Überblick über Hackbacks in Deutschland

Hackbacks, auch als „aktive Cyberabwehr“ bezeichnet, sind Maßnahmen, bei denen ein Angriff auf IT-Systeme aktiv beantwortet wird, indem das Zielsystem des Angreifers selbst angegriffen wird.

Ziel eines Hackbacks ist es, den ursprünglichen Angreifer zu stoppen, Daten wiederherzustellen oder weitere Schäden zu verhindern. Dies kann durch das Eindringen in die IT-Infrastruktur des Angreifers, das Löschen schädlicher Software oder sogar die physische Beeinträchtigung von Hardware erfolgen.

Politische Diskussionen in Deutschland

In Deutschland ist das Thema Hackbacks seit einigen Jahren Gegenstand politischer Diskussionen. Ende Mai 2019 berichteten Recherchen des Bayerischen Rundfunks über ein internes Konzeptpapier der Bundesregierung, das detaillierte Vorschläge für behördliche Gegenmaßnahmen bei erheblichen Cyberangriffen aus dem Ausland enthielt. Das Papier beschreibt ein vierstufiges Vorgehen: Während die ersten beiden Stufen noch keine Hackbacks im engeren Sinne darstellen, erlauben die dritten und vierten Stufen aktivere Maßnahmen, wie das Eindringen in fremde Netze und das Herunterfahren von Systemen.

Die Diskussion um die Zulässigkeit und die Sinnhaftigkeit solcher Maßnahmen wurde durch das Konzeptpapier neu entfacht. Kritiker warnen vor einer Eskalation der digitalen Konflikte und einem möglichen Wettrüsten im Cyberraum. Zudem gibt es Bedenken hinsichtlich der Zuständigkeiten und der technisch-organisatorischen Umsetzung solcher Maßnahmen in Deutschland, was die Debatte zusätzlich erschwert.

Rechtliche Lage in Deutschland

Rechtlich betrachtet sind Hackbacks in Deutschland umstritten und bewegen sich in einer rechtlichen Grauzone. Gemäß Artikel 2 Absatz 4 der UN-Charta ist die Anwendung von Gewalt in den internationalen Beziehungen grundsätzlich verboten, es sei denn, sie erfolgt im Rahmen des Selbstverteidigungsrechts nach Artikel 51 der UN-Charta. Diese völkerrechtlichen Normen sind auch auf den Cyberraum anwendbar. Das bedeutet, dass ein Staat, der Hackbacks durchführt, dabei völkerrechtliche Grenzen beachten muss. Insbesondere ist die Anwendung von Hackbacks nur dann gerechtfertigt, wenn sie als rechtmäßige Selbstverteidigung gegen einen bewaffneten Angriff gelten können, was in der Praxis selten der Fall ist.

Zusätzlich stellt die Durchführung von Hackbacks durch staatliche Stellen auch innerstaatliche rechtliche Herausforderungen dar. In Deutschland wäre es beispielsweise problematisch, die Bundeswehr oder Nachrichtendienste für Hackbacks einzusetzen, da deren Aufgaben gesetzlich streng definiert sind und solche Aktionen möglicherweise gegen das Trennungsgebot zwischen Polizei und Nachrichtendiensten verstoßen könnten. Eine Ausweitung der Zuständigkeiten der Bundeswehr im Bereich der Cyberabwehr würde zudem hohe verfassungsrechtliche Hürden mit sich bringen, da ein Einsatz nur im Verteidigungsfall und unter strenger Beachtung der Verfassungsvorgaben zulässig wäre.

Können Hackbacks eine Straftat in Deutschland sein?

