In einem Zitat bei heise.de (lokale Kopie), das einem Interview des ZITiS-Präsidenten Wilfried Karl mit dem Spiegel entnommen wurde spricht sich dieser für Hack-Back-Befugnisse der deutschen Sicherheitsbehörden aus. Dabei soll es seiner Meinung nach mindestens möglich sein „entwendete Dateien und Dokumente (..) auf den Servern der Diebe zu löschen„. Darüber hinaus bekräftigt er leider eher das Narrativ der Cyber-Bedrohungen vor denen Deutschland stehe und der gegenwärtigen Schutzlosigkeit vor diesen Gefahren: „Als Bürger erwarte ich, dass unser Staat auch bei neuartigen digitalen Bedrohungen handlungsfähig bleibt„. Unklar bleibt jedoch, in welcher Form das Löschen von Daten auf fremden IT-Systemen diesem Schutz dienen soll und wann der Diebstahl von Daten (der in Form von Spionage durchaus älter ist als der Cyberspace) tatsächlich die Handlungsfähigkeit des Staates gefährdet. Mit Blick auf den Aufkauf von Sicherheitslücken schließt er diesen explizit nicht kategorisch aus, sondern lässt offen dass dieser nur ausschließlich mit seriösen Firmen durchgeführt wird: „Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen (..) Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“ Allerdings gibt es zum einen bereits Unternehmen wie Vupen oder Hacking-Team die offiziell als Unternehmen Sicherheitslücken an Staaten verkaufen und zum anderen darf man davon ausgehen, dass auch klassische Rüstungsfirmen diesen Markt für sich entdecken und (weiter) erschließen werden. Leider stehen einer solchen Entwicklung in Deutschland noch keine klaren Regelungen entgegen, wie Sicherheitsbehörden mit Sicherheitslücken umgehen dürfen und wann diese veröffentlicht werden müssen um die (inter)nationale IT-Sicherheit nicht zu gefähren. Eine entsprechende Debatte wird seit längerer Zeit in den USA unter dem Stichwort „Vulnerabilities Equities Process (VEP)“ geführt.
Ein umfassendere Analyse der Hack-Back-Argumente, die Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) in Berlin und ich vor wenigen Monaten erst veröffentlicht haben, findet sich hier.