 Hallo und herzlich willkommen zu diesem Vortrag von Cyber Law. Er wird uns heute erzählen, wie ihr Anonymous beitreten könnt, um offensiv zu hacken und oh, wait, nein, äh, es geht um das Cybercrime von Anonymous und warum offensives Hacken und auch Hackbacks sowohl von Blackhearts als auch von unserer Regierung vielleicht keine so gute Idee sind. Cyber Law, möchtest du uns darüber mehr erzählen? Sehr gern, danke für die kurze Einführung, wie man schon auf der Slide sehen kann, worum geht es? Das Cybercrime von Anonymous habe ich jetzt einfach mal genannt, rechtliche ethische technische Fragestellung rund um den Cyberwar. Und das ist auch das, womit wir uns jetzt in den nächsten, ja, ich denke mal, 25 bis 30 Minuten zumindest von meiner Seite erst mal beschäftigen werden und vielleicht auch schon mal vorabgesagt. Also es ist irgendwo doch ein juristischer Vortrag so ein bisschen. Also ich habe mich bemüht auch nochmal zu kürzen, Slide rausnehmen, aber es ist doch relativ viel Text auf mancher Folie. Das heißt, seid schon mal vorgewandt an dieser Stelle und vielleicht auch noch einen Hinweis, also der Vortrag, der wird sich im Wesentlichen, obwohl eben nur Anonymous draufsteht in zwei Abschnitte, nämlich Gliedern. Der erste Abschnitt wird sich tatsächlich um dieses Thema Anonymous drehen und die Kriegserklärung gegen die russische Föderation und der zweite Teil, der will so ein bisschen die Fragestellung aufgreifen. Also ist in Deutschland der legitime Vertreter quasi im Cyberraum, dass die Hackbacks starten können. Es ist eine gute Idee, wie kann man das vielleicht auch rechtlich legitimieren und was werden da aktuell auch für politische Vorspüsse in dieser Hinsicht betrieben. Aber legen wir jetzt erstmal los mit der ersten Slide, also Anonymous heißt es so schön, erklärt den Cyberkrieg und ich habe jetzt einfach mal so ein paar Zitate hier gesammelt, die in den letzten Wochen, Monaten so durchs Web gegeistert sind. Verschiedene Zeitungen haben ja darüber berichtet und ich fand das eigentlich ziemlich interessant. Also hier steht es ja so schön Anonymous ist zurück, wie läuft der Cyberkrieg gegen Russland, wie läuft der IT-Feldzug, wird das hier sogar genannt, greift direkt den Kreml an wird getitelt. Hacker als Kriegspartei, es wurden eben Daten gelegt, also hier sensible Daten von 120.000 russischen Soldaten und dann das Thema Hacktivism im Allgemeinen zwischen digitaler Sitzblockade und Cyberwars, ein bisschen so eine abgestufte Meinung und dann hier der Hinweis, dass Anonymous die größte russische Bank und die Moskauer Börse gehackt hat und tatsächlich ist es so, also ich poste auch relativ vielen, manchem sozialen Netzwerk und meistens bekommt man eigentlich relativ wenig Reaktion, aber als ich dann kurz nachdem der Angriffskrieg Russlands gegen die Ukraine begann, dazu mal was dann gepostet hatte, das ist dann wirklich auch durch die Decke gegangen, also da haben beispielsweise bei LinkedIn, das ist ja eher so eine konservative Klientel, die sich meistens zurückhaltend mit Kommentaren, das ist da wirklich dann durch die Decke gegangen und da habe ich mir gedacht, okay, offensichtlich ist es etwas, was die Leute anbricht, also viele fanden das dann extrem toll, also man hat dann irgendwie wahnsinnig viele Daumen nach oben gekriegt, dass jetzt Anonymous den Cyberkrieg erklärt, das ist erstmal den Eindruck erweckt, das ist ja eigentlich eine ganz gute Idee, man unterstützt die Ukraine eben diesen völkerrechtswidrigen Angriffskrieg Russlands abzuwehren und deswegen glaube ich haben da auch erstmal sehr, sehr viele Leute doch eher positiv auf diese Kriegserklärung reagiert und was wir jetzt mal so ein bisschen jetzt auch auseinandernehmen wollen ist die Frage, also ist das denn überhaupt Krieg und welche Auswirkungen hat denn letzten Endes so ein bisschen auch dieses Hand von Anonymous, wenn man da so ein bisschen die rechtliche und ethische Brille aufsetzt und wenn alle immer von Cyberwar reden, ist ja die erste Frage, die man sich stellen muss, was ist eigentlich Cyberwar jetzt eigentlich genau und da kann man eigentlich, wenn man das juristisch bewerten will, zwischen zwei Sachverhalten unterscheiden und muss sogar dazwischen unterscheiden, also einerseits Cyberattacken Russlands gegen die Ukraine und der Umgriffkehrtefall eben, dass die Ukraine gegen Russland hackt und da muss man schon von Anfang an sagen, wenn man das ganze völkerrechtlich betrachten will, dass eben bloß Cyberattacken, sage ich jetzt mal, nicht ein Cyberwar automatisch sind, also kriegerischer