Deutschland muss offensive Fähigkeiten im Cyberspace entwickeln und auch einsetzen. Wir können uns dieser bereits stattfindenden Auseinandersetzung nicht länger verweigern.

Das Wort „Hackbacks“ verabscheue ich. Es ist ein aufgeblasener Politik-Marketing-Begriff, der falsche Assoziationen hervorruft. Als ob als direkte Antwort auf irgendwelche Hacks irgendwie „zurückgecybert“ würde. So funktioniert das aber nicht. Es geht nicht um Gegenschläge, sondern darum, ob man sich an einer Auseinandersetzung im Cyberspace aktiv beteiligt. Also lasst uns lieber von „offensiven Cyber-Fähigkeiten“ reden.

Eskalation im Cyberspace

Damit meine ich Möglichkeiten, in einer Auseinandersetzung durch gezielte Cyber-Angriffe Informationen über den Gegner zu beschaffen, diesen zu beeinflussen und auch seine IT-Infrastruktur lahmzulegen. Die Auseinandersetzung gibt es bereits. Da tobt seit Jahren ein Krieg direkt vor unserer Haustür, in dem wir ganz eindeutig und aus guten Gründen für die angegriffene Ukraine und damit gegen den Aggressor Russland Partei ergriffen haben. Wir sind also bereits Teil davon.

Und wir sehen auch die Auswirkungen im Cyberspace bereits: Russland greift Europa und die NATO mit all seinen Cyber-Kräften an. Die Kreml-nahe Gruppe NoName057(16) koordiniert ganz offen DDoS-Angriffe gegen europäische Behörden und Unternehmen. Sie führt sogar öffentliche Hitlisten der aktuell ins Visier zu nehmenden Opfer. Auch heise online tauchte dort nach Russland-kritischen Äußerungen bereits auf. Russlands Geheimdienste betreiben außerdem in großem Stil Desinformationskampagnen, die auf Verunsicherung der Bevölkerung und Destabilisierung unserer Demokratie abzielen.

Und zur Jahreswende hat Russland eine weitere rote Linie überschritten. Wie das polnische CERT detailliert dokumentiert, haben – mit ziemlicher Sicherheit russische – Angreifer mit einem zerstörerischen Sabotage-Angriff die Energieversorgung unseres Nachbarlandes attackiert. Polen ist genau wie wir EU- und NATO-Mitglied. Dass es trotzdem darauf bisher keinerlei Reaktion des Westens gab, wird vor allem eines zur Folge haben: Russland wird im Cyberspace munter weiter eskalieren. Die nächsten Cyber-Angriffe könnten Energie-Versorger hier in Deutschland treffen.

Funktioniert unser Cyber-Pazifismus?

Ich stelle mir seither die Frage: Können wir es uns wirklich leisten, uns dieser Auseinandersetzung im Cyberspace komplett zu verweigern oder genauer: dort immer nur einzustecken? Dem Cyber-Bully Russland die andere Cyber-Wange hinhalten, in der Hoffnung – ja welcher Hoffnung? Die werden doch nicht einfach aufhören. Warum sollten sie, wenn es funktioniert und für sie keine negativen Konsequenzen hat? Wir brauchen Möglichkeiten, diesen Aggressor in seine Schranken zu verweisen.

Man kann jetzt über die Unzuverlässigkeit der Informationen zur Täterschaft lamentieren. Doch Attribution hat sich so weit entwickelt, dass sie brauchbare Informationen über Tätergruppen und deren Herkunft liefern kann. Natürlich bleibt das Zuweisen der Verantwortung für Cyber-Angriffe ein schwieriges Handwerk, und es bleibt dabei immer etwas Rest-Unsicherheit. Genau deshalb machen direkte 1:1-Aktionen keinen Sinn. Denn da bestünde tatsächlich die Gefahr, mal den falschen zu beschuldigen und sich mit einer übereilten, direkten Antwort ins Unrecht zu setzen. Doch die generelle Entwicklung ist klar und unumstritten: Russland hat in den vergangenen Jahren seine Cyber-Angriffe gegen Europa und die NATO massiv ausgeweitet. Daran gibt es nichts zu deuteln. Und darauf haben wir – also Deutschland, die EU und die NATO – bislang keine angemessene Antwort.

