Rechtliche Lage bei Hackbacks in Deutschland

Hackback2

Hackbacks, auch als „aktive Cyberabwehr“ bezeichnet, sind Maßnahmen, bei denen ein Angriff auf IT-Systeme aktiv beantwortet wird, indem das Zielsystem des Angreifers selbst angegriffen wird.

Ziel eines Hackbacks ist es, den ursprünglichen Angreifer zu stoppen, Daten wiederherzustellen oder weitere Schäden zu verhindern. Dies kann durch das Eindringen in die IT-Infrastruktur des Angreifers, das Löschen schädlicher Software oder sogar die physische Beeinträchtigung von Hardware erfolgen. Hinweis: Der Beitrag aus dem September 2024 wurde im Januar 2026 aktualisiert.

In meinem juristischen Fachaufsatz „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen im AnwZert ITR 3/2025, gehe ich Fragen rund um gesellschaftspolitische, aber auch juristische Probleme bei Hackbacks, Cyberwar und Desinformation auf den Grund.

Politische Diskussionen und Gesetzgebung

In Deutschland ist das Thema Hackbacks seit einigen Jahren Gegenstand politischer Diskussionen und erlebt derzeit eine neue Dynamik. Ende Mai 2019 berichteten Recherchen des Bayerischen Rundfunks über ein internes Konzeptpapier der Bundesregierung, das detaillierte Vorschläge für behördliche Gegenmaßnahmen bei erheblichen Cyberangriffen aus dem Ausland enthielt. Dieses Papier sah ein vierstufiges Vorgehen vor: Während die ersten beiden Stufen vor allem klassische defensive Maßnahmen beschrieben, sollten in den Stufen drei und vier aktivere Eingriffe möglich sein, etwa das Eindringen in fremde Netze und das Herunterfahren von Systemen.

In den Folgejahren hat sich die politische Debatte weiterentwickelt. Im Koalitionsvertrag der Ampel-Regierung wurde festgeschrieben, dass Hackbacks als Mittel der Cyberabwehr grundsätzlich abgelehnt werden, eine Linie, die sich auch in der Nationalen Sicherheitsstrategie widerspiegelt. Gleichwohl flammt die Diskussion nach größeren Cybervorfällen regelmäßig wieder auf, insbesondere wenn Angriffe auf staatliche Einrichtungen oder kritische Infrastrukturen öffentlich werden.

Aktuell hat die Debatte durch Berichte über die enorme Zahl von Angriffen auf die IT-Systeme der Deutschen Bundesbank neuen Auftrieb erhalten. Nach Angaben der Bundesbank werden pro Minute tausende Angriffe auf ihre Systeme registriert (wobei unklar ist, was ein “Angriff” ist und ob schlichte Pings mitgezählt werden…), hochgerechnet mehrere Milliarden Versuche im Jahr, die bislang überwiegend an den getroffenen Schutzmaßnahmen scheitern. Vor diesem Hintergrund kündigt Bundesinnenminister Alexander Dobrindt an, deutlich „konsequenter“ gegen Cyberangriffe auf staatliche Institutionen vorgehen zu wollen und betont, man werde „zurückschlagen, auch im Ausland“.

Parallel dazu bereitet das Bundesinnenministerium eine Gesetzesänderung vor, mit der Sicherheitsbehörden befugt werden sollen, Infrastruktur von Angreifern auch im Ausland zu stören oder lahmzulegen, um laufende oder bevorstehende Angriffe zu stoppen. Offiziell wird dabei der Begriff „Hackback“ vermieden; stattdessen ist von „aktiver Cyberabwehr“, „Gegenmaßnahmen“ und der „Zerstörung von Angriffs-Infrastruktur“ die Rede, obwohl der Kern – ein digitaler Eingriff in fremde Systeme – funktional einem Hackback sehr nahekommt. Dobrindt hält eine Grundgesetzänderung für diese Befugnisse nicht für erforderlich und verweist auf bereits bestehende Kompetenzen von Bundesbehörden im Bereich der Gefahrenabwehr, während zugleich diskutiert wird, ob für Cyber-Gegenmaßnahmen, die in die originäre Länderzuständigkeit für Gefahrenabwehr eingreifen, nicht doch verfassungsrechtliche Anpassungen nötig wären.

