Angaben der Süddeutschen Zeitung, des MDR und NDR zufolge lässt die Bundesregierung aktuell prüfen, ob auf eklatante Cyberangriffe, die beispielsweise auf das Stromnetz der Bundesregierung oder auf die Datensysteme des Bundestags gerichtet sind, mit einem digitalen finalen Rettungsschuss, einem sogenannten „Hack-Back“, reagiert werden kann. Ende März wurde deshalb eine Expertenkommission vom Bundessicherheitsrat unter dem Vorsitz der Bundeskanzlerin damit beauftragt, zu eruieren, welche technischen Vorkehrungen getroffen werden müssten, um gegebenenfalls die Infrastruktur von Cyberangreifern lahmzulegen oder mit Hilfe von Schadsoftware zu zerstören. Ferner wurde initiiert, dass in dieser Sache Vorschläge für notwendige Gesetzesänderungen von der beauftragten Kommission erarbeitet werden. Im Sommer dieses Jahres sollen die ersten Arbeitsergebnisse dem geheim tagenden Bundessicherheitsrat vorgestellt werden. Die Bekämpfung der Cyberkriminalität würde damit - obgleich ein „Hack-Back“ nur bei Härtefällen zum Einsatz kommen soll - eine neue Qualität erreichen: Schließlich würde nicht mehr nur defensiv, sondern auch offensiv gehandelt werden.

Probleme bei Hack-Back Attacken

Hack-Back-Attacken bringen großes Konfliktpotential mit sich: Da die Angriffe häufig via gekaperter Geräte ausgeführt werden und damit deren Besitzer weder beteiligt, noch von der eigenen Involviertheit in Kenntnis sind, besteht ein erhöhtes Risiko, dass möglicherweise die Server Unschuldiger zerstört werden. Die Gefahr von Kollateralschäden ist entsprechend hoch. Des Weiteren ist der Ursprung des Angriffs häufig schwer zu lokalisieren. So kann der Fall eintreten, dass zwar angreifende Server außer Gefecht gesetzt werden können, die Angriffszentrale, und damit der eigentliche Angreifer, aber weiterhin handlungsfähig bleibt. Ein weiteres Argument, das gegen den Einsatz von sogenannten Hack-Backs spricht, ist die Tatsache, dass die Offensivmaßnahme selbst Gefahren mit sich bringt: Zum einen werden aus strategischen Gesichtspunkten bekannte Sicherheitslücken nicht an Soft- und Hardwarehersteller kommuniziert, wonach diese auch nicht behoben werden können; zum anderen kann nicht gewährleistet werden, dass die Informationen zu den Sicherheitslücken nicht nach außen dringen. Dadurch besteht die Gefahr, dass mit Ihnen erneut Schaden angerichtet wird. Beide Optionen gehen zulasten unbeteiligter Dritter.

Die Frage der Zuständigkeit

Ebenfalls unklar ist aktuell, welche Behörde künftig Gegenangriffe ausführen könnte. Die naheliegendste Option wäre das Bundesamt für Sicherheit in der Informationstechnik (BSI), dem bereits das Cyber-Abwehrzentrum der Bundesregierung zugeordnet ist. Dabei besteht jedoch die Gefahr, dass die Behörde einen Vertrauensverlust erleidet: Sollte das BSI nämlich tatsächlich offensiv gegen Angreifer vorgehen, so würde mit Schwachstellen in Soft- und Hardware taktiert werden. Dies ist nur schwer zu vereinbaren mit dem politischen Auftrag des BSI, die Bürger der BRD über mögliche Sicherheitslücken in der Informationstechnik aufzuklären. Für die Ausführung offensiver Gegenangriffe ist aktuell auch die Bundeswehr im Gespräch. Doch auch diese erscheint nach genauerer Betrachtung ungeeignet für diesen Auftrag: So würde die Durchführung von Offensivmaßnahmen eine unverhältnismäßige politische Schärfe in die Bekämpfung von Cyberattacken bringen. Die Zeit warnt zu recht vor einer „Militarisierung des Cyberraums“. Die letzte Möglichkeit, die derzeit diskutiert wird, ist die Beauftragung des Bundesnachrichtendiensts mit der Offensivkompetenz. Nicht zuletzt aufgrund der Tatsache, dass der Bundesnachrichtendienst bereits in den letzten Jahren Einsätze zur Erhaltung der IT-Sicherheit durchführte; zudem dienen Cyberangriffe häufig der illegalen Informationsbeschaffung und fallen damit unter den Straftatbestand der Spionage.