In einer Zeit eskalierender und störender Cyberangriffe stehen private Unternehmen unter enormem Druck, ihre digitalen Werte zu schützen. Viele gehen über die passive Verteidigung hinaus und erkunden die "aktive Cyberverteidigung" (ACD) - ein Spektrum von Maßnahmen, das das Sammeln von Informationen über Bedrohungen, den Einsatz von Täuschungstechnologien und die höchst umstrittene Praxis des "Zurückhackens" umfasst. Dieser Artikel bietet eine umfassende Analyse der rechtlichen, ethischen und strategischen Grenzen der Cyber-Selbstverteidigung von Unternehmen. Es wird argumentiert, dass der Impuls, Vergeltung zu üben, zwar verständlich ist, dass aber der rechtliche Rahmen sowohl in den Vereinigten Staaten als auch international ein Minenfeld von Risiken für Unternehmen schafft, die die Grenze zwischen Verteidigung und Angriff überschreiten. Kerngesetze wie der Computer Fraud and Abuse Act (CFAA) enthalten keine Ausnahmeregelung zur Selbstverteidigung, und die völkerrechtlichen Grundsätze der Souveränität und Nichteinmischung schränken grenzüberschreitende Cyberoperationen stark ein. In dem Artikel werden der gescheiterte Vorstoß für Gesetze wie den Active Cyber Defense Certainty Act (ACDC), die schwerwiegenden Risiken von Fehlattribution und Kollateralschäden sowie die strategischen Gefahren einer Eskalation eingehend untersucht.