient und auf Datenbanken basiert, in welchen Merkmale – Fingerprints – verschiedener Hackergruppen, auch viele Jahre zurückliegend, erfasst werden. Als wichtigste Vektoren für die Profilierung werden Zeit, Motivation (Geld, Ego, Aufnahme in eine Community, Status etc.), soziales Netzwerk (Geolokation, E-Mail-Adresse, IP-Adressen, Verbindung zu anderen Gruppen/Personen etc.) und Fähigkeiten genannt. Neue Dimensionen, die in den vergangenen Jahren zunehmend an Bedeutung gewannen, sind: Technologie, Religion oder Glaube (auch Magie) oder Geringschätzung. 

In der Fachliteratur wurde der Zeitaspekt als oft unterschätzter, aber wesentlicher Faktor für die Identifizierung des Angreifers bezeichnet. Insbesondere in Verbindung mit anderen Informationen zum sozialen bzw. kulturellen Umfeld ergaben sich dabei wichtige Hinweise auf die Identität der Hacker: Schule, Arbeit, Essen, Urlaub, Schlaf, aber auch Kommunikation mit anderen unterliegen dem Diktat eines 24-Stunden-Tages. Sean Bodmer, Max Kilger, Gregory Carpenter und Jade Jones beobachteten in „Reverse Deception“ beispielsweise, dass, falls der Angreifer ein gläubiger Moslem sei, die Wahrscheinlichkeit eines Angriffs während des Ramadan in der ersten Stunde nach dem Sonnenuntergang am niedrigsten sei.^[16]

Genau diese Erkenntnisse können aber auch verwendet werden, um den Forensiker zu verwirren: In Zukunft würden eventuell koreanische Hacker während der Schulferien von Amerikanern hacken, amerikanische Hacker an den Feiertagen der Chinesen und chinesische Hacker während des Ramadan. Die Wahrscheinlichkeit einer falschen Zuordnung eines Cyberangriffs zu einem bestimmten Angreifer ist zunehmend hoch; die Konsequenzen eines digitalen Gegenschlags sind nicht trivial, denn „auf Cyber-Angriffe [kann] auch mit physischen Waffen reagiert werden“^[17]. Tit-for-Tat-Reaktionen sind insbesondere bei diesen Staaten möglich, die sich bereits in physischen (oder diplomatischen) Konflikten befinden und in geografischer Nähe zueinander liegen: „Wenn Deutschland einen Server in Japan zerstört, ist eine Eskalation oder ein ‚hack back‘ seitens Japan unwahrscheinlicher als im Falle Ukraine-Russland“^[18], konzedieren Reinhold und Schulze.

Angesichts der „Zuordnungs- und Abgrenzungsprobleme von IT-Angriffen“ sieht die Fraktion Bündnis 90/Die Grünen in ihrem Antrag „die Politik der Abschreckung“ der Bundesregierung als zum Scheitern verurteilt, nicht zuletzt wegen „potentiell schwerster Folgen im Fall einer militärischen Konfrontation“^[19]. Als Lösung schlägt man lediglich die Einrichtung einer „eigenständigen, fachlich unabhängigen Organisationseinheit“ vor „[z]ur Bewertung einer etwaigen Zurechenbarkeit von Angriffen (Attribution)“^[20].

Quo vadis?

In der Politik scheint die Zustimmung zur Hack-Back-Strategie inzwischen parteiübergreifend: Der Chef des Kanzleramtes, Helge Braun (CDU), kündigte kurz nach dem Erfolg der Koalitionsverhandlungen im März 2018 in der Frankfurter Allgemeinen Zeitung an, die Bundesregierung würde die Möglichkeit des „Hacking Back“ prüfen.^[21] Im Koalitionsvertrag ist lediglich der Satz zu finden: „Wir wollen Angriffe aus dem Cyberraum gegen unsere kritischen Infrastrukturen abwehren und verhindern.“^[22] Angesichts steigender Risiken durch erfolgreiche Angriffe aus dem Ausland auf die kritische Infrastruktur des Landes und bekannt gewordene Attacken auf das Netz des Bundes wolle man auch aktive Gegenangriffe starten können. Allerdings fehle dafür die „rechtliche Handhabe“, gab Burckhard Lischka (SPD) im Gespräch mit der Berliner Morgenpost bereits im Januar 2018 zu bedenken.^[23] Eine Grundgesetzänderung erscheine dem SPD-Innenpolitiker daher als „unabdingbar“.