Hackbacks können als Straftat eingestuft werden. In Deutschland sowie international gibt es verschiedene rechtliche Rahmenbedingungen, die Hackbacks regulieren. Grundsätzlich gilt, dass das Eindringen in fremde IT-Systeme ohne ausdrückliche Erlaubnis des Eigentümers oder Betreibers illegal ist und somit gegen Gesetze wie das Computerstrafrecht verstößt. Dies gilt selbst dann, wenn das Ziel darin besteht, auf einen vorherigen Cyberangriff zu reagieren oder diesen abzuwehren.

IT-Sicherheitsforscher

IT-Sicherheitsforscher stehen Hackbacks oft skeptisch gegenüber. Einerseits erkennen sie die Notwendigkeit an, aktiv gegen Cyberangriffe vorzugehen, insbesondere wenn passive Verteidigungsmaßnahmen versagen. Andererseits weisen sie darauf hin, dass Hackbacks nicht nur rechtlich problematisch sind, sondern auch technische Risiken mit sich bringen, wie etwa die unbeabsichtigte Eskalation von Konflikten oder Schäden an unbeteiligten Dritten. Forscher argumentieren, dass ein Hackback in den meisten Fällen gegen geltende Gesetze verstößt, darunter das Hacking-Verbot gemäß § 202a StGB () oder § 303b StGB (). Zudem betonen sie, dass es für Forscher wichtig ist, sich an rechtliche Vorgaben zu halten, um die Integrität ihrer Arbeit und die Einhaltung ethischer Standards sicherzustellen​.

Angegriffene Unternehmen

Für angegriffene Unternehmen können Hackbacks auf den ersten Blick wie eine verlockende Lösung erscheinen, um die Kontrolle über ihre IT-Systeme zurückzugewinnen oder den Angreifer direkt zu stoppen. Dennoch müssen auch sie die rechtlichen Implikationen bedenken: Ein Hackback ohne rechtliche Grundlage könnte schnell als unbefugter Zugriff oder als Computerdelikt angesehen werden. Selbst wenn ein Unternehmen durch einen Angriff erheblichen Schaden erlitten hat, rechtfertigt dies in der Regel nicht, selbst zum Angreifer zu werden. Unternehmen sind angehalten, stattdessen die Zusammenarbeit mit Behörden zu suchen und rechtliche Mittel auszuschöpfen. Zudem besteht das Risiko, dass durch einen Hackback die Situation eskaliert und etwaige Schäden verstärkt werden, was die rechtliche Position des Unternehmens weiter schwächen könnte. Die Beteiligung an Hackbacks könnte zudem gegen die Sorgfaltspflichten der Unternehmensführung verstoßen und haftungsrechtliche Konsequenzen nach sich ziehen​.

Behördenmitarbeiter

Staatliche Mitarbeiter, insbesondere aus Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Bundesnachrichtendienst (BND), sehen Hackbacks in einem komplexen rechtlichen und operativen Kontext. Einerseits gibt es den Wunsch, staatliche Systeme und kritische Infrastrukturen proaktiv zu schützen. Andererseits unterliegen auch sie strengen gesetzlichen Regelungen, die solche Maßnahmen einschränken. Hackbacks könnten gegen völkerrechtliche Normen, wie das Gewaltverbot gemäß Art. 2 Abs. 4 der UN-Charta, verstoßen, insbesondere wenn sie in fremde IT-Systeme im Ausland eindringen. Die Durchführung von Hackbacks durch staatliche Stellen wäre nur in eng definierten Ausnahmefällen gerechtfertigt, beispielsweise im Rahmen des Selbstverteidigungsrechts nach Art. 51 der UN-Charta, was jedoch bei den meisten Cyberangriffen nicht zur Anwendung kommt.

Behörden in Deutschland, wie etwa die Bundeswehr, dürfen laut Art. 87a GG nur unter strengen Bedingungen aktiv im Cyberraum agieren, insbesondere bei Verteidigungsmaßnahmen gegen einen bewaffneten Angriff. Die Nutzung von Hackbacks im Rahmen der alltäglichen Gefahrenabwehr wäre daher meist verfassungswidrig und könnte für die verantwortlichen Mitarbeiter strafrechtliche Konsequenzen haben. Die Bundesregierung hat in internen Konzepten angedeutet, dass Hackbacks Teil eines strategischen Abwehrinstrumentariums werden könnten, jedoch bleibt die rechtliche Durchführbarkeit und die politische Unterstützung dafür stark umstritten​.

