Vor allem, da passive Cyberverteidigung wie Firewalls zunehmend wirkungslos gegen professionelle Angreifer wird. Zudem erhofft man sich einen Abschreckungseffekt: Hacker würden sich zweimal überlegen, ein System anzugreifen, wenn ein Vergeltungsschlag drohe. Soweit die Theorie. In der Praxis jedoch muss man feststellen, dass diesen Überlegungen ein mythisches Verständnis der Abschreckungsfunktion und der technischen Wirkungsweise von Hacks zugrunde liegt. Der Nutzen von Hackbacks für die Cyber-Sicherheit ist höchst zweifelhaft.

Hacker sind keine Teenager in Kapuzenpullis, sondern hochspezialisierte, arbeitsteilig organisierte Teams. Die besten von ihnen, sogenannte Advanced Persistent Threats, gehören mitunter zu Nachrichtendiensten, oder werden von diesen finanziell oder mit Informationen unterstützt. Mithilfe dieser Unterstützung können sie gezielt in gesicherte militärische oder politische Einrichtungen einbrechen. Was irreführend als Cyber-"Angriff" bezeichnet wird, gleicht eher einem Einbruch: Zunächst wird das Ziel in einem zeitaufwendigen Prozess ausgespäht; dabei werden Schwachstellen in der Verteidigung analysiert.

Wie funktionierten die Sicherheitssysteme? Welche Software läuft auf dem Zielsystem, die man eventuell manipulieren kann? Wer hat Zugang zum Netzwerk? Dazu werden auch Informationen über Mitarbeiter verwertet, denen dann gefälschte E-Mails geschickt werden. Erst dann wird eine maßgeschneiderte Schadsoftware entwickelt, die zum Ziel gebracht werden muss, was in 90 Prozent der Fälle durch manipulierte E-Mails geschieht. All diese Prozesse dauern Wochen oder Monate.

Hacks brauchen Geduld, Vorbereitung und viel Wissen

Gleiches gilt auch für Hackbacks, weshalb man nicht einfach schnell aus der Hüfte "zurückschießen" kann. Zunächst einmal muss bemerkt werden, dass man gehackt wurde. Bei guten Einbrechern dauert das im Schnitt bis zu 200 Tage. Danach muss mittels aufwendiger Detektivarbeit nach Spuren der Einbrecher gesucht werden; in wessen Auftrag sie kamen, ist oft über Monate nicht eindeutig belegbar. Diesen Beleg braucht es aber zur innen- und außenpolitischen Legitimierung, wenn Staaten außerhalb ihres Territoriums in fremde Rechner einbrechen wollen. Ob Staaten sich auch noch nach Monaten noch auf ihr unmittelbares Recht auf Selbstverteidigung berufen können, ist unter Völkerrechtlern umstritten. Dieses greift ohnehin nur, wenn Objekte zerstört oder Menschen getötet werden, was bei Cyberangriffen höchst selten ist.

Neben völkerrechtlichen Einschränkungen gibt es operative Probleme: Je hastiger man reagiert, desto geringer ist die wahrscheinliche Wirkung eines Hackbacks. Oft sind auch Kollateralschäden an verbundenen Systemen nicht auszuschließen. Hacker benutzen meist mehrere hintereinander geschaltete Rechner von unbeteiligten Dritten, um ihre Spuren zu verwischen.

Die deutsche Hackback-Debatte konzentriert sich bisher auf die kostspielige Anschaffung technischer Fähigkeiten sowie die Frage, ob Hackbacks verfassungsgemäß sind. Ein Gutachten des wissenschaftlichen Dienstes des Bundestags äußert daran Zweifel. Selten wird aber gefragt, für welchen Zweck dieses Mittel überhaupt eingesetzt werden soll, sprich ob und wie Hackbacks in eine Strategie zur Erhöhung der Cybersicherheit eingebettet werden können. Will man damit gestohlene Daten zurückerobern? Diese Forderung geht an der Praxis vorbei, da man digital vervielfachte Daten nicht einfach zurückholen kann. Will man angreifende Rechner außer Kraft setzen?

Auch das ist in der Praxis wenig erfolgversprechend, da Hacker ihre Rechner bei Ausfall schnell wechseln können. Oder will man einen laufenden Einbruch stoppen? Dies wäre nur dann praktikabel, wenn man auf dem Rechner des Gegners beobachtet, was dieser tut. Diese Form der Cyberspionage wird euphemistisch "aktive Verteidigung" genannt. Der Hack auf das Auswärtige Amt in diesem Jahr könnte in dieser Lesart interpretiert werden. Wenn aber alle Staaten das preemptive Hacken der Regierungsnetze ihrer Konkurrenten mit aktiver Verteidigung begründen, schafft dies eine anarchische Situation, in der potenziell jeder jeden hackt. Die Folge davon wäre nicht mehr, sondern weniger Cybersicherheit für alle.

Wenig Nutzen, hohe Kosten

Und das Ziel der Abschreckung? Ob sie mit Hackbacks erreicht werden kann, ist fraglich. Abschreckung basiert auf der glaubhaften Androhung von Gewalt als Konsequenz für unerwünschtes Verhalten. Dazu muss klar sein, wer die Konfliktparteien sind, welche Motive diese haben, welches Verhalten unerwünscht ist und welche Art von Schadensandrohung zu erwarten ist. Einen digitalen Einbrecher mit der Androhung eines Gegeneinbruchs abschrecken zu wollen, ist als Drohung kaum glaubwürdig: Die Urheberschaft ist nur schwer feststellbar, außerdem können Cybereinbrecher die Operationsbasis für ihre Hacks, die Rechner zum Steuern der Schadsoftware, binnen Sekunden in andere Länder umziehen.

Im Kalten Krieg funktionierte die nukleare Abschreckung unter anderem deshalb, weil die Hauptprotagonisten, das unerwünschte Verhalten und die zu erwartende Gegenreaktion klar waren. Im Cyberspace aber bauen derzeit mehr als 30 Staaten offensive Cyberkapazitäten auf. Dazu kommt eine immense Anzahl Cyberkrimineller mit ganz unterschiedlichen Motiven. Eine glaubhafte Abschreckungsstrategie müsste auf jeden einzelnen dieser Akteure zugeschnitten sein, um wirken zu können. Selbst großen Cybermächten wie den USA, Israel oder China gelingt dies kaum.

Fragen wie diese müssten durchdacht werden, wenn der Staat selbst zum Cyberangreifer werden und zurückhacken will. Am Ende zeigt sich: Der strategische und operative Nutzen von Hackbacks ist sehr beschränkt, die potenziellen Kosten aber wären enorm hoch. Bedenkt man außerdem die sehr engen Vorgaben des Völkerrechts und die Tatsache, dass um Hackbacks und ihre angeblich abschreckende Wirkung jede Menge Mythen kursieren, ist höchst fraglich, ob sie dem Ziel einer höhereren Cybersicherheit überhaupt zuträglich sind.

Autor Matthias Schulze, 32, forscht an der Stiftung Wissenschaft und Politik in Berlin zum Thema Cyber-Sicherheitspolitik.