Schneller als erwartet gibt es auf die kleine Anfrage der Bundestagsfraktion der FDP zum Thema „Hackbacks als aktive digitale Gegenwehr“ bereits eine Antwort der Bundesregierung (lokale Kopie). In der kleinen Anfragen verweisen die Parlamentarier_Innen auch darauf, dass es in der Vergangenheit bereits ähnliche Nachfragen gegeben hat und bitte daher explizit um Informationen über den Fortschritt der Debatten und Planungen.
Die wichtigsten Erkenntnisse aus den Antworten sind:
- Die Bundesregierung verweist erneut darauf, dass sie den Begriff Hack-Back „konzeptionell grundsätzlich nicht verwendet, weder für Aktivitäten der Cyber-Abwehr noch der Cyber-Verteidigung„. Stattdessen wird der Begriff der aktiver Cyber-Abwehr verwendet
- Aufgrund der vielfältigen völkerrechtlichen Abwägungen und Herausforderungen befinden sich die Planungen ob und wie aktive Gegenwehrmaßnahmen aussehen könnten noch geprüft
- Mit Blick auf militärische Maßnahmen im Cyberspace „unterliegen [diese] dem gleichen rechtlichen Rahmen wie andere militärische Maßnahmen auch und können entsprechend durchgeführt werden. [Ferner] unterliegen bewaffnete Einsätze der Streitkräfte außerhalb des Geltungsbereichs des Grundgesetzes grundsätzlich der vorherigen konstitutiven Zustimmung des Deutschen Bundestages. (..) Für militärische Maßnahmen im Cyber-Raum gilt der rechtliche Rahmen für den Einsatz von Streitkräften. Ergänzende gesetzgeberische Maßnahmen sind aus Sicht der Bundesregierung nicht erforderlich.“
Dieser Verweis auf bestehende Regelungen lässt jedoch nach wie vor außer Acht, dass militärisch effektive Cyber-Operationen grundsätzlich andere Einsatzbedingungen haben und bspw. bereits in Friedenszeiten eine aktive Aufklärung fremder IT-Systeme stattfinden müsste. Solche Maßnahmen wären – sofern sie von Soldat_Innen durchgeführt würden – nicht durch das Grundgesetz gedeckt. Fragen zu diesen Szenarien werden mit Verweis auf die laufenden Prüfungen, die auch Analysen vorheriger Cyber-Attacken auf deutsche IT-Systeme umfassen, nicht detailiert beantwortet. - Hinsichtlich der staatlichen Institutionen, die sich gegenwärtig mit Cyberplanungen befassen sind folgende Ministerien aufgeführt
- Das Bundesministerium des Innern, für Bau und Heimat (BMI) befasst (..) mit Fragestellungen der Cyber-Abwehr einschließlich IT-Sicherheit, (..) in den Abteilungen Cyber- und Informationssicherheit (CI), Öffentliche Sicherheit (ÖS) sowie Bundespolizei (B)
- Anlassbezogen stimmt sich das BMI unter anderem mit dem Bundeskanzleramt, dem Auswärtigen Amt (AA), dem Bundesministerium der Verteidigung (BMVg) sowie dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV)
- Für den Geschäftsbereich des BMVg werden die politischen Vorgaben der Grundsätze für die Cyber-Verteidigung in der strategischen Leitlinie Cyber-Verteidigung festgelegt (Federführende Abteilung Cyber/IT BMVg)
- In Bezug auf aktuelle Maßnahmen und Zuständigkeiten beim Aufbau technischer Kapazitäten für Hack-backs ist laut Bundesregierung „die Fähigkeitsentwicklung der Cyber-Verteidigung sind das BMVg und das Kommando Cyber- und Informationsraum zuständig“. Ob solche Fähigkeiten bereits bestehen quittiert die Antwort mit der, in den vergangenen Jahren immer gleich vorgebrachten Antwort, dass „die Bundeswehr (..) die technische Ausstattung und Expertise zum Wirken im Cyber-Raum im Rahmen der Cyber-Verteidigung [besitzt]“
- Auf die Frage, welche Alternativen zu Hackbacks die Bundesregierung in Betracht zieht weist die Antwort darauf hin, dass „grundsätzlich der Schwerpunkt auf präventiven Maßnahmen der IT-Sicherheit [liegt]. Darüber hinaus setzt sich die Bundesregierung unter anderem im Rahmen ihrer Cyber-Außen- und Sicherheitspolitik dafür ein, dass Staaten sich regelkonform und vertrauensbildend im Cyber-Raum bewegen. Auch während und nach Cyber-Angriffen sind unter anderem Maßnahmen der Cyber-Außen- und Sicherheitspolitik als mögliche Handlungsoptionen zu erwägen.“ Andererseits wird im Zuge dieser Antwort auch darauf verwiesen, dass „Ein Cyber-Angriff (..) unter bestimmten Bedingungen einen bewaffneten Angriff im Sinne von Artikel 51 der VN-Charta darstellen [kann]. In diesem Fall steht der Bundesrepublik Deutschland das Recht auf Selbstverteidigung zu und sie könnte auf diesen bewaffneten Angriff mit allen zulässigen militärischen Mitteln reagieren„. Diese Interpretation beruht jedoch nicht auf einer international verbindlichen Norm zum Cyberspace – denn eine solche existiert bislang nicht – sondern entspricht den Leitlinie der NATO und ihren Beschlüssen des 2016’er Gipfels in Warschau
- Die Antwort kündigt darüber hinaus die Verabschiedung eines „IT-Sicherheitsgesetz 2.0“ für die laufende Legislaturperiode an, dass „präventive Maßnahmen u. a. der passiven IT- Sicherheit als ein zentraler, essentieller und wirksamer Baustein eines ganzheitlichen Cyber-Sicherheits-Ansatzes“ stärken soll
- Mit Blick auf die Fragen und Schwierigkeiten bei der Attribution von Cyberangriffen antwortet die Bundesregierung, dass sich „im Rahmen der Cyber-Verteidigung (..) alle Maßnahmen grundsätzlich gegen denjenigen Staat richten [müssen], dem der Angriff in Form einer Cyberoperation zugerechnet werden kann. Die Zurechnung erfolgt im Rahmen einer Gesamtwürdigung der Gegebenheiten des konkreten Einzelfalls„. Die wichtige Frage nach der „Einschätzung der Bundesregierung [ob und in wiefern] in diesem Zusammenhang die Möglichkeit der Eskalation von Cyberabwehrangriffen bestehen“ wird nicht im Detail beantwortet sondern auf Einzelfallprüfung verwiesen