Sowohl für Bundeswehr als auch für Geheimdienste: „Hackback“ verstößt gegen geltendes Recht

Ob offensive „Cyberoperationen“ mit dem Grundgesetz und dem Völkerrecht zu vereinbaren sind, haben Wissenschaftler des Bundestags beurteilt. Ihr Ergebnis: Ein solches „Hackback“ wäre verfassungswidrig, sowohl für die Bundeswehr als auch für die Geheimdienste. Die Bundesregierung arbeitet jedoch bereits daran, eine Erlaubnis für das „Zurückhacken“ zu prüfen.

Das „Cyberpeace“-Symbol
Das „Cyberpeace“-Symbol des FIfF. CC-BY-SA 2.0 Yves Sorge

Was in der Politik mit dem Begriff „Hackback“ umschrieben wird, meint einen digitalen Angriff, den man als eine Art Vergeltung ausführt. Im Deutschen wäre vielleicht „zurückhacken“ eine passende Übersetzung. Es geht dabei nicht mehr nur um die Verteidigung der eigenen Systeme, sondern darum, fremde Computersysteme anzugreifen – außerhalb des deutschen Territoriums. Ein Gutachten der Wissenschaftliche Dienste des Deutschen Bundestags kommt zu dem Schluss, dass ein solches „Hackback“ verfassungswidrig ist.

Ob offensive Angriffe neben den defensiven Maßnahmen im Internet erlaubt und Behörden zum Zurückhacken befähigt werden sollen, wird bereits einige Zeit diskutiert. Für die Idee des „Hackbacks“ gibt es politische Fürsprecher bei den Geheimdiensten, allen voran der Chef des Inlandsgeheimdienstes Hans-Georg Maaßen sowie dessen Amtskollege Bruno Kahl vom Bundesnachrichtendienst (BND). Maaßens Behörde, das Bundesamt für Verfassungsschutz, ist für die Spionageabwehr zuständig und angesichts des Bundestagshacks und des Ende Februar 2018 bekanntgewordenen Angriffs auf die Regierungsnetze nicht eben mit Fortune geschlagen.

Dennoch fordert Maaßen die Möglichkeit des „Hackbacks“. Kahl gab ebenfalls zu Protokoll, sein Geheimdienst stünde vorbehaltlich der Befugnisse bereit. Unterstützung erhalten Maaßen und Kahl bei dem Ansinnen auch von Burkhard Lischka (SPD), der sich für solche aktiven „Hackbacks“ einsetzt.

Die Logik dahinter geht davon aus, dass Cyber-Angriffe von außen nicht nur abgewehrt werden müssen, sondern dass die Verursacher und deren Systeme aktiv angegriffen werden sollen. Manchmal findet man den Euphemismus „aktive Abwehr“ für solche Vorhaben. Er führt allerdings in die Irre, da mit einem „Hackback“ ganz klar ein offensiver Angriff gemeint ist, der eben nicht mit der Abwehr gleichzusetzen ist.

Wie man einen Angreifer jedoch sicher ausmacht, steht auf einem anderen Blatt. Denn die Attribution von Angreifern ist eine ausgesprochen schwere Aufgabe. Einzelne Computersysteme auszumachen, die bei einem Angriff mitwirken, ist jedoch im Einzelfall möglich. Diese Computer sollen beispielsweise das Ziel der Gegenangriffe sein. Ob und welche „Kollateralschäden“ man damit allerdings in Kauf nimmt und ob man tatsächlich den Angreifer oder aber Unbeteiligte in fremden Staaten erwischt, ist Teil des Problems. Es drohe beispielsweise auch die „Gefahr von Gegenmaßnahmen oder einer ungewollten Eskalation“, wie die Bundestagsgutachter feststellen.

Dass solche „Hackbacks“ zumindest bei der Bundeswehr ernsthaft vorbereitet werden, zeigt die Ausrichtung des Aufbaustabs „Cyber- und Informationsraum“ und auch die Maßnahmen des Verteidigungsministeriums, das an der Bundeswehr-Universität einen Master-Studiengang „Cyber Security Studies“ für siebzig Studenten pro Jahr startete.