Beispiele und aktuelle Entwicklungen

Ein anschauliches Beispiel für die Schwierigkeiten bei Hackbacks ist der Vorfall der russischen Hackergruppe „Internet Research Agency“ im Jahr 2018. Um eine Einflussnahme auf die US-Zwischenwahlen zu verhindern, hat das U.S. Cyber Command Maßnahmen ergriffen, um die Operationen dieser Gruppe lahmzulegen. Diese Aktion zeigt die potenziellen Reichweiten und Konsequenzen von Hackbacks, aber auch die damit verbundenen rechtlichen und politischen Risiken.

In Deutschland gibt es Bestrebungen, die rechtlichen Grundlagen für Hackbacks klarer zu definieren. Ein zentrales Problem bleibt jedoch die Zuständigkeit: Das Nationale Cyber-Abwehrzentrum (NCAZ) umfasst eine Vielzahl von Behörden, darunter das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) und den Bundesnachrichtendienst (BND). Diese Behördendichte führt zu einem Zuständigkeitswirrwarr, das einer effektiven Reaktion im Wege stehen kann. Darüber hinaus wird diskutiert, ob und wie die Kompetenzen des BSI für aktive Maßnahmen erweitert werden könnten.

Geplante Gesetzgebung

Aktuell gibt es keine spezifische gesetzliche Regelung in Deutschland, die Hackbacks explizit erlaubt. Diskutiert wird jedoch, ob eine Gesetzesänderung nötig ist, um den rechtlichen Rahmen für Hackbacks zu schaffen. Diese könnte beinhalten, klar zu definieren, welche Stellen Hackbacks durchführen dürfen, welche Bedingungen erfüllt sein müssen und wie eine solche Maßnahme völkerrechtskonform gestaltet werden kann. Ein potenzieller Weg wäre die Einrichtung eines Systems, in dem Hackbacks nur unter strenger Aufsicht und nach umfassender rechtlicher Prüfung durchgeführt werden können, um Missbrauch und Eskalation zu verhindern.


Ausblick zu Hackbacks

Hackbacks bleiben ein kontroverses und komplexes Thema in der deutschen Cybersicherheitspolitik. Während die Notwendigkeit aktiver Maßnahmen zur Abwehr von Cyberangriffen anerkannt wird, sind die rechtlichen und politischen Hürden erheblich. Der Umgang mit Hackbacks erfordert eine sorgfältige Abwägung zwischen dem Schutz nationaler Sicherheit und der Wahrung internationaler und nationaler Rechtsnormen. Die Diskussion um Hackbacks in Deutschland zeigt, dass innovative Ansätze notwendig sind, um den wachsenden Bedrohungen im Cyberraum effektiv zu begegnen, ohne jedoch das Risiko einer rechtlichen oder politischen Eskalation einzugehen.

Hackbacks stellen aus rechtlicher Sicht letztlich ein erhebliches Risiko dar, sowohl für Privatpersonen und Unternehmen als auch für staatliche Akteure. Während der Wunsch, aktiv gegen Cyberangriffe vorzugehen, nachvollziehbar ist, sind die rechtlichen und ethischen Implikationen erheblich. In Deutschland und den meisten anderen Rechtsordnungen sind Hackbacks in der Regel illegal und können strafrechtliche Konsequenzen nach sich ziehen. Unternehmen und Behörden sind daher gut beraten, sich an die bestehenden rechtlichen Rahmenbedingungen zu halten und alternative, rechtlich zulässige Maßnahmen zur Cyberabwehr zu ergreifen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.