Hackbacks: Warum digitale Gegenschläge rechtlich heikel sind

Ein Login funktioniert plötzlich nicht mehr, eine Website ist offline, oder ein Unternehmen kann keine Rechnungen schreiben, weil Systeme verschlüsselt wurden. In solchen Momenten zählt jede Stunde. Viele wünschen sich dann eine Lösung, die nicht nur aufräumt, sondern den Angreifer stoppt. Und zwar sofort.

Im Alltag ist diese Sehnsucht leicht nachvollziehbar. Wenn jemand dein Fahrrad klaut, willst du es zurückholen. Bei Cyberangriffen scheint das ähnlich. Man könnte doch in den Server des Angreifers, die Schadsoftware abschalten, die gestohlenen Daten löschen oder die Kontrolle über ein Botnetz zurückgewinnen. Genau in dieser Gedankenwelt bewegt sich das Konzept des Hackback.

Das Problem ist nur, dass digitale Tatorte selten eindeutig sind. Angreifer nutzen gehackte Zwischenstationen, fremde Cloud Konten oder Geräte von Unbeteiligten. Wer zurückschlägt, trifft oft nicht den Verursacher, sondern eine weitere Opferkette. Dazu kommen strafrechtliche Risiken, Haftungsfragen und internationaler Ärger. Am Ende kann der digitale Gegenschlag mehr Schaden auslösen als der ursprüngliche Angriff.

Im Sprachgebrauch steht Hackback für aktive Gegenmaßnahmen, die über das eigene Netzwerk hinausgehen. Es reicht also nicht, eine Firewall zu schärfen oder eine IP Adresse zu blockieren. Gemeint sind Eingriffe in fremde Systeme, zum Beispiel das Löschen von Daten auf einem entfernten Server, das Abschalten eines Command and Control Servers oder das Zurückholen gestohlener Informationen aus einer Angreifer Infrastruktur.

Wichtig ist die Abgrenzung. Viele sinnvolle Sicherheitsmaßnahmen sind aktiv, aber bleiben im eigenen Verantwortungsbereich. Dazu gehören Threat Hunting, also die gezielte Suche nach Spuren im eigenen Netz, das Isolieren infizierter Geräte oder das Sperren von Benutzerkonten. Das ist aktive Verteidigung, aber kein Hackback.

Ein Gegenschlag fühlt sich nach Kontrolle an. In der digitalen Realität ist Kontrolle aber oft eine Illusion, weil der Weg zum Angreifer fast immer über Geräte Unbeteiligter führt.

Warum ist die Idee trotzdem so attraktiv. Erstens wirkt sie fair. Wer Schaden verursacht, soll die Folgen spüren. Zweitens verspricht sie Tempo, während Anzeigen, Forensik und Rechtshilfe langsam sind. Drittens klingt sie nach Abschreckung. Wer zurückhackt, so die Hoffnung, wird seltener angegriffen.

In der Praxis kollidiert diese Logik mit technischen Details. Viele Angriffe laufen über Botnetze, also Verbünde aus gekaperten Geräten. Wer den Rechner eines Botnet Opfers lahmlegt, hat keinen Täter getroffen, sondern ein weiteres Opfer. Selbst wenn eine IP Adresse zu einem Rechenzentrum führt, ist das selten ein Beweis. Cloud Server werden oft kurzfristig gemietet, Konten werden gestohlen, Infrastruktur wechselt schnell.

Wenn Zahlen oder Vergleiche in strukturierter Form klarer sind, kann hier eine Tabelle verwendet werden.

Die erste Hürde ist schlichtes Strafrecht. Wer in fremde IT Systeme eindringt oder Daten verändert, kann sich strafbar machen, selbst wenn das Motiv Selbstschutz heißt. Für Unternehmen gibt es in Deutschland normalerweise kein allgemeines Recht, außerhalb des eigenen Netzes „zurückzuhacken“. Neben dem eigentlichen Eindringen kommen weitere Risiken dazu, etwa Datenveränderung, Ausspähen oder Störung von IT Diensten. Ein besonders unangenehmer Punkt ist Haftung. Wenn der Gegenschlag einen unbeteiligten Dritten trifft, können Schadensersatzansprüche folgen.

