Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.
Die Russische Föderation führt einen Grauen erregenden, völkerrechtswidrigen Angriffskrieg gegen die Ukraine – und auf einmal scheinen politisch wieder alle Mittel mehr als recht, um den vielzitierten „digitalen Gegenschlag“ auszuführen. Mehr sogar: Jedermann kann sich in dieser Situation zum digitalen Kombattanten aufschwingen und selbst lose Hackerkollektive erklären Staaten ohne Rücksicht auf die völkerrechtliche Legitimation „den Krieg“.
Da wäre es doch mehr als angebracht, wenn sich die Bundesregierung als legitimer Vertreter Deutschlands im Cyberraum nun öffentlich dazu bereit erklärt, endlich auch selbst digitale Gegenschläge durchzuführen – könnte man meinen.
Die Realität ist nicht schwarz-weiß
Wenn es nach dem Willen der neuen Bundesinnenministerin Nancy Faeser geht, die mit der neuerlichen Forderung nach Hackbacks als Nachfolgerin von Horst Seehofer in dessen Fußstapfen tritt, soll der Hackback besser früher als später zum Portfolio der Verteidigungsfähigkeit Deutschlands gehören. „Wir brauchen Möglichkeiten, um auf die Systeme, von denen ein Angriff ausgeht, einzuwirken und dadurch andauernde Attacken zu beenden oder neue Attacken zu verhindern“, sagte sie gegenüber dem Redaktionsnetzwerk Deutschland.
Da passt es dann auch gut, eine möglichst zügige Änderung des Grundgesetzes vorzuschlagen. Doch welchen Zweck verfolgt man damit eigentlich? Die Aussage Faesers ist da vermeintlich klar: Fragen der Sicherheit Deutschlands sollten nicht ideologisch, sondern realistisch betrachtet werden.
Das klingt auf den ersten Blick gut, weil es logisch erscheint: In einer Zeit, in der wir alle mehr denn je in die Realität zurückgeholt werden, ergibt es auch Sinn, in dieser Realität zu denken. Das Problem jedoch ist, dass nicht die eine, schwarz-weiße Realität existiert, die Nancy Faeser sich mit ihren Hackback-Plänen wohl vorstellt.
Vielmehr ist der Hackback nach wie vor ein hochkomplexes Konstrukt aus politischen, rechtlichen und technischen Erwägungen auf dem internationalen Parkett, sodass es äußerst schwierig sein wird, sich auf einen klaren Standpunkt zu einigen und abschließend Fälle zu definieren, wann und in welchem Ausmaß Deutschland im Cyberraum denn nun „zurückschlägt“.
Mehr Kompetenzen für den Bund in Sachen Cyberabwehr
Wir bewegen uns bei diesem Thema gerade aufgrund seiner Komplexität, unklaren Regulierungsstruktur und der vielfältigen politischen Interessenlage in einer Grauzone, die es äußerst schwierig machen dürfte, klare und verbindliche Aussagen zu treffen. Und damit stellt sich zwangsläufig die Frage, wie solch ein Gesetzgebungsvorschlag aus dem Bundesinnenministerium konkret aussehen soll, um den Hackback in Deutschland verfassungsrechtlich und natürlich auch verfassungskonform zu verankern.
Faesers Konzept sieht vor, dem Bund weitere Befugnisse in Sachen Gefahrenabwehr zu geben, da Cyberattacken auf das Bundesgebiet komplexe und länderübergreifende Gefahren seien. Nur der Bund hat nach einer solchen Argumentation die Kapazitäten, um großflächige Cyberattacken effektiv abzuwehren und im Zweifelsfall „zurückzuschlagen“.
Dieser politische Plan dürfte bei den Ländervertretern sicherlich nicht für Begeisterung sorgen, denn schon im Entstehungsprozess des IT-Sicherheitsgesetzes 2.0 im Jahr 2021 fühlten sich die Länder bis zur letzten Abstimmung im Bundesrat übergangen, weil Gefahrenabwehr und damit IT-Sicherheit eben auch Ländersache sind.
Kommando „Cyber- und Informationsraum“ steht auf verlorenem Posten
Jenseits dieser rechtspolitischen Probleme rund um das grundgesetzliche Kompetenzgefüge zwischen Bund und Ländern gibt es bei den aktuellen Vorhaben Faesers aber noch ganz andere Schwierigkeiten. Denn wenn die Bundesinnenministerin die aktive Cyberabwehr als eine Aufgabe der Gefahrenabwehr sieht, die eigentlich bei den Ländern zu verorten wäre – wo steht dann eigentlich die Bundeswehr mit dem Kommando „Cyber- und Informationsraum“ und seinem dort angesiedelten „Zentrum Cyberoperationen“ (ZCO), das technische Kapazitäten vorhält, um Offensivmaßnahmen im digitalen Raum durchzuführen?
Mit Blick darauf scheint es vielmehr so, als ob die Pläne von Nancy Faeser nicht nur politisch im Bund-Länder-Gefüge, sondern auch im Gefüge der institutionellen Zuständigkeiten für IT-Sicherheit noch völlig unausgegoren sind. Denn noch vor einer entsprechenden Grundgesetzänderung für den Hackback wäre in jedem Falle zu klären, wie die Abgrenzung zwischen (polizeilicher) Gefahrenabwehr, nachrichtendienstlichem Tätigwerden, Strafverfolgung, operativer Cybersecurity und der Zuständigkeit der Bundeswehr konkret aussehen soll. Oder auch: Wer soll eigentlich zurückhacken dürfen?
