Cybersicherheit – wie die Politik versagt

Codegesteuerte Angriffe auf zivile und militärische Infrastrukturen gelten als eine der großen neuen sicherheitspolitischen Herausforderungen. Politische Entscheidungsträger, aber auch Vertreter der Sicherheitsindustrie und der Medien, warnen zunehmend vor einem „Cyberkrieg“, der Wirtschaft und Gesellschaft in ein unabsehbares Chaos stürzen könnten. Trotz dieser Rhetorik ist ein Cyberkrieg bislang jedoch ausgeblieben. 

Schon jetzt real ist hingegen die Militarisierung des digitalen Raumes und ein weltweiter Rüstungswettlauf. Eine Ausweitung staatlich verordneter militärischer Kontrolle über den digitalen Raum bedroht Freiheit, Innovation und Sicherheit im Netz – mit verhängnisvollen Auswirkungen für die Menschenrechte ebenso wie für die globale wirtschaftliche Entwicklung und somit für eben die nationale Sicherheit, die vermeintlich geschützt wird.

Fast 50 Staaten gaben 2012 gegenüber den UN an, an militärischen Cyberstrategien oder -fähigkeiten zu arbeiten. Weltweit expandieren Regierungen mit massiven elektronischen Überwachungs- und Aufklärungssystemen für die Abwehr von Cyberattacken. Einige Staaten, allen voran die USA, Israel, China und Russland, entwickeln außerdem offensive Waffen, die auf Schadcode basieren, wie der bekannte Fall Stuxnet zeigt. Auch England und Frankreich sowie der Iran und Nordkorea streben Cyberangriffsfähigkeiten an. 

Ablesen lässt sich eine Militarisierung des digitalen Raumes auch an den zunehmenden Investitionen in militärisch relevante Cybertechnologien, während absolute Verteidigungsetats in den USA und Europa sinken. Obwohl der US-Verteidigungshaushalt für 2015 im Vergleich zum Vorjahr schrumpfte, stieg der Anteil für militärische „Cyberaktivitäten“ auf umgerechnet vier Milliarden Euro und damit ein Prozent des Verteidigungsbudgets an. Auch Großbritannien verkündete letztes Jahr Investitionen in Cyberabwehr- und Überwachungsfähigkeiten, die sich auf umgerechnet eine Milliarde Euro belaufen. Chinas Verteidigungshaushalt stieg in diesem Jahr um mehr als sieben Prozent, Russlands um etwa fünf Prozent an. Davon dürfte ebenfalls ein großer Teil in die Entwicklung von Cyberfähigkeiten geflossen sein. 

Umso besorgnisregender ist, dass es gegenwärtig kein umfassendes Normenwerk gibt, das die „Cyberkriegführung“ zwischen Staaten regelt. Obwohl das 2013 im Auftrag einiger NATO-Staaten verabschiedete Tallin Manual erste Regeln für den „Cyberkrieg“ formuliert, bleiben entscheidende völkerrechtliche Fragen, beispielsweise wann ein Cyberangriff einen militärischen Gegenschlag rechtfertigt, bisher unbeantwortet. Das zeigt auch die jüngste Ausweitung des in Artikel 5 ihres Vertragswerkes festgeschriebenen Nato-Bündnisfalls auf Cyberangriffe. Die Schwelle, die ein Angriff erreichen muss, um einen Fall der kollektiven Verteidigung auszulösen, definierte das Bündnis nicht. Potenzielle Angreifer und Verteidiger bewegen sich daher in einer Grauzone.

Die Militarisierung des digitalen Raumes richtet sich nicht nur gegen andere Staaten, sondern zunehmend auch gegen die eigenen Bürger, wie nicht zuletzt die von Edward Snowden veröffentlichten Dokumente belegen. Autoritäre Regime nutzen ihre nationale Internet-Infrastruktur schon lange zur umfassenden Zensur und Überwachung ihrer Bürger. „Informationssicherheit“ soll hier vor allem die Stabilität der Regime sichern und sie von subversiven Bewegungen abschirmen. Obwohl wir in Demokratien sehr weit von dem chinesischen „Informationssicherheit“-Modell entfernt sind, nutzen auch US-amerikanische und europäische Geheimdienste und Militärs das Internet zur massenhaften Überwachung. Durch den NSA-Skandal ist deutlich geworden, wie Entscheidungsträger in den USA in Kooperation mit europäischen Geheimdiensten über Jahre hinweg unter dem Deckmantel der „Cybersicherheit“ und „Terrorismusbekämpfung“ einen weltweit operierenden militärisch-geheimdienstlichen Apparat ausgebaut haben. Die Tatsache, dass der Leiter der NSA auch Teil des Militärs ist, spricht Bände.

