Der Chef des Kanzleramtes, Helge Braun (CDU), kündigte in der Frankfurter Allgemeinen Zeitung an, die Bundesregierung würde die Möglichkeit des »Hacking Back« prüfen. Angesichts steigender Risiken durch erfolgreiche Angriffe aus dem Ausland auf die kritische Infrastruktur des Landes und bekannt gewordene Attacken auf das Netz des Bundes wolle man auch aktive Gegenangriffe starten können. Allerdings fehle dafür die »rechtliche Handhabe«, gab Burkhard Lischka (SPD) im Gespräch mit der Berliner Morgenpost im Januar 2018 zu bedenken. Kurz: Behörden würden sich nach geltendem Recht mit Cyber-Gegenangriffen strafbar machen. Eine Grundgesetzänderung erscheine dem SPD-Innenpolitiker daher als »unabdingbar«. Das letzte Wort über Hack Back sollte in den Koalitionsverhandlungen fallen, doch darin ist lediglich der folgende Satz zu finden: »Wir wollen Angriffe aus dem Cyberraum gegen unsere kritischen Infrastrukturen abwehren und verhindern.«

Die Idee, Deutschland könne Hack Backs durchführen, wurde im April 2017 vom damaligen Bundesinnenminister Thomas de Maizière angestoßen. Auch ein Polizist würde im Einsatz neben einer Schutzweste eine Pistole tragen, begründete der CDU-Politiker in einer Fernsehsendung die Notwendigkeit einer »Hack-Back-Strategie«. De Maizière wollte neue Befugnisse für digitale Gegenanschläge als Reaktion auf Cyberangriffe etablieren: »Wir müssen auch in der Lage sein, den Gegner anzugreifen, damit er aufhört, uns weiter zu attackieren«, zitieren die Autoren des Arbeitspapiers »Digitale Gegenangriffe« der Stiftung Politik und Wissenschaft (SWP), Thomas Reinhold und Matthias Schulze, in diesem Zusammenhang den Präsidenten des Bundesamtes für Verfassungsschutz Hans-Georg Maaßen. Damit gemeint war auch die Fähigkeit, »notfalls feindliche Server zu zerstören«.

Darüber, was mit Cyber-Gegenangriff (auch: »digitaler Gegenschlag«) gemeint sei, scheiden sich in den fachlichen Debatten die Geister. Reinhold und Schulze haben verschiedene Begriffe eruiert, von »hacking back« über »digital self defense«, »responsive cyber defense« bis hin zu »active defense«. Allesamt »kontrovers diskutiert«, wie die Autoren betonen. »Meist beschreiben diese Begriffe den Vorgang des Eindringens in fremde Computernetzwerke, um Angriffe durch Hacker an der Quelle, d. h. auf ihrem eigenen System zu unterbinden, indem etwa die angreifende Hard- und Software lahmgelegt oder gar zerstört wird«. Hacking Back ist klar von der sogenannten passiven Verteidigung abzugrenzen, die einen Perimeter-basierten Schutz (Sicherheit an der Schnittstelle zwischen »Innen« und »Außen«) umfasst, darunter Firewalls, Intrusion Detection/Intrusion Prevention System (IDS/IPS), Antivirus-Systeme, Zugriffs- und Zugangskontrollen, aber auch Sperren von IP-Adressen, aus denen DDoS-Attacken (Distributed Denial-of-Service-Attacken, um die Nichtverfügbarkeit eines Dienstes oder Servers herbeizuführen) gestartet wurden, Awareness-Maßnahmen zur Steigerung der Sensibilität der Mitarbeiter auf Cyberrisiken und -gefahren, Software und Patch-Management, um bekanntgewordene Sicherheitsschwachstellen in den IT-Systemen zu schließen, zählen Reinhold und Schulze dazu. Passive Verteidigung setzt auf einem Set effektiver IT-Sicherheitskontrollen, zu denen Firewalls wie auch Kryptographie zählen, mit dem Ziel, den Gegner aus den eigenen (kritischen) Systemen herauszuhalten. »Am anderen Ende des Spektrums finden sich Praktiken, die sich klar als offensive Cyber-Angriffe definieren lassen« (Reinhold/Schulze), die darauf abzielen, in ein fremdes Zielsystem einzudringen und dort bestimmte Aktionen und/oder Effekte auszulösen. Von Infiltrieren durch Malware (Schadsoftware) über DoS-Attacken (Denial-of-Service-Attacken), Vandalismus und Hacktivismus bis hin zu Wirtschaftskriminalität, Sabotage und Spionage reicht das Spektrum der offensiven Angriffe. »Destruktive Angriffe eines staatlichen Akteurs (›Cyber-Warfare‹) passieren hingegen – soweit die öffentlich bekannt wird – sehr selten«, stellen Reinhold und Schulze fest, was u. a. der hohen Komplexität dieser Angriffe geschuldet sei. Oder aber, wie im Falle des kürzlich bekannt gewordenen Angriffs auf das deutsche Regierungsnetz, weil sie nicht leicht aufzudecken und noch weniger leicht einem bestimmten Angreifer eindeutig zuzuordnen sind.

