Vom Spam genervt, schlägt ein IT-Spezialist zurück: Er hackt sich in die Datenbank des Absenders. Was er herausfindet: Spammer kochen auch nur mit Wasser. Und ihre IT ist nicht besser gesichert als irgendeine andere.

Die Polizei empfiehlt, auf Spam-Mails grundsätzlich niemals zu antworten. Manche tun es trotzdem und haben ihren Spaß dabei. Sie verwickeln die Spammer in endlos lange absurde Korrespondenzen. Und wieder andere gehen noch weiter: Sie hacken zurück. Nachdem Heise über einen solchen Fall berichtet hatte, entwickelte sich bei uns in der Mittagspause eine lebhafte Diskussion im Kollegenkreis. Die einen bemängelten, dass die Polizei zu wenig tut. Andere fanden, die Story sei doch ein gutes Argument dafür, Behörden und Sicherheitsdienste zum Hackback zu befähigen. Ich widersprach, und zwar aus folgenden Gründen:

Betrachten wir mal das Level, auf dem hier gespielt wird: Der “Angriff” ist eine ganz normale Spam-Mail, spielt also auf der niedrigsten Bedrohungsstufe. Anscheinend hat der Spammer seine Werkzeuge aus irgendeinem Darknet-Forum bezogen und geht unbeschwert von allzu großer Sachkenntnis ans Werk.

Die geschilderten Gegenmaßnahmen dagegen sind schon deutlich ausgefeilter: SQL-Injection, Cross-Site-Scripting, DNS-Umleitungen. Auch das ist alles kein Hexenwerk – aber die Feuerkraft des Verteidigers ist doch deutlich größer als die des Angreifers.

Aus dem Cyberspace in die so genannte Wirklichkeit übertragen, würde ich das Geschehen ungefähr auf diesem Level einordnen: Der Angreifer ist ein kleines Kind, das mit Sand um sich wirft, der Verteidiger ist die Erzieherin, die das Kind aus dem Sandkasten nimmt.

Wenn man staatliche Stellen mit Hackback-Fähigkeiten ausrüsten will, geht es um ganz andere Fragen. Da geht es um ausgefeilte Angriffstechniken, wie zum Beispiel die Tajmahal-Spyware, über die ich Ende April schrieb. Da geht es um Zero-Day-Exploits, die man nicht fixt, sondern für sich behält und damit die IT-Sicherheit für alle schwächt. Da geht es nicht um irgendeine kleine Klitsche mit einem Plaste-Router, sondern da geht es um Gegner, die im Zweifelsfall genau so stark oder stärker sind wie die eigene Organisation. Und auf dieser Ebene macht Hackback überhaupt keinen Sinn. Auf dieser Ebene bräuchten wir vielmehr dringend digitale Abrüstungsverträge.

Und falls Sie privat Lust bekommen haben, einen Spammer zu hacken: das ist leider illegal. Ein Recht zur digitalen Notwehr im Cyberspace gibt es nicht.

Die Heise-Story finden Sie hier.