Hackbacks, ook wel “actieve cyberverdediging” genoemd, zijn maatregelen waarbij een aanval op IT-systemen actief wordt beantwoord door het doelwit van de aanvaller zelf aan te vallen. Het doel van een hackback is om de oorspronkelijke aanvaller te stoppen, gegevens te herstellen of verdere schade te voorkomen. Dit kan door het binnendringen in de IT-infrastructuur van de aanvaller, het verwijderen van schadelijke software of zelfs het fysiek beschadigen van hardware.
Politieke Discussies in Duitsland
In Duitsland is het onderwerp hackbacks al enkele jaren een onderwerp van politieke discussie. Eind mei 2019 onthulden rapporten van Bayerischer Rundfunk een intern conceptdocument van de Duitse regering met gedetailleerde voorstellen voor overheidsmaatregelen in geval van significante cyberaanvallen uit het buitenland. Het document beschrijft een viervoudige benadering: terwijl de eerste twee fasen geen hackbacks in strikte zin inhouden, staan de derde en vierde fasen meer actieve maatregelen toe, zoals het binnendringen in buitenlandse netwerken en het uitschakelen van systemen.
Dit conceptdocument heeft het debat over de wettigheid en effectiviteit van dergelijke maatregelen opnieuw aangewakkerd. Critici waarschuwen voor de mogelijke escalatie van digitale conflicten en het risico van een cyberwapenwedloop. Er zijn ook zorgen over de verantwoordelijkheden en de technische en organisatorische uitvoering van dergelijke maatregelen in Duitsland, wat de discussie verder bemoeilijkt.
Juridische Status in Duitsland
Juridisch gezien zijn hackbacks in Duitsland controversieel en bevinden ze zich in een grijs gebied. Volgens artikel 2, lid 4 van het VN-Handvest is het gebruik van geweld in internationale betrekkingen in principe verboden, tenzij het wordt uitgevoerd in het kader van het recht op zelfverdediging zoals beschreven in artikel 51 van het VN-Handvest. Deze internationale juridische normen zijn ook van toepassing op de cyberruimte, wat betekent dat een staat die hackbacks uitvoert, moet voldoen aan de grenzen van het internationaal recht. In het bijzonder zijn hackbacks alleen gerechtvaardigd wanneer ze kunnen worden beschouwd als legitieme zelfverdediging tegen een gewapende aanval, wat in de praktijk zelden het geval is.
Daarnaast ondervindt de uitvoering van hackbacks door staatsentiteiten ook binnenlandse juridische uitdagingen. In Duitsland zou het bijvoorbeeld problematisch zijn om het leger of inlichtingendiensten bij hackbacks te betrekken, aangezien hun rollen wettelijk strikt zijn gedefinieerd en dergelijke acties in strijd kunnen zijn met de scheiding van machten tussen politie en inlichtingendiensten. Uitbreiding van de verantwoordelijkheden van het leger op het gebied van cyberverdediging zou ook aanzienlijke constitutionele hindernissen met zich meebrengen, aangezien hun inzet alleen onder strikte voorwaarden en vooral in defensiescenario’s is toegestaan, met strenge grondwettelijke waarborgen.
Voorbeelden en Recente Ontwikkelingen
Een illustratief voorbeeld van de uitdagingen die gepaard gaan met hackbacks is het incident met de Russische hackergroep “Internet Research Agency” in 2018. Om inmenging in de Amerikaanse tussentijdse verkiezingen te voorkomen, nam het U.S. Cyber Command maatregelen om de operaties van deze groep uit te schakelen. Deze actie benadrukt zowel het potentiële bereik als de gevolgen van hackbacks, evenals de bijbehorende juridische en politieke risico’s.
In Duitsland zijn er inspanningen om het juridische kader voor hackbacks te verduidelijken. Een centraal probleem blijft echter de vraag naar bevoegdheid: het Nationale Cyberverdedigingscentrum (NCAZ) omvat verschillende autoriteiten, zoals het Federaal Bureau voor Informatiebeveiliging (BSI), de Federale Recherche (BKA) en de Federale Inlichtingendienst (BND). Deze veelheid aan autoriteiten kan leiden tot verwarring over bevoegdheden, wat een effectieve respons kan belemmeren. Bovendien wordt er gediscussieerd over de vraag of en hoe de bevoegdheden van de BSI voor actieve maatregelen kunnen worden uitgebreid.
Voorgestelde Wetgeving en Vooruitzichten
Momenteel is er in Duitsland geen specifieke wetgeving die hackbacks expliciet toestaat. Er is echter een lopend debat over de vraag of wetswijzigingen nodig zijn om een wettelijk kader voor hackbacks te creëren. Dergelijke wijzigingen kunnen inhouden dat wordt bepaald welke entiteiten bevoegd zijn om hackbacks uit te voeren, welke voorwaarden moeten worden vervuld en hoe deze acties in overeenstemming kunnen worden gebracht met het internationaal recht. Een mogelijke aanpak zou de oprichting van een systeem kunnen zijn waarbij hackbacks alleen onder strikte supervisie en na uitgebreide juridische toetsing worden uitgevoerd, om misbruik en escalatie te voorkomen.
Kunnen Hackbacks in duitsland een Misdrijf Zijn?
Ja, hackbacks kunnen als een misdrijf worden beschouwd. In Duitsland en internationaal zijn er verschillende juridische kaders die hackbacks reguleren. Over het algemeen is ongeoorloofde toegang tot buitenlandse IT-systemen illegaal en schendt het computermisdrijfwetten, zelfs als de bedoeling is om te reageren op of een eerdere cyberaanval te stoppen.
