Rechtliche Grenzen: Wenn sich Opfer von Cyberangriffen wehren

Inhaltsverzeichnis

Sogenannte Cyberangriffe liegen im Trend. Der vom Unternehmensversicherer Allianz Global Corporate & Speciality veröffentlichte "Cyber Report" spricht davon, dass die Häufigkeit von Netzattacken weltweit im ersten Halbjahr 2021 um 125 Prozent zugenommen habe.

Die Schäden, die Unternehmen durch den Einsatz von Erpressungstrojanern ("Ransomware") entstehen, übersteigen die durch andere Formen von Cyberangriffen verursachten Schäden immer weiter.

Einer Untersuchung des Branchenverbands Bitkom vom August 2021 zufolge gehen über 50 Prozent der Netzangriffe auf deutsche Ziele von Russland und Osteuropa aus, weitere rund 30 Prozent von China und rund 16 vom Gebiet der USA. Da muss man schon von Ausnahmeerfolgen sprechen, wenn deutschen Strafverfolgungsbehörden tatsächlich mal der Zugriff auf international agierende Hacker gelingt.

Angesichts dieser Situation ist es nur allzu nachvollziehbar, dass Unternehmen und Privatleute sich nicht bloß verstärkt um die Absicherung und den Schutz ihrer Systeme bemühen, sondern auch gern zum Gegenangriff ausholen möchten.

Der Begriff "Hackback" ist bereits seit längerer Zeit Gegenstand politischer Diskussion. Allerdings geht es dabei um staatliches Handeln. Es war der Ex-Bundesinnenminister Horst Seehofer, der sich besonders für die "aktive Cyberabwehr" durch Sicherheitsbehörden einsetzte. Was staats- oder infrastrukturgefährdende Hackeraktivitäten aus dem Ausland betrifft, sollte der Bundesnachrichtendienst (BND) mit geeigneter Software gegen Akteure vorgehen, Server angreifen und illegal gespeicherte Daten zerstören, bevor sie in falsche Hände geraten.

Zudem sollten Bundesbehörden die Netzwerke krimineller oder fremdstaatlicher Hackergruppen gezielt bekämpfen. Die dafür nötigen Rechtsinstrumente hätten allerdings Änderungen am Grundgesetz erfordert. Eine parlamentarische Kontrolle für eine aktive Cyberabwehr, bei der etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst Botnetze auf sicherheitsgefährdende Server loslassen dürfte, hätte erst einmal geschaffen werden müssen.

Hackst du mich, hack ich dich

Noch im Sommer veröffentlichte das Bundesinnenministerium (BMI) einen "Entwurf der Cybersicherheitsstrategie 2021", in dem es dafür warb, "im Grundgesetz eine erweiterte Gesetzgebungs- und Verwaltungskompetenz des Bundes zur Abwehr von Gefahren zu verankern, die von besonders schweren und bedeutenden Cyberangriffen auf informationstechnische Systeme und Netze ausgehen". Dafür müsse man klären, ob es bei Bundesbehörden "neuer oder ergänzter Aufgaben und Befugnisse" bedürfe.

SPD, Grüne und FDP haben sich allerdings in ihrem Koalitionsvertrag zur Bildung der neuen Bundesregierung dagegen entschieden, Bundesbehörden für Cyber-Konterattacken rechtlich aufzurüsten: "Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab."

Damit rückt auch für Unternehmen die tröstlich erscheinende Vision in weite Ferne, dass staatliche Stellen sie bei Netzattacken durch tätige Gegenangriffe unterstützen könnten.

Was bleibt, ist die Frage, inwieweit IT-Verantwortliche und von Hackeraktivitäten betroffene Privatleute zur Selbsthilfe greifen dürfen, um Angreifer ausfindig zu machen und deren Treiben zu stören beziehungsweise zu sabotieren. Die Chance dazu wird sich nur selten bieten. Aber gelegentlich gibt es ja Verdachtsmomente, die es erlauben, gezielt Fallen auszulegen – oder es gelingt, Serveradressen ausfindig zu machen, auf die etwa ein eingeschleuster Trojaner zugreifen möchte.