Zustand bei war ist ja letzten Endes nichts anderes als die englische Form von Krieg und da muss man eben gucken, wie bewertet das das völkerrecht, was für eine verfassungsrechtliche Einordnung haben wir da, also das sind zwei Fragen, die sieht man sich stellen muss, das völkerrecht deswegen, weil Deutschland ja nicht irgendwie losgelöst von sämtlichen Regelungen agiert, also auch nicht im Cyberraum und die verfassungsrechtliche Einordnung deshalb, weil wir uns ja auch fragen müssen und das wird dann der zweite Teil des Vortrags sein, wer ist denn in Deutschland zuständig für so ein Hackback und im Rahmen dieser ganzen behördlichen Zuständigkeitsstrukturen, wie kann sich denn so eine Behörde oder so eine Einrichtung dieser Macht letzten Endes auch vor der Verfassung legitimieren, was ihr jede Behörde auch tun muss, aber wichtig zu wissen ist, dass Cyberangriffe, egal ob auf staatliche, militärische oder eben zivile Infrastrukturen, nicht automatisch ein Kriegszustand oder was vergleichbares bedeutende Krieg, das hätte ich gesagt im völkergeblichen Sinne zu verstehen ist. Da gibt es eben zwei zentrale Aspekte, woran das Völkerrecht auch den Krieg festmacht und da wurde auch vor einigen Jahren eine entsprechende Stellungnahme zu veröffentlicht, vom wissenschaftlichen Dienst des Bundestages, wo die das Ganze so ein bisschen auch mal begreist, leihenverständlich aufgedröselt haben und im Wesentlichen, wenn man sich da auch die entsprechenden völkerlichen Anforderungen anschaut, kommt man relativ schnell zu der Kenntnis, dass man für einen konventionell geführten Krieg eigentlich zwei Dinge braucht. Also man braucht entweder eben ein bewaffnet Kampf zwischen zwei Staaten oder eben den Eintritt eines Kriegszustandes beispielsweise in Form einer Kriegserklärung und die Frage, die sich dann natürlich stellt auch für Anonymous, wie ist der Einsatz zivile Akteure zu bewerten, die dann eben in solch ein kriegerisches Geschehen eingreifen, das kann ja sowohl mit konventionellen Waffen geschehen, aber auch mit Cyberwaffen sag ich jetzt mal und wann überschreitet ein Cyberangriff, der noch kein Krieg ist, was wir jetzt wissen, tatsächlich eben die Schwelle zu einem bewaffneten, also durchaus auch kriegerischen Konflikt und das Völkerrecht, also es macht vielen nicht so Spaß, sich mit dem Völkerrecht zu beschäftigen, weil da ist sehr, sehr viel schwammig, sehr, sehr viel ungeklärt, kennt das ja je mehr Parteien irgendwo einbezogen sind, in einem bestimmten Sachverhalt umso schwieriger wird es irgendwo auch ein Konsens zu erzielen und das ist eben etwas, was in ganz besonders großem Maße auch auf das Völkerrecht zutrifft. Woran man sich aber einig ist auf völkerrechtlicher Ebene, ist das auf Cyberwarfare, also Cyberkriegsführung, das Völkerrecht im Ergebnis anwendbar ist und dass es letzten Endes deswegen genauso Anwendung auf diese Sachverhalte findet, wie bei Angriffen, die eben mit konventionellen Mitteln geführt werden, da ist es natürlich jetzt schon juristisch gesehen entritt. Wenn wir jetzt sagen, also aus dieser völkerrechtlichen Perspektive wir vergleichen einen Cyberangriff mit einem Angriff, der mit konventionellen Waffen geführt wird, dann muss ja irgendwo eine gewisse Parallele oder Vergleichbarkeit irgendwo auch bestehen. Und da muss man jetzt erstmal unterschiedliche Perspektiven, die hatte ich ja eingangs auch schon so ein bisschen angesprochen, erstmal betrachten und letzten Endes eben so, dass diese unterschiedlichen Perspektiven auch zu den unterschiedlichen Wertungen gelangen. Wenn wir uns also einmal das Thema Ukraine vs. Russland anschauen, also Russland vs. Ukraine, glaube ich, braucht man nicht zu sagen, das ist völkerrechtswidrig in jeder Wiederhinsicht, egal ob es im Cyberraum ist oder ob es mit konventionellen Waffen ist. Bei Ukraine vs. Russland sind das hier Cyber-Gegenschläge, die auch schon geführt werden und das ist Cyberwar. Also nicht nur als Begriff, sondern auch per Definition, da eben sich die Ukraine in einem bewaffneten Konflikt mit Russland befindet und der eben flankiert wird, auch durchmaßen der Cyber-Kriegsführung. Und da ist es so, dass wenn ein Staat auf diese Weise angegriffen wird, er natürlich das Recht hat, sich zu verteidigen, mit jeder Wiederhinsicht und das nennt man eben das völkerrechtliche Selbstverteidigungsrecht und das gilt hier natürlich für die Ukraine. Und konkretisiert werden eben diese Maßstäbe im Tallinn Manual und das enthält eben verschiedene Regeln, Auslegung völkerrechtlicher Vorschriften, auch mit Blick