Hacker-Angriffe passieren jeden Tag und meist werden sie auch abgewehrt. Aber was ist, wenn zur Abwehr nur noch ein Gegenangriff hilft und etwa der Server des Hackers unschädlich gemacht werden soll – zum Beispiel mit Schadsoftware? Das ist ein sogenannter Hack-Back.
Cyberkommando der Bundeswehr rüstet sich
Für solche Gegenangriffe in der Cyberwelt rüstet sich seit Anfang April das Cyberkommando der Bundeswehr.
"Sobald ein Angriff die Funktions- und Einsatzfähigkeit der Streitkräfte gefährdet, dürfen wir uns auch offensiv verteidigen."
So benannte Bundesverteidigungsministerin Ursula von der Leyen die Aufgaben des neuen Kommandos. Das heißt aber auch: Bei einem Angriff auf zivile Einrichtungen, wie etwa dem Stromnetz, ist der Einsatz der neuen Truppe nicht erlaubt, erklärt Martin Schallbruch vom Berliner Digital Society Institute:
"Wir sind also nur für den Verteidigungsfall vorbereitet und nicht für den Fall, in dem solche Angriffe außerhalb einer kriegerischen Handlung stattfinden oder verdeckt stattfinden oder man nicht genau weiß, wer der Urheber ist. Dafür gibt es bislang keine rechtliche Grundlage."
Neues Gesetz wird geprüft
Das will die Bundesregierung nun ändern. Bereits Anfang April hat Innenminister Thomas de Maizière erklärt, ein entsprechendes Gesetz werde derzeit geprüft.
"Es gibt die Frage, wer ist dann zuständig. Ist es dann das Bundeskriminalamt, der Bundesverfassungsschutz, das Bundesamt für Sicherheit in der Informationstechnik. Bund und Länder. Das sind komplizierte Fragen. Das prüfen wir jetzt und wir werden sehr bald zu Anfang der Legislaturperiode eine sehr wichtige Entscheidung zu treffen haben."
Zuständigkeiten und Technik für den Gegenangriff
Nach Informationen von NDR, WDR und Süddeutscher Zeitung ist nun klar wie diese Prüfung ablaufen wird. Bereits Ende März hat der geheim tagende Bundessicherheitsrat Analysen in Auftrag gegeben. Die sollen nicht nur die Fragen der Zuständigkeiten beantworten. Zusätzlich sollen auch die technischen Voraussetzungen für einen Gegenangriff geklärt werden. Die Ergebnisse werden für den Sommer erwartet.
Hinter der Frage der Zuständigkeit stehen rechtliche Probleme. Nach geltender Rechtslage darf die Bundeswehr nicht so einfach im Inneren eingesetzt werden, denn die Arbeit der Geheimdienste und der Polizei soll getrennt ablaufen. Das darf sich nach Ansicht des netzpolitischen Sprechers der Grünen, Konstantin von Notz, auch nicht ändern:
"Wenn man sich die rechtlichen Probleme anguckt, dann sieht man, wie unseriös das jetzt ist, dieses Thema wenige Sitzungswochen vor der Bundestagswahl auf den Plan zu rufen. Man hätte vor Jahren dort agieren müssen."
Hohes Risiko bei einem Hack-Back
Hack-Backs lehnt der Oppositionspolitiker aber nicht grundsätzlich ab. Regierungskreise sehen darin nichts anderes als den digitalen, finalen Rettungsschuss. Allerdings: Unter Fachleuten gilt das Zurückschlagen gegen Hacker-Attacken als riskant, erklärt IT-Experte Martin Schallbruch:
"Man weiß nicht 100 Prozent, ob es das richtige Computersystem ist, und weiß nicht, ob von dem Rechner noch andere zivile Funktionen gesteuert werden. Es besteht immer die Gefahr von Kollateralschäden."
Hacker könnten sensible Server - etwa die IT eines Krankenhauses - nach Expertenmeinung gezielt für ihre Angriffe auswählen, um sich so vor einem Hack-Back zu schützen.