Das „Zurückhacken“ im Auge der Gutachter

Ein aktuelles Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestags, das wir veröffentlichen, nimmt nun eine rechtliche Bewertung solcher Maßnahmen vor. Die Gutachter betonen, dass die Verfassungsmäßigkeit eines „Hackbacks“ in jedem Einzelfall zu prüfen sei. Dennoch analysieren sie die Rechtslage dahingehend, ob überhaupt diese Form eines Gegenangriffs im Rahmen des geltenden Rechts möglich wäre.

Beim „Zurückhacken“ betrachten die Gutachter diese Maßnahmen unabhängig davon, wer der Ausführende ist. Denn egal, ob eine Bundeswehreinheit oder ein Geheimdienst einen solchen Angriff vornimmt, beide müssten sich am Völkerrecht und am Grundgesetz orientieren. Gegen das „Gewaltverbot“ verstießen beide Stellen, was immer einer Rechtfertigung bedarf.

Allerdings sehen die Gutachter beim derzeit geltenden Recht keine Möglichkeit, dass die Geheimdienste bei den „Hackbacks“ mitmischen:

Kampfhandlungen im Rahmen internationaler Konflikte dürfen jedoch auch im Bereich der Cybermaßnahmen nach der derzeitigen Rechtslage nur durch Kombattanten, also Mitglieder der Streitkräfte, ausgeführt werden. Folglich ist nur die Bundeswehr zu entsprechenden Cybermaßnahmen befugt.

Neben dem Völkerrecht ist im Grundgesetz der Artikel 26, Absatz 1 einschlägig. Da man mit diesem Teil des Grundgesetzes nicht gerade oft in Kontakt kommt, geben wir seinen Inhalt hier nochmal wieder:

Handlungen, die geeignet sind und in der Absicht vorgenommen werden, das friedliche Zusammenleben der Völker zu stören, insbesondere die Führung eines Angriffskrieges vorzubereiten, sind verfassungswidrig. Sie sind unter Strafe zu stellen.

Nicht nur sind die genannten Handlungen und damit auch schwerwiegende Angriffe auf ausländische Server verboten, sondern sie werden auch bestraft. Das würde sowohl für die Bundeswehr als auch für Geheimdienste gelten. Die Wissenschaftler betonen, dass der Artikel 26 auch auf digitale Angriffe anzuwenden sei:

Auch Cyberangriffe müssen grundsätzlich im Einklang mit dem in Art. 26 Abs. 1 GG verankerten Verbot friedensstörender Handlungen stehen.

Trotzdem eine Erlaubnis zu aktiven Cyber-Angriffen schaffen?

Ob die Bundesregierung nach Lektüre des Gutachtens ihre Position überdenkt, ist ungewiss. Auch wenn es klarstellt, dass „auch Cyberangriffe eine Verletzung des völkerrechtlichen Gewaltverbots“ sind, stellte sich die Regierung bisher auf den Standpunkt, dass keine speziellen Rechtsgrundlagen geschaffen werden müssen, wenn staatliche Stellen zum „Hackback“ schreiten und offensive Cyber-Angriffe durchführen. Ganz praktisch wären das etwa das Sabotieren von Servern und Infrastrukturen, die man Angreifern zuordnet, oder das Löschen von Daten auf fremden Systemen, die man für eine Gefahr hält.

Das Gutachten kommt zur rechten Zeit, denn von ihrer bisherigen Position rückt die Bundesregierung aktuell ab, wie aus einer aktuellen Antwort auf eine parlamentarische Antwort hervorgeht (pdf):

Derzeit prüft die Bundesregierung möglichen Rechtssetzungsbedarf in Bezug auf Maßnahmen der zivilen aktiven Cyberabwehr, dazu gehören völker-, verfassungs- und einfachrechtliche Fragestellungen. Die Bundesregierung geht von einem Abschluss der Prüfungen in der 19. Legislaturperiode aus.

