Bisher konzentrierten sich Sicherheitsbehörden bei Cyberangriffen auf die Defensive: Ob beim Hacker-Angriff auf die Flugsicherung 2024 mit Verbindungen zum russischen Geheimdienst, den noch andauernden Phishing-Angriffen auf Signal-Chats von Bun­des­po­li­ti­ke­r*in­nen oder der Lahmlegung ganzer Kommunen mit Schadsoftware – Behörden waren danach um Schadensbegrenzung, Datensicherheit und das Stopfen von Sicherheitslücken bemüht.

Künftig sollen Bundeskriminalamt (BKA), Bundespolizei und Bundesamt für Sicherheit und Informationstechnik (BSI) nun auch zurückhacken dürfen. Zur „Gefahrenabwehr“ sollen Sicherheitsbehörden bald technisch in fremde Computer eindringen können. Dort sollen sie Daten auslesen, löschen und verändern oder sogar Server abschalten können. Das wäre ein Eingriff in das Fernmeldegeheimnis, ohne Wissen der Betroffenen.

Dafür will die Bundesregierung die digitalen Befugnisse dieser Sicherheitsbehörden ausweiten und Personal aufstocken. Allein beim BKA kämen 364, bei der Bundespolizei 90, beim BSI weitere 21 Planstellen hinzu. Gesamtkosten lägen jährlich bei rund 55 Millionen Euro. Am Mittwoch ging ein entsprechender Gesetzentwurf durchs schwarz-rote Kabinett.

Bundesinnenminister Alexander Dobrindt (CSU) sprach von „aktiver Cyberabwehr“ und kündigte an: „Wir schlagen zurück.“ Prävention allein durch „Härtung der IT-Systeme“ reiche angesichts der Bedrohungen nicht aus. Deutschland sei Hauptziel von Cyberangriffen auf Wirtschaft, Industrie, staatliche Stellen, Behörden und Politik, warnte Dobrindt. Dahinter stünden unterschiedliche Motive: Destabilisierung, Sabotage, Erpressung oder die Vorbereitung von militärischen Eskalationen.

Das Internet ist zu klein für uns beide

Der CSU-Innenminister klang am Mittwoch im Foyer des Bundesinnenministeriums ein bisschen nach Cyber-Sheriff: „Wer uns angreift, muss damit rechnen, dass wir seine Infrastruktur stören und zerstören werden.“ Das gelte für Server, Software und Strategie, auch wenn die Infrastruktur sich meist im Ausland befinde, so Dobrindt. „Hackback“ („Zurückhacken“) dürfe man das aber nicht nennen, insistierte der CSU-Politiker: „Hackback ist ein Vergeltungsschlag, wir machen Gefahrenabwehr.“

Die linke Innenpolitikerin Clara Bünger sah das deutlich anders: „Der Regierungsentwurf ist im Kern ein verfassungswidriges Hackback-Gesetz, auch wenn Dobrindt diesen Begriff nicht mag. Seine Wortklauberei soll nur ablenken.“ Der Entwurf legalisiere staatliche Hackerangriffe und erlaube tiefe Eingriffe in IT-Systeme sowohl von Angreifern als auch von Opfern solcher Attacken.

Skepsis meldete auch der grüne Innenpolitiker Konstantin von Notz an: „Der ‚Hackback‘ ist nicht ohne Grund seit vielen Jahren hochumstritten.“ Für ihn sei im Entwurf nicht geklärt, welche Behörde welche Befugnisse bekäme und wer letztlich die Verantwortung bei digitalen Gegenschlägen übernehme. Die Debatte um Hackbacks lenke von dringenden Schritten zur Erhöhung der IT-Sicherheit ab, so von Notz: etwa eine „Reform des Nachrichtendienstrechts“, der „Schaffung eines Schwachstellenmangements“ und einer Grundgesetzänderung zur Stärkung des BSI.

Unbeteiligte Dritte könnten getroffen werden

Der Branchenverband der Internetwirtschaft Bitkom begrüßte Teile des Entwurfs, sieht aber die neuen Befugnisse für Bundespolizei und BKA „besonders kritisch“, weil sie „faktisch sogenannte Hackbacks“ ermöglichten. Bitkom befürchtet Kollateralschäden: „Weil sich Cyberangriffe technisch häufig nicht zweifelsfrei zuordnen lassen und Täter falsche Spuren legen, drohen unbeteiligte Dritte getroffen zu werden.“

Der Verband plädierte auch eher für resilientere Strukturen und mehr Prävention. Auch der Bundesverband der Industrie (BDI) kritisierte: „Der Entwurf setzt bislang zu stark auf staatliche Durchgriffe und zu wenig auf die Zusammenarbeit mit der Wirtschaft.“ BDI und Bitkom forderten Nachbesserungen im parlamentarischen Verfahren.