auf dieses Thema Cyberangriffe und Cyberwar. Wenn wir jetzt aber wieder zurückgehen zum Thema Anonymous, also weg von der Ukraine, weg von staatlichen Einrichtungen der Ukraine, die zurückhecken, sage ich mal, dann müssen wir schauen, was ist Anonymous eigentlich. Und Anonymous ist ein Hacker-Kollektiv, loseorganisiert, es gibt jetzt keine klaren Hierarchien, keine Zuständigkeitsordnungen und letzten Endes wird man deswegen sagen können, ja, also es sind mehr oder weniger Privatpersonen, die dort auf eigene Faust tätig werden, wenn sie denn tätig werden. Und erst recht ist es dann natürlich so, dass Anonymous an sich kein Völkerrechtssubjekt ist, somit hier auch nicht Konfliktpartei sein kann, diesem Russland-Ukraine-Krieg und deswegen auch keine Kriegserklärung jetzt aussprechen kann. Also die können sich jetzt nicht als unabhängige dritte Instanz zwischen Russland und Ukraine jetzt aufstellen und sagen, wir machen jetzt als unabhängige Instanz eine Kriegserklärung. Ein weiteres Problem, was natürlich auch daran liegt, dass es ein Hacker-Kollektiv ist, ist, dass eben viele Leute oder dass die Leute ohne Kennzeichnung tätig werden. Das heißt, wir haben freie Combatan im digitalen Raum und das bedeutet eben, dass die Zuortenbarkeit, also wer jetzt für wen eigentlich tätig wird, sehr, sehr schwer ist, wenn nicht sogar unmöglich ist. Aber das ist eben auch etwas, was das Recht irgendwo voraus, weil er beurteilt werden können muss, wer ist jetzt welcher Konfliktpartei zu zuordnen oder gegebenenfalls auch gar keiner Konfliktpartei zu zuordnen. Und im konventionellen Krieg würde es bedeuten, wenn man sich eben beteiligt, dass man seine Rechte als Zivilist verliert. Und das ist in gewisser Hinsicht natürlich auch auf das Thema Cyberwar mehr oder weniger übertragbar. Aber letzten Endes ist es so, selbst wenn man dem Aufruf der Ukraine folgt, der maligen Wochen auch veröffentlicht wurde, also eben dem Beitritt zur IT-Armee der Ukraine, also dann quasi mehr oder weniger rekrutiert wird, führt das auch nicht automatisch zu einer internationalen Legitimation des Handelns, weil das eben hier auch tatsächlich nur ein einseitiger Aufruf gewesen ist. Es stellen sich dieselben Probleme. Also ich melde mich ja nirgendwo an jetzt bei der Ukraine. Ich bin nicht Mitglied der ukrainischen Stratkräft. Ich arbeite nicht fürs ukrainische Verteidigungsministerium oder ähnliches. Das heißt letzten Endes ändert sich dadurch diese ganze Attributionsfrage gar nicht. Und das Problem ist, und ich glaube das sehen viele auch nicht so richtig, dass natürlich wenn ich persönlich handle, auch wenn man handeln als person, als natürliche Person verantwortlich bin und auch strafrechtlich verantwortlich sein kann. Das sind eben Fragen, die durch Cybercrime geregelt werden. Also jeder Staat hat heutzutage irgendwo Strafgesetze, die sich mit Crime befassen, also auch wir in Deutschland haben beispielsweise bei unbefugter Datenveränderung, Computersupportage, entsprechende Straftatbestände oder wenn jetzt beispielsweise personenbezogene Daten, unbefugt Zugriff verschafft wird, die offen gelegt werden. Das sind eben alles Straftatbestände aus dem Cyberbereich. Das heißt, man ist da auch nicht völlig von seiner Antwortung befreit. Man könnte jetzt natürlich sagen, okay, Anonymous erklärt den Krieg symbolisch und es werden Hacker-Kollektive und auch lose Einzelpersonen tätig, die eben versuchen, alles, was irgendwie russisch ist, nach Möglichkeit erfolgreich anzugreifen und irgendwie einen Schaden, sei auch noch so klein zuzufügen, weil alles hilft ja irgendwie. Das heißt also, man kann sagen, es ist durchaus sinnvoll, also eine Solidarisierung mit der Ukraine macht in diesen Zeiten definitiv Sinn. Man kämpft natürlich auch gegen ein autoritäres Unrechtsregime, was was mit verachtenden Kriegstaten verübt und es ist ja auch mehr und mehr deutlich geworden, dass das Ganze nicht nur völkerrechtswidrig ist, das ist ja irgendwie eine Dimension, sondern das ist auch menschlich ethisch, völlig unvertretbar ist, was da momentan gemacht wird. Also wir haben einen wirklich brutalst geführten Angriffskrieg gegen den ukrainischen Staat, gegen Zivilisten ja insbesondere auch und da kann man natürlich sagen, ja, also so ein bisschen Politik der tausend Nadelstiche, jeder kann seinen Beitrag leisten, jeder Beitrag soll helfen, das kann sowohl aktiv als auch passiv sein, aber Frage wiederum ist es eben alles, was wir berücksichtigen müssen, wenn wir überlegen, ob wir jetzt Hackbacks, ich sage jetzt Hackbacks, aber digitale