Hier findet sich wieder der Euphemismus von der „aktiven Cyberabwehr“, der in Wahrheit jedoch einen Angriff meint. Das bedeutet also, dass das Innenministerium einen Gesetzesvorschlag für die Erlaubnis zu aktiven Cyber-Angriffen bereits erwägt. Der Staatssekretär im Bundesinnenministerium, Klaus Vitt, hatte das vor einigen Tagen bereits indirekt angekündigt und erklärt, erneut die rechtlichen Bedingungen prüfen zu wollen, unter denen aktive IT-Angriffe vollzogen werden können. Vitt betonte allerdings, bei den Gegenschlägen wolle man unterhalb der Schwelle von militärischen Angriffen bleiben.

Dieser Spagat wird nicht einfach werden, vor allem dann nicht, wenn ein „Hackback“ zu physischen Schäden führt. Denn die Gutachter des Bundestags stellen fest:

Cybermaßnahmen sind insbesondere dann mit militärischer Gewalt gleichzusetzen, wenn sie physische Zerstörungen von einem erheblichen Umfang verursachen.

Allzu viele Einblicke in die Details der geplanten „Cyberoperationen“ gibt die Bundesregierung in ihrer Antwort allerdings nicht, denn wie immer sind große Teile der Maßnahmen unter dem Siegel der Geheimhaltung. Selbst wenn also ein „Hackback“ trotz des deutlich kritischen Gutachtens der Bundestags-Wissenschaftler ermöglicht wird, dürfte die Öffentlichkeit von den Hacking-Operationen nicht viel erfahren – sofern sie überhaupt rechtlich möglich wären.

14 Ergänzungen

  1. Interessanter Artikel – ich glaube auch, das Ergebnis ist richtig: Es gibt für ein solches Hackback in Deutschland keine Rechtsgrundlage. Da nach unserem Grundgesetz der Staat für jeden Eingriff in Rechte eine gesetzliche Eingriffsgrundlage und für Handlungen eine Kompetenz haben muss, darf er keinen Hackback betreiben, weil es dafür eben keine Eingriffsgrundlage gibt.

    Aber vielleicht liegt ja das Problem darin, dass es so etwas bis her nicht gab, nicht vorstellbar war und der Gesetzgeber deswegen nichts geregelt hat. Vielleicht sollte er das jetzt tun?

    Konflikte spielen sich schon lange nicht mehr allein unter Kombattanten ab, vielmehr finden viele „Kriege“ inzwischen zwischen Staaten einerseits und z.B. Terroristen oder sich als Staat gerierenden Einheiten andererseits statt. Zum Bekämpfen des Terrorismus gibt es das Polizeirecht. Das ist aber wegen hoher Anforderungen an die Verhältnismäßigkeit und die Risikoverteilung zulasten der Beamten nicht geeignet, das Staatswesen gegen Großkonflikte zu verteiigen. Deshalb stellt sich genau die Frage nach neuen, Rechtsgrundlagen für Geheimdienste und Militärs, mit denen die in solchen „asymmetrischen Kriegen“ eben doch eingreifen dürfen.

