Der schon neun Monaten andauernde russische Angriffskrieg auf die Ukraine hat mit seiner hybriden Kriegsführung deutlicher denn je gezeigt, welche bedeutende und verheerende Folgen Cyber Warfare in der modernen Zeit haben kann. Das beste Beispiel hierfür fand bereits direkt zu Invasionsbeginn statt, als eine Attacke von russischen Rechnern das KA-SAT-Satellitennetzwerk des Anbieters Viasat lahmlegte und dadurch 30.000 Nutzer, wie Energieunternehmen und ukrainische Behörden, aber auch Windparks in der EU betroffen waren und offline gingen. Eine vor diesem Gefahrenhintergrund immer wieder geführte Diskussion ist die Verwendung sogenannter Hackbacks, also gezielten digitalen Gegenschlägen nach Cyberangriffen.
Während sich die Regierungsparteien der Ampel-Koalition im Koalitionsvertrag strikt gegen den Einsatz solcher Maßnahmen aussprechen, schlägt die EU-Kommission einen diametral anderen Weg ein und hat am 10. November 2022 ein 20-seitiges Papier mit einer neuen Strategie zur Verteidigung im Cyberraum vorgestellt[1]. Darin werden explizit digitale Gegenangriffe als aktives Verteidigungsmittel genannt, um das volle Spektrum der Cyberverteidigung zu nutzen.
In Deutschland fehlen momentan rechtlichen Grundlagen für aktive Cyberabwehr. Eine solche Gegenmaßnahme, die nicht dem Zweck der Informationsgewinnung dient, sondern durch Angriff auf ausländische Server mit dem Ziel der Zerstörung jener durch deutsche Sicherheitsbehörden einhergeht, ist nach geltendem Recht nach Art. 26 Abs. 1 S. 2 GG in Verbindung mit § 13 VStGB strafbar[2]. Es gibt aber im Lichte des aktuellen EU-Papiers Diskussionen darüber, ob es sinnvoll wäre, die bisherige Haltung zu ändern und die rechtlichen und organisatorischen Grundlagen für Hackbacks zu schaffen und hierfür das Grundgesetz zu ändern[3].
Unklar ist, wie Hackbacks rechtlich ermöglicht werden können, wie sie ausgestaltet werden können und ob sie überhaupt sinnvoll sind.
Die Grundrechte des GG stellen hier die erste Hürde dar: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nach Art. 2 Abs. 1 i. V. m. Art 1 Abs. 1 GG[4]schützt auch im Ausland lebenden Ausländer.[5] Außerdem müsste die Rechtsgrundlage für einen Hackback dem aus dem Verfassungsrecht entspringenden Verhältnismäßigkeitsprinzip entsprechen[6]. Da der Sinn und Zweck des Hackback in der nichtmilitärischen Cyber-Gefahrenabwehr liegt, läge die Gesetzgebungskompetenz bei den Länder und eine bundeseinheitliche Lösung würde eine Grundgesetzänderung erfordern.[7]
Jedoch sind Hackbacks, die zumeist ausschließlich auf ausländische Systeme zielen, auch unter einem völkerrechtlichen Gesichtspunkt zu überdenken: Hierfür könnte man zunächst an die Verletzung der Souveränität eines anderen Staates sowie einen Eingriff in das Gewaltverbot nach Art. 2 Abs. 4 UNCh denken[8]. Danach ist militärische Waffengewalt nur ausnahmsweise durch eine völkerrechtliche Rechtfertigung möglich. Eine solche Rechtfertigung könnte man im Selbstverteidigungsrecht nach Art. 51 UNCh wie auch aus der Einordnung als kollektive Zwangsmaßnahme des Sicherheitsrates der Vereinten Nationen nach Art. 39 u. Art. 42 der UNCh sehen[9]. Jedoch liegt der Maßstab für eine solche Rechtfertigung sehr hoch. Sowohl Ausmaß als auch Auswirkung des vorangegangenen Angriffs müssten in der Schwere vergleichbar mit dem Einsatz kinetischer Waffen sein[10]. Diese Anforderung des Angriffs begründet sich in dem deutlich höheren Eskalationspotentials von Einsätzen wie Hackbacks. Punkte wie die erschwerte Feststellung des Initiators des Cyberangriffs und des zu treffenden Ziels führen zu einem erhöhten Risiko von erneuten Gegenmaßnahmen und einer damit einhergehenden ungewollten Eskalationsspirale.[11] Außerdem ist nicht auszuschließen, dass aktive Cyberabwehr eine Verletzung internationaler Menschenrechte nach sich zieht. Gerade das Menschenrecht auf Datenschutz und Datensicherheit, unter anderem aus Art. 8 EMRK, das Recht auf Leben in Einzelfallbetrachtungen aus Art. 2 EMRK oder das des Eigentums im Sinne von Normen wie Art. 1 Zusatzprotokoll EMRK wären denkbare Hürden, die im Falle einer Normierung zu einer ausführlichen Verhältnismäßigkeitsprüfung im Einzelfall aufrufen würden[12].