Angriffe eben durchführen und das Problem, das deutet sich ja schon so ein bisschen an oder hat sich auf den Slides vorangedeutet, also private, Privatpersonen mischen sich in weltpolitische Fragestellung ein, man kann auch sagen diese tausend Nadelstiche bestärken eben die russische Militärführung und die Propagandamaschinerie nur weiter, also es wird eben auch Futter geliefert für Putin, für sein rechtswidriges Vorgehen und wir haben natürlich auch den Punkt, wenn eben Kritis, also kritische Infrastrukturen in der Ukraine erfolgreich angegriffen werden sollten, dann leiden ja letzten Endes auch Zivilisten darunter, das heißt die russische Zivilbevölkerung kann durch sein so ein Angriff ja auch unmittelbar tatsächlich betroffen werden, das sind ja auch letzten Endes keine Personen, die jetzt unmittelbar an diesem Konflikt wirklich beteiligt sind und das kann letzten Endes auch dazu führen, dass es eine weitere Solidarisierung im Lande gibt, das ist ja eh so ein Problem, was wir zurzeit erleben, dass wir eine wahnsinnige Fake News Maschinerie haben, die da in Russland in Bewegung gesetzt wird, dass auch explizit eben die politische Stimmung gegen den Westen angeheizt wird und das gibt natürlich auch solchen Leuten wie Putin dann letzten Endes auch Rückendeckung beim Kampf gegen den bösen Westen, die eben nur das Schlechteste für Russland wollen. Und man muss sich da meiner Meinung nach unter ethischen Gesichtspunkten auch durchaus überlegen, es ist natürlich nett zu sagen jeder kann zum Welten retter werden, jeder kann was beitragen, aber wenn man es dann von der anderen Seite betrachten würde, es ist ja letzten Endes auch eine Form von Selbstjustiz, also nach meinem eigenen Ermessen, nach meinem eigenen Gerechtigkeitsempfinden, nach meinem eigenen Umgang, nach meinem eigenen Umfang und das ist ja auch etwas, was für uns normalerweise gar nicht zumuten würden, also wenn es jetzt um Konflikte in Deutschland gehen würde, wenn ich irgendjemand nicht leiden kann, ist es ja auch nicht so, dass ich dann gleich versuche, ihn auf irgendeine Art und Weise zu hacken oder ähnliches oder bloßzustellen und das ist glaube ich auch etwas von hier einfließen lassen muss und last but not least ist es natürlich auch so Russland, Ukraine, das sind definitiv die beiden Hauptkonfliktparteien, aber es ist ziemlich wahrscheinlich, dass ich hier auch andere fremde Mächte einmischen, mit Nachrichtendienstlichen Operationen, die sie dann eben nutzen, unter dem Deckmantel, dieses Krieg ist, der da stattfindet und das wird natürlich durch diese fehlende Attribution auch irgendwo so ein bisschen gefördert und das ist jetzt erstmal meine Einschätzung, Besen mit das Thema Anonymous und Zahlbauer und ich möchte jetzt das noch ein bisschen weiterdenken an dieser Stelle, also ich hatte ja gesagt, dieser Vortrag untergliedert sich in zwei Teile, einmal dieses Thema Anonymous, Zahlbauer und dann das Thema Deutschland und Zahlbauer, warum Deutschland und Zahlbauer, also das ist schon eine ewig andauernde Geschichte, also vor drei Jahren beispielsweise hat die damalige Bundesregierung so ein Positionspapier veröffentlicht, dazu hatte ich auch schon mal referiert und was geschrieben gehabt und da ging es eben darum, dass man so ein Art Hackbackplan entwickelt, also ein abgestuftes Vorgehen zur Vorbereitung und Durchführung eines digitalen Gegenschlages, wo es eine Art von Regierungskommission dann eingesetzt werden sollte, um drüber zu entscheiden und so war, das Ganze ist dann relativ zügig erstmal wie eine Versenkung verschwunden und dann ist auch wirklich gar nicht so viel passiert in den letzten drei Jahren, also es ist immer mal wieder hier und da hochgekocht, aber es ist es tatsächlich wieder prominent worden, weil es eben um die Frage geht, wie kann sich Deutschland jetzt positionieren, diese aktuellen Situation, wo ja die Salber-Bedrohungslage auch deutlich angestiegen ist, müssen wir da irgendwie tun, müssen die Behörden irgendwas tun, müssen sie unterstützen oder vielleicht auch noch weiter gedacht, müssen sie vielleicht sogar selbst in der Lage sein digital zurückzuschlagen und vor einigen Jahren war es noch relativ unklar, wer das denn jetzt machen könnte, ob man jetzt irgendwie nachrichtendienstliche Akteure da einbezieht, ob man jetzt sagt, das Ganze ist irgendwie im Bereich operativer Cyber Security, also eher in Richtung Bundesamt für Sicherheit Informationstechnik zu verorten, mittlerweile ist klar, dass die Bundeswehr da eigentlich der Fachpartner ist in dem Bereich, wenn man es mal