Die könnte natürlich auch in anderen Bereichen erfolgen. Doch das haben wir ja bereits alles durchexerziert – ohne dass es Russland von einer Eskalation seiner Cyber-Aktivitäten abgeschreckt hätte. Glaubt jemand ernsthaft, dass eine Drohung mit weiteren Sanktionen oder der Ausweisung von Diplomaten Putin davon abhalten könnte, einen Cyber-Strike gegen deutsche KRITIS-Infrastruktur abzusegnen? Mit offensiven Cyber-Fähigkeiten ergeben sich da jedoch neue Möglichkeiten.

Gezielte Aktionen mit überschaubarem Risiko

Was spräche denn dagegen, in die IT-Infrastruktur von NoName* einzudringen und diese nachhaltig zu sabotieren? Das wäre ein deutlicher Schlag gegen Russlands offensive Cyber-Aktivitäten und es demonstriert, dass wir in der Lage und bereit sind, auf Eskalation in diesem Bereich zu reagieren. Man könnte auch wichtige Personen in Russlands Kriegs-Maschinerie identifizieren, deren Kommunikation überwachen und ihre Handys mit Spionage-Software infizieren. Die daraus gewonnenen Informationen wären sicher überaus nützlich für die Koordination weiterer Aktionen – auch außerhalb des Cyberspace.

Insbesondere bei Sabotage-Aktionen kann man zwar unbeabsichtigte Nebenwirkungen nie völlig ausschließen. Doch man darf diese Gefahr auch nicht überzeichnen. Tausende Ransomware-Attacken haben trotz ihres rücksichtslosen Charakters bislang vor allem finanziellen Schaden angerichtet. Wenn man Cyber-Strikes mit Bedacht ausführt, kann man anders als etwa bei Raketenangriffen die Gefahr für Menschenleben sehr gering halten.

Natürlich bedeutet das nicht, dass man die defensiven Bemühungen im Cyber-Space vernachlässigen darf. Bessere IT-Sicherheit und mehr Resilienz sind unverzichtbar und haben höchste Priorität. Speziell der Angriff auf Polens Energieversorger zeigt, dass da trotz NIS-2 noch vieles im Argen liegt. Aber Deutschland, die EU und die NATO brauchen jetzt auch offensive Fähigkeiten im Cyberspace, um in der Auseinandersetzung mit Russland nicht dauerhaft am kürzeren Hebel zu sitzen.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)

Angeblich gibt die kriminelle Online-Bande Lapsus$ in einem Untergrundforum an, einen Datensatz von Adidas im Extranet des Unternehmens kopiert zu haben. Der soll 815.000 Zeilen umfassen.

Laut dem Eintrag im Untergrundforum von der eigentlich nicht mehr eigenständig auftretenden Gruppierung Lapsus$, die zuletzt im Konglomerat „ShinyHunterLapsus“ auftrat, enthält die Datenbank Vornamen, Nachnamen, E-Mail, Passwort, Geburtstag und „eine Menge technische Daten“. Zudem deuten die Täter weitere entfleuchte Daten größeren Umfangs an: „Something bigger is coming, just wait. You will like it.“ schreiben sie dort. Auf Deutsch: „Etwas Größeres kommt, wartet ab. Ihr werdet es mögen“. Der Eintrag der Cyberkriminellen datiert auf den 16. Februar 2026. Mehr Details gibt es bislang nicht.

Auf Anfrage von heise online erklärte Adidas: „Wir wurden auf einen möglichen Datenschutzvorfall bei einem unabhängigen Lizenznehmer und Vertriebspartner für Kampfsportprodukte aufmerksam gemacht. Es handelt sich dabei um ein unabhängiges Unternehmen mit eigenen IT-Systemen. Wir haben keinerlei Hinweise darauf, dass die IT-Infrastruktur von adidas, unsere eigenen E-Commerce-Plattformen oder unsere Kundendaten von diesem Vorfall betroffen sind.“

Weitergehende Informationen bislang nicht verfügbar

Den Namen des betroffenen Vertriebspartners nennt Adidas hingegen nicht. Ebenso lässt der Hersteller im Dunkeln, welche Daten und in welchem Umfang sie potenziell betroffen sind, da der Lizenznehmer darauf Zugriff hat.

