Gesetzentwurf zu Hackbacks: Eco warnt vor Gesetzen wie in Russland und der Türkei
Inhalt
Die Bundesregierung will den Sicherheitsbehörden weitreichende Befugnisse zur Abwehr von Cyberangriffen einräumen. Das geht aus einem Gesetzentwurf hervor, den das Bundesinnenministerium in der vergangenen Woche an die Verbände zwecks Kommentierung verteilte. Dem 56-seitigen Entwurf zufolge, der Golem vorliegt, sollen das Bundeskriminalamt (BKA) und die Bundespolizei die Befugnis zur "Erhebung, Löschung oder Veränderung von Daten auch durch Eingriff mit technischen Mitteln in ein informationstechnisches System ohne Wissen des Betroffenen" erhalten. Das wird auch als Hackback bezeichnet.
Das geplante "Gesetz zur Stärkung der Cybersicherheit" solle es den Behörden ermöglichen, "eine wirksame Gefahrenabwehr gegen Cyberangriffe umzusetzen" . Darüber erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Möglichkeiten, "schädlichen Datenverkehr umzuleiten" . Die bestehenden Anordnungsbefugnisse sollen dazu auf weitere zentrale Diensteanbieter erweitert werden.
Das BSI kann künftig zur Abwehr erheblicher Gefahren "gegenüber Anbietern von Top Level Domain Name Registries und Domain-Name-Registry-Dienstleistern anordnen, dass sie die Nameservereinträge einer vom Bundesamt benannten Domain ändern oder neue Einträge hinzufügen, soweit der Dienstleister dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist" .
Hackbacks zur Gefahrenabwehr
Auch BKA und Bundespolizei sollen künftig in der Lage sein, Datenverkehr an ein sogenanntes Sinkhole umzuleiten und den Traffic aufzuzeichnen. Ebenfalls dürfen sie den Betrieb eines IT-Systems untersagen. Hackbacks dürfen demnach nur "zur Abwehr dringender Gefahren" vorgenommen werden, beispielsweise wenn "die Vertraulichkeit und Integrität informationstechnischer Systeme einer großen Anzahl von Personen" gefährdet ist.
Das BKA ist in Fällen von "internationaler Zusammenarbeit oder außen- und sicherheitspolitischer Bedeutung" zuständig. "Dabei ist vor allem an Maßnahmen zu denken, die zwar aus Deutschland heraus ausgeführt werden, die aber IT-Systeme im Ausland betreffen, wie z.B. das Verändern und Löschen von Daten auf IT-Systemen der Angreifer" , hieß es zur Begründung. Die dabei zu berücksichtigenden außen- und sicherheitspolitischen Abwägungen könnten nur durch den Bund erbracht werden.
Fernzugriff auf IoT-Geräte
Der Begründung zufolge bedeutet die Befugnis für Hackbacks "das Eindringen oder Aufschalten auf ein informationstechnisches System, in der Regel durch Überwindung einer Zugangsbarriere, wie zum Beispiel einem Passwort. Diese Maßnahme zielt sowohl auf informationstechnische Systeme von Angreifern wie auch diejenigen von Geschädigten" .
Die Befugnis sei "in Fällen erforderlich, in denen ein informationstechnisches System mit einem Schadprogramm infiziert ist, dessen Löschung einen Angriff auf die Sicherheit in der Informationstechnik verhindern oder beenden würde" . Zudem könne das Eingreifen zur Speicherung von Daten wie IP-Adressen, Benutzernamen, Passwörtern oder Konfigurationsdaten erforderlich sein, um beispielsweise die Command&Control-Software in ihrer Funktionsweise zu analysieren und Schwachstellen in der Infrastruktur des Angreifers zu suchen. Ein Fernzugriff könne zudem zur Installation von Sicherheitsupdates auf IoT-Geräten nötig sein, um einen DDoS-Angriff zu unterbinden.
Bundesinnenminister Alexander Dobrindt hatte die Gesetzespläne im Oktober 2025 bereits angekündigt . Dabei vertrat der CSU-Politiker die Auffassung, dass es sich bei dem Zugriff auf schädliche Server, möglicherweise auch im Ausland, nicht um offensive Hackbacks handele. "Unser Ziel ist es nicht, eigene Angriffe zu führen, sondern die Bedrohungsinfrastruktur lahmzulegen – also reine Abwehrschläge, keine Offensivaktionen" , sagte Dobrindt damals.
Der nun vorgelegte Entwurf rief bei der IT-Wirtschaft scharfe Kritik hervor.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.