so sagen darf und die Bundeswehr hat eben ein eigenes Kommando, was in diesem Cyber- und Informationsraum tätig wird, aber wenn die Bundeswehr eingesetzt werden soll, das ist auch wichtig zu wissen, da müssen ganz hohe verfassungsrechtliche Anforderungen für erfüllt sein, nämlich die Anforderungen, die dann gelten, wenn eben deutsche Streitkräfte eingesetzt werden sollen und das bedeutet, wenn deutsche Streitkräfte eingesetzt werden sollen, dass wir ein Verteidigungsfall haben, was ist ein Verteidigungsfall, da sind wir also verfassungsrecht drin, das ist die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt und da kommen wir nämlich schon langsam in die Probleme rein, wie ihr sicherlich merkt, also wir müssen dann sagen, wenn die Bundeswehr tätig wird oder dieses Kommando im Cyber- und Informationsraum tätig wird, dann muss irgendwie der Cyber-Angriff, der dann auf Deutschland verübt wird, letztendlich ist es eine Art militärische Gewaltanwendung sein, die von außen auf uns zu rollt und diese Erheblichkeitsschwelle von Cyber eben zum militärischen Angriffskwalität, die ist deswegen ziemlich hoch anzusetzen, weil normalerweise ist es ja so, wir sehen die Bundeswehr eigentlich nie groß, also die Bundeswehr tätig im Rahmen von Katastrophenhilfe in erster Linie, beispielsweise bei der Flutkatastrophe, die wir hatten oder wenn man jetzt noch einige Jahre weiter zurückdenkt, 1998, Zugunglück von Eschede, das war ein Katastrophenfall von nationaler Tragweite, da ist auch die Bundeswehr tätig geworden, hat eben Verletzte geborgen und mit Schwärmgerät mitgeholfen, aber normalerweise ist es so, wir befinden uns im Föderalismus in Deutschland, also wir haben ja unsere 16 Bundesländer und die sind für die Gefahrenabwehr zuständig und Cyber-Sicherheit, Aufrechterhaltung von der Funktionsfähigkeit von IT-System, ist ja irgendwo auch eine Frage, die mit dem Thema Gefahrenabwehr zu tun hat, das heißt also erst dann haben wir die Schwelle zur militärischen Angriffskwalität überschritten, sodass die Bundeswehr im Cyber- und Informationsraum tätig werden könnte, wenn eben diese gängigen polizeilichen Mittel zur Abwendung von Folgen, von Cyber-Angriffen eben nicht mehr ausreichen, das Problem an der ganzen deutschen Geschichte ist, man könnte ja sagen, okay, dann setzen wir die Schwellen irgendwie herab und dann wird die Bundeswehr schon mit deutlich niedrigeren Anforderungen tätig, ich kann mir alles regeln, das Problem ist aber, das hatte ich eingangs gesagt, Deutschland steht ja nicht irgendwo im luftleeren Raum, auch nicht im Cyberraum, sondern ist eben an völkerrechtlicher Abkommen und Vereinbarung gebunden und wenn eben man sich dazu entschließen würde zu sagen, wir stufen das jetzt ganz jetzt einfach irgendwie runter und setzen diese Cyber- Angriffskwalitätsschwelle deutlich herab, dann trägt Deutschland eben nach außen hin dafür die völkerrechtliche Verantwortung, wir leben das schon militär und nichts anderes ist ja die Bundeswehr Offensivmaßnahmen im digitalen Raum ergreift und das Innenministerium sagt jetzt, wir wollen aktive Cyberabwehr, also das ist ja Seehofer als Sicherheitsrhetoriker und jetzt jetzt Feser, die eben versucht, so ein bisschen in seine Fußstapfen reinzutreten, die sagt jetzt ja, wir brauchen Möglichkeiten, um auf diese Systeme, von denen ein Angriff ausgeht, einzuwirken und dadurch andauernde Attacken zu beenden oder neue Attacken zu verhindern und damit sagt die letzten Endes nichts anderes, als das eben dieser viel zitierte Hackback neu gestartet werden muss die Diskussion darum, dass wir eine aktive Cyberabwehr brauchen und da stellt sich natürlich die Frage, haben wir denn ein Cyberwar automatisch, wenn aktive Cyberabwehr betrieben wird und die derzeitigen Vorschläge von Frau Feser sind da, wie ich persönlich finde, ziemlich unsubstanziiert, also es ist von irgendwelchen Grundgesetzänderungen die Rede, aber so genau wird jetzt nicht gesagt, was er eigentlich genau damit bezweckt werden soll, außer das gesagt wird, ja der Bund, der braucht mehr Kompetenzen in Sachen Cyberabwehr und es wird eben die Art gesagt, nur der Bund hat die Kapazitäten großflächige Cyberattacken abzuwehren und im Zweifelsfall zurückzuschlagen. Also da kommen wir wieder auf diesen alten Bekannten, nämlich auf die Bundeswehr zurück. Das Problem an der ganzen Geschichte ist aber auch und da kommen wir jetzt in diese innenpolitische Dimensionen rein. Also wir haben ja den Föderalismus, hatte ich schon gesagt und das wird in weiteren Abfluss von Länderkompetenzen bedeuten in