Rechtliche Lage in Deutschland

Rechtlich betrachtet sind Hackbacks in Deutschland umstritten und bewegen sich in einer rechtlichen Grauzone. Gemäß Artikel 2 Absatz 4 der UN-Charta ist die Anwendung von Gewalt in den internationalen Beziehungen grundsätzlich verboten, es sei denn, sie erfolgt im Rahmen des Selbstverteidigungsrechts nach Artikel 51 der UN-Charta. Diese völkerrechtlichen Normen sind auch auf den Cyberraum anwendbar. Das bedeutet, dass ein Staat, der Hackbacks durchführt, dabei völkerrechtliche Grenzen beachten muss. Insbesondere ist die Anwendung von Hackbacks nur dann gerechtfertigt, wenn sie als rechtmäßige Selbstverteidigung gegen einen bewaffneten Angriff gelten können, was in der Praxis selten der Fall ist.

Zusätzlich stellt die Durchführung von Hackbacks durch staatliche Stellen auch innerstaatliche rechtliche Herausforderungen dar. In Deutschland wäre es beispielsweise problematisch, die Bundeswehr oder Nachrichtendienste für Hackbacks einzusetzen, da deren Aufgaben gesetzlich streng definiert sind und solche Aktionen möglicherweise gegen das Trennungsgebot zwischen Polizei und Nachrichtendiensten verstoßen könnten. Eine Ausweitung der Zuständigkeiten der Bundeswehr im Bereich der Cyberabwehr würde zudem hohe verfassungsrechtliche Hürden mit sich bringen, da ein Einsatz nur im Verteidigungsfall und unter strenger Beachtung der Verfassungsvorgaben zulässig wäre.

Können Hackbacks eine Straftat in Deutschland sein?

Hackbacks können als Straftat eingestuft werden. In Deutschland sowie international gibt es verschiedene rechtliche Rahmenbedingungen, die Hackbacks regulieren. Grundsätzlich gilt, dass das Eindringen in fremde IT-Systeme ohne ausdrückliche Erlaubnis des Eigentümers oder Betreibers illegal ist und somit gegen Gesetze wie das Computerstrafrecht verstößt. Dies gilt selbst dann, wenn das Ziel darin besteht, auf einen vorherigen Cyberangriff zu reagieren oder diesen abzuwehren.

IT-Sicherheitsforscher

IT-Sicherheitsforscher stehen Hackbacks oft skeptisch gegenüber. Einerseits erkennen sie die Notwendigkeit an, aktiv gegen Cyberangriffe vorzugehen, insbesondere wenn passive Verteidigungsmaßnahmen versagen. Andererseits weisen sie darauf hin, dass Hackbacks nicht nur rechtlich problematisch sind, sondern auch technische Risiken mit sich bringen, wie etwa die unbeabsichtigte Eskalation von Konflikten oder Schäden an unbeteiligten Dritten. Forscher argumentieren, dass ein Hackback in den meisten Fällen gegen geltende Gesetze verstößt, darunter das Hacking-Verbot gemäß § 202a StGB (Ausspähen von Daten) oder § 303b StGB (Computersabotage). Zudem betonen sie, dass es für Forscher wichtig ist, sich an rechtliche Vorgaben zu halten, um die Integrität ihrer Arbeit und die Einhaltung ethischer Standards sicherzustellen​.

Angegriffene Unternehmen

Für angegriffene Unternehmen können Hackbacks auf den ersten Blick wie eine verlockende Lösung erscheinen, um die Kontrolle über ihre IT-Systeme zurückzugewinnen oder den Angreifer direkt zu stoppen. Dennoch müssen auch sie die rechtlichen Implikationen bedenken: Ein Hackback ohne rechtliche Grundlage könnte schnell als unbefugter Zugriff oder als Computerdelikt angesehen werden. Selbst wenn ein Unternehmen durch einen Angriff erheblichen Schaden erlitten hat, rechtfertigt dies in der Regel nicht, selbst zum Angreifer zu werden. Unternehmen sind angehalten, stattdessen die Zusammenarbeit mit Behörden zu suchen und rechtliche Mittel auszuschöpfen. Zudem besteht das Risiko, dass durch einen Hackback die Situation eskaliert und etwaige Schäden verstärkt werden, was die rechtliche Position des Unternehmens weiter schwächen könnte. Die Beteiligung an Hackbacks könnte zudem gegen die Sorgfaltspflichten der Unternehmensführung verstoßen und haftungsrechtliche Konsequenzen nach sich ziehen​.