Sollten tatsächlich die von der angeblichen Lapsus$-Gruppe entwendeten Daten Namen und E-Mails sowie den Kontext „Adidas“ umfassen, können Angreifer damit gezielteres Phishing starten. Bei vermeintlichen Nachrichten von Adidas sollten Empfänger daher besondere Vorsicht walten lassen.

Es handelt sich nicht um den ersten IT-Sicherheitsvorfall, der im Kontext des Sportartikelherstellers Adidas bekannt wird. Bereits im Mai vergangenen Jahres haben Kriminelle Daten von Adidas-Kunden abgegriffen. Der Umfang war auch damals unklar. Die Daten bestanden damals „im Wesentlichen aus Kontaktinformationen, die zu Kunden gehören, die unseren Kundendienst in der Vergangenheit kontaktiert haben“, erklärte das Unternehmen dort. Auch da kam es offenbar zum unbefugten Datenzugriff bei einem „beauftragten Kundendienstanbieter“.

(dmk)

Im Dezember vergangenen Jahres hat die Europäische Kommission erstmals ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei unter anderem zu dem Ergebnis, dass das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, nicht DSA-konform ist. Die Kommission verhängte eine Strafe von 120 Millionen Euro; X hat bis Anfang März Zeit, seine Plattform anzupassen. Der DSA ist das zentrale EU-Gesetz zur Regulierung großer Online-Plattformen und soll unter anderem Transparenz schaffen, Risiken für die öffentliche Meinungsbildung begrenzen und Forschung zu diesen Risiken ermöglichen.

Inzwischen liegt die Begründung der Kommissionsentscheidung vor. Am 28. Januar veröffentlichte der von Republikanern geführte Justizausschuss des US-Repräsentantenhauses ein Dokument der Europäischen Kommission, das die Gründe für ihre Entscheidung gegen X im Dezember darlegt. Es zeigt, wie die EU den DSA konkret durchsetzen will – und welche Rolle Datenzugang und wissenschaftliche Evidenz dabei spielen.

Die politisch motivierte Veröffentlichung und Einordnung durch den Justizausschuss, der im DSA vor allem europäische Zensurabsichten sieht, sind zwar fragwürdig. Sie ändern aber nichts an der inhaltlichen Bedeutung der Begründung selbst. Ein zentraler Bestandteil der Begründung betrifft Versäumnisse beim Gewähren von Datenzugang für Forschende nach Artikel 40(12) DSA. Dieser Datenzugang soll es ermöglichen, systemische Risiken für die EU zu erforschen – etwa Desinformation oder süchtigmachende Plattform-Designs.

Dass Plattformen diesen Zugang bislang häufig nicht freiwillig gewährten, war einer der Gründe für die Einführung des DSA. Aus dem Urteil liest sich, dass X nur knapp fünf Prozent der Anfragen von Wissenschaftler:innen genehmigt hat. Es handelt sich hier also um ein strukturelles Problem.

Enge Auslegung und Verzögerungstaktiken sind unzulässig

Die EU-Kommission stellt unmissverständlich klar, dass Plattformen das gesetzlich verankerte Recht auf Datenzugang nicht in ein von ihnen kontrolliertes Privileg umdeuten dürfen. X hatte Anträge systematisch abgelehnt, wenn Forschende nicht zweifelsfrei nachweisen konnten, dass die beantragten Daten ausschließlich der Erforschung systemischer Risiken dienen. Diese enge Auslegung widerspricht laut Kommission dem Zweck des Gesetzes. Forschende müssen nicht beweisen, dass man aus „Mehl, Butter und Eiern nur einen einzigen Kuchen backen kann“.

Erstmals wird zudem konkretisiert, was als unzulässige Verzögerung gilt: Eine Bearbeitungszeit von mehr als zwei Monaten ordnet die Kommission ausdrücklich als „undue delay“ ein – also als unerlaubteVerzögerung. Damit erhalten Forschende erstmals eine belastbare rechtliche Orientierung. Auch der Versuch, Datenzugang an Kosten, institutionelle Zugehörigkeit oder einen EU-Standort zu knüpfen, weist die Europäische Kommission zurück.