Gebiete und Ziele, auf die man zu Gegenangriffen in Deutschland ausholen möchte, reichen von »Rettungsmissionen«, bei denen gestohlene und/oder entwendete Daten und Informationen bei dem Angreifer vernichtet (oder zurückgewonnen) werden, über »Cyber-Hygiene«, wobei infizierte bzw. durch Botnetze zombisierte Computer zwangsbereinigt werden (ähnlich wie Zwangsimpfungen bei Pandemien), bis hin zu »ultima ratio«, bei denen das Opfer »den Stecker beim Angreifer ziehen« kann (als »Zombie« wird ein an das Internet angeschlossener Computer genannt, der von Hackern kontrolliert und ferngesteuert wird, ohne dass der Benutzer es merkt. Ein Netz mehrerer solcher Computer wird auch »Zombie-Netz« genannt).Ein Feld des Hacking Back taucht in der politischen Debatte in Deutschland bisher nicht auf, bemerken Reinhold und Schulze: der Einsatz von Gegenanschlägen zur Beweissicherung. »Insbesondere amerikanische Strafverfolgungsbehörden und Nachrichtendienste« würden diese Möglichkeit zur Informationsgewinnung nutzen. Durch Einschleusen von Malware durch eine bis dato unbekannte Sicherheitslücke im Tor-Browser ist es dem FBI gelungen, 13 Tage lang IP- und MAC-Adressen zu dechiffrieren, die Verbindung mit dem Server des Kinderpornografie-Rings »Playpen« aufgenommen haben. Auch aus dem Umfeld der mit Ransomware (sog. Erpressungssoftware) erpressten Wirtschaftsunternehmen sind Beispiele bekannt, bei denen Erpressern mitsamt der Bestätigungsmail über die getätigte Lösegeldüberweisung Malware geschickt wurde, die dann unauffällig technische Daten, IP-Adressen der Angreifer etc. an die Erpressungsopfer zurücksendete.

Eine noch weit weniger in den Medien und der Politik verbreitete Form der Cyber-Warfare ist das Konzept des sogenannten Kill Switch, der vor ca. zehn Jahren, erstmals gerüchteweise, Aufmerksamkeit erlangte. Der »Malicious Chip Design« ermöglicht einen Gegenangriff auf der Hardwareebene, nämlich bei den Prozessoren. Kill Switch sollte in die Chips der Geräte eingebaut werden, die für den Militärgebrauch bestimmt waren und ferngesteuert (remote) deaktiviert bzw. zerstört werden. Während beim Kill Switch jede Manipulation eines Chips mit seiner Zerstörung endet, bieten sogenannte Backdoors (Hintertüren) die Möglichkeit, weitgehend unauffälliger in die Systeme einzugreifen und bestimmte Funktionen zu deaktivieren oder zu aktivieren. IEEE Spectrum berichtete, dass das französische Militär seine »defense contractors« verpflichtet haben sollte, solche manipulierten Chips in Militärequipment einzubauen. Europäische Prozessorhersteller sollen fernsteuerbare »Funktionalitäten« in die Prozessoren eingebaut haben, und die New York Times berichtete, Kill Switch könnte 2007 von den Israelis bei den Angriffen auf die vermuteten syrischen Nuklearanlagen eingesetzt worden sein. Bis heute konnte der mysteriöse Ausfall der Radarwarnanlagen nicht endgültig geklärt werden. Gelegentlich ist von einer Backdoor in den Radar-Chips die Rede, durch die eine zeitweise Aussetzung der Radaranlagen möglich gewesen sein sollte. Gerüchte hin oder her: Das Problem der Hardwaresicherheit – konkret der Prozessorsicherheit – besteht seitdem für Forschung und Wissenschaft. Es wurden bspw. auf der »International Conference on Information Warfare and Security« (ICIW 2011) Methoden und Ideen entwickelt, etwaige Erweiterungen oder Ergänzungen, sogenannte »Malicious Inclusions, MI« in Prozessoren aufzudecken. Bedenkt man, dass die meisten in Europa eingesetzten Chips in Dresden (»Silicon Saxony«) hergestellt werden, eröffnen sich dadurch potenzielle Möglichkeiten direkter Einflussnahmen auf die Hardwareproduktion für etwaige Hack-Back-Strategien.