der Gesetzgebung, wenn wir jetzt hier den Bund mehr Kompetenzen einräumen und schon damals, also damals letztes Jahr, als das die Sicherheitsgesetz 2.0 entstanden ist, da hat man schon gesagt, also eigentlich ist Cyberabwehr und Gefahrenabwehr eine Ländersache und der Bund hat es eigentlich schon viel zu viele Kompetenzen da an sich gezogen und wenn jetzt Frau Fese auch noch damit kommt zu sagen, also wir wollen jetzt unbedingt auch nochmal mehr Kompetenzen beim Bund in Sachen aktive Cyber, dann stellt sich natürlich zum einen die Frage Sinn und Zweck, aber zum anderen natürlich auch die Frage, wird sich das überhaupt in unserem politischen Gefüge vernünftig durchdrücken können. Man muss letzten Endes auch sagen, das ganze Hackback-Thema bewegt sich zur Zeit so ein bisschen jenseits auch von technischem und politischem Sachverstand. Also man schädigt natürlich auch durch das Zurückhalten von IT-Sicherheitslücken, die eigene Infrastruktur und Unternehmen im eigenen Staat, das ist ja immer wieder auch das Thema gewesen, wie geht man mit Zero Day Exploits um, dürfen irgendwelche staatlichen Behörden, die dann für sich behalten und die dann dafür einsetzen zu zweckender Strafverfolgung, Nachrichten dienstlich tätig werden, gefahren abbeeren und es stellt sich natürlich wie auch schon für die Leute von Anonymous die Frage, wie kann denn die Attribution im Cyber- und Informationsraum stattfinden. Also selbst wenn man jetzt sagen wird, okay, wir ändern das Grundgesetz und die Bundeswehr kriegt klare Rechtsgrundlagen, wo sie auch verfassungskonform Hackbacks durchführen darf. Es ist ja natürlich im Cyber-Rom nicht so, dass im Sinne von schwarz weiß man sofort irgendwie den Akteur erkennt und dann gleich sagt, ach, das ist dieser und jener Staat, dann lasst uns mal digitale Gegenschläge durchführen. Also so einfach ist das ja gar nicht, wie man sich das hier politisch vorzustellen wünscht. Weiteres Problem, wie nachhaltig sind eigentlich solche digitalen Gegenschläge. Das heißt also, wenn ich jetzt erfolgreich beispielsweise ein System lahmgelegt habe, die Manpower gibt es ja nach wie vor und Hardware kann man sich auch im Zweifelsfall immer wieder besorgen. Die Ampel wird zu dem ganzen Thema Nein sagen, zumindest hat sich jetzt relativ deutlich positioniert und jenseits dieser ganzen Fragen natürlich auch schon etwas, was seit Jahren diskutiert wird. Also wie bitte soll denn ein solches konkretes Gesetz aussehen, wenn ich mal die Zuständigkeitsfrage schon seit Jahren vernünftig erklärt werden kann? Und Last but not least eben, Deutschland steht wieder in der Völkerrecht mit der Verantwortung nach außen hin. Das heißt also, wenn man sich jetzt diese Hackbackpläne anschaut, wenn man sich anschaut, was Frau Faeser gesagt hat, wenn man das mit dem vergleicht, was wir zu Anonymous gehört haben, was in den letzten Jahren so seit 2019 in Deutschland passiert ist, dann kann man eigentlich dazu sagen, also jetzt den Hackback wieder aufzurollen, das ist mehr oder weniger politische Rhetorik, ohne Sinn und Verstand. Und damit kommen wir letzten eines hier auch schon zu meiner finalen Slide mit dem Titel Hackback, Cyberwar, digitale Gegenschläge. Klingt gut, ist aber schlecht. Also natürlich, deswegen hat es ja auch so eine Solidarisierung vor einigen Wochen mit Anonymous gegeben. Also erstmal sind die Leute natürlich aufgewühlt und das ist natürlich alles rechtswidrig, was da auch, also völkerrechtswidrig, was Russland da auch tut. Nichtsdestotrotz muss man sich natürlich überlegen, auf welche Legitimationsgrundlage unterstützt man hier enttätigt werden. Das gilt sowohl für Anonymous als auch für Deutschland. Und welche Auswirkung hat das wirklich auf die betroffenen Akteure? Und gerade bei Anonymous ist es so, dass die Ziele, Maßnahmen und Beweggründe nicht wirklich klar kommuniziert wurden und dass man auch annehmen kann. Also obgleich dieser Schlagzeilen, die ich auf der ersten Slide präsentiert hatte, dass sich der eigentliche Krieg und die kriegsentscheidenen Ereignisse nicht im Cyberraum abspielen werden. Das heißt, dass die unwertigen Auswirkungen zumindest marginal sind, mit Blick auf das gesamte Kriegsgeschehen. Und diese Politik der tausend Nadelstiche, wo man da eben auch noch einen Nadelstich zu beiträgt, die wirkt eben auch nicht wirklich absehbare Risiken für Gesellschaft und Wirtschaft. Und die Frage ist, ob man sich das als Einzelner, wenn man da dann mitmischt, sich wirklich zumuten möchte und es sich auch für sich vertreten kann, diese nicht absehbaren Risiken