Wenn Rächer sich strafbar machen

Dieselben Gesetze, gegen die kriminelle Hacker verstoßen, gelten auch für denjenigen, der Gegenmaßnahmen ergreift. Wer in ein fremdes Netzwerk eindringt, um dort beispielsweise Schwachstellen für die wirkungsvolle Abwehr auszulesen, macht sich möglicherweise durch Ausspähen von Daten gemäß Paragraf 202a des Strafgesetzbuchs (StGB) strafbar. Das geschieht, wenn er auf Daten zugreift, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind. Die Fachliteratur spricht dafür, dass es dabei schon ausreicht, wenn man in ein System eindringt, um sich Zugang zu verschaffen [1.

Wenn ein Gegenschlag noch darüber hinausgeht, kommt Datenveränderung gemäß § 303a StGB oder sogar Computersabotage gemäß § 303b StGB in Betracht. Für erstere reicht es aus, wenn man Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Um Computersabotage kann es gehen, wenn man eine Datenverarbeitung erheblich stört, die für einen anderen von wesentlicher Bedeutung ist. Neben den gerade genannten Aktionen in Bezug auf Daten ist dabei auch das Zerstören, Beschädigen, Unbrauchbarmachen, Beseitigen oder Verändern einer Datenverarbeitungsanlage oder eines Datenträgers relevant.

Grundsätzlich rechtfertigt es eine Straftat eines anderen nicht, dass man ihm mit gleicher Münze heimzahlt. Dennoch können Aktionen, die normalerweise als Datenveränderung und Computersabotage gelten würden, statthaft sein, wenn es um die Abwendung von Gefahr für die eigene IT-Sicherheit geht. Der Notwehrparagraf 32 Abs. 1 StGB ist allerdings nur anwendbar, wenn zum Zeitpunkt des Zurückhackens als Verteidigungshandlung eine Notwehrlage bestanden hat, also ein "gegenwärtiger" Angriff abzuwenden war. Nachträgliche Vergeltung ist ebenso ausgeschlossen wie langfristige Präventivschläge. Die Attacke muss vielmehr noch andauern, gerade eben stattfinden oder unmittelbar bevorstehen [2].

Häufig wird ein Netzangriff erst entdeckt, nachdem er abgeschlossen ist. Selbst dann, wenn ein automatisches Rückschlagprogramm aktiv ist, muss ein Intrusion Detection System (NIDS) zunächst den Angreifer ausfindig machen [3]. Ob der auslösende Angriff dann im Rechtssinne noch andauert, ist unklar: Es hängt davon ab, wie lange die Aufklärung braucht und wie schnell der Gegenschlag erfolgt.

Anders können die Dinge bei typischen Erpressungstrojanerfällen liegen, in denen Kriminelle Daten auf IT-Systemen verschlüsseln und für die Entschlüsselung ein Lösegeld fordern. Hier sind die Systeme der Opfer lahmgelegt, sodass der Angriff noch nicht als abgeschlossen gilt. Hinzu kommt, dass die mit der Erpressung vorhandene Drohung die Willensentschließungsfähigkeit der Opfer fortlaufend beeinträchtigt. Auch das spräche für eine Notwehrsituation.

Die Verteidigungshandlung darf sich ausschließlich gegen die Rechtsgüter des Angreifers richten. Dabei darf man nicht solche IT-Systeme infiltrieren oder gar zerstören, die anderen gehören und die etwa die Täter nur für ihre Zwecke missbraucht haben. Eine Notwehrsituation könnte auch vorliegen, wenn Kriminelle etwa nach Beendigung einer DDoS-Attacke mit einem weiteren Angriff drohen. Dieser muss dann allerdings unmittelbar bevorstehen. Zum Zeitpunkt des Zurückhackens muss eine bedrohliche Lage bestehen, die unmittelbar in eine Verletzungslage umschlagen kann. Der Bundesgerichtshof (BGH) hat das etwa für eine Bedrohungssituation bejaht, in der das Gegenüber in seine Tasche greift, um eine darin befindliche Waffe zu ziehen [4].

Anders war es jedoch im Fall eines notorischen Haustyrannen, der Frau und Kinder über 10 Jahre regelmäßig körperlich schwer misshandelt hatte. Um weiteren Qualen zu entgehen, wartete die Frau, bis er schlief, und erschoss ihn dann. Der BGH sah darin keine Notwehr: Künftig drohende Angriffe können nicht als "gegenwärtig" gelten. Dennoch hoben die Bundesrichter das Mordurteil der Vorinstanz auf: Diese hatte nicht geprüft, ob nicht ausnahmsweise ein entschuldigender Notstand gemäß § 35 StGB vorlag.

