Ende Mai 2019 ergaben Recherchen des Bayerischen Rundfunks[1], dass die Bundesregierung das schon seit Längerem diskutierte Thema „Hackback“ (oder auch „aktive Cyberabwehr“) nunmehr politisch offensiv angeht: So liegt ein internes Konzeptpapier vor, das den behördlichen Abstimmungsprozess nach einem „erheblichen Cyber-Angriff aus dem Ausland“ beschreibt. Geplant ist dabei wohl, nach einem vierstufigen Raster mit Gegenmaßnahmen unterschiedlicher Intensität vorzugehen: Die ersten beiden Stufen sollen den schadhaften Datenverkehr lediglich blockieren oder umleiten. Sie stellen noch keinen digitalen Gegenschlag im Sinne des „Hackback“ dar. Anders sieht es auf den folgenden Stufen aus: Auf der dritten Stufe sollen Behörden fremde Netze aktiv infiltrieren dürfen, um Daten zu verändern oder zu löschen. Die vierte Stufe sieht Maßnahmen vor, die nicht nur Daten oder Software, sondern auch Hardware betreffen können. Beispielhaft werden in dem Bericht das „Eindringen in Systeme“ und das „Herunterfahren“ genannt. Es liegt jedoch nahe, dass sich staatliche Gegenmaßnahmen nicht allein darauf beschränken müssen. Das Konzeptpapier der Bundesregierung entfachte die seither ein wenig in Vergessenheit geratene öffentliche Diskussion um Zulässigkeit, Zuständigkeiten und Ausgestaltung eines „Hackback“ in den Folgemonaten von Neuem, und die entsprechende zivilgesellschaftliche Kritik ließ nicht lange auf sich warten. Insbesondere sei zu beachten, dass schon die alleinige Aufrüstung der digitalen Angriffsmöglichkeiten ein hohes Eskalationspotenzial berge, und somit durch den „Hackback“ im Endeffekt mehr Gefahren als Sicherheiten entstünden.[2] Dreh- und Angelpunkt der aktuellen rechtspolitischen Debatte um die aktive Abwehr von Cyberangriffen ist somit nicht nur das Problem der technisch-organisatorischen Durchführung von „Hackbacks“ und den damit verbundenen, nicht selten komplexen behördlichen Aufgaben- und Zuständigkeitsregelungen, sondern vielmehr auch die Frage nach der Wirksamkeit und damit zugleich der Sinnhaftigkeit von derlei vorgeschlagenen Maßnahmen.
Zum Thema „Hackback in Deutschland“ referierte Dr. Dennis-Kenji Kipker am 07.02.2020 auf der DefensiveCon in der c-base Berlin. Die Vortragsfolien stehen an dieser Stelle zum Download zur Verfügung. Die Aufzeichnung des Vortrags findet sich unter diesem Link.
[1] Tanriverdi, BR Recherche: Bundesregierung skizziert Hackback-Pläne. Verfügbar unter: https://www.br.de/nachrichten/deutschland-welt/internes-papier-bundesregierung-skizziert-hackback-plaene,RRqyr1j (Stand: 07.02.2020).
[2] Meister/Biselli, Geheimes Bundestagsgutachten attackiert Hackback-Pläne der Bundesregierung. Verfügbar unter: https://netzpolitik.org/2019/geheimes-bundestagsgutachten-attackiert-hackback-plaene-der-bundesregierung/#2019-08-27_Bundestag-WD_Cyber-Abwehr-in-Deutschland (Stand: 07.02.2020). Vgl. auch BVerfG NJW 1985, 603, 612.