Ebenso wie in Deutschland ist auch in den USA das Thema des Hacking-Back als scheinbar wirksames Mittel zur Abwehr von Cybergefahren virulent. Der jüngste Vorstoß der republikanischen Senatoren Tom Graves und Kyrsten Sinema geht dabei jedoch noch einen Schritt über derlei Befugnisse für staatliche Einrichtungen hinaus und verdeutlicht, wie wenig die Probleme und Gefahren solcher Maßnahmen scheinbar berücksichtigt werden. Mit dem Vorschlag eines „Active Cyber Defense Certainty Act“ (ACDC / lokale Kopie) als Ergänzung des bestehenden Computer Fraud and Abuse Act (CFAA) soll es den Senatoren zufolge auch für authorisierte Einzelpersonen und und Unternehmen möglich und legal sein, auf Hackerattacken mit offensiven Gegenmaßnahmen zu reagieren um gestohlene Daten beim (mutmaßlichen) Angreifer zu löschen oder eine Cyberattacke durch (Zer)Störung der Angreifer-IT zu unterbinden:
Specifically, ACDC gives authorized individuals and companies the legal authority to leave their network to 1) establish attribution of an attack, 2) disrupt cyberattacks without damaging others’ computers, 3) retrieve and destroy stolen files, 4) monitor the behavior of an attacker, and 5) utilize beaconing technology. The enhanced flexibility will allow individuals and the private sector to develop and use tools that are currently restricted under the CFAA to protect their own network. Additionally, allowing defenders to develop and deploy new tools will help deter criminal hacking
Although ACDC allows a more active role in cyber defense, it protects privacy rights by prohibiting vigilantism, forbidding physical damage or destruction of information on anyone else’s computer, and preventing collateral damage by constraining the types of actions that would be considered active defense. (Volltext / Zusammenfassung des ACDC)
Diese Form der „digitalen Selbstverteidigung“ soll den Senatoren zufolge helfen Cyberkriminalität mit Hilfe von Abschreckung einzudämmen. Wie bei Debatten an anderer Stelle besteht die zentrale Frage bei einer solchen „Bevollmächtigung“ darin, wie eine sich verteidigende Instanz sicher den potentiellen Angreifer identifizieren und diese Attribution rechtswirksam belegen können soll – ein Problem das zum gegenwärtigen Stand der Debatten und Technik sehr viel Interpretationsspielräume und „graue Zonen“ offen lässt. Um dem Mißbrauch solcher Unschärfen vorzubeugen schlagen die Senatoren vor, dass:
[The] Congress holds that active cyber defense techniques should only be used by qualified defenders with a high degree of confidence in attribution, and that extreme caution should be taken to avoid impacting intermediary computers or resulting in an escalatory cycle of cyber activity.
Welche rechtlichen und qualitativen Maßstäbe dabei für einen „qualified defender“ sowie den „high degree of confidence in attribution“ angelegt werden soll – und ob eine solche Regelung ausreichend bzw. unter welchen Umständen nicht statthaft ist – geht aus dem Vorschlag der Senatoren nicht hervor. Neben möglichen Problemen auf nationaler Ebene durch Zivilpersonen die fremde IT gefährden ergibt sich zusätzlich das Problem der potentiellen Beeinträchtigung von IT-Systemen fremder Staaten, die dem Vorschlag zufolge jedoch mit der Einhaltung einer „exercise extreme caution to avoid violating the law of any other nation“ vermieden werden soll.
Ob derlei Befugnisse – selbst unter der optimistischen Annahme einer besonderen Vorsicht bei Hack-Back-Maßnahmen – wirklich sinnvoll und der Strafverfolgung zuträglich sind wurde indes bereits vor einigen Monate durch den damals noch amtierenden FBI-Direktor James Comey in Frage gestellt (Q: vice.com / lokale Kopie):
„It runs a risk of tremendous confusion in a crowded space (..) And I know that’s a frustrating answer often, and it maybe some day our country will change the law, but the hacking back could cause all kinds of complications for things we’re trying to do to protect you“
Es bleibt zu hoffen, dass auch die Debatten in Deutschland die unzähligen Probleme, Gefahren und Schwierigkeiten bei Hack-Back berücksichtigen und anstelle von solchen ungewissen Konzepten eher die gezielte Verbesserung und den Ausbau des Schutzes der IT-Strukturen im Großen und Kleinen vorantreiben.