Behördenmitarbeiter

Staatliche Mitarbeiter, insbesondere aus Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Bundesnachrichtendienst (BND), sehen Hackbacks in einem komplexen rechtlichen und operativen Kontext. Einerseits gibt es den Wunsch, staatliche Systeme und kritische Infrastrukturen proaktiv zu schützen. Andererseits unterliegen auch sie strengen gesetzlichen Regelungen, die solche Maßnahmen einschränken. Hackbacks könnten gegen völkerrechtliche Normen, wie das Gewaltverbot gemäß Art. 2 Abs. 4 der UN-Charta, verstoßen, insbesondere wenn sie in fremde IT-Systeme im Ausland eindringen. Die Durchführung von Hackbacks durch staatliche Stellen wäre nur in eng definierten Ausnahmefällen gerechtfertigt, beispielsweise im Rahmen des Selbstverteidigungsrechts nach Art. 51 der UN-Charta, was jedoch bei den meisten Cyberangriffen nicht zur Anwendung kommt.

Behörden in Deutschland, wie etwa die Bundeswehr, dürfen laut Art. 87a GG nur unter strengen Bedingungen aktiv im Cyberraum agieren, insbesondere bei Verteidigungsmaßnahmen gegen einen bewaffneten Angriff. Die Nutzung von Hackbacks im Rahmen der alltäglichen Gefahrenabwehr wäre daher meist verfassungswidrig und könnte für die verantwortlichen Mitarbeiter strafrechtliche Konsequenzen haben. Die Bundesregierung hat in internen Konzepten angedeutet, dass Hackbacks Teil eines strategischen Abwehrinstrumentariums werden könnten, jedoch bleibt die rechtliche Durchführbarkeit und die politische Unterstützung dafür stark umstritten​.

Beispiele und aktuelle Entwicklungen

Ein anschauliches Beispiel für die Schwierigkeiten und Reichweiten staatlicher Gegenmaßnahmen im Cyberraum ist die Operation des U.S. Cyber Command gegen die russische Trollfabrik „Internet Research Agency“ im Umfeld der US‑Zwischenwahlen 2018. Um Einflussnahmen auf die Wahl zu verhindern, wurde die Internetanbindung der Gruppe zeitweise gezielt gestört, sodass ihre Desinformationsaktivitäten zumindest vorübergehend unterbunden wurden. Die Aktion verdeutlicht, wie weitreichend technische Eingriffe in gegnerische Infrastrukturen sein können, macht aber zugleich deutlich, dass solche Maßnahmen unterhalb der Schwelle bewaffneter Gewalt rechtlich und politisch sensibel bleiben und Eskalationsrisiken bergen.

In Deutschland konzentriert sich die Entwicklung bislang vor allem auf den Ausbau defensiver Resilienz, etwa durch das NIS2‑Umsetzungsgesetz, erweiterte Meldepflichten und eine gestärkte Rolle des BSI als zentrale Cybersicherheitsbehörde. Der aktuelle Lagebericht des BSI betont ausdrücklich, dass der Schutz und die Reduktion eigener Angriffsflächen – also Prävention, Härtung und Incident‑Response‑Fähigkeiten – der entscheidende Hebel zur Verbesserung der Cybersicherheit sind, nicht digitale Gegenschläge.

Zugleich wird – befeuert durch die stark gestiegene Zahl und Qualität staatlich unterstützter Angriffe auf deutsche Ziele – wieder intensiver über „aktive Cyberabwehr“ und mögliche rechtliche Grundlagen für Eingriffe in gegnerische Infrastrukturen diskutiert. Das Nationale Cyber‑Abwehrzentrum (NCAZ) bündelt dabei zwar die Expertise zahlreicher Behörden, darunter BSI, BKA und BND, leidet aber weiterhin unter einer komplexen Zuständigkeitslandschaft, in der klare operative Verantwortlichkeiten für etwaige offensive Maßnahmen fehlen. Vor diesem Hintergrund stehen Überlegungen im Raum, die Rolle des BSI und anderer Bundesbehörden weiter zu schärfen – bislang allerdings mit klarer Schwerpunktsetzung auf kooperativer Gefahrenabwehr und Resilienz, nicht auf vollwertigen Hackbacks.