Auch hier werfen die derzeitigen Vorschläge nur mehr Fragen als Antworten auf. Allein anzukündigen, dass das geplante Sondervermögen zur Aufrüstung der Bundeswehr in Höhe von 100 Milliarden Euro auch der Cyberabwehr zugutekommen soll, hilft da wenig.
Innenpolitische Hackbackpläne jenseits von technischem Sachverstand
Und dann sind da natürlich noch die verschiedenen technischen Expertenmeinungen zum Thema. Häufige Kritikpunkte sind, dass für Hackbacks IT-Sicherheitslücken zurückgehalten werden müssten. Damit würden letztlich alle geschädigt, die eine bestimmte Software nutzen, so auch Infrastruktur und Unternehmen im eigenen Staat.
Auch ist die Attribution von Akteuren, also die Zuordnung eines Cybersicherheitsvorfalls zu einer konkreten Person oder Institution im Cyber- und Informationsraum nicht immer so eindeutig und zweifelsfrei möglich wie bei Kombattanten auf dem physischen Schlachtfeld.
Nachrichtendienstliche Operationen fremder Mächte dürften vielfach schwierig von militärischen Operationen im Cyberraum abgrenzbar sein. Private Akteure und Hackerkollektive beteiligen sich mehr oder weniger losgelöst von fremden staatlichen Mächten an Aktionen im Cyberspace, sodass man hier nicht ohne Weiteres als Bundeswehr drauflos und zurückhacken kann.
Computersysteme und Hackernetzwerke können selbst nach einem erfolgreichen digitalen Gegenschlag in der Regel recht zügig wiederhergestellt werden, da Knowhow und Ressourcen nach wie vor physisch verfügbar sind – selbst ein erfolgreicher Hackback hätte somit nur eine recht kurze Halbwertszeit.
Und zuletzt steht Deutschland in der völkerrechtlichen Verantwortung, zu entscheiden, wann die Schwelle zum digitalen Krieg überschritten ist und die Bundeswehr digital für Gegenschläge eingesetzt werden darf.
Fast drei Jahre lang nur auf der Stelle getreten
Bereits im Juni 2019 schrieb der Verfasser dieses Beitrags einen Artikel zur damals aktuellen (rechts)politischen Debatte zum Hackback, beziehungsweise der „aktiven Cyberabwehr“ und stellte fest, dass die geführte Debatte bislang „genauso umfassend wie fruchtlos“ gewesen sei.
Fazit war seinerzeit ebenso, dass Hackbacks als aktive Maßnahmen zur Cyber-Sicherheit nicht die Schwelle von militärischen Operationen überschreiten dürfen. Jetzt, knapp drei Jahre später, wird unter einer neuen Bundesregierung und unter anderen Vorzeichen wieder über den Hackback geredet.
Doch wir scheinen in der Diskussion eigentlich immer noch an genau derselben Stelle zu stehen. Die Konstellation mag zwar etwas anders sein, das ändert aber nichts an den technischen, rechtlichen und politischen Gegebenheiten des Hackbacks. Nach wie vor ist die behördliche Zuständigkeitsordnung höchst diffizil und die dargestellten politischen, institutionellen, rechtlichen und technischen Rahmenbedingungen sind mehr als komplex.
Selbst wenn es Nancy Faeser gelingen sollte, ein halbwegs abgestimmtes Konzept zum Hackback und nicht nur ein oberflächliches politisches Statement vorzulegen, müsste sie immer noch enorme politische Hürden in der Ampelkoalition meistern, die von ihren Ankündigungen alles andere als begeistert ist.
Wir können nur hoffen, dass es nicht so weit kommt, und die bestehenden Ressourcen jenseits politischer Rhetorik sinnvoller im Sinne der IT-Sicherheit eingesetzt werden. Einen Vorschlag gibt es schon, der auch keine Grundgesetzänderung erfordert: „Passive Cyberabwehr“ stärken, also die IT-Systeme von Staat, kritischen Infrastrukturen und Unternehmen widerstandsfähig machen – damit Angriffe weniger Schaden anrichten und im besten Fall gar nicht erst gelingen.
Ersetze „Kompetenz“ durch Befugnis!
Denn das ist gemeint: Befugnisse, also die Legalisierung dessen, was insgeheim ohnehin gemacht wird.
Wenn irgendwelche offiziellen Stellen oder Funktionsträger (wie Frau Faeser) in digitalen Fragen KOMPETENT wären, ja das wäre schön!
Außerdem empfehle ich http://ptrace.fefe.de/Hackback/
Konstantin von Notz zum Thema Hackback: Es ist ein bisschen so als wollte man Schlittschuhlaufen lernen, und rede die ganze Zeit vom fünffachen Rittberger.
Ich finde das beschreibt das Verlangen nach Hackbacks recht eindrücklich. Voll motiviert, ohne Bezug auf Physik und Fähigkeiten, sich kraftvoll aufschwingend in luftige Höhen zu spektakulären Pirouetten, tosenden Beifall erhoffend. Als Anfänger wohlgemerkt in Sachen eigener IT-Sicherheit.
Wer selbst Handel treibt mit Zerodays und glaubt, die eigene IT-Sicherheit auch bei „Cyberwars“ aufrecht erhalten zu können, der mag sich für besonders bauernschlau halten.
Vermutlich braucht die Politik immer erst reale Ereignisse, um hinterher vielleicht(!) klüger zu werden. Eine Milchkanne ohne 5G haut das nicht um.