Unser Minister für Verfassungsschutz, Hans-Georg Maßen, forderte gerade „Wir müssen auch in der Lage sein, den Gegner anzugreifen, damit er aufhört, uns weiter zu attackieren“ (Quelle: dpa). In ein ähnliches Horn stieß kürzlich auch Innenminister De Maizière. Neben eine Zentralisierung des Verfassungsschutzes in einer Bundesbehörde sprach er auch von „aktiven Gegenmaßnahmen und Gegenangriffen“ im Fall von digitalen Angriffen von außen. Beide haben die Lage und technischen Grundlagen offenbar überhaupt nicht verstanden. Constanze Kurz, Sprecherin des Chaos Computer Club, nannte diese Forderungen „technisch bemerkenswert ahnungslos und zudem gefährlich“.

Beide haben offenbar unsere Verfassung, das Grundgesetz, entweder nicht gelesen oder nicht verstanden. In Artikel 26 Absatz 1 heißt es ausdrücklich:

Handlungen, die geeignet sind und in der Absicht vorgenommen werden, das friedliche Zusammenleben der Völker zu stören, insbesondere die Führung eines Angriffskrieges vorzubereiten, sind verfassungswidrig. Sie sind unter Strafe zu stellen.

Jetzt kann man sich natürlich darüber streiten, ob ein Angriff in der digitalen Welt eine kriegerische Handlung darstellt, doch hier wird zur Zeit offenbar auch mit zweierlei Maß gemessen. Auf der einen Seite werden Angriffe auf die digitale Infrastruktur mit Kriegsrethorik beschrieben und nun auch gleichermaßen mögliche Gegenmaßnahmen, auf der anderen Seite solle dies aber keine kriegerische Handlung sein, um GG §26(1) zu entkommen?

Das kann nicht sein. Wir sehen die möglichen Auswirkungen dieser Art von digitaler Kriegsführung bereits mehr als deutlich und sie führen im virtuellen Raum zu den gleichen Eskalationen, wie in der realen Welt. Nur gibt es im digitalen Raum einen großen Unterschied zum realen Raum, sowohl Angreifer als auch die Auswirkungen einer Vergeltung können nicht kontrolliert werden. Wie Constanze Kurz andeutete, es ist extrem komplex und problematisch, die wahren Verursacher möglicher Attacken tatsächlich ausfindig zu machen. Nur weil in Logs eine IP Adresse aus einem Land auftaucht, bedeutet das noch lange nicht, dass der Geheimdienst dieses Landes diesen Angriff beauftragt habe. Es ist sogar nicht einmal eindeutig feststellbar, ob diese Quelladresse tatsächlich die Quelladresse des Verursachers / Angreifers ist! Dieser könnte auch tausende Kilometer weit entfernt in einem ganz anderen Land sitzen und diesen Rechner schlicht fernsteuern. Gleichermaßen sind die Auswirkungen eines „Vergeltungsschlages“ auf weitgehend unbekannte IT Infrastruktur völlig unvorhersehbar – und man weiß überhaupt nicht, ob man damit überhaupt diejenigen trifft, die man treffen möchte. Es könnten genauso gut auch völlig unbeteiligte Zivilist_innen sein oder, schlimmer noch, kritische Infrastruktur, die dann Zivilist_innen in konkrete Gefahr bringt.

Und bitte komme mir jetzt keiner mit „Aber das sind doch Behörden, die wissen was sie tun und beschäftigen die Besten der Besten!“ – nein, sie wissen es nicht und sie beschäftigen einen IT Bodensatz, der sich nicht zu schade ist, für solche Behörden, wie den Verfassungsschutz, BND oder das BKA, zu arbeiten. Wie toll die das machen haben wir bereits gesehen, am Bundes-Trojaner, dem Totalversagen im Bundestag und der großartigen Arbeit bei der Bespitzelung der eigenen Bürger (vgl. Snowden Affaire). Und *die* sollen präzise Informationen über die Angreifer produzieren? Präzise Ziele und Methode definieren können? Dies auch durchführen können? Nie im Leben! Was dann passiert ist, dass so tolle Firmen wie Hacking Team oder FinFisher engagiert werden, privatwirtschaftliche Unternehmen, mit noch ganz anderen Interessen.

Nein, Finger weg, das ist ein äußerst gewagtes Spiel mit dem Feuer und unabsehbaren Folgen.