Scraping ist zulässig – auch ohne Plattformgenehmigung

Eine weitere wegweisende Klarstellung betrifft das Scraping, also das automatisierte Auslesen öffentlich zugänglicher Inhalte. Diese Zugangsform ist zentral, um Plattformdaten auch ohne Mitwirkung der Anbieter zu erheben und von Plattformen bereitgestellte Daten überprüfen zu können.

Die Kommission stellt klar, dass Forschenden dieses Recht zusteht, sofern sie die Kriterien aus Artikel 40(12) und 40(8) DSA erfüllen: Forschung zu systemischen Risiken, kein kommerzielles Interesse, transparenter Umgang mit Finanzierung und nachweisbare Datenschutz- sowie Sicherheitsmaßnahmen.

Plattformen dürfen Scraping nicht pauschal über ihre Nutzungsbedingungen untersagen, und eine vorherige Genehmigung ist nicht erforderlich – gerade weil hier die Gefahr eines „undue delay“ besteht.

Evidenz aus der Forschung hat Beweiswert

Besonders bemerkenswert ist, wie die Kommission mit der Frage der Evidenz umgeht. Sie weist die Vorstellung zurück, der Beweiswert müsse an akademische Seniorität, große Stichproben oder klassische Peer-Review-Formate gebunden sein. Entscheidend seien stattdessen methodische Sorgfalt und faktische Relevanz für den konkreten Fall.

In diesem Zusammenhang verweist die Begründung mehrfach auf den vom DSA40 Data Access Collaboratory am Weizenbaum-Institut betriebenen Data Access Tracker. Obwohl die Daten aus der wissenschaftlichen Community gesammelt wurden und keine Zufallsstichprobe darstellen, attestiert die Kommission der Erhebung ausdrücklich Beweiswert im juristischen Sinne. Auch ein von X kritisierter Preprint – ein noch nicht begutachteter Forschungsartikel – wird als relevante Evidenz anerkannt, nicht zuletzt, weil er später peer-reviewed veröffentlicht wurde.

Methodisch nachvollziehbare Forschung wird hier selbst zur Grundlage regulatorischer Durchsetzung.

Relevanz nicht nur für X

Politisch ist die Begründung der Kommission damit weit mehr als eine Einzelfallentscheidung gegen X. Sie markiert einen Meilenstein in der Durchsetzung des Digital Services Act: Forschung wird nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Indem die Kommission methodisch nachvollziehbare Forschung ausdrücklich als rechtlich relevante Evidenz anerkennt und Plattformen klare Grenzen bei Verzögerung, Kosten und Zugangsbeschränkungen setzt, verschiebt sich das Machtgefüge zugunsten von Öffentlichkeit und Wissenschaft. Ob diese Standards künftig konsequent durchgesetzt werden und möglichen Klagen der Plattformen standhalten, wird entscheidend dafür sein, ob der DSA sein zentrales Versprechen einlösen kann: Plattformregulierung nicht nur auf dem Papier, sondern auf Basis überprüfbarer Beweise.

Dass diese Prinzipien nicht nur abstrakt gelten, sondern praktisch durchsetzbar sind, zeigt der jüngste Erfolg von Democracy Reporting International gegen X. Gerichte bestätigen zunehmend, dass Forschende ihren Anspruch auf Datenzugang aktiv einklagen können – und damit eine zentrale Rolle bei der demokratischen Kontrolle von Plattformen einnehmen.

Dr. Jakob Ohme leitet die Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und untersucht dort die Rolle des digitalen Journalismus im Spannungsfeld von Influencern und Künstlicher Intelligenz. Er ist zudem Co-Principal Investigator im #DSA40 Collaboratory und arbeitet dort an kooperativen Modellen für den Zugang zu Plattformdaten im Rahmen des Digital Services Act der EU. LK Seiling ist Plattformforscher in der Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und koordiniert die Arbeit des #DSA40 Collaboratory als Experte für Forschungsdatenzugang.