Angesichts der unzähligen Cyberangriffe auf Deutschland in den letzten Jahren, beispielsweise auf NetCom BW, eine Tochterfirma des Energieversorgers EnBW und auf das Netzwerk der Bundesregierung wird oft über mögliche Lösungsansätze diskutiert. Allerdings kommen nicht nur präventive Maßnahmen in Betracht, es werden auch proaktive Schritte wie Hackbacks in Erwägung gezogen. Hacking back beschreibt „den Vorgang des Eindringens in fremde Computernetzwerke, um Angriffe durch Hacker direkt an der Quelle, d.h. auf ihren eigenen Systemen zu unterbinden, indem etwa die angreifende Hard- und Software lahmgelegt oder gar zerstört werden“.
Allerdings stellt sich die Frage, ob ein solches Vorgehen mit Art. 26 Abs. 1 GG vereinbar ist. Dieser Artikel normiert das Verbot friedensstörender Handlungen. Zu fragen ist mithin danach, ob Cyberangriffe unter dessen Anwendungsbereich fallen und wer befugt ist, solche Angriffe durchzuführen. Die Wissenschaftlichen Dienste des Bundestags haben in ihrer Prüfung festgehalten, dass es stets einer Einzelfallprüfung der Verfassungsmäßigkeit solcher digitalen Angriffe bedürfe, und dass diese gerechtfertigt sein müssen, insbesondere wenn sie in Ausmaß und Auswirkung „mit klassischen Formen militärischer Gewalt vergleichbar [sind]“. Ferner wurde festgestellt, dass nur die Bundeswehr – nicht die Nachrichtendienste – zu Gegenangriffen auf ausländische Server und IT-Infrastrukturen befugt sei.
In vielen Kreisen wird die Möglichkeit des „Zurückhackens“ und – falls erforderlich – eine entsprechende Anpassung des Grundgesetzes und des einfachen Rechts umfassend diskutiert. Solche Anpassungen könnten beispielsweise im Rahmen des Erfordernisses einer Parlamentsbeteiligung stattfinden. So ist nach derzeitiger Rechtslage eine Zustimmung des Parlaments vor einem Bundeswehreinsatz erforderlich, und darunter würden auch Cyber-Angriffe fallen. Einer weiteren Anpassung bedarf es überdies dann, wenn die Zuständigkeit für solche Cybermaßnahmen auf Nachrichtendienste erweitert werden sollte, wie von vielen gefordert wird.
Hackbacks finden vor allem in der Regierung grundsätzlich Unterstützung: Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz, hat sich über die Aussicht, „deutsche Daten auf ausländischen Servern zu löschen und Rechner zu infizieren“, positiv geäußert. Der ehemalige Innenminister, Thomas de Maizière, verglich solche Cybermaßnahmen mit der Tatsache, dass einem Polizisten in der analogen Welt sowohl eine Schutzweste als auch eine Pistole zur Verfügung stünde. Burkhard Lischka, innenpolitischer Sprecher der SPD-Fraktion, befürwortete das gezielte Ausschalten von Servern im Ausland als ultima ratio; dieser Punkt wird auch oft im Rahmen von Angriffen auf kritische Infrastrukturen wie etwa der Bereich der Strom- und Wasserversorgung oder der Telekommunikation als sog. „digitaler finaler Rettungsschuss“ wiederholt.
Die Kritiker eines solchen Vorgehens argumentieren damit, dass es oft schwer falle, den Ausführenden eines Cyberangriffs zu ermitteln. So wäre die Möglichkeit eines Gegenangriffs in einer Notstandssituation im Zweifel wenig behilflich und im schlimmsten Fall sogar schädlich, wenn der Falsche angegriffen wird. Dieses Eskalationspotenzial fand auch in der Prüfung der Wissenschaftlichen Dienste des Bundestags Erwähnung. Ein weiteres Gegenargument besteht darin, dass jegliches Infiltrieren von fremden IT-Systemen oft auch negative Auswirkungen auf das eigene System haben könnte. Unternehmen und Behörden werden von Cybersecurity-Expertin Aleksandra Sowa sogar aufgefordert, ihre Systeme ausreichend abzusichern, sodass „Angreifer nicht mehr mit gewohnter Nonchalance eindringen können […] statt Strategien für Kriege der Zukunft zu entwickeln“ (Sowa, Ri 2018, 89, 93).
Die Bundesregierung hat in ihrer Antwort auf eine kleine Anfrage der Linksfraktion dargelegt, dass Legislativmaßnahmen bezüglich der „zivilen aktiven Cyberabwehr“ noch innerhalb der 19. Legislaturperiode geprüft werden. Somit bleibt noch offen, ob es zu einer Änderung des Grundgesetzes kommen wird oder wer für solche Cybermaßnahmen zuständig sein wird, ob BND, BSI oder Bundeswehr. Das anhaltende politische Interesse an Hackbacks und generell an proaktiven Cyberangriffen als digitale Verteidigungsstrategie, welches schon an den kleinen Anfragen dieser Wahlperiode erkennbar ist, lässt auf eine schnelle Resolution dieser Frage – zumindest hinsichtlich des rechtlichen Rahmens – hoffen.