12/2025
1 Attacken mit Bits und Bytes – staatliche Gegenangriffe als neue Form der Verteidigung im «Cyberspace»?
Im Mai 2024 eroberte ein schillernder Begriff international die Schlagzeilen: Operation „Endgame“. Hinter ihm verbirgt sich nicht etwa ein neuer Hollywood-Streifen oder ein Computerspiel. Unter dem martialisch klingenden Terminus firmiert vielmehr der „bisher größte Schlag“ gegen das weltweite Cybercrime, der dem Bundeskriminalamt (BKA) in Zusammenarbeit mit internationalen Partnern gelungen ist. Bei der konzertierten Aktion beschlagnahmten die Ermittler 100 Server und machten 1300 kriminell genutzte Domains unschädlich, um mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz zu nehmen. Die Operation steht paradigmatisch für zwei grundlegende Entwicklungslinien auf dem Feld der Cybersicherheit: 1. Die Sicherheitsbehörden nehmen den Kampf gegen Cyberkriminalität immer ernster. 2. Nur international koordiniertes Handeln ermöglicht wirksamen Schutz. Damit ist die Operation „Endgame“ auch ein Weckruf an die Gesellschaft.
Die Furcht vor Netzwerkangriffen treibt sowohl staatliche Einrichtungen als auch Private aus gutem Grund immer stärker um. Denn die Sicherheitslage ist angespannt wie nie zuvor. Das spiegelt sich in den Fallzahlen strafrechtlich relevanter Cyberangriffe unverkennbar wider. Im Jahr 2023 zählte das BKA rund 134.000 Taten, die sich gegen informationstechnische Systeme richteten. Allein die Deutsche Telekom registriert in ihren Netzen täglich bis zu 46 Mio. Angriffe. Cyberattacken erschüttern die westliche Staatengemeinschaft – insbesondere seit dem Angriffskrieg Russlands gegen die Ukraine – in einer neuen Intensität und Tiefe. So gerieten hierzulande bspw. Krankenhäuser und Behörden zunehmend ins Visier der Angreifer. Die Auswirkungen auf den Alltag der Bürger und Patienten waren gravierend: Lebensnotwendige Operationen ließen sich nicht durchführen. Bedürftige konnten wichtige Sozialleistungen nicht mehr beantragen. In den USA waren u. a. das Heimatschutzministerium und Unternehmen für Öl-Pipelines, in Schweden sogar sämtliche Filialen einer Supermarktkette Opfer schwerer Cyberattacken.
Die vielgestaltigen Bedrohungsszenarien für IT-Systeme sind ein globales Phänomen. Zwar erfolgen Angriffe teilweise aus dem Zielland selbst. Ein erheblicher Teil der Angreifer agiert allerdings aus dem Ausland. So unterschiedlich wie die Angriffsszenarien sind die Motive der Täter: Viele verfolgen wirtschaftliche Ziele. Sie greifen Kreditkartendaten ab oder wollen Zahlungen in Kryptowährung erpressen. Solange sie – wie gegenwärtig – kaum fürchten müssen, dass die Strafverfolgungsbehörden sie ausfindig machen, sind Cyberattacken für sie risikoarm und daher äußerst lukrativ. Die Bandbreite der Täter ist aber viel größer: Sie reicht von Privaten über staatliche Stellen, die einen anderen Staat ausspionieren oder sabotieren wollen, bis hin zu staatlich beauftragten Akteuren, die versuchen, auf innere Angelegenheiten anderer Länder, etwa Wahlen, Einfluss zu nehmen.
Um Angriffe auf ihre IT-Infrastruktur wirksam abzuwehren, setzen einige Staaten nicht mehr allein auf passive Abwehrmaßnahmen, etwa starke Verschlüsselung, oder darauf, sensible Sicherheitslücken konsequent aufzuspüren und zu schließen. Sie nehmen vermehrt auch aktive Cyberabwehrmaßnahmen in ihr Verteidigungsarsenal auf.
Eine weitreichende und rechtlich sensible Form der aktiven Cyberabwehr sind sog. Hackbacks: Sie zeichnen sich dadurch aus, dass der angegriffene Staat zur Gegenwehr übergeht. Er wird selbst zum „Hacker“, um den ursprünglichen Angriff zu beenden oder bevorstehende Angriffe zu verhindern. Ein „Hackback“ beschränkt sich mithin nicht auf Abwehrmaßnahmen innerhalb des angegriffenen Netzwerks. Er greift in fremde Netzwerke ein und löscht dort z. B. Daten oder schaltet ein Rechenzentrum vollständig ab (Abschn. 2).
Dass ein Cyberangriff und -gegenangriff regelmäßig grenzüberschreitend erfolgt, zeitigt völkerrechtliche Implikationen: Agiert ein Staat außerhalb seines Staatsgebietes, müssen sich seine Maßnahmen in dem Rahmen bewegen, den das Völkerrecht absteckt. Er darf insbesondere nicht ungerechtfertigt in die Rechte anderer Völkerrechtssubjekte eingreifen.
Bislang lag der Fokus der völkerrechtlichen Debatte über „Hackbacks“ auf den Rechten und Pflichten des Staates – nicht auf den Menschenrechten der betroffenen Individuen. Aber auch für sie trifft das Völkerrecht bedeutsame Vorgaben. Das gilt insbesondere für die Europäische Menschenrechtskonvention (EMRK), den Internationalen Pakt über bürgerliche und politische Rechte (IPbpR) und das Völkergewohnheitsrecht, wie es insbesondere durch die Allgemeine Erklärung der Menschenrechte (AEMR) zum Ausdruck kommt.
Soweit die völkerrechtlichen Menschenrechte auf das Szenario eines „Hackbacks“ anwendbar sind (Abschn. 3), können sie in zwei Gewährleistungsdimensionen betroffen sein: Als Abwehrrechte gegen den Staat schützen sie Individuen einerseits vor staatlichen Freiheitsbeschränkungen (Abschn. 4).
Als Schutzgebote verpflichten sie den Staat, alle Individuen, die seiner Hoheitsgewalt unterliegen, vor nachteiligen Auswirkungen zu bewahren, die von Aktivitäten Dritter auf die Menschenrechte ausgehen können. Dieses Schutzversprechen ruft die Frage auf den Plan, ob Staaten nicht sogar hinreichende aktive Abwehrmaßnahmen ergreifen müssen, um ihre Bürger vor Cyberangriffen aus dem Ausland zu schützen (Abschn. 5).
2 Begriff und Ablauf eines «Hackbacks» bzw. einer intrusiven Cyberoperation
2.1 Begriffsbestimmung
Das grundlegende Konzept aktiver Cyberabwehr, dem der Topos „Hackback“ zuzuordnen ist, entspringt einem Strategiepapier des US-Verteidigungsministeriums zur Cybersicherheit aus dem Jahr 2011. Es hat seither in unterschiedlichsten Begriffen und Ausprägungen Widerhall gefunden: Die terminologische Bandbreite reicht vom „digitalen Gegenangriff“ über „aktive Cyberabwehr“ und „Computer Network Intervention“ bis hin zum „finalen digitalen Rettungsschuss“.
Ein „Hackback“ beschreibt im Regelfall die Verteidigung gegen einen Cyberangriff durch einen Gegenangriff auf das System des Angreifers. Sowohl der Begriff der aktiven Cyberabwehr als auch die Bezeichnung „Hackback“ sind jedoch im Kern politisch geprägt; ihre Konturen und Übergänge sind im Einzelnen unscharf. Das gilt in ähnlicher Weise für die Einordnung staatlicher Cybersicherheitsmaßnahmen in Kategorien, wie „offensive“ gegenüber „defensiver“ oder „aktive“ gegenüber „passiver Cyberabwehr“. Diese Begriffspaare entspringen einer militärischen Logik und Fachsprache. Sie eignen sich daher nicht in idealer Weise, um die (hier beleuchtete) zivile Gefahrenabwehr sachgerecht zu erfassen. Für diese ist der Begriff der staatlichen intrusiven Cyberoperation nicht nur klarer, sondern auch passgenauer. Er erfasst die Maßnahme seinem Wortsinn nach treffend ohne die Unschärfe und den politischen Spielraum des Buzzwords „Hackback“.
Intrusive Cyberoperationen beschreiben alle Maßnahmen, mit denen der Staat in fremde IT-Systeme, also solche, die sich weder dem staatlichen noch dem angegriffenen System zurechnen lassen, eindringt, um einen gegenwärtigen oder zukünftigen konkreten Cyberangriff abzuwehren oder abzuschwächen. Sie schließen auch Handlungen ein, die dem staatlichen Eingriff, der den ursprünglichen Cyberangriff beenden soll, vorgelagert sind (also etwa der Aufklärung dienen). Davon zu unterscheiden sind hingegen solche (weitergehenden) Maßnahmen, die nicht nur einen konkreten Angriff beenden, sondern dauerhaft in die IT-Systeme potenziell böswilliger Akteure eindringen, um die abstrakte Gefahr von Cyberangriffen zu reduzieren. Bei intrusiven Cyberoperationen handelt es sich damit vorrangig um ein Mittel der transnationalen, zivilen Gefahrenabwehr. Sie können aber genauso in militärischen Auseinandersetzungen zum Einsatz kommen. Für transnationale, zivile Gefahrenabwehr und (militärische) Gewalt greifen aber sehr unterschiedliche völkerrechtliche Vorgaben. Die maßgebliche Trennlinie markiert das völkerrechtliche Gewaltverbot (Art. 2 Nr. 4 der Charta der Vereinten Nationen [UNCh]). Es untersagt grundsätzlich jegliche zwischenstaatliche Gewaltanwendung.
Als Gewalt lassen sich intrusive Cyberoperationen (nur) dann einstufen, wenn sie in Ausmaß und Auswirkungen mit konventioneller Gewaltanwendung vergleichbar sind, also erhebliche physische Folgen, insbesondere Sach- und Personenschäden, nach sich ziehen. Bei solchen externen Auswirkungen – etwa im Falle einer gezielten Überlastung eines Rechenzentrums, die einen Brand im Gebäude verursacht – läuft die konkrete Maßnahme schnell Gefahr, gegen das völkerrechtliche Gewaltverbot zu verstoßen. Eine zivile intrusive Cyberoperation muss sich darauf beschränken, an ihrem Ziel ausschließlich (interne) Wirkungen zu erzielen, die den laufenden Betrieb auf Softwareebene beeinträchtigen oder allenfalls begrenzte Schäden an der Hardware einzelner Systemkomponenten oder sonstige unerhebliche Sach- und Personenschäden hervorrufen. Auf eine Kurzformel gebracht sind zivile intrusive Cyberoperationen mithin Maßnahmen zur zivilen, transnationalen Gefahrenabwehr unterhalb der neuralgischen Gewaltschwelle des Art. 2 Nr. 4 UNCh.