Auch im aktuellen Antrag von Bündnis 90/Die Grünen: gute Ansätze zur IT-Sicherheit und viel berechtigte Kritik. Doch bei den Umsetzungsvorschlägen zur Politik, die auf „bestmöglich geschützte IT-Systeme, digitale Infrastrukturen sowie innovative IT-Sicherheitslösungen setzen“^[24], wäre mehr Mut gewünscht. Statt eines klaren „Neins“ zum Hack Back, fordert man die Einrichtung einer neuen, unabhängigen Organisationseinheit zur „Bewertung einer etwaigen Zurechenbarkeit von Angriffen“^[25]. Und statt eines „Neins“ zur Onlinedurchsuchung oder Quellen-TKÜ, die die Sicherheit von IT-Systemen systematisch schwächen und den Datenschutz aushöhlen, fordert man „zumindest verhältnismäßige Rechtsgrundlagen“^[26] – die der zuständige Innenminister vermutlich allzu gern liefert.

Bisweilen erwecken das politische Sinnieren über den Cyberkrieg und das Ersinnen fantastischer digitaler Gegenangriffsszenarien gegen Hacker aus fernen Ländern den Eindruck, von anderen, viel gewichtigeren Problemen abzulenken: „Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt“^[27], kritisieren Abgeordnete der Fraktion Bündnis 90/Die Grünen in ihrem Antrag. Lässiger Umgang mit IT-Sicherheit, veraltete Technologien, keine Kontrollen und kaum Sanktionen gegen notorische Sicherheitssünder (vgl. u. a. § 14 BSIG^[28]) sind das Ergebnis. Mit den Worten Friedrich Dürrenmatts ausgedrückt: Wer einen großen Skandal verheimlichen will, inszeniert am besten einen kleinen. Dass ein digitaler Gegenschlag im Notfall tatsächlich „wirken“ würde, ist noch nicht erwiesen, obwohl es auch darauf ankommt, welches Ergebnis die Bundesregierung als „wirksam“ bezeichnet.

Statt Strategien für Kriege der Zukunft zu entwickeln, sollten Unternehmen und Behörden ihre Systeme und Netzwerke vernünftig absichern, in Firewalls und Perimeter-Sicherheit und in gut ausgebildete sowie erfahrene Spezialisten investieren, damit externe Angreifer nicht mehr mit gewohnter Nonchalance eindringen können. Dann nämlich, so Thomas Kuhn in WirtschaftsWoche: „Dann ist am Ende auch Nebensache, wo die Angreifer tatsächlich sitzen.“^[29]

A

A

^[1]  Otto, Ri 2018, 68 ff.

^[2]  BT-Drucksache 19/1328, Antrag IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. 21. März 2018 (http://dipbt.bundestag.de/dip21/btd/19/013/1901328.pdf).

^[3]  https://www.heise.de/amp/meldung/Cyberschlaege-Bundesregierung-prueft-Hack-Back-Strategie-mit-digitalem-Rettungsschuss-3689279.html (letzter Zugriff: 5.3.2018).

^[4]  Rehak, R. 2016. „Der irreführende „Cyberspace“ – wenn Begriffe Verantwortlichkeiten verschleiern“, in: Informatik Spektrum, 39 (6/2016), S. 445.

^[5]  Reinhold T. und Schulze, T. 2018. „Digitale Gegenangriffe“. Arbeitspapier. Berlin, Stiftung Politik und Wissenschaft, S. 3.