mitzutragen. Und das Problem gerade bei Anonymous ist, wenn alle verantwortlich sind irgendwo und man quasi Verantwortlichkeit einer ominösen Organisation, sage ich jetzt mal zuschreibt, dann ist letztendlich keiner verantwortlich. Und was Deutschland angeht, hatte ich gesagt, diese gefühlt ewige Diskussion, die wir schon seit 2019 geführt haben. Und da sind wir letztendlich seit Jahren nur auf der Stelle getreten. Also ich habe aus dem Innenministerium schon mal eine oder andere mal gehört, ja wir machen jetzt ein Gesetz zum Hackback, ich habe nichts mitgekriegt von einem konkreten Gesetz. Also politisch ist das irgendwie on vogue, also Sicherheitspolitik ist ja irgendwo immer on vogue, aber rechtlich und technisch ist das gegenwärtig noch völlig unausgegoren. Also wir haben keine klaren Konzepte, schon seit Jahren keine klaren Konzepte. Es ist nicht sicher, wie man das vernünftig verfassungsrechtlich legitimieren kann. Also es ist reine Statement Politik, um eben was in der Presse setzen zu können. Und letzten Endes muss man für beide sagen, sowohl für Deutschland als auch für Anonymous, vielleicht sollten sich die Akteure doch lieber besser auf passive Cyberabwehr konzentrieren, als eben auf die aktive Cyberabwehr. Das war es jetzt erstmal von meiner Seite. Danke für Ihre Aufmerksamkeit und ich freue mich auf die Fragen und Diskussion. Ja, vielen Dank für den echt großartigen Talk. Du hast tatsächlich einige Fragen, die zu Beginn deines Talks im Pet aufgegriffen, aufgekommen sind, schon vollgegriffen. Daher frage ich es mal etwas, was mich persönlich sehr bewegt. Du hast jetzt sehr ausführlich erklärt, warum es keine gute Idee ist, aktiv zu hacken. Aber was können wir es eigentlich als friedliebende Wesen im CCC tun, um da irgendwie was Positives in der Ukraine zu bewirken? Ja, also ich hatte es in meinem Fazit ja schon so ein bisschen angedeutet, eben nicht aktive Cyberabwehr, was auch vor FESA vorschlägt, was jetzt von Anonymous propagiert wird, sondern eben das Thema passive Cyberabwehr voran zu treiben. Es geht natürlich auch darum, dass man auf der anderen Seite stehen kann und sich überlegen kann, also wenn wir jetzt eine gestiegene Bedrohungslage im Cyberraum haben, was kann ich denn persönlich tun, um dazu sorgen, dass sich diese Bedrohungslage irgendwo verringert. Das heißt, wo kann ich Systeme härten, wo kann ich vielleicht auch Infrastrukturen unterstützen, wo kann ich Unternehmen vielleicht unterstützen, die noch nicht so richtig den Plan von Cyber Security haben. Ich meine, damit ist letztendlich auch Privacy irgendwie verbunden. Also Datenschutz gibt es ja auch nicht und Datensicherheit. Das finde ich sind Punkte, wo man definitiv auch ansetzen kann. And last but not least, ich meine, wir haben alle nur begrenzte Zeit und es gibt natürlich auch genügend Möglichkeiten, sich in der Geflüchtetenhilfe zu beteiligen. Da gibt es sehr, sehr viele Angebote aktuell und da wird natürlich auch jeder gebraucht. Und das finde ich deutlich sinnvoller, als sich irgendwo zu verkriechen und zu sagen, ich für jetzt den Krieg in Anführungszeichen gegen Russland, aus meinem Haus raus. Ja, ich habe, wir haben auf dem Divock auch immer wieder Werbung dafür gemacht, friedlich zu bleiben. Aber es gibt auch ein paar Leute, die es schon Fragen stellen rund um das Rechtliche von, na ja, was passiert ist, ist eigentlich mit mir als deutsche Hacker, wenn ich zum Beispiel einen Social Engineering Angriff gestaltet habe oder wenn ich ein DEDOS gemacht habe, ist das schon strafbar, muss ich mir das selber sorgen machen, wenn ich mich in diesem Konflikt engagiert habe, dass mir hier was passieren kann? Also ich glaube, man muss sich, also man kann das natürlich jetzt nicht pauschal beantworten, aber das setzt sich also Social Engineering, DEDOS, gut, das ist natürlich nicht nichts. Es sind schon relevante Dinge, die da geschehen sind. Man muss sich aber natürlich ganz genau überlegen, wer denn jetzt der Betroffene dort letzten Endes gewesen ist. Und ich kann jetzt zwar nicht das russische Rechtssystem, Auswahl- und alle Gesetze, die irgendwie auch Cyber Security und Datensicherheit regen, aber ich bin mir sehr sicher, dass auch in Russland mit Sicherheit gesetzliche Vorschriften geben wird, die eben die Interität von Daten betreffen, die eben personenbezogen Informationen oder auch geheimen Informationen, darum geht es ja oftmals auch schützen und entsprechendes eingreifen. Hier unter Strafe gestellt wird. Gleichwohl halte ich es natürlich für sehr, sehr ausgeschlossen, dass das