2.2 Rechtspolitische Einordnung
Intrusive Cyberoperationen sind nicht nur ein Kernelement nationaler politischer Verteidigungsstrategien für den Cyberraum. Sie haben längst auch in staatliche Regelwerke Einzug gehalten. Die Schweiz verankerte intrusive Cyberoperationen bereits 2017 bundesgesetzlich als zulässiges Instrument des Nachrichtendienstes und des Militärs. Israel erlaubt es sowohl staatlichen Stellen als auch privaten IT-Unternehmen, intrusive Cyberoperationen vorzunehmen. Ebenso halten die Niederlande entsprechende Instrumente der Cyberverteidigung vor. Gleiches gilt für Großbritannien und die USA. Die EU-Kommission fordert von den Mitgliedstaaten nachdrücklich, ihre Investitionen in aktive Cyberabwehrmaßnahmen zu erhöhen: „Member States must […], with urgency and priority, commit to increase investments in full-spectrum cyber defence capabilities, including active defence capabilities.“
Deutschland verzichtet (außerhalb des Verteidigungsfalls) bislang darauf, einen „Cybergegenschlag“ in seinen sicherheitspolitischen Instrumentenkasten aufzunehmen. Die zuständigen Sicherheitsbehörden verfügen nicht über die gesetzliche Erlaubnis, im Rahmen der Cyberabwehr auf „scharfe“ Maßnahmen wie intrusive Cyberoperationen zurückzugreifen. Der Hauptgrund für diese deutsche Zurückhaltung ist die traditionell defensive Verteidigungsstrategie der Bundesrepublik im Cyberraum: Im Vordergrund steht das Bemühen, die nationalen Netzwerkstrukturen zu stärken und resilient auszugestalten. Daran hat der Gesetzgeber auch nicht gerüttelt, als die Cybergefahrenabwehr ihren ersten legislativen Niederschlag im IT-Sicherheitsgesetz (IT-SiG) fand. Cybersicherheit ist zwar bereits seit Einführung des BSIG (1990) Aufgabe des BSI. Erste Gefahrenabwehrbefugnisse erhielt das BSI jedoch erst mit Änderung des BSIG im Jahr 2015 durch das IT-SiG (§ 7a und § 5b BSIG). Den zentralen Akteur auf Bundesebene – das BSI – richtet das IT-SiG unverändert ausschließlich defensiv aus. Diese passive Grundhaltung strahlt auf die internationale Ebene aus: Deutschland beteiligt sich im Rahmen der NATO an Maßnahmen der Cyberabwehr allein im Wege gemeinsamer Sicherheitsprotokolle.
Spätestens seit sich Angreifer im Jahre 2015 Zugriff zu den IT-Systemen des Bundestages verschafften, mehren sich jedoch Stimmen, die den Sicherheitsbehörden intrusive Maßnahmen zur Cyberverteidigung als zusätzliches Werkzeug an die Hand geben wollen. Für militärische Einsatzszenarien erfolgte eine solche Kehrtwende bereits im Jahr 2017, als die damalige Bundesverteidigungsministerin Ursula von der Leyen den eigenständigen militärischen Organisationsbereich „Cyber- und Informationsraum“ aufstellte. Aber auch für den zivilen, gefahrenabwehrrechtlichen Bereich hatte sich die seinerzeitige schwarz-rote Bundesregierung vor dem Hintergrund des Hacks auf den Bundestag und der sich verschärfenden Cybergefahrenlage vorgenommen, eine gesetzliche Regelung für intrusive Cyberoperationen ins Werk zu setzen. Dieses Vorhaben mündete in zwei Gesetzesentwürfe des Bundesministeriums des Innern und für Heimat (BMI) im Polizei- und IT-Sicherheitsrecht.
Der Änderungsvorschlag des BMI für das Bundespolizeigesetz (BPolG) sollte der Bundespolizei die Befugnis einräumen, Cyberangriffe auszuwerten, umzulenken, zurückzuverfolgen und Früherkennungsmaßnahmen einzuleiten. Um eine gegenwärtige Gefahr abzuwehren, sollte sie in IT-Systeme eingreifen und dort Daten erheben, übernehmen und verändern dürfen. In schweren Fällen erlaubte der Entwurf sogar, ganze IT-Systeme abzuschalten. Die Maßnahmen sollten sich nicht nur gegen die informationstechnischen Systeme der Angreifer selbst richten dürfen, sondern auch gegen unbeteiligte Dritte – selbst ohne deren Wissen.
Während das BMI die avisierte Novellierung des BPolG samt der Möglichkeit eines „Hackbacks“ für die Bundespolizei rasch wieder zurückgezogen hatte, nahm das IT-Sicherheitsgesetz 2.0 (das unter anderem das BSIG modifiziert hat) die parlamentarischen Hürden. Zwar gestattet es keine intrusive Cyberoperation im engeren Sinne. Es sieht aber andere intrusive Maßnahmen vor: § 7c Abs. 1 Nr. 2, Abs. 2 BSIG verleiht dem BSI unter anderem die Befugnis, den Anbieter eines Telekommunikationsdienstes dazu zu verpflichten, aus der Ferne technische Befehle an betroffene IT-Systeme zu erteilen, um diese von konkret benannten Schadprogrammen zu bereinigen, sofern die Anordnung dazu dient, eine konkrete erhebliche Gefahr für die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit abzuwehren. Die Cybersicherheitsagenda des BMI stellt zudem in Aussicht, die Bundesbefugnisse für intrusive Cyberoperationen zu erweitern.
2.3 Technische Funktionsweise
Obgleich intrusive Cyberoperationen in sehr unterschiedlichen Erscheinungsformen auftreten, folgen sie doch einer weitgehend einheitlichen technischen Agenda. Typischerweise vollziehen sie sich in drei Schritten: Detektion, Zurechnung und aktive Abwehr des Angriffs.
Spürt eine Sicherheitsbehörde einen Cyberangriff auf, nimmt sie zunächst in aller Regel noch defensive Maßnahmen vor: Sie analysiert den Vorgang sowie seinen Kontext. Im zweiten Schritt sammelt sie alle weiteren Informationen, die notwendig sind, um einen erfolgreichen „Gegenschlag“ durchzuführen. Als Teil der Informationsbeschaffung kann es erforderlich sein, in fremde Netzwerke einzudringen. Die Behörde geht dann von einer ausschließlich passiven Verteidigung zu einer aktiven Cyberabwehr über. Als besondere Herausforderung erweist es sich, den Angriff zielgenau einem Täter zuzurechnen. Denn ebenso wie andere Täter versuchen auch Cyberkriminelle regelmäßig, die Urheberschaft ihrer Attacke zu verschleiern. Technisch ist das kein Hexenwerk. Sie können dafür nicht nur auf Verfahren zurückgreifen, die ihre Identität verbergen, sondern auch Methoden nutzen, um falsche Fährten zu legen. Viele Hacker lassen bspw. in den Code einer Schadsoftware Wörter einer anderen Sprache als der eigenen einfließen, um die eigene „Handschrift“ zu verschleiern – oder sie führen Angriffe über „gekaperte“ Systeme in Drittstaaten aus, um einen Ursprung aus einer Rechtsordnung vorzutäuschen, in der keine Strafverfolgung droht. Dass sich in der Vergangenheit nur selten konkrete Urheber identifizieren ließen, verwundert deshalb nicht. Gerade in zeitkritischen Situationen, wie bei Angriffen auf Kritische Infrastrukturen eines Landes, nimmt die Wahrscheinlichkeit, den verantwortlichen Angreifer rechtzeitig ausfindig zu machen, signifikant ab.
Ist der (vermutete) Verursacher des Angriffs mittels passiver und/oder aktiver Maßnahmen ausgemacht, folgt auf der dritten Stufe die intrusive Cyberoperation. Ihre Wirkreichweite kann sehr unterschiedlich konzipiert sein. Sie kann sich bspw. darauf beschränken, lediglich ein einzelnes IT-System ins Visier zu nehmen, aber auch auf ganze Netzstrukturen – z. B. Botnetze – zielen.
Die Angriffswege ähneln denjenigen der Angreifer. Eine vielfach eingesetzte Strategie besteht darin, die Leistungsfähigkeit eines Dienstes außer Gefecht zu setzen (Denial of Service). Das IT-System des Angreifers verweigert dann gleichsam den Dienst und ist für weitere invasive Maßnahmen nicht mehr verfügbar. Eine andere Methode zielt darauf, es von innen heraus funktionsunfähig zu machen. Dazu schleust die staatliche Stelle, z. B. via Schwachstellen oder durch Phishing von Zugangsdaten, ein Schadprogramm in das Zielsystem ein. Sofern der Zugang nicht via Phishing erfolgt, baut die intrusive Cyberoperation in der Regel – wie auch der zugrunde liegende Cyberangriff – auf drei Säulen auf: einer Schwachstelle, deren Ausnutzbarkeit sowie dem Vollzug der Netzwerkoperation.
Wie die Vorgehensweise bei intrusiven Cyberoperationen als Werkzeug der Cyberabwehr aussehen kann, illustrieren drei Fälle aus der jüngeren Vergangenheit paradigmatisch: Im Falle des Schadprogramms Emotet, das lange Zeit als gefährlichstes Makrovirenprogramm der Geschichte galt, erlangten die Behörden zunächst die Kontrolle über eine Vielzahl der Command-and-Control-Server. Diese waren über 90 verschiedene Staaten verstreut. Die Behörden manipulierten die Server im Anschluss so, dass sie ein Update für den Emotet-Virus auf befallene IT-Systeme aufspielten. Dieses veränderte das Schadprogramm und sorgte dafür, dass Emotet keinen weiteren Schaden anrichten konnte. Außerdem implantierte das Update einen Selbstzerstörungsbefehl: Er sollte Emotet löschen und so die weltweit über eine Milliarde befallenen Systeme bereinigen. Auf ähnliche Weise hat im Jahr 2019 die französische Gendarmerie nationale den sog. Retadup-Wurm auf über 850.000 infizierten Computern in 140 Staaten unschädlich gemacht. In einem dritten Fall schritt die amerikanische Bundespolizei FBI selbst zur Tat, um Server, die der sog. Exchange Hack erfasst hatte, zu sichern. Dazu löschte das FBI sog. Web Shells, die eine Hackergruppe auf hunderten Servern platziert hatte, um einen dauerhaften Zugriff auf die Exchange-Server zu erlangen. Im Gegensatz zu Emotet und dem Retadup-Wurm erfolgten die Löschvorgänge des FBI jedoch nur auf Servern im Hoheitsgebiet der USA.
3 Extraterritoriale Anwendbarkeit der internationalen Menschenrechte
Wenn der Gesetzgeber tragfähige Rechtsgrundlagen für intrusive Cyberoperationen konzipieren möchte, muss er nicht nur sicherstellen, dass die Vorschriften mit dem nationalen Recht – insbesondere den Grundrechten – vereinbar sind. Die Regelungen müssen sich auch innerhalb der Zulässigkeitsgrenzen des Völkerrechts, einschließlich der internationalen Menschenrechte, bewegen.
Sowohl der völkergewohnheitsrechtliche als auch der völkervertragsrechtliche Menschenrechtsschutz erfasst digitale Sachverhalte grundsätzlich uneingeschränkt. Die Rechte, die dem Einzelnen offline zustehen, sind online in gleicher Weise zu schützen. In Konstellationen, in denen die Auswirkungen der Cyberabwehr extraterritorial eintreten, sich das Ziel einer intrusiven Cyberoperation also im Ausland befindet, greift das Menschenrechtsregime aber nicht ohne Weiteres. Es ist vielmehr nur anwendbar, sofern eine Person der Hoheitsgewalt eines Vertragsstaates unterliegt (vgl. Art. 1 EMRK; Art. 2 IPbpR). Dies trifft im Allgemeinen nur auf solche Personen zu, die sich auf dem Territorium des handelnden Staates befinden.