Den Begriff »Hack Back« würde man bei der Bundeswehr nicht zu hören bekommen, sagte der Referent des Heeres im Sicherheitspolitischen Forum NRW im Mai 2017 in Bonn. Auch bei einer Anhörung im Verteidigungsausschuss 2016 versicherte die Staatssekretärin im Verteidigungsministerium, Katrin Suder, es gäbe dazu keine Planung, doch immer wieder Gedanken, was zulässig und was technisch möglich sei. Zu den ernst zu nehmenden Risiken gehört, dass »auf Cyber-Angriffe auch mit physischen Waffen reagiert werden kann« (Reinhold/Schulze). Tit-for-Tat-Reaktionen sind insbesondere bei diesen Staaten möglich, die sich bereits in physischen (oder diplomatischen) Konflikten befinden und in geografischer Nähe zueinander liegen: »Wenn Deutschland einen Server in Japan zerstört, ist eine Eskalation oder ein ›hack back‹ seitens Japan unwahrscheinlicher als im Falle Ukraine-Russland«, koinzidieren Reinhold und Schulze. Auch die Wirksamkeit von Gegenangriffen gilt als nicht erwiesen. Die Aussage, ein Hack Back würde im Notfall »wirken«, ist ähnlich wenig begründet wie die verbreitete Überzeugung, autonome Fahrzeuge würden die Straßen sicherer machen.

»Die fortdauernde, ja, messianische Hoffnung, die jeweils nächste Technologie könnte die Probleme lösen, die von der aktuellen Technologie geschaffen wurden, scheint fest in der bürgerlichen Gesellschaft verankert zu sein«, schrieb der Sozialwissenschaftler Howard Rheingold zu der Zeit, als das Internet als die Technologie gefeiert wurde, die die Demokratie revitalisieren sollte. Mit den Cyber-Gegenangriffen ist nicht nur die Erwartung verbunden, sie wären effektiver als die traditionelle, Perimeterschutz-basierte (also auf den Schutz des »Innen« vor dem »Außen« ausgerichtete), passive Verteidigung, sondern dazu auch effizienter. Im Klartext: Hacking Back sollte billiger sein als eine aus Fleisch und Blut bestehende Kampftruppe. »Wer wird sich mit Clausewitz quälen? Pulver macht euch zu Generälen«, schrieb Stanisław Lem in Der futurologische Kongress und malte darin eine Zukunft aus, in der Truppenlandungen überflüssig seien: »Es genügt, über dem Unruheherd ein geeignetes Maskon zu zerstäuben, und die Bevölkerung erblickt landende Fallschirmjäger-Einheiten, Marineinfanterie, Panzer«. Die Kosten eines solchen Krieges werden mit Panzerkopfindex kalkuliert: »Ein echter Panzer kostet jetzt fast eine Million Dollar, ein halluzinierter etwa einen Hundertstelcent pro Betrachter«. Mit dem richtig gemischten Pulver ließen sich in der Lemschen Zukunftswelt sogar ganze Invasionen von Marsungeheuern oder etwa ein Atompilz halluzinieren.

So einfach gestaltet sich das Sparen im Fall der Cyber-Gegenangriffe leider nicht, bemerken Reinhold und Schulze: »Neben dem personellen Aufwand wäre das Aufstellen von Arsenalen mit einsatzbereiter digitaler Gegenschlags-Software enorm kostspielig.« Die Cyber-Warfare wird offenbar nicht so billig, wie erwartet. Die Kosten für Herstellung eines Staatstrojaners, wie er von der Polizei bei landesinternen Ermittlungen eingesetzt werden könnte, schätzt der Sicherheitsexperte Adrian Janotta auf mehrere Zehn- bis Hunderttausend Euro. Er hat einen voll einsatzbereiten Muster-Staatstrojaner für das Spionagemuseum entwickelt, den man in Berlin bewundern kann. Das Teure daran sei der Service – denn solche Tools müssen regelmäßig gewartet und aktualisiert werden – und die Dienste, »wenn jemand kommt und sagt, hack den mal, weil er was Kriminelles tut« (Adrian Janotta).

Komplexe, noch unbekannte Sicherheitslücken, die man für Hacking Back nutzen könnte, »kosten je nach Zielsystem Hunderttausende oder gar Millionen von Euro« (Reinhold/Schulze). Und sie haben oft ein kurzes Verfallsdatum: »Cyber-Arsenale müssten also dauerhaft geprüft und erneuert werden, damit ihre Wirksamkeit gewährleistet werden kann.« Hinzu kommen noch Kosten, die die Gesellschaft zu tragen hat, wenn solche Cyber-Arsenale etwa von Dritten gehackt und gestohlen werden. Nicht öffentlich bekannte Schwachstellen und Sicherheitslücken (»Zero-Day-Exploits«) werden so nicht nur den Cyberkriegern, sondern jedermann bekannt, der sie im eigenen wirtschaftlichen oder politischen Interesse einsetzen könnte, wie es mit den Malware-Datenbanken des NSA geschah, die zuerst gehackt und dann zum Verkauf angeboten wurden. Wie der US-Sicherheitsguru Bruce Schneier warnte: Wenn man Hintertüren einbaut oder für etwaige Gegenangriffe offen hält, sollte man dafür sorgen, dass nur die guten Jungs sie nutzen, und zwar nur dann, wenn sie es sollen. Die Welt wäre allerdings viel sicherer, wenn es sie gar nicht gäbe.