Ein solcher entschuldigender Notstand ist bei der Verteidigung gegen Hackerangriffe normalerweise nicht gegeben: § 35 Abs. 1 StGB setzt voraus, dass es um die Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit geht.

Unter Umständen könnte jemand sich beim Zurückhacken aber gegen eine Dauergefahr wehren und sich damit auf eine Notstandslage gemäß § 34 StGB beziehen. Bei einer solchen Dauergefahr muss das Opfer jederzeit mit dem Eintritt eines Schadens rechnen. Das ließ der BGH etwa in einem Fall gelten, in dem ein Spanner zunächst bereits fünfmal in ein Haus eingedrungen war. Beim sechsten Mal bemerkte der Hauseigentümer den Mann rechtzeitig, schoss auf ihn und verletzte ihn schwer. Die Bundesrichter sprachen ihn frei.

Damit man in Bezug auf Netzattacken von einem Notstand vergleichbarer Art sprechen kann, müssen hinreichend konkrete Anhaltspunkte dafür sprechen, dass die Hacker erneut zuschlagen. Dabei muss das geschützte Interesse des sich wehrenden Opfers gegenüber dem beeinträchtigten Interesse der Angreifer wesentlich überwiegen. Bereits das ist aber fraglich: Die Rechtsgüter, die zur Debatte stehen, sind normalerweise eher gleichwertig.

Eine Notstandslage setzt auch voraus, dass Zurückhacken ein angemessenes Mittel ist, um den Angriff abzuwehren. Gerichte verweisen möglicherweise darauf, dass der Angegriffene sich auch an die Strafverfolgungsbehörden wenden kann. Deren Möglichkeiten sind jedoch gerade dann, wenn es um Abwehr und Verfolgung von Netzangriffen geht, begrenzt. Damit das Zurückhacken in einer Notstandslage gerechtfertigt sein kann, muss es zudem nicht bloß als geeignete, sondern auch als erforderliche Maßnahme gelten. Gemäß § 34 StGB kann eine Gegenwehrmaßnahme durch einen Notstand bei einer „nicht anders abwendbaren Gefahr“ gerechtfertigt sein. [Update] Gesetzesbezug korrigiert [Update]

Absichern ist besser als Ärgern

In der Praxis bleibt das wirksame und legale Zurückschlagen bei Netzangriffen meistens ein mehr oder minder lustvolles Gedankenspiel. Das Durchspielen möglicher Angriffsszenarien für die eigene IT und intensives vorbeugendes Penetration Testing sind durch keine noch so fantasievollen Gegenwehrpläne zu ersetzen [5]. Das Einrichten von Honeypots und ähnlichen technischen Maßnahmen, um Angreifer auf falsche Fährten zu locken und beim Eindringen ins System zu behindern, gehört dabei zur zulässigen Vorsorge.

Literatur

[1] Arnd Böken in Dennis-Kenji Kipker (Hg), Cybersecurity, 1. Aufl. 2020, Kapitel 15, Randnummer 66

[2] Thomas Rönnau, Christian Hohn in Heinrich W. Laufhütte u. a. (Hg), StGB Leipziger Kommentar, 13. Aufl. 2019, § 32 StGB, Randnummer 140

[3] Florian Deusch, Tobias Eggendorfer in Jürgen Taeger, Jan Pohle, Computerrechts-Handbuch, 36. EL Februar 2021, 50.1, Buchstabe m

[4] BGH, Urteil vom 7.11.1972, Az. 1 StR 489/72

[5] Arnd Böken in Dennis-Kenji Kipker (Hg), Cybersecurity, 1. Aufl. 2020, Kapitel 15, Randnummer 83

c’t Ausgabe 3/2022

In c’t 3/2022 zeigen wir Ihnen, wie Sie das für Ihre Bedürfnisse optimale Linux nebst passender Desktop-Umgebung finden. Wir haben smarte Rauchmelder getestet, die im Brandfall Alarmketten auslösen und eine Meldung ans Smartphone absetzen. Außerdem im Test: Z690-Mainboards, Einzugsscanner, günstige Mobilfunktarife und vieles mehr. Ausgabe 3/2022 finden Sie ab dem 14. Januar im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(psz)