Ausnahmsweise kann sich die staatliche Hoheitsgewalt aber auch auf Personen erstrecken, die sich auf fremdem Staatsgebiet aufhalten, wenn der Vertragsstaat dort effektive Kontrolle ausübt. Unter dieser Prämisse ist der Anwendungsbereich der internationalen Menschenrechte auch in Fällen extraterritorialen Handelns eröffnet. Ob diese „effektive Kontrolle“ besteht, lässt sich entweder nach räumlichen (Abschn. 3.1) oder nach persönlichen Kriterien (Abschn. 3.2) beurteilen.
3.1 Effektive räumliche Kontrolle
Nach Maßgabe eines räumlichen Modells sind die internationalen Menschenrechte dann extraterritorial anwendbar, wenn ein Staat (z. B. durch Okkupation) effektive Kontrolle („effective overall control“) über das Staatsgebiet eines anderen Staates erlangt. Führt ein Vertragsstaat eine intrusive Cyberoperation gegen IT-Infrastrukturen im Ausland durch, gewinnt er jedoch keine effektive Kontrolle über fremdes Staatsgebiet.
3.2 Effektive persönliche Kontrolle
Ein persönliches Modell rückt die physische, faktische Ausübung von Hoheitsgewalt in den Vordergrund: Es stellt darauf ab, ob ein Staat eine Person, z. B. durch Ingewahrsamnahme im Ausland, effektiv kontrolliert.
Auch nach diesem Maßstab wären die Menschenrechte bei transnationalen intrusiven Cyberoperationen (jedenfalls bei engem Verständnis) nicht anwendbar. Denn diese Maßnahme eröffnet einem Staat keine physische effektive Kontrolle über eine Person.
3.3 Effektive virtuelle Kontrolle?
Dass sich Hoheitsgewalt extraterritorial nur durch eine physische effektive Kontrolle über eine Person oder ein Territorium begründen lässt, ist nicht ausgemacht. Die enträumlichte Wirkweise digitaler Instrumente sowie die Bedeutung digitaler Tools für den Lebensentwurf des Einzelnen legen vielmehr nahe, den Bewertungsmaßstab für die effektive Kontrolle bei digitalen Sachverhalten zu modifizieren.
Anders als in den Konstellationen, in denen eine physische effektive Kontrolle die extraterritoriale Anwendbarkeit begründet, fallen Handlungs- und Erfolgsort bei intrusiven Cyberoperationen auseinander: Die Sicherheitsbehörde agiert im Inland, die Wirkung ihrer Operation setzt bei IT-Systemen im Ausland ein. Sofern Handlungen eines Staates Auswirkungen außerhalb seines Territoriums entfalten, können sie aber nach der Rechtsprechung des EGMR grundsätzlich (trotzdem) die Ausübung von Hoheitsgewalt mit sich bringen.
Da sich das Persönlichkeitsrecht in einer digitalisierten Lebenswelt immer stärker von der physischen Existenz einer Person entkoppelt, darf – im Unterschied z. B. zum Rechtsgut der körperlichen Freiheit – nicht mehr ausschließlich von der physischen effektiven Kontrolle über eine Person abhängen, ob die internationalen Menschenrechte greifen oder nicht. Soll der Menschenrechtsschutz in der digitalen Sphäre nicht leerlaufen, müssen seine Verbürgungen vielmehr (analog zu einer physischen effektiven Kontrolle) bei einer virtuellen effektiven Kontrolle über eine Person als Folge einer intrusiven Cyberoperation gleichfalls gelten. Entschiede allein der Aufenthaltsort einer Person darüber, ob ihre personenbezogenen Daten menschenrechtlich geschützt sind, schwächte dies das Gewährleistungsniveau erheblich. Bei digitalen Sachverhalten kommt es mithin weniger darauf an, wo sich der betroffene Rechtsträger aufhält oder die schädigende Handlung ihren Ausgangspunkt hat, sondern darauf, ob ein zur Achtung der Menschenrechte verpflichteter Vertragsstaat effektive Kontrolle über die personenbezogenen Daten bzw. die digitalen Entfaltungsmöglichkeiten des Einzelnen ausübt.
Ein solches Verständnis der Ausübung von Hoheitsgewalt im digitalen Raum stützen nicht zuletzt zahlreiche Menschenrechtsgerichtshöfe und -organe. In dem Fall Big Brother Watch hat etwa der EGMR die EMRK auf die britische Auslandsüberwachung uneingeschränkt angewendet – auch im Falle von Beschwerdeführern, die Staatsangehörige aus Drittstaaten ohne Wohnsitz in Großbritannien waren. Ebenso prüften die Straßburger Richter die auslandsbezogene Fernmeldeaufklärung in Schweden am Maßstab der EMRK, ohne deren extraterritoriale Geltung infrage zu stellen. Der Gerichtshof ging damit implizit davon aus, dass die physische Kontrolle über eine Person oder über das Territorium nicht entscheidend dafür ist, ob die EMRK in digitalen Sachverhalten Geltung beansprucht. Vielmehr sind die Auswirkungen der staatlichen Überwachungsmaßnahmen auf das Recht der Privatsphäre unabhängig vom Aufenthaltsort der betroffenen Person und vom Speicherort der Daten ausschlaggebend.
Der UN-Menschenrechtskommissar stößt in das gleiche Horn. Er hält die Menschenrechte immer dann für anwendbar, wenn ein Staat öffentliche Gewalt oder effektive Kontrolle über digitale Kommunikationsinfrastrukturen ausübt – und zwar unabhängig davon, wo sich die Infrastruktur physisch befindet. Das Verständnis der effektiven Kontrolle bewegt sich in dieser Lesart weg von der physischen Kontrolle über ein Individuum hin zur Frage, wer die notwendigen Bedingungen für die Ausübung eines Menschenrechts beherrscht.
Von diesem Ansatz geht zugleich ein Risiko aus: Der Anwendungsbereich des Menschenrechtsschutzes könnte ausufern. Ließe man umgekehrt eine virtuelle effektive Kontrolle nicht ausreichen, hinge es aber letztlich vom Zufall ab, ob die Menschenrechte anwendbar sind: Hält sich eine Person auf dem Territorium eines Vertragsstaates auf, wären ihre Daten sowohl im Inland als auch extraterritorial geschützt, da der Staat die physische effektive Kontrolle über die Person ausübt. Die Daten eines Rechtsträgers, der sich im Ausland befindet, wären hingegen sowohl im Inland als auch extraterritorial gleichsam „Freiwild“. Der Schutz der individuellen digitalen Privatsphäre stünde und fiele damit, ob der Einzelne die Staatsgrenze physisch überschreitet. Die Befürchtung, der Menschenrechtsschutz werde konturlos, überzeugt auch in der Sache nicht. Denn eine virtuelle effektive Kontrolle verlangt bereits begrifflich ein Mindestmaß an Kontrolle über die Daten einer Person oder über die Systeme, auf denen i. d. R. private Informationen gespeichert sind.
Nicht jede Beeinträchtigung personenbezogener Daten auf einem IT-System aus der Ferne begründet also eine virtuelle effektive Kontrolle. Vielmehr bedarf es einer hinreichend gefestigten, zielgerichteten Kontrolle des Staates über die personenbezogenen Daten, sodass er im Grundsatz nach Belieben mit ihnen verfahren kann. In solchen Konstellationen ist dann aber auch der Schutz der internationalen Menschenrechtsverbürgungen vor willkürlichen und missbräuchlichen staatlichen Eingriffen im Cyberspace angezeigt.
3.4 Zwischenergebnis
So intensiv wie die fortschreitende Digitalisierung nahezu aller Lebensbereiche tief in die Privatsphäre hineinwirkt, so sehr ist es sachgerecht, die virtuelle effektive Kontrolle der physischen effektiven Kontrolle gleichzustellen. Nur dann lässt sich das völkervertraglich verbürgte menschenrechtliche Schutzniveau auch im digitalen Raum angemessen gewährleisten. In dieser Weise inhaltlich angereichert, liefert die etablierte rechtsdogmatische Architektur des internationalen Menschenrechtsschutzes auch unter den Strukturbedingungen einer digitalisierten Welt brauchbare Kriterien, um den extraterritorialen Schutz der Menschenrechte im gebotenen Umfang fortzuentwickeln. Dies entspricht dem generellen Bekenntnis des EGMR, die EMRK als „living instrument“ zu verstehen: Sie ist stets im Lichte der aktuellen lebensweltlichen Bedingungen auszulegen.
Übertragen auf intrusive Cyberoperationen bedeutet das, dass ein Vertragsstaat, der ganz oder teilweise die effektive Kontrolle über die IT-Infrastruktur in einem anderen Staat erlangt, menschenrechtlich verantwortlich ist. Für die extraterritoriale Anwendbarkeit der internationalen Menschenrechte genügt es, wenn ein Staat im Wege einer intrusiven Cyberoperation in wirksamer Weise gezielt die „virtuelle“ Kontrolle über die Daten oder das digitale Leben einer einzelnen Person erlangt. Den handelnden Staat nur dann menschenrechtlichen Schutzstandards zu unterwerfen, wenn er die Kontrolle über die IT-Infrastruktur und damit über die Daten physisch, z. B. durch eine Beschlagnahme der Server, erlangt – nicht aber, wenn er durch virtuelle Maßnahmen aus der Ferne auf personenbezogene Daten zugreift – wäre widersprüchlich. Denn dann könnten Staaten auf dem Gebiet eines anderen Staates Menschenrechtsverletzungen begehen, die auf seinem eigenen Territorium völkerrechtswidrig wären.
4 Menschenrechtliche Schranken intrusiver Cyberoperationen
4.1 Gewährleistungsgehalte einzelner Menschenrechte
Gelten die internationalen Menschenrechte im Cyberraum extraterritorial, grenzen ihre Verbürgungen den Handlungsspielraum des Staates bei transnationalen intrusiven Cyberoperationen spürbar ein.
4.1.1 Betroffene Menschenrechte – ein Überblick
Eine staatliche intrusive Cyberoperation kann nachhaltig auf den Schutzgehalt des Menschenrechts auf Datenschutz und Datensicherheit einwirken. Beide sind Ausfluss des Rechts auf Privatsphäre, wie es Art. 12 AEMR, Art. 17 IPbpR und Art. 8 EMRK gewährleisten.
Intrusive Cyberoperationen können jedoch auch andere Menschenrechte beschneiden. Lassen sie ein IT-System oder gar ganze Netzinfrastrukturen ausfallen, beeinträchtigt dies das Recht auf Zugang zum Internet. Zerstört oder beschädigt die Maßnahme die Hardware, kann zudem die Eigentumsfreiheit (Art. 17 AEMR, Art. 1 1. ZP-EMRK) berührt sein. Ebenso kann das Recht auf Leben und körperliche Unversehrtheit (Art. 3 AEMR, Art. 2 EMRK) im Extremfall beeinträchtigt sein, etwa wenn eine intrusive Cyberoperation einen Brand in einem Rechenzentrum auslöst und dadurch Personen zu Schaden kommen.
4.1.2 Menschenrechtlicher Datenschutz
Die menschenrechtlichen Verbürgungen der Privatsphäre in Art. 12 AEMR, Art. 17 IPbpR und Art. 8 EMRK stammen aus einer Zeit, in der Digitalisierung allenfalls Zukunftsmusik war. Dass frühe internationale Menschenrechtsabkommen (ebenso wie das GG) den Datenschutz nicht ausdrücklich erwähnen, verwundert deshalb nicht. Das Konzept ist ihnen jedoch keineswegs fremd – im Gegenteil: Sie alle schließen den Schutz personenbezogener Daten als Ausfluss des Rechts auf Schutz der Privatsphäre ein und ziehen intrusiven Cyberoperationen daher Grenzen.