  2. Wie wäre es mal mit einer anderen Perspektive:
    Durch das Internet an sich kann, wie durch Redefreiheit, niemandem direkt Schaden zugefügt werden. Keine Handlung im Internet hat irgendwelche Auswirkungen in der physischen Welt, solange niemand Hardware ans Internet anschließt und nicht ausreichend sichert, die für solche Handlungen genutzt werden kann.
    Ich würde den Ansatz vertreten, dass derjenige, der die Hardware angeschlossen hat, das Risiko und auch die Verantwortung für die damit verbundenen Konsequenzen hat. Wenn Donald Trump seine Atomraketen für einfacheren Zugriff ans Internet anschließt, würde auch keiner auf die Idee kommen, dass die Verantwortung für den darauf folgenden Abschuss beim Hacker läge. Es wäre ganz klar Trumps Schuld.
    Aus diesem Grund sollten wir das Anschließen von Militärtechnik und Kerninfrastruktur (Kraftwerke, Wasserversorgung, ÖPNV, Medizintechnik) ans Internet unter Strafe stellen und privaten Unternehmen davon abraten, ihnen aber Entscheidungsfreiheit lassen, vitale Systeme mit dem Internet zu verbinden.
    Das Internet ist ein gefährlicher Ort, wo jeder jeden angreifen kann und wird, wo es weder Gnade noch Erbarmen gibt. Der einzige Weg ein „sicheres“ Internet umzusetzen wäre das Internet abzuschaffen und durch ein deutschlandinternes Intranet zu ersetzen, welchen an den Grenzen aufhört und nur vorher staatlich geprüfte Inhalte zulässt. Da das ökonomischer, wie politischer Selbstmord mit Anlauf wäre, bleibt uns nur uns mit der Existenz des bestehenden Internets abzufinden und uns daran anzupassen.
    Für BW und Geheimdienste hieße das: Alles sofort angreifen, was grob nach Ziel aussieht. Insbesondere eigene oder verbündete Ziele um deren Sicherheitsmaßnahmen zu testen und zu verbessern.

    1. Ich glaube die Ausgangsthese ist schon unzutreffend. Schaden wird nicht nur durch physischen Angriff mit „Hardware“ verursacht, sondern in einer digitalen Gesellschaft zunehmend im Internet: Geldströme zur Geldwäsche zwecks Terrorfinanzierung; Meinungsmanipulation durch Falschberichterstattung; Persönlichkeitsvernchtung durch Verleumdung, etc.

      Man kann die Digitalisierung nicht aufhalten, schon gar nicht mit Verboten und Strafrecht. Also müssen wir uns den Dingen stellen und nach adäquatem Recht suchen.

      1. Alles nur vorgeschobene angehbliche Probleme, die keine sind.
        -Geldwäsche und Terrorfinanzierung sind nur Panikschreie des Fiskus, weil er nicht jeden Handgriff besteuern kann. Die Lösung liegt hier bei einer Reform des Steuersystems um Steuererhebung zu vereinfachen (z.B. Abschaffung aller Steuern mit Ausnahme der Einkommensteuer als einzige verbleibende Steuer und Abführung über die Arbeit gebenden Unternehmen). Was ich danach mit meinem Geld mache geht niemanden etwas an. Wenn ich das Geld Antifa oder ISIS geben will kommt dadurch niemand direkt zu Schaden und gegen die Terroristen selbst kann man aufgrund ihrer physischen Handlungen vorgehen.
        -Meinungsmanipulation durch Falschberichterstattung sind nichts neues und nicht aufs Internet beschränkt. Jeder der den Mund aufmacht macht früher oder später, bewusst oder unbewusst Fehler und manipuliert dadurch sein Gegenüber. Hier kann man nur entweder einen mündigen Bürger erwarten, der in der Lage ist sich selbst ein Bild zu machen oder allen Untertanen staatliche Propaganda als einzige Wahrheit aufzwingen und sie darin einpacken.
        -Verleumdung hat sich mit dem Internet verändert und ist weniger relevant geworden. Über fast jeden werden heutzutage Falschnachrichten verbreitet und seien es nur die Freunde, die einen in ihre Feier reingephotoshopt, während man krank war. Die ständige Flut an Trollen und Falschnachrichten hat die Nutzer unempfindlicher gegen so etwas gemacht und es ist einfacher den je die Aufmerksamkeitswelle abzuwarten und eine Richtigstellung zu rauszugeben. Hier muss nur im Sog der abklingenden MeToo-Hexenjagd ein gesundes Misstrauen gegenüber allen unbelegten Behauptungen geschaffen werden.

        Was wir brauchen ist eine Gesellschaft, die eine dicke Haut hat und in der Lage ist ein paar harsche Worte auszuhalten und nicht wegen ein paar haltloser Anschuldigungen einknickt.

        1. “ (z.B. Abschaffung aller Steuern mit Ausnahme der Einkommensteuer als einzige verbleibende Steuer und Abführung über die Arbeit gebenden Unternehmen)“

          Spitzenidee, dann zahlen Reiche in Zukunft gar keine Steuern mehr.