Cyberwar und hybride Kriegsführung

Cyberwar

Aus juristischer Perspektive gibt es einige weitere Informationen zu dem Gesamtthemenkomplex im Blog bei uns:

Attribuierung von Cyberangriffen als Kernproblem

Das juristisch gravierende Problem in der Hackback‑Debatte ist die hinreichend sichere Attribuierung von Cyberangriffen. Technisch agieren Angreifer regelmäßig über kompromittierte Systeme Dritter, mehrstufige Proxy‑Infrastrukturen und Botnetze, häufig unter Nutzung sogenannter false‑flag‑Taktiken, sodass der sichtbare Ursprung eines Angriffs nur selten mit dem tatsächlichen Urheber identisch ist.

Selbst wenn sich ein Angriff im Nachhinein einem bestimmten staatlichen oder nichtstaatlichen Akteur zuordnen lässt, ist dieser Prozess komplex, zeitaufwendig und mit Unsicherheiten behaftet; forensisch belastbare Attribuierungen können Monate dauern, wie prominente Kampagnen gegen politische Parteien gezeigt haben. Für völkerrechtlich relevante Reaktionen – insbesondere für Gegenmaßnahmen oder Selbstverteidigung – genügt eine rein technische Attribution nicht; erforderlich ist eine rechtlich tragfähige Zuschreibung staatlicher Verantwortlichkeit.

Das Tallinn Manual 2.0 betont, dass Cyberoperationen nichtstaatlicher Akteure einem Staat nur unter engen Voraussetzungen zugerechnet werden können, etwa wenn sie auf dessen Instruktion, unter dessen effektiver Kontrolle oder nachträglicher ausdrücklicher „adoption“ erfolgen. In der Praxis bedeutet dies, dass Staaten für Hackbacks ein erhebliches Risiko eingehen, völkerrechtswidrig gegen den „falschen“ Adressaten vorzugehen oder jedenfalls auf einer lückenhaften Tatsachengrundlage zu agieren – mit entsprechenden Eskalationsrisiken.

Ausblick zu Hackbacks

hackbacks: Rechtsanwalt Ferner zu Hackbacks und der rechtlichen Lage bei Hackbacks

Hackbacks sind und bleiben ein kontroverses und komplexes Thema in der deutschen Cybersicherheitspolitik. Zwar wird die Notwendigkeit aktiver Maßnahmen zur Abwehr von Cyberangriffen anerkannt, doch die rechtlichen und politischen Hürden sind erheblich. In meinem Aufsatz sind deutliche kritische Töne zu diesem Thema zu finden.

Der Umgang mit Hackbacks erfordert eine sorgfältige Abwägung zwischen dem Schutz der nationalen Sicherheit und der Wahrung internationaler sowie nationaler Rechtsnormen – das Bierzeltgepolter mancher Innenminister ist da schlicht fehl am Platz. Insbesondere wird deutlich, dass Stammtisch-Simplifizierungen das Problem nur verschlimmern: Aus rechtlicher Sicht stellen Hackbacks letztlich ein erhebliches Risiko dar – für Privatpersonen, Unternehmen und staatliche Akteure.

Der Wunsch, aktiv gegen Cyberangriffe vorzugehen, ist zwar nachvollziehbar, jedoch sind die rechtlichen und ethischen Implikationen erheblich. In Fachkreisen besteht nach meinem Eindruck weitgehend Einigkeit, dass robuste defensive Maßnahmen – technische Härtung von Systemen, kontinuierliches Patch-Management, Aufbau von Incident-Response- und Forensik-Kapazitäten – deutlich effektiver und rechtssicherer sind als Hackbacks. Nationale Strategien setzen daher zunehmend auf Meldepflichten, zentrale Lagebilder und koordinierte Abwehr statt digitaler Gegenschläge, auch um Kollateralschäden bei Dritten zu vermeiden.

In Deutschland und den meisten anderen Rechtsordnungen sind Hackbacks in der Regel illegal und können strafrechtliche Konsequenzen nach sich ziehen. Unternehmen und Behörden sind daher gut beraten, sich an die bestehenden rechtlichen Rahmenbedingungen zu halten und alternative, rechtlich zulässige Maßnahmen zur Cyberabwehr zu ergreifen. Nicht zuletzt, weil die Zuordnung von Angriffen äußerst schwierig ist – spätestens die Anschläge auf Nord Stream sollten jedem klargemacht haben, dass die Identifizierung von Angreifern in Zeiten hybrider Kriegsführung alles andere als leicht ist. Das ist im Cyberspace nicht einfacher.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.