Personenbezogene Daten zu verarbeiten, ist notwendige Voraussetzung der Analyse- und Aufklärungsphase einer intrusiven Cyberoperation. Eine staatliche intrusive Cyberoperation verfolgt zwar in aller Regel nicht in erster Linie das Ziel, personenbezogene Daten auszuleuchten, die auf dem IT-System des Angreifers gespeichert sind. Vielmehr ist es ihr primär darum bestellt, die Integrität des Systems zu beeinträchtigen, um einen Cyberangriff zu verhindern oder zu beenden. Bemächtigt sich ein Staat eines fremden IT-Systems, erlangt er dadurch aber auch Einblick in mitunter sensible Informationen. Das können z. B. die IP-Adresse und ggf. die MAC-Adresse sein, um das konkrete Gerät im Ziel-Netzwerk zu identifizieren, sowie ggf. Adressdaten, um den Standort eines Rechenzentrums oder Angreifers ausfindig zu machen. „Auf dem Weg dorthin“ treibt der Staat überdies unvermeidlich auch personenbezogene Daten von Rechtssubjekten in sein Fangnetz, die an der Gefährdung bzw. dem Cyberangriff in keiner Weise beteiligt sind. Das betrifft die forensische Analyse großer Mengen an Daten aus dem Netzwerkverkehr ebenso wie solche, die auf dem angegriffenen System oder anderen Systemen gespeichert sind. Ebenso kann es notwendig sein, individuelle Kommunikationsinhalte zu analysieren sowie von Netzwerkprovidern die Herausgabe personenbezogener Daten zu verlangen, um den Urheber eines Cyberangriffs zu ermitteln. Mit intrusiven Cyberoperationen verbindet sich daher ein strukturelles Privatsphären-Risiko sowie eine potenziell hohe Streubreite individueller Schäden.
4.1.3 Menschenrecht auf Datensicherheit
Intrusive Cyberoperationen können nicht nur den Schutz personenbezogener Daten des Einzelnen, sondern auch die Datensicherheit verletzen – bspw., wenn die ausführende Stelle Datenbestände absichtlich oder unbeabsichtigt löscht bzw. beschädigt.
Die Datensicherheit ist – ebenso wie im nationalen und unionalen Recht – auf völkerrechtlicher Ebene keineswegs ein Fremdkörper. Trotz ihrer integralen Bedeutung für den Schutz der Menschenrechte im digitalen Kosmos stand die Sicherheit personenbezogener Daten einzelner Individuen bisher jedoch weniger im Fokus zwischenstaatlicher Regelungswerke.
Erste Vorläufer eines Menschenrechts auf Datensicherheit formulierten die Guidelines for the Regulation of Computerized Personal Data Files der Generalversammlung der Vereinten Nationen sowie die OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Beide Leitlinien richten eine unverbindliche Empfehlung an die Mitgliedstaaten, angemessene Maßnahmen zu treffen, um ein Mindestmaß an Datensicherheit zu gewährleisten.
Einen entscheidenden Schritt weiter geht die Konvention 108 des Europarats. Sie greift den Schutztatbestand der Datensicherheit nicht nur ausdrücklich auf, sondern proklamiert sogar verbindliche Vorgaben: Jede Vertragspartei ist verpflichtet, sicherzustellen, dass der Verantwortliche und gegebenenfalls auch der Auftragsverarbeiter geeignete Sicherheitsvorkehrungen gegen Risiken wie „unbeabsichtigten oder unbefugten Zugang zu oder Vernichtung, Verlust, Verwendung, Veränderung oder Offenlegung von personenbezogenen Daten“ treffen (Art. 7 Konvention 108, modernisierte Fassung). Ein neues Menschenrecht, auf das sich betroffene Personen gegenüber den Vertragsstaaten berufen können, hebt diese Regelung aber nicht aus der Taufe. So sehr sie auch im Dienst des Menschenrechts auf Datenschutz und Datensicherheit (Art. 1 Konvention 108, modernisierte Fassung) steht, so wenig verleiht sie Individuen ein subjektives Recht. Art. 7 verpflichtet die Vertragsstaaten lediglich (aber zugleich immerhin) dazu, technisch-organisatorische Rahmenbedingungen sicherzustellen, um die Datensicherheit im Falle automatisierter Datenverarbeitung zu gewährleisten.
In das gleiche Horn stößt die Budapest-Konvention. Ihre Präambel stellt ihre Vorgaben in den Dienst der übergeordneten Mission, „Handlungen gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computersystemen, Netzen und Computerdaten sowie den Missbrauch solcher Systeme, Netze und Daten zu verhüten“. Damit nimmt die Konvention den Schutz des Einzelnen in den Blick (siehe auch Art. 15 Abs. 1 Budapest-Konvention). Subjektive Menschenrechte erweckt sie aber ebenfalls nicht zu Leben.
Menschenrechtlichen Schutz für ein Recht auf Datensicherheit vermitteln allenfalls die „allgemeinen“ Menschenrechtsverpflichtungen, also insbesondere Art. 8 EMRK, Art. 17 IPbpR und Art. 12 AEMR. Das internationale Menschenrecht auf Privatsphäre ist für eine solche Fortentwicklung jedenfalls offen. Richtete sich ihr Schutzradius im analogen Zeitalter vor allem auf die Wohnung und die telefonische sowie schriftliche Korrespondenz aus, erfasst er heute ebenso digitalisierte personenbezogene Informationen.
In einer digitalen Welt kommt wirksamer Datenschutz nicht ohne ein Mindestmaß an Datensicherheit aus. Denn nur wer darauf vertrauen kann, dass seine Daten nicht in die Hände unberechtigter Dritter gelangen, kann seine Privatheit im digitalen Kosmos unbehelligt entfalten. Da Datenschutz und Datensicherheit inhaltlich eng verwoben sind, ist es angezeigt, auch den menschenrechtlichen Schutz ineinandergreifen zu lassen und nicht nur den Datenschutz, sondern auch die Datensicherheit als Ausfluss des Rechts auf Privatsphäre anzuerkennen.
Zumindest in Teilaspekten lässt sich die Datensicherheit auch bei dem Menschenrecht auf Informationszugang verorten. Dies schließt jedoch nicht aus, sie zugleich aus dem Recht auf Privatsphäre herzuleiten. Beide Ansätze ergänzen sich vielmehr.
Wiewohl noch kein autoritatives internationales Menschenrechtsorgan den menschenrechtlichen Gehalt der Datensicherheit explizit in eine normative Form gegossen hat, haben sich die einzelnen Elemente der Datensicherheit als Teil des internationalen Menschenrechtsschutzes bereits herauskristallisiert. Ihre Kernelemente sind Vertraulichkeit (Abschn. 4.1.3.1) Integrität und Verfügbarkeit (Abschn. 4.1.3.2). Eine intrusive Cyberoperation berührt alle drei Schutzdimensionen (Abschn. 4.1.3.3).
4.1.3.1 Vertraulichkeit
Vertraulichkeit gebietet, Daten vor unbefugter Offenbarung zu schützen, d. h. nur Befugten zugänglich zu machen. Bereits im Jahr 1988 konstatierte das UN-Menschenrechtskomitee, dass nur solche Entscheidungsträger personenbezogene Informationen verarbeiten dürfen, die dazu befugt sind.
Dass die Vertraulichkeit personenbezogener Daten Teil des menschenrechtlichen Schutzkanons ist, unterstreicht auch die Resolution „Das Recht auf Privatheit im digitalen Zeitalter“ des UN-Menschenrechtsrats aus dem Jahr 2017. Sie ermutigt private Unternehmen, technische Maßnahmen, wie Verschlüsselung und Anonymisierung, zu ergreifen, um die Vertraulichkeit digitaler Kommunikation zu schützen.
Auch der EGMR hat in verschiedenen Konstellationen hervorgehoben, dass es notwendig sei, Daten vertraulich zu halten – gerade, wenn sie Informationen aus sehr sensiblen Bereichen der menschlichen Persönlichkeit in sich bergen. So hält er etwa die Vertraulichkeit medizinischer Daten für entscheidend, „to preserve [the patient’s] confidence in the medical profession and in the health services in general“. Ebenso bedarf es in seinen Augen entsprechender Verfahren, die unter anderem die Vertraulichkeit der Daten sicherstellen, wenn eine Behörde mittels technischer Überwachungsmaßnahmen Kriminaldaten aufzeichnet oder übermittelt.
Besonders hervorgehoben hat der EGMR die Bedeutung der Vertraulichkeit als Element des Rechts auf Datensicherheit zuletzt Anfang 2024 in seiner Podchasov-Entscheidung: Die Richter stellten klar, dass staatliche Vorschriften, welche Behörden erlauben, verschlüsselte Kommunikation zu entschlüsseln, gegen Art. 8 EMRK verstoßen.
4.1.3.2 Integrität und Verfügbarkeit
Weniger stark als die Vertraulichkeit standen die Integrität und Verfügbarkeit personenbezogener Daten in der Vergangenheit im Fokus der Aufmerksamkeit. Gänzlich außen vor blieben diese beiden Schutzziele in der menschenrechtlichen Debatte indes nicht.
So hält der EGMR in manchen Szenarien „minimum safeguards concerning, inter alia, […] procedures for preserving the integrity [Hervorhebung d. Verf.] and confidentiality of data“ für unerlässlich. Den Schlüsselbegriff der Integrität konkretisieren bzw. konturieren seine Judikate aber nicht näher.
Integrität meint in der Sache, Daten vor unbefugter Manipulation – sei es durch Löschen, sei es durch Modifikation – zu schützen. Verfügbarkeit beschreibt demgegenüber die Wahrscheinlichkeit, mit der ein System eine geforderte Leistung tatsächlich erbringt. Sie ist bspw. berührt, wenn die berechtigte Person die personenbezogenen Daten faktisch nicht abrufen kann.
4.1.3.3 Das Menschenrecht auf Datensicherheit als Bestandteil des Menschenrechts auf Achtung des Privatlebens
Aus dem völkerrechtlich ausdrücklich verankerten Menschenrecht auf Achtung des Privatlebens lässt sich in einer Gesamtschau ein Recht auf Datensicherheit ableiten. Es schützt die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten eines Individuums.
In diese menschenrechtlich geschützte Verbürgung wirkt eine staatliche intrusive Cyberoperation regelmäßig auf allen ihren drei Teilebenen hinein: Sie unterläuft zum einen die Datenintegrität. Denn oftmals lässt sich nicht ausschließen, dass die handelnde Behörde im Zuge intrusiver Cyberabwehrmaßnahmen Daten modifiziert oder löscht. Ob sie dies intendiert oder nicht: Wenn ein Staat im Ausland ein IT-System dauerhaft funktionsunfähig macht, manipuliert er auch die Daten. Wenn die Behörde ein konkretes IT-System ausschaltet, um die Cyberoperation zum Erfolg zu führen, tangiert sie zum anderen die Verfügbarkeit der Daten. Auswirkungen auf das Schutzgut der Vertraulichkeit zeitigt eine intrusive Cyberoperation schließlich dann, wenn sich die staatliche Sicherheitsbehörde Zugriff auf fremde IT-Systeme verschafft. Sie kann dann personenbezogene Daten des Angreifers oder Dritter einsehen. Dies gilt nicht nur für die dritte Stufe der intrusiven Cyberabwehr, auf der es zu einem invasiven Eingriff in fremde IT-Systeme kommt. Auch die aufklärenden Handlungen im Vorfeld, die den Gegenangriff vorbereiten, können die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten verletzen.