Neben den rechtlichen Hürden einer Ausgestaltung stellt sich im Zuge dessen ebenfalls die Frage danach, wer in Deutschland für die Durchführung der Hackbacks zuständig wäre und die nötigen Kompetenzen besitzen würde.[13] Im Zuge des Papiers aus Brüssel könnte man zunächst an eine gesamteuropäische Lösung denken. Bei der Abwehr von Angriffen sind die Mitgliedstaaten für sich selbst verantwortlich.[14] Das Papier und seine Vorgänger machen sich jedoch seit einiger Zeit auf eine hierhin laufende zentralisiertes Entscheidungs- und Aktionsgremium stark und schlagen ein neues Zentrum zur Koordinierung der Cyberabwehr (CCCN) vor, dass eine stetige Überwachung aller bevorstehender Cyberoperationen von gegnerischen und befreundeten Kräften vornimmt[15].
Welche Institution wäre aber aktuell in Deutschland für einen solchen Gegenangriff befugt?
In diesem Rahmen ließe sich zunächst an die Nachrichtendienste denken. Nach § 1 II BNDG ist der BND aber nur dazu befugt, Informationen zu Aufklärungsmaßnahmen zu sammeln und auszuwerten und die Durchführung von Hackbacks durch selbige würde erhebliche Befugniserweiterungen bedeuten. Weiter könnte sich die Ungeeignetheit der nötigen Eingriffsbefugnisse aus dem Trennungsgebot zwischen Polizei und Nachrichtendiensten herleiten lassen[16]. Aktuell kommen daher nur Kombattanten, also Mitglieder der Streitkräfte, zur Durchführung von internationalen Kampfhandlungen, darunter auch Cyberangriffe, in Frage[17]. Die Durchführung von Hackbacks lässt sich daher sinnvollerweise der Bundeswehr zuordnen.
Obwohl eine operative Befugnis somit zuweisbar wäre, lassen sich doch einige rechtliche Normen identifizieren, die einer tatsächlichen Kodifizierung von Hackbacks im Wege stehen könnten.
[1] Abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/ip_22_6642 .
[2] Wissenschaftliche Dienste des Deutschen Bundestags, Verfassungsmäßigkeit von sog. „Hackbacks“ im Ausland, WD 3 – 3000 – 159/18, S. 5, https://www.bundestag.de/re- source/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf (letzter Abruf 17. November 2022).
[3] Möllers, Wörterbuch der Polizei, 3. Auflage 2018, Hackback.
[4] Siehe hierzu Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (8).
[5] BVerfGE 154, 152 (152 f., Leitsatz 1).
[6] Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (8).
[7] Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (8).
[8] Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (7).
[9] Wissenschaftliche Dienste deutscher Bundestag, Ausarbeitung Verfassungsmäßigkeit von sog. „Hackbacks“ im Ausland, 2018, S. 4.
[10] Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (7).
[11] Marxsen, Verfassungsrechtliche Regeln für Cyberoperationen der Bundeswehr, JZ 2017, 543 (550).
[12] Martini, Der Ukrainekrieg – eine Zeitenwende (auch) für den Cyberraum?, ZfDR 2022, 5 (7).
[13] Kipker, Hackback in Deutschland: Wer, was, wie und warum?, GSZ 2020, 26 (27).
[14] Gutschker, Die EU fordert zu digitalen Gegenangriffen auf, in: Die Zeit, 08. November 2022, https://www.faz.net/aktuell/politik/ausland/deutschland-lehnt-von-der-eu-geforderte-hackbacks-ab-18446358.html (letzter Abruf 17. November 2022).
[15] Gemeinsame Mitteilung an das Europäische Parlament und den Rat, die Cybersicherheitsstrategie der EU für die digitale Dekade, (JOIN(2020) 18 final, 16. Dezember 2020, S. 13).
[16] Albers in BeckOK Datenschutzrecht, 41. Edition, November 2021, DSGVO, L. Datenschutzbestimmungen der Polizei- und Nachrichtendienstgesetze des Bundes, Rn. 70 ff.
[17] Bothe, Stellungnahme zu Rechtsfragen des Cyberwar für den Verteidigungsausschuss des Deutschen Bundestages vom 17.02.2016, Ausschussdrucksache 18(12)633, S. 9; Aufrufbar unter: https://www.bundestag.de/resource/blob/408624/6b1ae626c3347d0ee38db6994aaf3941/stellungnahme-bothe-data.pdf .
