Cybersecurity-Debatte: Deutschland verzichtet auf aktive Botnetz-Bereinigung

‍

Derzeit geht man in mehreren Staaten aktiv gegen die Schadsoftware Plug-X vor, Deutschland bleibt jedoch zurückhaltend. Sicherheitsbehörden in den USA und Frankreich haben zehntausende infizierte Systeme bereinigt – mit einer einfachen, bereits in der Malware integrierten Funktion. Die deutschen Behörden hingegen informieren lediglich über Infektionen, ohne Maßnahmen zur Desinfektion einzuleiten.

Plug-X: Ursprung, Verbreitung und internationale Reaktion

Ursprünglich als gezieltes Remote Access Tool entwickelt, wurde Plug-X später zu einer sich selbst verbreitenden Schadsoftware. Besonders brisant: In der Vergangenheit wurde sie für Angriffe auf Unternehmen wie VW genutzt. Das französische Cybersicherheitsunternehmen Sekoia gelang es vor eineinhalb Jahren, Zugriff auf die Steuerungsserver des Botnetzes zu erhalten und eine Methode zur einfachen Deaktivierung der Malware zu identifizieren.

Anstatt selbst aktiv einzugreifen, suchte Sekoia die Kooperation mit internationalen Sicherheitsbehörden. Der Vorschlag: Mit einem einfachen Befehl könnte die in Plug-X enthaltene Selbstlöschroutine aktiviert und die Schadsoftware entfernt werden – ohne zusätzliche Programme auf betroffenen Systemen zu installieren. Alternativ existiert eine tiefere Eingriffsmethode zur Bereinigung infizierter USB-Geräte, die jedoch als rechtlich sensibel eingestuft wurde.

USA und Frankreich setzen auf direkte Intervention

Frankreich nutzte die angebotene Lösung schon im Sommer 2024 und desinfizierte tausende Systeme. Anfang 2025 bereinigte dann das FBI mithilfe eines richterlich genehmigten Verfahrens 4200 infizierte Rechner in den USA. Insgesamt haben zehn Staaten unter Verwendung eigener rechtlicher Befugnisse die Malware erfolgreich deaktiviert.

Deutschland: Behörden setzen auf Informationsweitergabe

In Deutschland bleibt eine aktive Bereinigung aus. Das Bundeskriminalamt (BKA) argumentiert, dass die polizeilichen Gefahrenabwehrbefugnisse auf Bundesebene eine solche Maßnahme nicht zulassen. Dies steht im Gegensatz zu früheren Aktionen gegen die Emotet-Schadsoftware, bei der das BKA selbst entwickelte Bereinigungssoftware auf infizierte Systeme brachte. Warum nun ein weit weniger invasives Vorgehen unterbleibt, bleibt unklar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist auf eine gesetzliche Möglichkeit nach §7c des BSI-Gesetzes, wonach in bestimmten Fällen eine zwangsweise Desinfektion durch Telekommunikationsanbieter möglich wäre. Diese Befugnis greift jedoch nur bei Bedrohung kritischer Infrastrukturen oder der Bundeskommunikation. Das BSI sieht derzeit keine Notwendigkeit für eine solche Maßnahme und verweist auf eine geringe Betroffenheit in Deutschland. Seit 2024 informiert die Behörde über Infektionen und übermittelt entsprechende Daten an Internetanbieter, die wiederum ihre Kunden warnen sollen – ein Verfahren, das erfahrungsgemäß nur begrenzte Erfolge erzielt.

Fazit: Sicherheit versus rechtliche Zurückhaltung

Während andere Staaten die Bedrohung durch Plug-X aktiv bekämpfen, bleibt Deutschland bei einem zurückhaltenden Informationsansatz. Die rechtlichen Bedenken des BKA und die zurückhaltende Bewertung des BSI stehen im Widerspruch zu den erfolgreichen Bereinigungsmaßnahmen anderer Länder. Dies wirft die Frage auf, ob rechtliche oder politische Erwägungen hier schwerer wiegen als die Sicherheit der betroffenen IT-Systeme.