4.2 Allgemeine Anforderungen an eine Eingriffsgrundlage
Das Menschenrecht auf Datenschutz und Datensicherheit ist nicht absolut geschützt. Als Ausfluss des Rechts auf Achtung des Privatlebens unterliegt es vielmehr auch dessen Schranken: Art. 8 Abs. 2 EMRK lässt Eingriffe zu, stellt sie aber ausdrücklich unter einen Gesetzesvorbehalt. Ähnlich verbietet Art. 17 IPbpR, Eingriffe in „rechtswidrig[er]“ Weise vorzunehmen – und fordert damit ebenfalls eine gesetzliche (Rechtfertigungs‑)Grundlage. Gleiche Anforderungen gelten für das Völkergewohnheitsrecht. Eingriffe in den Schutzgehalt des Rechts auf Datenschutz und Datensicherheit sind mithin nur durch oder aufgrund eines Gesetzes grundsätzlich möglich.
Nicht jedes Gesetz, das staatliche Behörden zu intrusiven Cyberoperationen ermächtigt, rechtfertigt es aber, in das Menschenrecht auf Datenschutz und Datensicherheit einzugreifen. Es muss den geschriebenen und ungeschriebenen Schranken für Eingriffe in die Menschenrechte genügen.
Hohe Anforderungen an eine nationale Rechtsgrundlage für intrusive Cyberoperationen erwachsen vor allem aus zwei besonderen Handlungsbedingungen, unter denen solche Eingriffe typischerweise stattfinden: Zum einen wird eine intrusive Cyberoperation regelmäßig im Verborgenen, also ohne (vorherige) Kenntnis der Betroffenen, erfolgen und tiefgreifende Einblicke in die Persönlichkeit des Betroffenen ermöglichen. Die Erlaubnisnorm wird zum anderen in aller Regel unbestimmte Rechtsbegriffe enthalten und den Sicherheitsbehörden überdies einen weiten Ermessensspielraum zugestehen. Diese Handlungsfreiheiten können ein Einfallstor für staatliche Willkür sowie weitere Formen des Missbrauchs der gesetzlich verankerten Befugnis eröffnen.
Die nationale Eingriffsnorm muss deshalb die Voraussetzungen für eine intrusive Cyberoperation klar definieren und hohen Anforderungen an die Regelungsdichte und dem eingriffsrechtfertigenden Regelungsgehalt genügen, um nicht gegen das Bestimmtheitsgebot zu verstoßen: Sowohl die tatbestandlichen Voraussetzungen als auch die Rechtsfolgen sind hinreichend klar zu formulieren. Für den Einzelnen muss auf der Grundlage hinreichend klarer nationaler Rechtsnormen insbesondere vorhersehbar sein, unter welchen Voraussetzungen und innerhalb welcher Grenzen staatliche Behörden eine intrusive Cyberoperation vornehmen dürfen, die in seine menschenrechtlich geschützten Rechtspositionen eingreift.
Menschenrechtsschutz ist zusätzlich durch Verfahren sicherzustellen: Der Gesetzgeber muss das Prozedere, das in eine Entscheidung für oder gegen eine konkrete intrusive Cyberoperation mündet, selbst vorzeichnen. Insbesondere hat er zu regeln, nach welchem Modus die zuständige Behörde eine intrusive Cyberoperation genehmigt, sowie den Umgang mit den erlangten Daten (bis hin zu ihrer Löschung oder einer Weitergabe an Dritte) vorzuzeichnen. Überdies muss die Vorschrift Regelungen für die Aufsicht durch einen unabhängigen Rechtskörper und eine unabhängige Ex-post-Kontrolle etablieren. Die Vertragsstaaten dürfen es insbesondere nicht allein der Entscheidungsfreiheit der Exekutive überlassen, bestehende Unwägbarkeiten zu reflektieren sowie gegeneinander abzuwägen und die vielen widerstreitenden Interessen und Prognosefaktoren zu einer Entscheidung „Pro oder Contra intrusiver Cyberoperation“ zu verdichten. Es sind vielmehr hinreichende Sicherungsmechanismen zu implementieren, die einer vorschnellen „Flucht in die intrusive Cyberoperation“ einen Riegel vorschieben – und damit letztlich einen verantwortungsvollen Umgang mit personenbezogenen Daten verbürgen.
Bei diesen Rechtfertigungsanforderungen handelt es sich nicht um zwingende, kumulative Anforderungen an die Rechtsgrundlage, sondern (jedenfalls nach Auffassung des EGMR) lediglich um Indikatoren, die Teil einer Gesamtbetrachtung sind. Den Staaten verbleibt also ein Spielraum, wie sie ein hinreichendes legislatives Schutzniveau vor Missbrauch und Willkür sicherstellen.
4.3 Verhältnismäßigkeit
Eine hinreichend bestimmte, Verfahrensrechte absichernde Rechtsgrundlage allein reicht noch nicht aus, um einen Eingriff in das Recht auf Datenschutz und Datensicherheit zu rechtfertigen. Intrusive Cyberoperationen müssen vielmehr auch die Nagelprobe des Gebots der Verhältnismäßigkeit bestehen: Die Eingriffsnorm selbst und die konkrete intrusive Cyberoperation müssen einen legitimen Zweck (Abschn. 4.3.1) in geeigneter, erforderlicher und angemessener Weise (Abschn. 4.3.2–4.3.4) verfolgen.
4.3.1 Legitimer Zweck
Nicht jedes denkbare Ziel rechtfertigt eine intrusive Cyberoperation. Art. 17 IPbpR sowie das Völkergewohnheitsrecht, wie es etwa in Art. 12 AEMR zum Ausdruck kommt, verlangen, dass Maßnahmen, die die Privatheit beeinträchtigen, einen Zweck verfolgen, der den Vorgaben der völkerrechtlichen Verträge entspricht. Dies ergibt sich aus dem negativen Tatbestandsmerkmal „willkürlich“ („arbitrary“).
4.3.1.1 Abstrakte Vorgaben des Völkerrechts
Auf welche konkreten Ziele sich Staaten berufen dürfen, sagen die meisten völkerrechtlichen Gewährleistungen nicht ausdrücklich. Nur die EMRK zeichnet die legitimen Zielsetzungen genauer vor: Die Maßnahme muss entweder dem Schutz der nationalen oder öffentlichen Sicherheit, dem wirtschaftlichen Wohl des Landes, der Gesundheit, der Moral oder den Rechten und Freiheiten anderer dienen oder dazu beitragen, die Ordnung aufrechtzuerhalten bzw. Straftaten zu verhüten (Art. 8 Abs. 2 EMRK).
4.3.1.2 Abgleich mit den Zielsetzungen intrusiver Cyberoperationen
Eine intrusive Cyberoperation soll typischerweise Straftaten verhüten (Cyberangriffe erfüllen in der Regel Straftatbestände, insbesondere §§ 202a, 303a, 303b StGB) und Individuen vor den Folgen eines Cyberangriffs bewahren sowie ihr Recht auf Datenschutz und Datensicherheit als Ausfluss des Rechts auf Achtung des Privatlebens (Art. 8 EMRK, Art. 17 IPbpR, Art. 12 AEMR) verteidigen. Das Instrument der intrusiven Cyberoperation soll ferner die wirtschaftlichen Schäden abwenden bzw. reduzieren, die Cyberkriminalität in Gestalt von Betriebsstillständen, Zahlung von „Lösegeldern“ oder Abfluss von Unternehmensdaten verursacht – und damit das wirtschaftliche Wohl eines Landes im Sinne des Art. 8 Abs. 2 EMRK sicherstellen.
Nicht zuletzt kann eine intrusive Cyberoperation dem Schutz der nationalen Sicherheit verschrieben sein, wenn sie etwa einen Cyberangriff auf Verfassungsorgane abwehrt. Indem der Staat derartige Angriffe aus dem Ausland auf diese Weise unterbindet bzw. beendet, wehrt er zudem nicht nur im Einzelfall die konkreten Cyberattacken ab. Er erhöht zusätzlich generell den Aufwand sowie das Risiko für andere potenzielle Hacker. Diese werden daher im Idealfall weniger geneigt sein, IT-Systeme in einem Staat ins Visier zu nehmen, der mit intrusiven Cyberoperationen gleichsam „zurückschlägt“. Dem Instrument kann also auch eine präventive Wirkung zukommen. Der Schutz der Rechte anderer sowie der nationalen Sicherheit und Kritischer Infrastrukturen sind im Ergebnis legitime Zwecke einer staatlichen intrusiven Cyberoperation.
Den breitflächigen Boden der legitimen Zwecke verlässt eine intrusive Cyberoperation aber dann, wenn sie ausschließlich als Vergeltungsmaßnahme für vorhergehende Angriffe fungiert. Denkbar ist das in den Fällen, in denen ein Cyberangriff abgeschlossen ist und kein erneuter Angriff zu befürchten steht, die Behörde aber dennoch die Systeme des (vormaligen) Angreifers als Vergeltungsmaßnahme zerstört. Allein der mögliche Abschreckungseffekt für andere Cyberkriminelle, die in der Folge von (weiteren) Cyberangriffen absehen könnten, ist zu mittelbar, um eine intrusive Cyberoperation rechtfertigen zu können.
Dem legitimen Zweck kommt in der menschenrechtlichen Prüfung indes keine nachhaltig beschränkende Wirkung zu. Der EGMR ist insoweit sehr großzügig. Er hegt das staatliche Handeln, wenn notwendig, typischerweise (erst) im Rahmen der Angemessenheit ein.
4.3.2 Geeignetheit
Die technischen Maßnahmen, die eine Sicherheitsbehörde im Rahmen einer intrusiven Cyberoperation auswählt, um einen Cyberangriff abzuwehren, fördern typischerweise den gewünschten Erfolg, die Sicherheit von IT-Systemen zu schützen bzw. wiederherzustellen. Als ungeeignet entpuppen sie sich allenfalls dann, wenn sie handwerklich völlig unzureichend ausgeführt oder von vornherein aussichtslos sind.
4.3.3 Mildestes Mittel und dringendes soziales Bedürfnis
Staaten, die intrusive Cyberoperation durchführen, haben den Gegenangriff mithilfe konkreter und überprüfbarer normativer Vorgaben auf das unbedingt erforderliche Maß zu begrenzen. Damit aber nicht genug: Die konkrete Maßnahme muss auch auf ein „dringendes soziales [also gesellschaftliches] Bedürfnis“ reagieren. Der EGMR legt damit an einen verhältnismäßigen Eingriff in Menschenrechte höhere Anforderungen an als das BVerfG im Rahmen der deutschen Grundrechtsdogmatik.
Ein dringendes soziales Bedürfnis setzt voraus, dass der Angriff, den die intrusive Cyberoperation abwehren soll, ein Mindestmaß an Schwere erreicht. Nicht jeder der unzähligen Cyberangriffe, die Staaten täglich treffen, rechtfertigt daher den Griff zum scharfen Schwert der intrusiven Cyberoperation.