hier in Deutschland entsprechend verfolgt wird. Anders sieht es natürlich aus, wenn natürlich auch deutsche Akteure, sage ich mal, hier irgendwo betroffen sind. Also wir haben ja in Deutschland auch ein Cyber- Strafrecht. Und das ist ja nichts Neues. Das hatte ich auch im Vortrag gesagt, Daten, Sabotage, Datenunterdrückung, unbefugtes sich verschaffen von Daten auch mit Blick auf personenbezogenen Daten, einerseits Strafwert ist und andererseits ist es ja auch so, wir kennen ja nicht nur das Strafrecht, ich meine, es gibt ja auch ein Zivilrecht in Deutschland und wenn man beispielsweise das Problem hat, dass irgendeine Dienstleistung nicht mehr funktioniert, dass eine Infrastruktur ausfällt, dass ein Unternehmen nicht mehr arbeiten kann, sei es auch, dass es eben ein Kollateralschaden einer solchen Hackerangriff gewesen ist, dann haben wir auch relativ zivilrechtliche Ansprüche, das heißt also Schadensersatzansprüche, das heißt, das kostet dann auch gleich richtig Geld und natürlich wird es keine Versicherung bezahlen wenn ich jetzt sage, ja, aber ich wollte ja was Gutes tun in diesem Russland-Ukraine Konflikt, wenn Systeme, Produktivsysteme dann nicht mehr funktionieren und die entsprechenden Akteure ausfindig gemacht werden können, dann ist es natürlich sowohl strafrechtlich, andererseits aber auch zivilrechtlich, hochproblematisch. Es gibt auch noch die Frage, ob man sich strafbar macht, bzw. ob es unbedenklich ist, für das Tor-Netzwerk Snowflake-Punkte zu stellen um einen unzensierten Webzugang für Russinnen zu schaffen. Gut, also ich hatte es ja schon gesagt, man wird jetzt keine pauschale Rechtsberatung oder sowas denke ich hier machen können, da kommt sehr, sehr stark auf den Einzelfall an, aber sowas würde ich erstmal für unbedenklich halten. Also erstmal ist es ja so, nach deutschem Recht sehe ich erstmal keine Probleme und wie es nach russischem Recht ist, das hatte ich eben auch schon angedeutet, das spielt hier im Rahmen dieses Konflikts erstmal keine Rolle. Es ist natürlich anders, wenn man vielleicht irgendwie geflüchtete Hacker in aus Russland ist und dann von hier aus Aktionen macht und dann eventuell nicht mehr zurück kann. Ja, das sind natürlich dann die ganz Haarenfälle ganz genau. Was mich so ein bisschen noch persönlich umtreibt also insbesondere so was mit angefahr eben auf russische civile Infrastruktur das wenn man da wirklich einen Schaden anrichtet, der irgendwie von Substanz ist und eventuell eben Menschen ihre Lebensgrundsicherung wegnimmt indem man zum Beispiel eine Wasserversorgung abnimmt oder einen Zug entleisen, das ich weiß ja nicht ich glaube nicht, dass viel davon praktisch möglich ist, aber jetzt rein theoretisch könnten dann Leute in Deutschland nach völkerrechtlichen Straftatbeständen verfolgt werden? Also meiner Meinung nach ist das jetzt mal relativ auslösend, also nach wie vor warte Akteure die da handeln, das heißt also man würde sich nach russischem Recht durchaus Strafvermachen also nicht durchaus in jedem Falle und dann kämen es darauf an tatsächlich wie es mit Amtshilfe und Ähnlichem aussieht, aber da kann man sich relativ also was das Juristische angeht das hatte ich auch eingangs gesagt für relativ unproblematisch weil es eben keine Amtshilfe zwischen Russland und Deutschland gibt in diesen Fällen aber man muss natürlich sehen, ist es für einen selbstvertretbar so was zu machen das ist ja auch das was ich unter ethischen Gesichtspunkten angesprochen hatte, weil es geht ja nicht alles um Recht, also kann ich jetzt irgendwie belangt werden und irgendwie muss ich dann vielleicht irgendwie dafür aufkommen wenn es zu stehen kommt, sondern auch die Frage ist das für mich vertretbar wirklich so was zu tun oder kann ich das für mich selber nicht ich ethisch vertreten und ich glaube das ist die eigentlich entscheidende Fragestellung die man hier stellen muss das Recht, das kommt da glaube ich eher auf 2. an 2. Stelle erst noch mal auf Twitter, ob da Fragen sind, nein auf Mastodon Mastodon ist eine fantastische dezentrale Alternative zu Twitter es ist unbedingt benutzen aber tatsächlich nein Mastodon hat auch keine Fragen für dich habe ich alle geplettet du hast uns alle sprachlos sprachlos gemacht okay aber ich habe ja sowieso gehört dass du ein bisschen knapp dran bist und dass du deswegen auch leider nach dem Perl nicht nochmal Zeit für ein Breakout rumhast das heißt das heißt du wirst wahrscheinlich ein bisschen froh darum sein wenn wir dich etwas früher entlassen ich bedanke mich vielmals für deinen fantastischen Beitrag