          Der Rest deiner Einsichten scheint mir von ähnlich detaillierter Fachkenntnis und Folgenabschätzung geprägt zu sein.

          1. Falsch Oppi. Auch die Reichen kommen über gewerbliche Arbeit und damit über Unternehmen an ihr Geld. Die Separierung des Unternehmens und der natürlichen Person ist dabei entscheidend.
            Beispiele:
            -Der selbstständige Börsenspekulant ist Arbeitnehmer seines eigenen Unternehmens und müsste damit auf all das Geld, was er aus dem Firmenvermögen ist Privatvermögen transferiert Einkommensteuer zahlen.
            -Der Anteilseigner eines Dax-Konzerns bekommt jährlich eine Dividende, die dem Lohn gleichgesetzt wird und damit auch unter die Einkommensteuer fällt.
            -Der Politiker hält eine Rede für 3 mio. Euro. Da er das häufiger macht ist eine gewerbliche Tätigkeit gegeben und er muss wie in Bsp. 1 verfahren.

            Die Annahme Geld würde einfach vom Himmel fallen und sich selbst vermehren ist ein Irrglaube, der von linksradikalen Demagogen verbreitet wird, die keine Ahnung von Wirtschaft haben.
            Geld verfällt wenn es nicht investiert wird. Inflation und Lebenshaltungskosten sorgen dafür.
            Selbst wenn jemand sehr reich erben würde und das Geld im persönlichen Speicher versteckt ohne es anzulegen, was zugegebener Maßen dazu führen würde, dass er keine Steuern zahlt, würde sein Vermögen doch ständig schrumpfen. Da die Lebenshaltungskosten durch ein gewisses Luxusbedürfnis mit steigendem Vermögen auch steigen ist das Geld statistisch nach ca. zwei bis drei Generationen weg und die Urenkel sind wieder arm wie Kirchenmäuse.

  3. Ein Gedankenpiel:

    Gruppe X hat den Exit Knoten zb. über einen Behördlichen Rechner im Land X,
    wird diese Ausländische „Behörde“ angegriffen, könnte das Land X dies als Kriegserkärung sehen.

    Ich finde das ist ein sehr sehr gewagtes Spiel…….

    Wobei es schon lustig wär die Deutsche Super Intelligenz greift ein anderes Land an, und schon geht der Strom in Deutschland aus
    (am besten noch in der WM und schon werden Merkel und ihre Vasallen as dem Land gejagt)

    1. @nope
      Wenn für Sie der Super GAU Stromausfall während eines Fussballspiels bedeutet,dann kann mann das als schlichtes Gemüt bezeichnen,ihre sprachliche Formulierung“ (am besten noch in der WM und schon werden Merkel und ihre Vasallen as dem Land gejagt)“ weist auf einen AFD Jargon hin.
      Manch einer würde Sie noch höflich formuliert auch einen „Schwätzer“ nennen,aber das sind Sie sicherlich gewohnt.

  4. Wenn sie das Echo vertragen können. Jede Reaktion wird eine noch größere Gegenreaktion enthalten. Dann möchte ich nicht der Politiker sein, der seinen Landsleuten erklären muss, dass die empfindliche Infrastruktur enormen Schaden erlitten hat. Es gibt immer welche, die in dieser Beziehung besser aufgestellt sind.

    Auf der anderen Seite, wann hat die derzeitige Bundesregierung je an Gutachten orientiert?

    1. Korrektur: Auf der anderen Seite, wann hat sich die derzeitige Bundesregierung je an Gutachten orientiert?

  5. Das Recht wird Angreifern im Netz ziemlich Wurst sein. Vielleicht wäre es besser vorher sichere Systeme zu schaffen. Soweit ich weiß, sind bei fast allen Systemen die meisten Spectre-Lücken weiter offen. Andere Lücken wohl auch. Damit ist die Hardware kompromittiert. Von den Betriebssystemen ganz zu schweigen. Wer nicht mehr kann, als zeitnahe Patches von Windows-Systemen, sowe Firewalls und Virenscanner zu empfehlen sollte den Rand nicht zu weit aufreißen. Und der geneigte Angreifer wird in diversen Firewalls und Virenscannern auch noch genug Lücken finden, um gleich mit Systemrechten den jeweiligen Laden des „Gegners“ umzukrempeln. Letztlich kein Problem, weil die wichtigen Anlagen keinerlei Verbindungen ins Internet haben.