Im Verhältnis zu intrusiven Gegenangriffen auf IT-Systeme in anderen Staaten können rein passive Maßnahmen menschenrechtsschonender sein. Denkbar ist insbesondere, dass der Staat Betroffene verpflichtet, das System vom Netz zu nehmen (sog. Walled Garden), oder Schnittstellen und Zugriffsmöglichkeiten einschränkt, Sicherheitslücken durch Systemupdates – oder aber durch einfache Workarounds – schließt oder eine zusätzliche Firewall einzieht.
Patches, die eine Sicherheitslücke schließen, lassen sich – sofern sie überhaupt unmittelbar zur Verfügung stehen – mitunter aber nur verzögert auf das angegriffene IT-System aufspielen. Sie beheben auch nicht in allen Fällen das Sicherheitsproblem vollständig. Ein ganzes IT-System vom Netz zu nehmen, ist überdies nur dann möglich, wenn es nicht ununterbrochen betriebsbereit sein muss. Der Zugriff auf Kritische Infrastrukturen ist häufig aber unverzichtbar. Denkbar ist in solchen Fällen immerhin, dass Betreiber solche Systeme, die nicht zwingend online ansteuerbar sein müssen, abtrennen sowie organisationsinterne Netze durch Maßnahmen wie Segmentierung und Zero Trust Policies schützen. Insoweit kann der Gesetzgeber konkrete Vorgaben als Sicherungsinstrumente etablieren. Im Regelfall reicht dieses Maßnahmenportfolio jedoch nicht aus, um das Ziel effektiver Gefahrenabwehr sicher zu erreichen. In einem konkreten Angriffsszenario sind passive Maßnahmen daher typischerweise weniger effektiv als eine intrusive Cyberoperation.
Die betroffenen Systembetreiber zu warnen und auf den hinreichenden Selbstschutz Dritter zu vertrauen, erweist sich in der Regel – jedenfalls in zeitkritischen Szenarien mit hohem Schadenspotenzial – im Verhältnis zu einer intrusiven Cyberoperation ebenfalls als weniger effektiv. Viele Privatanwender sind nur eingeschränkt dazu in der Lage, sich gegen technisch professionell durchgeführte Cyberangriffe wirksam zu schützen. Die Angriffsszenarien werden unter den sich rasant entwickelnden technischen Möglichkeiten künstlicher Intelligenz überdies immer raffinierter und für Laien immer schwerer erkennbar.
Diplomatisches Personal auszuweisen oder andere Retorsionen vorzunehmen, entpuppt sich ebenfalls nur ausnahmsweise als ein gleich wirksames alternatives Mittel. Da sich ein Cyberangriff regelmäßig nicht sicher einem konkreten Angreifer zurechnen lässt, ist es immer mit erheblichen Risiken behaftet, den diplomatischen Zeigefinger drohend zu erheben. Im Zweifel trifft ein Gegenangriff in diesem Falle unvermittelt den falschen Adressaten. Hinzu kommt, dass diplomatische Bemühungen qua natura langwierig und nur begrenzt dazu in der Lage sind, kurzfristige Handlungen des anderen Staates in verlässlicher Weise auszulösen. Eine gezielte intrusive Cyberoperation durchzuführen, wird daher in der Regel effektiver sein, um insbesondere gegenwärtige und schwere Cyberangriffe zu beenden. Aber auch für sie gilt: Den Verursacher hinreichend zuverlässig auszumachen und sein Handeln einem konkreten Rechtssubjekt zuzurechnen, ist ein sehr anspruchsvolles Unterfangen.
Auf intrusive Maßnahmen zu setzen, ist aber weniger effektiv und daher nicht erforderlich, wenn ein Cyberangriff bereits vollständig abgeschlossen ist: Um zukünftige Cyberangriffe besser abwehren zu können, wird es immer milder und effektiver sein, passive Abwehrmaßnahmen zu implementieren, als auf den allenfalls mittelbaren Abschreckungseffekt zu setzen, der von intrusiven Cyberoperationen zur Vergeltung ausgeht.
Ein tiefgehender Blick sowohl auf die zahlreichen unterschiedlichen passiven und aktiven Reaktionsmöglichkeiten, die dem Staat zur Verfügung stehen, als auch auf die kaum überschaubare Bandbreite potenzieller Cyberangriffsszenarien macht deutlich: Es hängt stets vom spezifischen Kontext des jeweiligen Cyberangriffs ab, welche Reaktion sich als mildeste erweist, um die Gefahr abzuwenden. Nicht zuletzt deshalb steht dem Staat bei der Auswahl eines Instrumentariums und seiner Anwendung stets ein Einschätzungsspielraum zur Seite.
4.3.4 Angemessenheit
Eine intrusive Cyberoperation darf nicht mit Kanonen auf Spatzen schießen. Nicht nur die gesetzliche Ermächtigung muss dem Gebot der Angemessenheit staatlicher Maßnahmen genügen (Abschn. 4.3.4.1). Auch jede konkrete Umsetzungsmaßnahme im Einzelfall hat ausgewogen zu erfolgen (Abschn. 4.3.4.2).
4.3.4.1 Angemessenheit der Rechtsgrundlage
Eine Rechtsgrundlage, die intrusive Cyberoperationen erlaubt, ist nur dann angemessen, wenn die Beeinträchtigungen, die von der Cyberoperation ausgehen, und die Abwehrziele in einem ausgewogenen Verhältnis zueinander stehen. Das setzt jedenfalls voraus, dass die ursprüngliche Cyberattacke eine hinreichende kritische Intensitätsschwelle überschreitet, d. h. schwerwiegende Auswirkungen befürchten lässt. Bei einer Gesamtabwägung zwischen der Schwere des Eingriffs sowie der Dringlichkeit der den Eingriff rechtfertigenden Gründe, sei es der Schutz der nationalen Sicherheit (Abschn. 4.3.4.1.1), sei es der Schutz konkreter Rechter Dritter (Abschn. 4.3.4.1.2), darf die Grenze des für den Adressaten Zumutbaren mithin nicht überschritten sein.
4.3.4.1.1 Schutz der nationalen Sicherheit
Der Schutz der nationalen Sicherheit kann gravierende staatliche Eingriffe, wie intrusive Cyberoperationen, rechtfertigen – allerdings nicht vorbehaltlos. Erforderlich ist eine hinreichend schwerwiegende Sicherheitsgefahr für den Staat und seine Einrichtungen. Sie tritt jedenfalls dann ein, wenn hochsensible Daten, insbesondere von Verfassungsorganen, betroffen sind, die den Angreifern Aufschluss über vertrauliche Prozesse der parlamentarischen oder exekutiven Willensbildung liefern, oder wenn die Funktionsfähigkeit staatlicher Institutionen gefährdet ist. Prominente Beispiele liefern der Bundestagshack des Jahres 2015 (der 16 Gigabyte an internen Daten abfließen ließ) oder der Angriff auf das Berliner Kammergericht im Jahre 2020, der vorübergehend den gesamten Justizbetrieb erheblich beeinträchtigte; er eröffnete den Tätern – zumindest abstrakt – Zugriff auf alle gespeicherten Datensätze, inklusive sensibler Prozessdaten verurteilter Straftäter.
Die nationale Sicherheit legitimiert auch dann eine intrusive Cyberoperation, wenn schwere physische Auswirkungen auf Kritische Infrastrukturen zu befürchten stehen oder wesentliche Dienste des gesellschaftlichen Zusammenlebens oder der staatlichen Daseinsvorsorge ausfallen, etwa bei Angriffen auf Krankenhäuser, Atomkraftwerke oder Stromnetze. Denn sie bilden das Rückgrat eines funktionierenden Gemeinwesens. Ihre Beeinträchtigung kann schwerwiegende Auswirkungen auf die Wirtschaft und Entwicklung eines Staates, das politische und soziale Gefüge sowie die nationale Sicherheit zeitigen. Paradigmatisch machen dies Cyberangriffe auf kommunale Verwaltungen deutlich. Im Falle des Landkreises Anhalt-Bitterfeld im Jahre 2021 legte bspw. eine Ransomware-Attacke die IT-Infrastruktur des Landkreises vollständig lahm, sodass dieser für mehr als eine Woche keine Sozial- und Unterhaltsleistungen bewilligen und auszahlen konnte.
4.3.4.1.2 Schutz konkreter Rechte Dritter
Staaten dürfen intrusive Cyberoperationen auch ins Werk setzen, um konkrete Rechte Dritter, insbesondere deren Recht auf Datenschutz und Datensicherheit, zu schützen. Eine Eingriffsnorm, die eine intrusive Cyberoperation bereits dann erlaubt, wenn eine einzige Privatperson nur geringfügig betroffen ist, wäre aber unangemessen. Voraussetzung ist vielmehr auch hier eine hinreichend schwere Beeinträchtigung. Die Rechtsgrundlage muss den Cybergegenangriff ausdrücklich auf spezifische Angriffsszenarien und Schutzziele beschränken. Zudem ist ein Mindestmaß an zeitlicher Nähe des Cyberangriffs geboten: Er muss bereits stattfinden oder kurz bevorstehen. Anderenfalls beschränkt sich die Maßnahme nicht mehr auf Gefahrenabwehr, sondern mutiert zur nicht zu rechtfertigenden reinen Vergeltungsmaßnahme.
4.3.4.2 Angemessenheit der intrusiven Cyberoperation im Einzelfall
Erlaubt eine Rechtsgrundlage intrusive Cyberoperationen grundsätzlich, vermittelt das der Behörde keine carte blanche. Die Maßnahme ist vielmehr nur gerechtfertigt, wenn die Sicherheitsbehörde die Güter, welche eine intrusive Cyberoperation schützen soll (z. B. Leib und Leben bei der Abwehr eines Angriffes auf ein Krankenhaus), auch im Einzelfall sachgerecht mit den Gütern abwägt, die der Cybergegenangriff beeinträchtigt. Der Umfang der verarbeiteten Daten sowie das Maß, in dem die intrusive Cyberoperation die IT-Systeme und die Rechte Einzelner, seien es die Rechte des Angreifers (Abschn. 4.3.4.2.1), seien es die Rechte Dritter (Abschn. 4.3.4.2.2), oder Güter der Allgemeinheit (Abschn. 4.3.4.2.3) beeinträchtigt, dürfen nicht außer Verhältnis zum Schadenspotenzial des ursprünglichen Angriffes stehen.
4.3.4.2.1 Rechte des Angreifers
Das Recht des Angreifers auf Datenschutz und Datensicherheit muss regelmäßig hinter den legitimen Zwecken einer gefahrenabwehrenden staatlichen Schutzmaßnahme zurückstehen. Das gilt aber nur, solange diese in ihrer Schwere sowie ihrem Gewicht nicht völlig über das Ziel hinausschießt. Ein staatlicher Cybergegenschlag darf auch den Angreifer nur so weit beeinträchtigen, wie es geboten ist, um seinen Angriff abzuwenden. Die Behörde darf ihr Ziel der Angriffsabwehr nicht aus den Augen verlieren und z. B. reine Vergeltungsmaßnahmen vornehmen.
4.3.4.2.2 Rechte Dritter
In vielen Fällen wird der ursprüngliche Angriff (jedenfalls auch) über IT-Systeme erfolgen, die sich dem Angreifer nicht unmittelbar zuordnen lassen. Denn professionelle Angreifer nutzen typischerweise bewusst nicht nur ihre eigenen Systeme, sondern auch die IT-Infrastruktur Dritter, um ihre Identität zu verschleiern.