Die zweite Hürde ist Beweisbarkeit. In vielen Fällen lässt sich nur plausibel vermuten, wer hinter einem Angriff steckt. Für eine rechtssichere Zurechnung braucht man belastbare Belege, die vor Gericht bestehen. Genau daran scheitert Hackback Logik oft. Angreifer können Spuren legen, Umwege nutzen oder die Identität anderer imitieren. Je schneller man reagiert, desto höher das Risiko der falschen Zuordnung.

Die dritte Hürde betrifft den Staat. Auch staatliche Stellen dürfen nicht einfach tun, was technisch möglich ist. Für Eingriffe braucht es eine klare gesetzliche Grundlage, Zuständigkeiten und Kontrolle. In Deutschland wird seit Jahren diskutiert, ob und wie „aktive Cyberabwehr“ rechtlich gefasst werden kann. Eine Ausarbeitung der Wissenschaftlichen Dienste des Bundestags aus 2018, sie ist damit älter als zwei Jahre, betont erhebliche verfassungs und völkerrechtliche Grenzen für Hackbacks im Ausland. Selbst wenn man sehr schwere Fälle denkt, bleiben Fragen der Verhältnismäßigkeit, der Verantwortlichkeit und der parlamentarischen Kontrolle.

Und dann ist da noch das Internationale. Ein Eingriff in Infrastruktur, die in einem anderen Staat steht, kann als Verletzung der Souveränität verstanden werden. Selbst wenn die Infrastruktur nur gemietet ist, bleibt das rechtlich und politisch heikel. Völkerrechtliche Fachdebatten, etwa rund um das Tallinn Manual, machen deutlich, wie eng Bedingungen wie Notwendigkeit und Verhältnismäßigkeit ausgelegt werden können. Diese Diskussionen sind wichtig, aber sie sind kein Freifahrtschein. Nationale Gesetze bleiben zusätzlich bindend.

Wer nach einem Angriff handlungsfähig bleiben will, braucht etwas, das sich weniger spektakulär anfühlt, aber deutlich verlässlicher ist. Gute Incident Response ist im Grunde Krisenarbeit. Erst wird stabilisiert, dann wird verstanden, dann wird bereinigt, und erst danach kann man sauber aufarbeiten. Das Bundesamt für Sicherheit in der Informationstechnik beschreibt in seinem Leitfaden zur Reaktion auf IT Sicherheitsvorfälle, veröffentlicht 2022 und damit älter als zwei Jahre, genau diese Logik mit Rollen, Abläufen und Dokumentation.

Praktisch heißt das. Systeme isolieren statt panisch alles auszuschalten. Logdaten sichern, bevor sie überschrieben werden. Passwörter und Schlüssel kontrolliert rotieren, nicht auf Verdacht im Blindflug. Backups prüfen und Wiederanlauf testen. Und sehr wichtig, Beweise so sichern, dass sie später nutzbar bleiben. Wer voreilig eingreift, zerstört manchmal die eigenen Spuren und macht Ermittlungen schwerer.

Auch Kooperation ist ein unterschätzter Hebel. Nationale Computer Emergency Response Teams, Branchenkreise und Sicherheitsdienstleister können Indicators of Compromise teilen, also technische Erkennungsmerkmale eines Angriffs. Das hilft anderen, schneller zu blockieren. Europäische Strukturen rund um Krisenmanagement und Austausch werden seit Jahren ausgebaut. ENISA verweist in ihren Lagebildern und Kooperationspapieren darauf, dass Vorfälle oft grenzüberschreitend sind. Im Threat Landscape 2025 wurden rund 4.875 Vorfälle im betrachteten Zeitraum ausgewertet, ein Signal dafür, wie stark sich Muster wiederholen und wie wertvoll gemeinsames Lernen ist.