Perspectief van IT-Beveiligingsonderzoekers
IT-beveiligingsonderzoekers staan vaak sceptisch tegenover hackbacks. Hoewel ze de noodzaak erkennen van actieve maatregelen tegen cyberaanvallen, vooral wanneer passieve verdediging faalt, benadrukken ze dat hackbacks juridische uitdagingen en technische risico’s met zich meebrengen, zoals onbedoelde escalatie van conflicten of schade aan onschuldige derden. Onderzoekers stellen dat hackbacks doorgaans bestaande wetten schenden, waaronder het verbod op hacken onder § 202a van het Duitse Wetboek van Strafrecht (StGB) (onbevoegde toegang tot gegevens) of § 303b StGB (computersabotage). Bovendien benadrukken onderzoekers het belang van naleving van juridische normen om de integriteit van hun werk en de handhaving van ethische normen te waarborgen.
Perspectief van Aangevallen Bedrijven
Voor aangevallen bedrijven lijken hackbacks in eerste instantie een aantrekkelijke oplossing om de controle over hun IT-systemen terug te krijgen of de aanvaller direct te stoppen. Bedrijven moeten echter rekening houden met de juridische implicaties: een hackback zonder wettelijke toestemming kan snel worden geclassificeerd als onbevoegde toegang of een computermisdrijf. Zelfs als een bedrijf aanzienlijke schade heeft geleden door een aanval, rechtvaardigt dit over het algemeen niet dat ze zelf aanvallen. Bedrijven worden aangemoedigd om samen te werken met autoriteiten en juridische middelen te benutten. Daarnaast bestaat het risico dat hackbacks de situatie kunnen escaleren en schade kunnen verergeren, wat de juridische positie van het bedrijf verder kan verzwakken. Deelname aan hackbacks kan ook in strijd zijn met de zorgvuldigheidsplicht van het bedrijfsbestuur en kan leiden tot aansprakelijkheidskwesties.
Perspectief van Staatsmedewerkers in Overheidsinstanties
Staatsmedewerkers, met name die in veiligheidsinstanties zoals het Federaal Bureau voor Informatiebeveiliging (BSI) of de Federale Inlichtingendienst (BND), beschouwen hackbacks in een complexe juridische en operationele context. Hoewel er een wens is om staatsystemen en kritieke infrastructuren proactief te beschermen, zijn ook zij gebonden aan strikte wettelijke voorschriften die dergelijke acties beperken. Hackbacks kunnen in strijd zijn met internationale normen, zoals het verbod op het gebruik van geweld onder artikel 2, lid 4 van het VN-Handvest, vooral als ze betrekking hebben op infiltratie in buitenlandse IT-systemen. Het uitvoeren van hackbacks door staatsentiteiten zou alleen gerechtvaardigd zijn in strikt gedefinieerde uitzonderlijke gevallen, zoals onder het recht van zelfverdediging volgens artikel 51 van het VN-Handvest, wat niet van toepassing is op de meeste cyberaanvallen.
In Duitsland mogen entiteiten zoals de Bundeswehr alleen actief optreden in cyberspace onder strikte voorwaarden, voornamelijk voor defensieve maatregelen tegen een gewapende aanval, volgens artikel 87a van de Basiswet (GG). Het gebruik van hackbacks als onderdeel van routinematige dreigingsmitigatie zou daarom vaak ongrondwettelijk zijn en kan strafrechtelijke gevolgen hebben voor het verantwoordelijke personeel. De Duitse regering heeft in interne concepten aangegeven dat hackbacks deel zouden kunnen uitmaken van een strategisch verdedigingsinstrumentarium; de juridische haalbaarheid en politieke steun daarvoor blijven echter zeer omstreden.
Conclusie
Hackbacks blijven een controversieel en complex onderwerp in het Duitse cyberveiligheidsbeleid. Hoewel de noodzaak van actieve maatregelen tegen cyberaanvallen wordt erkend, zijn de juridische en politieke hindernissen aanzienlijk. Het aanpakken van hackbacks vereist een zorgvuldige afweging tussen het beschermen van de nationale veiligheid en het naleven van zowel internationale als nationale rechtsnormen. Het lopende debat in Duitsland weerspiegelt de noodzaak van innovatieve benaderingen om effectief om te gaan met groeiende cyberdreigingen zonder het risico van juridische of politieke escalatie.
Hackbacks vormen aanzienlijke juridische risico’s voor zowel particulieren en bedrijven als staatsactoren. Hoewel de wens om actieve maatregelen tegen cyberaanvallen te nemen begrijpelijk is, zijn de juridische en ethische implicaties aanzienlijk. In Duitsland en de meeste andere rechtsgebieden zijn hackbacks over het algemeen illegaal
Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.
Let op: Voor bedrijven zijn wij landelijk actief, voor consumenten uitsluitend in NRW voor strafverdediging + OWI's!
- Mededingingsrecht en Terugnameplicht voor Oude Elektronische Apparaten in Duitsland - oktober 19, 2024
- Contract voor de latere installatie van een geleverde batterijopslagsysteem doorgaans wordt geclassificeerd als een koopovereenkomst met installatieverplichting - oktober 19, 2024
- Waarschuwingsbrieven mogelijk in Duitsland: schending gegevensbescherming kan worden vervolgd door concurrenten - oktober 13, 2024