„Kapern“ die Täter fremde Server, ist aber regelmäßig unklar, gegen wen sich der Gegenangriff richten soll. Darin liegt ein Kardinalproblem intrusiver Cyberoperationen.
Erfordert es die Art und Weise eines Cyberangriffs, dass sich die intrusive Cyberoperation unmittelbar (auch) gegen Dritte richtet, geraten im Zweifel auch die personenbezogenen Daten Dritter in das staatliche „Fangnetz“: Sie werden erhoben, übernommen, gelöscht oder verändert, sodass deren Recht auf Datenschutz und die Integrität der Daten als Element des Rechts auf Datensicherheit berührt sind.
Aber selbst, wenn die personenbezogenen Daten Dritter nicht unmittelbar ins Visier geraten, beeinträchtigt bereits das bloße staatliche Eindringen in das IT-System ihre Vertraulichkeit; die Integrität des IT-Systems, auf dem personenbezogene Daten gespeichert sind, ist ebenfalls gefährdet. Sind besonders sensible Daten betroffen, wie Anwaltskorrespondenz, Berufsgeheimnisse oder Gesundheitsdaten, erhöhen sich die menschenrechtlichen Rechtfertigungsanforderungen. Wenn die Cyberoperation den Betrieb des Systems zum Erliegen bringt, kann sie die Datenverfügbarkeit verletzen.
Wehrt die staatliche Maßnahme großangelegte Ransomware-Attacken ab oder verhindert sie eine mittelbare Bedrohung für Leib und Leben, steht ihre Beeinträchtigung der Rechte Dritter regelmäßig aber nicht außer Verhältnis zur Zielsetzung der Maßnahme. Weniger eindeutig ist dies, wenn die intrusive Cyberoperation niederschwellige Cyberangriffe auf einzelne Webseiten abwehrt; die Kollateralschäden, die sie verursacht, können dann die Grenzen des Zumutbaren überschreiten.
Die Wirkungen intrusiver Cyberoperationen können überdies gänzlich unbeteiligte Dritte, die in keiner Weise mit dem ursprünglichen Angriff und den dadurch betroffenen IT-Systemen in Verbindung stehen, treffen. Eine (D)DoS-Attacke umzuleiten oder zu spiegeln, gleichsam eine „(D)DoS-Gegenattacke“, lässt sich in ihren Auswirkungen auf unbeteiligte Dritte kaum kontrollieren. Eine im Ausgangspunkt angemessene intrusive Cyberoperation kann sich dann ungewollt als Danaergeschenk und im Einzelfall als unangemessen entpuppen.
4.3.4.2.3 Schutzinteressen der Allgemeinheit
Eine intrusive Cyberoperation kann die öffentliche Cybersicherheit spürbar stärken – z. B. wenn Sicherheitsbehörden Botnetze abschalten, die für eine Vielzahl von Problemen für die Sicherheit der IT-Infrastruktur verantwortlich sind. Das Schutzgut der öffentlichen „Cybersicherheit“ kann es dann unter Umständen rechtfertigen, in die Menschenrechte derjenigen einzugreifen, die durch den Takedown betroffen sind, soweit diese Schutzbelange überwiegen.
Intrusive Cyberoperationen bergen aber auch erhebliche Gefahren für die allgemeine Cybersicherheit. Dazu gehören insbesondere Folgeeffekte, die etwa Auswirkungen auf Kritische Infrastrukturen zeitigen. Diejenigen, die Cyberangriffe durchführen, versuchen diese nämlich regelmäßig über andere Rechenzentren und Server zu leiten. Wenn an einem solchen Rechennetz z. B. die IT-Infrastruktur eines Klinikums oder andere Kritische Infrastrukturen angedockt sind, kann eine intrusive Cyberoperation ungewollt fatale Folgen zeitigen.
Die Prognoseunsicherheiten, komplexe IT-Systeme und ihre Abhängigkeitspfade präzise zu analysieren sowie unmittelbare oder mittelbare Folgeschäden und Kettenreaktionen außerhalb des Zielsystems zu antizipieren, lassen sich niemals vollständig eliminieren. Einer intrusiven Cyberoperation ist das (Rest‑)Risiko strukturimmanent, dass es zu Kaskaden-Effekten kommt, die einen weitaus größeren Schaden verursachen könnten als angenommen. Daher ist es nur unter sehr engen Voraussetzungen zulässig, Kritische Infrastrukturen im Rahmen einer intrusiven Cyberverteidigung ins Visier zu nehmen.
Nicht zuletzt ist es denkbar, dass Dritte die Malware, die bei einem Cybergegenangriff zum Einsatz kommt, kopieren: Die staatliche Verteidigungswaffe verbreitet sich dann mitunter unkontrolliert und kann ihrerseits für neue Cyberangriffe zum Einsatz kommen. Das Gleiche gilt für Sicherheitslücken, die der Staat sammelt, um sie im Ernstfall auszunutzen. Im schlimmsten Fall mutiert die intrusive Cyberoperation dann zum Bumerang. Denn solche Schwachstellen eröffnen nicht nur dem Staat, sondern jeder Entität, die davon Kenntnis hat, Zugriff auf vulnerable IT-Systeme. Mittelbar kann sie somit Menschenrechte Dritter in einem Maß gefährden, das in keinem angemessenen Verhältnis mehr zum ursprünglichen Zweck der Gefahrenabwehr steht.
Um dem entgegenzuwirken, muss nicht nur die Behörde in jedem Einzelfall das Gewicht der kollidierenden Rechtsgüter sachgerecht gegeneinander abwägen, sondern auch der Gesetzgeber hinreichende rechtliche Leitplanken einziehen, die verhindern, dass staatliche Behörden unkontrolliert Sicherheitslücken sammeln. Eine Rechtsgrundlage, die intrusive Cyberoperationen erlaubt, muss daher zum einen den Umfang und die Reichweite des staatlichen Sammelns begrenzen. Zum anderen hat sie einen angemessenen Ausgleich zwischen der Gefahr, die nicht geschlossene IT-Sicherheitslücken für die Allgemeinheit bergen, und dem Vorteil, den diese für die Gefahrenabwehr mit sich bringen, herzustellen. Als weiteren Baustein muss der Vertragsstaat auch verfahrensrechtliche Sicherungsmechanismen in die normative Architektur intrusiver Cyberoperationen einziehen, die für die Angemessenheit der Maßnahme bürgen. Nur unter diesen engen gesetzlichen Rahmenbedingungen ist es zulässig, IT-Systeme im Rahmen einer intrusiven Cyberoperation zur Abwehr schwerster Gefahren und unter Einhaltung strenger Vorsichtsmaßnahmen ins Visier zu nehmen.
4.3.4.3 Aus dem Angemessenheitsgebot erwachsende Anforderungen: die intrusive Cyberoperation als ultima ratio
Das Instrument der intrusiven Cyberoperation entpuppt sich mit Blick auf die Angemessenheit bei einer Gesamtbetrachtung als zweischneidiges Schwert. Intrusive Cyberoperationen sind ihrer Natur nach in vielerlei Hinsicht mit strukturellen Unwägbarkeiten behaftet. Denn in praxi erweist es sich zumeist als sehr schwierig und langwierig oder gar unmöglich, Cyberangriffe einem konkreten Akteur zweifelsfrei zuzuordnen. Ebenso lassen sich unmittelbare oder mittelbare Auswirkungen dieses staatlichen „Gegenschlags“ auf Dritte oder auf die Allgemeinheit – unabhängig davon, ob sie beabsichtigt oder unbeabsichtigt eintreten – im Detail kaum zuverlässig prognostizieren. Der handelnden Sicherheitsbehörde sind daher gar nicht ohne Weiteres alle betroffenen Rechtsgüter und Rechtsgutsträger bekannt, die in die erforderliche Abwägung über das „Ob“ und „Wie“ der Maßnahme im Einzelfall einzubeziehen sind. Sie trifft eine Entscheidung unter Unsicherheit.
Dem Gebot der Angemessenheit entspricht es, diese Unwägbarkeiten zumindest zu minimieren. Die zuständige Behörde muss möglichst weitgehende Aufklärung im Vorfeld betreiben sowie die laufende Operation stets überwachen, um eine adäquate Abwägung der widerstreitenden Rechte und Interessen vornehmen zu können sowie die Maßnahme gegebenenfalls abzubrechen. Dabei gilt die Leitlinie: Je diffuser das Lagebild ist und je schlechter sich alle relevanten Faktoren zuverlässig ermitteln, bewerten und abwägen lassen, umso größer und unmittelbarer muss die Gefahr sein, welche die intrusive Cyberoperation abwehren soll.
Das Risiko, dass die intrusive Cyberoperation unter Umständen eine Vielzahl von Einzelpersonen in ihren Rechten, wie dem Recht auf Leib und Leben, betrifft, hochsensible Daten beeinträchtigt oder das IT-Sicherheitsrisiko für die Allgemeinheit erhöht, steht im Ergebnis häufig nicht in angemessenem Verhältnis zum Vorteil der staatlichen Gefahrenabwehr. Ein Staat darf das sensible Werkzeug aus menschenrechtlicher Sicht daher nicht ohne Weiteres in sein Arsenal der Cybersicherheitsinstrumente aufnehmen – und insbesondere nicht leichtfertig als Reaktion auf eine Cyberattacke aus dem Ausland „zücken“.
Unter engen Voraussetzungen kann eine intrusive Cyberoperation aber ein angemessenes Mittel der Cyberabwehr sein – namentlich dann, wenn sie als Ultima Ratio dazu dient, schwerste Gefahren abzuwehren, etwa wenn Kritische Infrastrukturen unter „Cyberbeschuss“ geraten oder eine Gefahr für die nationale Sicherheit besteht, die der Staat nur abwehren und beenden kann, indem er sich dagegen aktiv zur Wehr setzt. Ebenso kann es angemessen sein, das Menschenrecht auf Datenschutz und -sicherheit Dritter zu beeinträchtigen, um eine andauernde Gefahr für eine Vielzahl anderer Menschen und den Vertrauensraum staatlicher Institutionen zu beseitigen.
In jedem Einzelfall ist aber sicherzustellen, dass der Schaden für die Privatsphäre und die IT-Systeme von Personen, die ohne oder gegen ihren Willen in einen Angriff involviert sind, und der Schaden für die Allgemeinheit auf ein Minimum reduziert bleibt. Daher muss der Gesetzgeber in die Rechtsgrundlage Sicherungsmechanismen integrieren, die dies gewährleisten – allen voran Verfahren für die Aufsicht durch einen unabhängigen Rechtskörper und eine unabhängige Ex-post-Kontrolle. Dazu gehört auch, Betroffene – spätestens mit ihrem Abschluss – über die Maßnahmen zu informieren. Ferner bedarf es eines strikten Genehmigungsprozesses und klarer Zuständigkeitsregelungen. Bei Verstößen gegen dieses umfassende Anforderungsregime ist die Operation umgehend einzustellen und alle rechtswidrig entstandenen Vollzugsfolgen sind zu beseitigen. Dies betrifft auch den Umgang mit etwaigen erlangten Daten bis hin zu ihrer Löschung oder einer Weitergabe an Dritte. Die Cyberoperation ist durchgängig mit technischen und organisatorischen Vorkehrungen zu arrondieren, die ihre negativen Auswirkungen auf ein Minimum begrenzen. Dazu gehört nicht nur eine sachgerechte Risiko- und Folgenabschätzung auf der Basis einer gründlichen Lageaufklärung. Maßnahmen, die IT-Systeme in anderen Staaten beeinträchtigen, sind auch mit diesem Staat nach Möglichkeit abzustimmen. Zudem muss die ausführende Behörde die Beschaffung und Befähigung der notwendigen Cybermaßnahmen auf höchstem Niveau fachlicher Expertise äußerst sorgfältig vornehmen, um die Operation effizient und verhältnismäßig durchführen zu können. Darüber hinaus ist es angezeigt, die Maßnahmen insgesamt möglichst transparent auszugestalten.