Und was ist mit dem Stören der Angreifer Infrastruktur. Das passiert, aber meist über rechtlich saubere Wege. Provider können missbräuchliche Server abschalten. Domains können nach Verfahren gesperrt werden. Botnetze können durch koordinierte Aktionen zerschlagen oder umgeleitet werden. Das ist weniger ein digitaler Faustschlag und mehr ein Zusammenspiel aus Technik, Recht und internationaler Zusammenarbeit. Es dauert oft länger als der Hackback Traum, ist aber belastbarer und reduziert Kollateralschäden.

Cyberabwehr wird in den nächsten Jahren stärker reguliert und zugleich pragmatischer. Ein Treiber ist die Pflicht zu besserer Vorsorge in Unternehmen, etwa durch strengere Sicherheitsanforderungen und Meldewege in Europa. Solche Regeln sind nicht nur Bürokratie. Sie sorgen dafür, dass Vorfälle schneller erkannt und koordiniert behandelt werden, bevor sie zu einem Flächenproblem werden.

Technisch verschiebt sich der Fokus weg vom Mythos des Gegenschlags hin zu Resilienz. Das klingt abstrakt, ist aber im Alltag sehr konkret. Wer kritische Systeme segmentiert, Mehrfaktor Anmeldung nutzt, Rechte minimiert und Updates konsequent einspielt, nimmt Angreifern Zeit und Reichweite. Wer zusätzlich gute Erkennung hat, etwa durch zentrale Protokollierung und Alarmierung, verkürzt die Zeit bis zur Reaktion. Das sind die Minuten, in denen ein Angriff gestoppt werden kann, ohne dass man fremde Systeme angreift.

Gleichzeitig entstehen Graubereiche, die sauber geregelt werden müssen. Dazu gehören sogenannte „Deception“ Methoden, etwa Köder Systeme im eigenen Netz, die Angreifer anlocken und Erkenntnisse liefern. Solange das im eigenen Verantwortungsbereich bleibt, kann es rechtlich gut vertretbar sein, muss aber datenschutz und arbeitsrechtlich bedacht werden. Anders sieht es aus, sobald Daten aktiv in fremde Netze zurückgeschrieben oder fremde Systeme manipuliert werden.

Politisch wird es auf klare Zuständigkeiten ankommen. Parlamentsdokumente zeigen, dass in Deutschland mehrere Behörden und Strukturen beteiligt sind, etwa in Koordination und Lagebild. Solche Antworten der Bundesregierung aus 2019, auch sie sind älter als zwei Jahre, machen zugleich deutlich, wie wichtig ein eindeutiger Rechtsrahmen und wirksame Kontrolle sind, bevor man über offensive Ausnahmen spricht. Für die meisten realen Fälle bleibt die bessere Lösung aber bodenständig. Schutz erhöhen, Schäden begrenzen, Beweise sichern, gemeinsam Störer Infrastruktur abschalten lassen, und den Rest über Rechtshilfe und Ermittlungen laufen lassen.

Digitale Gegenschläge wirken auf den ersten Blick wie eine einfache Antwort auf ein kompliziertes Problem. In der Realität sind Hackbacks juristisch schwer abzusichern, technisch riskant und politisch schnell eskalationsfähig. Die größte Gefahr ist oft nicht der Täter, sondern die Unsicherheit darüber, wer überhaupt getroffen wird. Dazu kommt, dass ein Eingriff außerhalb des eigenen Netzes schnell Straftatbestände und Haftung auslöst, und dass staatliche Maßnahmen nur unter engen gesetzlichen und völkerrechtlichen Bedingungen denkbar sind.

Wer echte Wirkung will, gewinnt meist mit weniger Drama und mehr Disziplin. Saubere Incident Response, robuste Backups, gute Protokolle, schnelle Zusammenarbeit und rechtssichere Abschaltungen über Provider und Behörden stoppen Angriffe häufig nachhaltiger. Das fühlt sich nicht nach Vergeltung an, aber es schützt Menschen, Unternehmen und öffentliche Dienste deutlich zuverlässiger.