^[6]  Reinhold/Schulze, S. 4.

^[7]  Reinhold/Schulze, S. 5.

^[8]  Sowa, A. 2017. Management der Informationssicherheit. Kontrolle und Optimierung. Springer Verlag. S. 58 ff.

^[9]  Vgl. ISO (2005): ISO/IEC 27001:2005 Information Technology – Security Techniques – Information Security Management Systems – Requirements. Geneva.

^[10]  ISACA (2014): 2014 CISM Review Course. ISACA, Rolling Meadows.

^[11]  Greenberg, A. 2016. „This ‚demonically clever’ backdoor hides in a tiny slice of a computer chip”, in: Wired.com, 6.1.2016, https://www.wired.com/2016/06/demonically-clever-backdoor-hides-inside-computer-chip/ (letzter Zugriff: 5. März 2018).

^[12]  Adee, S. 2008. „The Hunt for the Kill Switch“, in: IEEE Spectrum, 1.5.2008, https://spectrum.ieee.org/semiconductors/design/the-hunt-for-the-kill-switch (letzter Zugriff: 24. März 2018).

^[13]  Vgl. Adee, S. 2008.

^[14]  Bilzor, M. 2012. „3D Execution Monitor (3D-EM): Using 3D Circuits to Detect Hardware Malicious Inclusions in General Purpose Processors“, in Matskin, Mihhail: „ICIW 2011: the Sixth International Conference on Internet and Web Applications and Services; ECCSS 2011, the First International Workshop on Enterprise Cloud“, Red Hook, NY.

^[15]  https://www.forschung-it-sicherheit-kommunikationssysteme.de/it-sicherheitskonferenz (letzter Zugriff: 27. Mai 2018).

^[16]  Vgl. Bodmer, S, Kilger, M., Carpenter, G und Jones, J. 2012. Reverse Deception. Organized Cyber Threat Counter-Exploitation. McGrow-Hill, New York. 

^[17]  Reinhold/Schulze, S. 10.

^[18]  Reinhold/Schulze, S. 10.

^[19]  BT-Drucksache 19/1328, Antrag IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. 21. März 2018, S. 7.

^[20]  BT-Drucksache 19/1328, S. 4.

^[21]  Heise.de. 2018. „Hack Back: Bundesregierung prüft Möglichkeit von Cybergegenangriffen“, 19.3.2018, https://www.heise.de/newsticker/meldung/Hack-Back-Bundesregierung-prueft-Moeglichkeit-von-Cybergegenangriffen-3998016.html (letzter Zugriff: 5.3.2018).

^[22]  Koalitionsvertrag zwischen CDU, CSU und SPD: Ein neuer Aufbruch für Europa – Eine neue Dynamik für Deutschland – Ein neuer Zusammenhalt für unser Land, 7.2.2018, S. 128.

^[23]  Sanches, M. 2019. „So könnte die Regierung gegen Cyber-Kriminalität aufrüsten“, in: Berliner Morgenpost, 19.1.2018, https://www.morgenpost.de/politik/article213157043/So-koennte-die-Regierung-gegen-Cyber-Kriminalitaet-aufruesten.html (letzter Zugriff: 5. März 2018).

^[24]  BT-Drucksache 19/1328, Antrag IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. 21.3.2018, S. 2.

^[25]  BT-Drucksache 19/1328, S. 4.

^[26]  BT-Drucksache 19/1328, S. 5.

^[27]  BT-Drucksache 19/1328, Antrag IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. 21.3.2018 (http://dipbt.bundestag.de/dip21/btd/19/013/1901328.pdf).

^[28]  BSI-Gesetz, https://www.buzer.de/gesetz/8987/a193775.htm (letzter Zugriff 3.5.2018).

^[29]  Kuhn, T., 2018. „Die sträfliche Ignoranz der Opfer“, in WiWo 17 (20.4.2018), S. 13.