5 Recht auf aktive staatliche Cyberabwehr? – Intrusive Cyberoperationen als Ausfluss menschenrechtlicher Schutzpflichten
So hoch die Hürden für intrusive Cyberoperationen auch liegen, so sehr kann den Staat im Einzelfall sogar eine Schutzpflicht treffen, solche Maßnahmen vorzunehmen. Das gilt insbesondere mit Blick auf die Tiefe, in der Cyberangriffe in menschenrechtlich geschützte Positionen hineinwirken können.
Dass die internationalen Menschenrechte nicht nur eine negative, abwehrrechtliche Funktion entfalten, sondern ebenso eine positive, aktivierende Dimension einschließen, ist weitgehend anerkannt. Schon der Wortlaut der Menschenrechtsverträge stellt klar, dass der Staat die Menschenrechte nicht nur respektieren, sondern auch schützen muss (Art. 1 EMRK; Art. 2 Abs. 1 IPbpR). Genauso kennt das Völkergewohnheitsrecht eine Schutzpflicht der Staaten.
Kraft dieser menschenrechtlichen Vorgaben müssen die Staaten den Einzelnen durch aktives Tun davor bewahren, dass Dritte – seien es andere Staaten, seien es nichtstaatliche Akteure – seine Menschenrechte verletzen: Sie haben sich schützend vor das Recht auf Datenschutz und Datensicherheit als Ausprägungen des Rechts auf Achtung des Privatlebens zu stellen. Da sowohl staatliche als auch private Cyberangriffe im 21. Jahrhundert an der Tagesordnung sind und unübersehbare Schäden nach sich ziehen können, sind Staaten verpflichtet, eine passgenaue regulatorische Architektur zum Schutz der betroffenen Menschenrechte zu entwerfen. Insbesondere müssen sie durch legislative Rahmenbedingungen ein ausreichendes Schutzniveau sicherstellen, bevor die abstrakte Gefahrenlage in konkrete Großschadensereignisse umschlägt.
Allein der Umstand, dass eine intrusive Cyberoperation das effektivere Mittel sein könnte, genügt aber nicht, um den Staat zu verpflichten, intrusive Cyberoperationen legislativ vorzusehen oder im Einzelfall anzuordnen.
Dem Staat verbleibt grundsätzlich ein weiter Einschätzungs- und Gestaltungsspielraum – sowohl im Hinblick auf die konkreten Maßnahmen, die er auswählt, um die bedrohten Rechtsgüter zu schützen, als auch hinsichtlich der Frage, wie er seine rechtlichen Rahmenbedingungen im Einzelnen ausgestaltet, um seine menschenrechtlichen Schutzpflichten zu erfüllen. In aller Regel liegt es deshalb in seinem Ermessen, zu bestimmen, auf welche Art oder Kombination von Verteidigungsmitteln er setzt, um die Menschenrechte seiner Bürger zu schützen. Ist eine intrusive Cyberoperation das einzige Mittel der Wahl, Betroffene wirksam vor erheblichen Schäden zu schützen, kann sich die Entscheidungsfreiheit des Staates aber ausnahmsweise im Einzelfall auf Null reduzieren.
6 Fazit und Ausblick
Während der Datenschutz schon seit geraumer Zeit gefestigter Bestandteil des menschenrechtlichen Schutzkanons ist, zeichnen sich die Konturen eines Menschenrechts auf Datensicherheit erst allmählich am Horizont der Rechtsfortbildung ab. Ein Blick auf die realen Gefährdungslagen in einer digitalisierten Welt offenbart aber: Ein Mindestmaß an Datensicherheit, also Vertraulichkeit, Integrität und Verfügbarkeit betroffener Daten, ist zwingend erforderlich, um die Privatsphäre im Cyberraum wirksam zu schützen und einen rechtmäßigen Umgang mit personenbezogenen Daten zu gewährleisten. Entsprechend ist das Schutzgut der Datensicherheit menschenrechtsdogmatisch integraler Baustein des Rechts auf Privatsphäre.
Intrusive Cyberoperationen zielen darauf, diese Rechte zu schützen, indem sie Cyberangriffe abwehren. Sie dringen dafür in fremde IT-Systeme ein, um dort den Angriffsvorgang zu beenden. Umgekehrt können sie ihrerseits das Menschenrecht auf Datenschutz und Datensicherheit verletzen, da sie typischerweise personenbezogene Daten verarbeiten, um ihr Ziel zu erreichen.
Dass intrusive Cyberoperationen regelmäßig Cyberangriffe aus dem Ausland abwehren sollen und damit extraterritorial wirken, schließt die Anwendbarkeit der Menschenrechte nicht aus. Sofern der Staat die virtuelle effektive Kontrolle über Personen ausübt, verbürgen die internationalen Menschenrechte den Betroffenen in der digitalen Welt in gleicher Weise Schutz. Nur so ist das Recht auf Datenschutz und Datensicherheit auch im digitalen Kosmos nicht bloß „theoretical or illusory“, sondern auch „practical and effective“.
Da eine intrusive Cyberoperation intensiv in das Recht auf Datenschutz und Datensicherheit des Angreifers oder mittelbar betroffener Dritter eingreift, ist sie schon deshalb nur zulässig, wenn sie auf einer gesetzlichen Eingriffsnorm beruht, deren Vorgaben hinreichend bestimmt sind und die die notwendigen regulatorischen Schutzvorkehrungen statuiert. Sowohl die Rechtsgrundlage als auch die konkret durchgeführte intrusive Cyberoperation müssen insbesondere den Anforderungen des Prinzips der Verhältnismäßigkeit genügen.
Sofern die Behörde die Operation nicht „handwerklich“ gänzlich unzureichend ausführt oder ein Erfolg von vornherein ausgeschlossen ist, kann sie grundsätzlich ein geeignetes Mittel der Cybergefahrenabwehr sein. Dem Staat stehen zwar häufig weniger einschneidende Instrumente als intrusive Cyberoperationen zur Verfügung – je nach Kontext sind diese im Einzelfall aber nicht immer ebenso effektiv. Intrusive Cyberoperationen sind auch nicht ohne Weiteres angemessen. In die Waagschale fällt insoweit nicht nur der drohende oder bereits entstandene Schaden, der von dem Cyberangriff ausgeht. Auch die nachteiligen Auswirkungen auf die Cybersicherheit insgesamt sowie Konsequenzen für die Menschenrechte (regelmäßig unbeteiligter) Dritter sind gegen die Ziele der Maßnahme abzuwägen. Intrusive Cyberoperationen lassen sich insbesondere typischerweise nur durchführen, indem der Staat Schwachstellen von Systemen sammelt und ausnutzt, statt sie zu schließen. Dieses Verhalten schwächt die IT-Sicherheit insgesamt. Denn es eröffnet nicht nur dem Staat, sondern jeder Entität, die darüber Kenntnis hat, Zugriff auf vulnerable IT-Systeme. Auch aufgrund der zahlreichen Unwägbarkeiten bei der Umsetzung solcher Maßnahmen und der immanenten Gefahr, dass eine intrusive Cyberoperation zu kaum vorhersehbaren Folgeschäden führen kann, darf der Staat dieses Mittel daher nur als Ultima Ratio einsetzen, um gegenwärtige, schwere Cyberangriffe abzuwenden.
Ist eine intrusive Cyberoperation aus menschenrechtlicher Sicht zulässig, heißt das nicht, dass sie im Übrigen völkerrechtskonform ist. Sie darf auch nicht ungerechtfertigt in sonstige völkerrechtlich geschützte Sphären des Staates eingreifen, der von einer intrusiven Cyberoperation betroffen ist. Das gilt insbesondere für das Souveränitätsprinzip oder das Prinzip der Nichtintervention.
Aus den internationalen Menschenrechten erwächst eine weitere Schutzdimension: Die Staaten müssen den Einzelnen vor einer Beeinträchtigung seiner Menschenrechte schützen. Wie sie das gewährleisten, ist aber Teil ihres weiten Entscheidungsspielraums. Eine strikte Vorgabe, intrusive Cyberoperationen legislativ einzuführen oder vorzunehmen, lässt sich aus der menschenrechtlichen Schutzpflicht nicht herleiten. Dem Staat steht es grundsätzlich frei, ob er Maßnahmen der intrusiven Cyberabwehr in sein cyberpolitisches Handlungsarsenal aufnimmt.
Neben die Rechtsfrage, unter welchen Voraussetzungen eine intrusive Cyberoperation zulässig ist, tritt die politische Frage, ob die Maßnahmen überhaupt und, wenn ja, unter welchen Bedingungen sicherheits- und außenpolitisch sinnvoll sind. Cyberangriffe eindeutig einer bestimmten Entität zuzurechnen, ist nicht nur äußerst aufwendig und bisweilen unmöglich – gerade weil sie häufig aus Verschleierungsgründen bewusst über die Infrastruktur Dritter erfolgen. Überdies kann ein Cybergegenschlag unkontrollierbare Kettenreaktionen – einschließlich der Möglichkeit diplomatischer Verwicklungen – auslösen.
Im Ergebnis sind präventive, passive Maßnahmen, also eine sichere IT-Landschaft und Vorbeugung gegen Cyberangriffe, – außerhalb akuter Gefahrenlagen – im Verhältnis zu intrusiven Cyberoperationen typischerweise das vorzugswürdige Mittel der Wahl. Als Ausfluss seiner objektiven Schutzpflicht sollte der Staat (zumindest außerhalb akuter kritischer Gefahrensituationen) präventive Maßnahmen ergreifen und den Aufbau einer resilienten IT-Infrastruktur in den Vordergrund rücken, statt mit Gegenschlägen unkalkulierbare Risiken in Gestalt von Streuschäden einzugehen. Denn ein „Hackback“ ist, wie einen Ball zurückzuschlagen, ohne zu wissen, wohin er fliegen wird – er mag treffen, aber die Folgen sind unvorhersehbar.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Martini, M., Klein, R. „Hackbacks“ im Lichte der internationalen Menschenrechte: zivile intrusive Cyberoperationen als Herausforderung für das Völkerrecht. Int. Cybersecur. Law Rev. 6, 63–105 (2025). https://doi.org/10.1365/s43439-025-00138-4
http://creativecommons.org/licenses/by/4.0/
Ganzheitliche Cybersecurity – praxisnah, rechtskonform und auf Ihre Unternehmens-Risiken abgestimmt
Ein dediziertes Team von Cyber- und IT Security-Spezialisten und Penetration Testern unterstützen Sie mit einem breiten Portfolio an Beratungsdienstleistungen und Trainings zum Thema Cyber- und IT Security.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Hier geht’s zum unserem Angebot: