Die Bundesregierung plant eine grundlegende Neuaufstellung der digitalen Verteidigung. Künftig sollen das Bundeskriminalamt (BKA) und die Bundespolizei nicht mehr nur Cyberangriffe abwehren, sondern aktiv in Server und Netzwerke im Ausland eindringen dürfen, um Angriffe zu stoppen. Was als „aktive Cyberabwehr“ oder „Hackback“ bezeichnet wird, bedeutet einen brisanten Tabubruch. Bislang vertrat Deutschland strikt defensive Positionen im Cyberraum, doch diese Linie verschwimmt zusehends – mit unabsehbaren Folgen für Völkerrecht, Strafbarkeit und die Sicherheit unbeteiligter Dritter.
Technisch möglich, rechtlich explosives Terrain
Die geplanten Befugnisse gehen weit über die bisherigen Möglichkeiten deutscher Sicherheitsbehörden hinaus. Konkret soll es erlaubt sein, in fremde Computersysteme einzudringen, dort Daten zu löschen, Schadsoftware zu entfernen oder komplette Serverinfrastrukturen außer Betrieb zu setzen. Bundesinnenministerin Nancy Faeser setzt damit einen Vorstoß ihres Vorgängers Alexander Dobrindt fort, der bereits im Herbst 2024 entsprechende Eckpunkte vorstellte.
Doch die Umsetzung ist alles andere als unproblematisch. Juristisch betrachtet stellt das Eindringen in fremde Systeme einen Straftatbestand dar – nicht nur nach deutschem, sondern vor allem nach ausländischem Recht. Wenn deutsche Beamte Server in den USA, Russland oder China infiltrieren, begehen sie dort nach lokalem Recht Computerkriminalität. Die geplante Befugnis im deutschen Recht macht die Handlung im Ausland nicht automatisch straffrei. Das führt zu einer völkerrechtlich äußerst brisanten Situation: Deutschland würde aktiv die Souveränität anderer Staaten verletzen, ohne dass ein Kriegsfall vorliegt.
Das Attribution-Dilemma und das Risiko von Fehlzielen
Ein zentrales technisches Problem bleibt bislang ungelöst: die sogenannte Attribution. Cyberangreifer verschleiern ihre Herkunft systematisch über Botnetze, gekaperte Server und VPN-Kaskaden. Wer zurückhackt, trifft oft nicht den ursprünglichen Angreifer, sondern unschuldige Dritte – kompromittierte Privatrechner, Universitätsnetzwerke oder kritische Infrastrukturen im Gesundheitswesen.
Dieses Kollateralschaden-Risiko ist nicht theoretisch. Sicherheitsexperten warnen seit Jahren vor „Friendly Fire“ im digitalen Raum. Wenn deutsche Behörden einen Server im Ausland abschalten, der als Kommandozentrale für einen Angriff missbraucht wird, betreibt dort möglicherweise gleichzeitig ein Krankenhaus seine Patientenverwaltung oder ein Energieversorger seine Netzsteuerung. Die technische Unterscheidung zwischen legitimem und missbräuchlichem Traffic ist in der Praxis nahezu unmöglich.
Zudem besteht die Gefahr der Eskalation. Staatliche Hackbacks können als kriegerischer Akt interpretiert werden, selbst wenn sie defensiv gedacht sind. Ein zurückgehackter Angreifer – oder der Staat, unter dessen Hoheit sich das kompromittierte System befindet – könnte Gegenmaßnahmen ergreifen. Die Konsequenz wäre eine gefährliche Aufwärtsspirale im Cyberraum, die letztlich alle Beteiligten unsicherer macht.
Der internationale Vergleich: Kein Erfolgsmodell
Deutschland ist mit diesen Plänen kein Vorreiter, sondern folgt einem Trend, der international bereits als gescheitert gilt. Die USA, Frankreich und das Vereinigte Königreich betreiben seit Jahren aktive Cyberabwehr, ohne dass dies die Zahl erfolgreicher Angriffe spürbar reduziert hätte. Im Gegenteil: Die Offensivfähigkeiten der westlichen Geheimdienste konzentrieren sich primär auf Spionage und Sabotage, nicht auf den Schutz eigener Infrastrukturen.
Die französische „Cyber-Verteidigung“ etwa umfasst präventive Schläge gegen mutmaßliche Angreifer, hat aber wiederholt zu diplomatischen Verstimmungen geführt, wenn französische Operationen in verbündeten Staaten entdeckt wurden. Das Problem bleibt stets dasselbe: Die Legitimität solcher Eingriffe lässt sich im Nachhinein kaum beweisen, ohne sensible Quellen zu gefährden. Transparenz und Rechenschaftspflicht – zentrale Pfeiler demokratischer Sicherheitspolitik – sind bei Hackbacks systemisch nicht gewährleistet.
Was bedeutet das für mittelständische Unternehmen?
Für kleine und mittelständische Unternehmen ändert sich durch die geplanten Hackback-Befugnisse zunächst wenig am Alltagsgeschäft. Die staatliche Offensive richtet sich primär gegen Angriffe auf kritische Infrastrukturen und staatliche Einrichtungen. Dennoch sollten Unternehmen die Entwicklung aufmerksam verfolgen: Die Diskussion zeigt, dass der Staat seine Schutzfunktion im Cyberraum neu definiert – weg von der Prävention hin zur reaktiven, oft militärischen Konfrontation.
Dies entbindet Unternehmen nicht von der Eigenverantwortung. Wer weiterhin ausschließlich auf staatliche Schutzmaßnahmen setzt, verkennt die Realität der Bedrohungslage. IT-Sicherheit bleibt eine Kernaufgabe jedes einzelnen Unternehmens. Die geplanten Hackbacks sind kein Ersatz für funktionierende Backups, segmentierte Netzwerke oder regelmäßige Sicherheitsupdates. Im Gegenteil: Je mehr Staaten offensive Cyberoperationen fahren, desto wahrscheinlicher werden Gegenangriffe, die auch private Infrastrukturen treffen können.
Die technischen Details der geplanten Befugnisse und ihre Implikationen für die deutsche Cybersecurity-Landschaft wurden bereits in einem früheren Artikel beleuchtet. Die aktuelle Entwicklung zeigt, dass die Bundesregierung trotz massiver Bedenken aus Wissenschaft und Wirtschaft an diesem Kurs festhält.
Die geplanten Hackback-Befugnisse markieren einen tiefen Einschnitt in die deutsche Sicherheitspolitik. Sie lösen keine der bestehenden technischen Probleme im Cyberraum, schaffen aber neue rechtliche Risiken und Eskalationspotenziale. Für Unternehmen bleibt die Devise unverändert: Eigene Resilienz hat Priorität vor staatlicher Offensive.
Bei Fragen zur Umsetzung wirksiger Schutzmaßnahmen unterstützt IT Service Wagner Unternehmen in der Region Rheinbrohl, Neuwied und Koblenz.