Ein kürzlich veröffentlichtes Gutachten des wissenschaftlichen Dienstes des Bundestages (lokale Kopie) setzt sich mit der Frage auseinander, ob, unter welchen Bedingungen und durch welche staatlichen Institutionen sogenannte Hack-Back-Maßnahmen in Deutschland durchgeführt werden könnten. Im Detail geht es den Experten darum die „Vereinbarkeit von Angriffen auf ausländische Server in Form von sog. „Hackbacks“ mit Art. 26 GG“ zu beleuchten und die Frage, „ob entsprechende Angriffe auf Server und die IT-Infrastruktur im Ausland mit dem in Art. 26 Abs. 1 GG normierten Verbot friedensstörender Handlungen in Einklang stehen“ können. Der 26. Artikel des Grundgesetz lautet im Wortlaut:
(1) Handlungen, die geeignet sind und in der Absicht vorgenommen werden, das friedliche Zusammenleben der Völker zu stören, insbesondere die Führung eines Angriffskrieges vorzubereiten, sind verfassungswidrig. Sie sind unter Strafe zu stellen.
(2) Zur Kriegführung bestimmte Waffen dürfen nur mit Genehmigung der Bundesregierung hergestellt, befördert und in Verkehr gebracht werden. Das Nähere regelt ein Bundesgesetz.
In einem ersten Schritt unterstreicht das Gutachten die gängige Sichtweise, dass Cyberangriffe unter bestimmten Umständen das völkerrechtliche Gewaltverbot berühren können, wenn deren „Anwendung konventioneller Waffen gleich [kommt], etwa weil Menschen verletzt oder getötet oder erhebliche Sachgüter zerstört wurden„. Davon ausgehend nehmen die Gutachter Bezug auf das Grundgesetz und unterstreichen für Cybermaßnahmen durch staatliche deutsche Stellen, dass:
Sowohl das Vorbereiten eines Angriffskrieges als auch sonstige darüber hinaus gehende friedensstörende Handlungen sind verfassungswidrig. Die genannten sonstigen friedensstörenden Handlungen müssen (..) in der konkreten Situation zu einer schwerwiegenden Beeinträchtigung des zwischenstaatlichen Verkehrs führen. Insbesondere sind solche Handlungen verboten, die eine erhöhte Gefahr gewaltsamer staatlicher Konflikte mit sich bringen oder eine Bedrohung des Weltfriedens im Sinne von Art. 39 UN-Charta darstellen.
Davon ausgehend erläutert das Gutachten, dass Cybermaßnahmen durch deutsche Institutionen, die absichtsvoll oder mutmaßlich die eingangs erläuterte Wirkung haben oder haben können grundsätzlich wie andere militärische Aktivitäten Deutschland zu handhaben sind und den Regularien des Völkerrechts unterliegen. Dabei wird explizit darauf verwiesen, dass die Gefahr von Fehlinterpretationen und damit von ungewollten Eskalationen im Cyberspace erheblich ist und stets Einzelfallprüfungen erfordern. Als Zwischenergebnis wird daher festgehalten, dass „auch Cyberangriffe müssen grundsätzlich im Einklang mit dem in Art. 26 Abs. 1 GG verankerten Verbot friedensstörender Handlungen stehen“ müssen.
Der Schlüsselbegriff dieser Auslegen ist die Definition von „friedensstörend“. Die Idee der Hack-Back-Maßnahmen wurde in den vergangenen Monate insbesondere durch Vertreter des BMI und des BfV prominent vertreten, deren Sichtweise auf den Begriff der Friedensstörung darüber entscheiden wird, ob und inwieweit sie die Auslegung des Gutachtens für ihre geforderten Cyber-Fähigkeiten als relevant betrachten. Eine zentrale Idee der Hack-Backs bestand darin, mit offensiven Maßnahmen entwendete Daten auf fremden IT-Systemen zurück zu gewinnen bzw. diese dort zu löschen oder im (bislang skizzierten) Maximalfall fremde IT-Systeme wie Command & Control-Server zu stören. Aller Voraussicht nach werden die Dienste solche Operationen nicht als relevant im Sinne von Art.26 betrachten. Mit Blick auf die dahinter stehende Frage, ob die antizipierten Befugnisse der Dienste im Einklang mit dem Grundgesetz stehen enthält das Gutachten noch eine weitere wichtige Bewertung:
Der Anwendungsbereich des Art. 26 Abs. 1 GG beschränkt sich nicht auf Handlungen der Bundeswehr.11 Auch völkerrechtlich würden entsprechende Handlungen, unabhängig davon welche staatliche Institution diese ausführt, dem Staat zugerechnet werden. (..) Kampfhandlungen im Rahmen internationaler Konflikte dürfen jedoch auch im Bereich der Cybermaßnahmen nach der derzeitigen Rechtslage nur durch Kombattanten, also Mitglieder der Streitkräfte, ausgeführt werden. Folglich ist nur die Bundeswehr zu entsprechenden Cybermaß- nahmen befugt (..) Nach derzeitiger Rechtslage haben die Nachrichtendienste zudem grundsätzlich keine klassischen Eingriffsbefugnisse. Ihr Zuständigkeitsbereich beschränkt sich auf Aufklärungsmaßnahmen. (..) Eine Durchführung von Cyberangriffen durch Nachrichtendienste würde jedenfalls zu einer erheblichen Erweiterung der bisherigen nachrichtendienstlichen Befugnisse führen.
Meiner Auffassung nach dürfte insbesondere dieser letzte Teil einflußgebend für die kommenden Debatten sein, da er die Befugnisgrenzen bei offensiven Cybermaßnahmen durch Nachrichtendienste hervorhebt – unabhängig davon ob die Operation unter Art. 26 GG fällt oder nicht. Offen bleibt jedoch auch hier die Grenze zwischen „Aufklärungsmaßnahme“ und „Eingriffsbefugnis“ – die im Cyberspace jedoch schnell verschwimmt, insbesondere wenn bei verdeckten Aufklärungsoperationen Spuren im IT-System entfernt werden müssen und dazu Log-Files gelöscht oder Warn- und Sicherheitsmaßnahmen auf den Systemen umgangen oder deaktiviert werden. Solche Maßnahmen wären zu mindestens aus technischer Sicht und mit Blick auf die drei zentralen Schutzziele der IT-Sicherheit bereits eine Verletzung des IT-Systems, mit theoretisch unbekannten und potentiell schädlichen Auswirkungen.