    Die Qualität unserer Backhacker dürfte nur zu oft kaum viel besser sein, als Scriptkiddies. Sich unter solchen Voraussetzungen mit Meistern ihres Faches anzulegen, ist entweder dumm oder frech oder wahnsinnig. Aber rumheulen, wenn bei ihnen die „Geheimnisse“ nicht mehr sicher sind…. Oder haben die schon rausgekriegt, wer die Kryptotrojaner in den vergangenen Jahren in die Welt setzte? Oder sogar das Bundestagsnetz hackte? Oder in Frau Kanzlerins Vorzimmer einen Regin-Trojaner unterbringen wollte? Die Bundesanwaltschaft lehnte ja sogar ab, gegen die Amis mit ihrer NSA-Schnüffelei tätig zu werden, weil sie keinerlei Anhaltspunkte dafür fand, dass die NSA hier überhaupt spioniert.

    Das Backhacken ist genauso albern, wie diverse Staatstrojaner, die man von Privatfirmen kaufen musste (FinFisher von Gamma). Ebenso albern, wie die Vorratsdatenspeicherung. Ganz zu schweigen von einer Reihe regelrecht lächerlicher Gesetze, wie dem (ehemals nur deutschen) „Leistungsschutzrecht“. Mir ist nicht klar, wen die damit verängstigen oder imponieren wollen.

  6. Wer Energiewende und Mietpreisbremse sagen kann kann auch von einer aktiven Cyberabwehr sprechen. Schließlich leben wir in einem Rechtsstaat. Die Regierung achtet die Gesetze. Die Parteien finanzieren sich ausschließlich legal. Kriege werden nicht geführt. In Krisenregionen und an Regime die die Menschenrechte verletzen werden keine Waffen geliefert. Die Geheimdienste agieren ausschließlich zum Schutz der Bevölkerung und zur Wahrung der Verfassung.

  7. Im Krieg und in der Liebe ist alles erlaubt.
    Hab ja selten von einem Krieg gehört, wo das Völkerrecht nicht gebrochen wird.
    Und nem Geheimdienst verbieten, Geheimdienstoperationen durchzuführen, ist auch irgendwie unrealistisch…

  8. 1. Die Ausarbeitung der wissenschaftlichen Dienste bezieht hinsichtlich der rechtlichen Stellung von „Cyberangriffen“ keinen juristischen Standpunkt, sondern verweist lediglich auf eine Auffassung der Bundesregierung von 2015: „Die Bundesregierung geht davon aus … In einer Antwort auf eine Kleine Anfrage führt sie ausdrücklich aus … In der Literatur wird daher überwiegend davon ausgegangen …“. Wenn man das wörtlich nimmt, dann folgt die juristische Literatur der Ansicht der Bundesregierung.

    2. Die Ausarbeitung sagt in keiner Weise, dass „hack back“ nicht rechtsgemäß ist. Zum einen kann die BRD bei bewaffneten Konflikten in die wir ohnehin schon mit konventioneller, militärischer Gewalt verwickelt sind (Afghanistan, „Counter Daesh“, …) beliebig auch „Cyberangriffe“ durchführen. Desweiteren formuliert die Ausarbeitung eine Erheblichkeitsschwelle. Es liegt nahe, dass die Bundesregierung das so drehen kann, dass nach Beratung mit einem internen Juristen (am besten der Kontrolle des Parlaments entzogen) „unterschwellige“ Angriffe nach belieben ausgeführt werden können. Wobei die definition von „unterschwellig“ sehr dehnbar ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.