Die US-amerikanische National Security Agency (NSA) hat dabei auch eine direkte Schwächung der Internetsicherheit in Kauf genommen. So hat sie mindestens einen weltweit genutzten internationalen Verschlüsselungsstandard des National Institute of Standards and Technology (NIST) geschwächt, um sich Zugang zu Millionen von Computern zu verschaffen. Zudem zeigen die von Snowden veröffentlichten Dokumente, dass die NSA sich durch Hintertüren Zugänge zu IT-Produkten amerikanischer Firmen wie Routern, Servern und anderen Netzwerkgeräten verschafft hat. Doch diese Schwachstellen bieten ebenfalls Angriffspunkte für Cyberkriminelle, Hacker oder Geheimdienste anderer Staaten auf nationale Netzwerke und kritische Infrastrukturen, welche die NSA schützen soll. Überspitzt könnte man sagen: dies ist ein riskanter Umgang mit der eigenen nationalen Sicherheit. Das Einbauen solcher Hintertüren in Programmiercodes wurde vor einigen Jahren auch aus China bekannt. Die chinesische Regierung hatte von seinen beiden größten IT-Konzernen Huawei und ZTE verlangt, heimliche Zugänge in weltweit exportierte Computerprodukte einzubauen. Solche vorsätzlichen Schwächungen der Internet- und Produktsicherheit haben verheerende Auswirkungen auf die darauf basierende Sicherheit von Individuen, Firmen oder Regierungen weltweit. Zudem gefährdet sie Innovationen und den freien Handel. Aus Misstrauen vor ausländischen IT-Produkten und amerikanischen Geheimdiensten wurden in der Konsequenz aus Europa und vor allem Deutschland Rufe nach nationalen oder europäischen Lösungen laut – in Gestalt eines neuen „Online-Nationalismus“. Dazu gehören Vorschläge zu einer europäischen Cloud oder der rein nationalen Produktion von sicheren IT-Produkten. Der wirtschaftliche Schaden für die amerikanische IT-Industrie, aber auch für den globalen Handel, wären beträchtlich, würden solche Vorschläge umgesetzt. 

Statt Militarisierung und Online-Nationalismus brauchen wir ein Umdenken in unserer Sicherheitskultur. Oberstes Ziel muss sein, in demokratischen Gesellschaften die Grundpfeiler unserer Freiheit zu erhalten. Die Bevorzugung militärischer Interessen muss wieder einer differenzierten Auseinandersetzung über das Nötige und Machbare weichen. 

Ein Umdenken in der Cybersicherheitspolitik erfordert vor allem auch eine klare Differenzierung zwischen den verschiedenen Formen von Bedrohungen und adäquaten Reaktionsmechanismen. Obwohl eine militärische Bedrohung in Form von codegesteuerten Angriffen besteht, liegt das viel größere Problem immer noch in der Cyberkriminalität und -spionage, die weltweit pro Jahr etwa 500 Milliarden US-Dollar kostet. Cyberkriminalität aber sollte nicht mit militärischen Maßnahmen begegnet werden. Sie erfordert eine effektive zivile Kooperation vor allem der juristischen und polizeilichen Institutionen in der internationalen Strafverfolgung. In die Beantwortung digitaler Bedrohungen sollten Entscheidungsträger zudem alle beteiligten zivilen Stakeholder aus Politik, Netzwerkbetreibern, Wirtschaft und Zivilgesellschaft miteinbeziehen. Die Herausforderung für Regierungen liegt vor allem darin, private Netzwerkbetreiber, Firmen und Banken dabei zu unterstützen, ihre Netzwerke zu sichern – wenn nötig, auch durch gesetzlichen Druck. Generell darf die Entscheidung über die Sicherheit ziviler Netzwerke nicht primär dem Militär und den Geheimdiensten überlassen werden.

Ein wichtiger Schritt wäre es, wenn die deutsche und andere Regierungen in ihren wirtschaftlichen Förderprogrammen Investitionen in sichere IT-Technologien stärker unterstützen würden. Im Vordergrund sollten dabei nicht unbedingt stehen, aus welchem Land diese Technologien kommen, sondern welche nachprüfbaren Sicherheitsstandards die Produkte bieten. Kein europäisches oder außereuropäisches Land ist wirklich in der Lage, in einer globalisierten Welt seine IT-Technologie ausschließlich aus nationaler Produktion zu beziehen. Ein Großteil wird auch weiterhin aus dem Ausland geliefert werden müssen. Einzige Bedingung muss sein, dass diese Technologien vor ihrem Einsatz im öffentlichen oder privaten Sektor entsprechende technische Testverfahren durchlaufen und keine eingebauten Hintertüren haben. 

Auf internationaler Ebene sollten sich Regierungen für mehr Kooperation untereinander und Vertrauensbildende Maßnahmen einsetzen, um eine Eskalation auch des digitalen Rüstungswettlaufs zu verhindern. Einige erste Schritte hin zu einem solchen Prozess wurden auf UN-Ebene bereits unternommen. Doch der Abschluss eines internationalen Cybersicherheitsvertrags ist aufgrund der unterschiedlichen nationalen Sicherheitsinteressen und –verständnisse zumindest in näherer Zukunft sehr unwahrscheinlich. Stattdessen könnte internationale Kooperation innerhalb weniger formaler Mechanismen auf der Grundlage von gemeinsamen und weniger politisch aufgeladenen Interessen erfolgen. Ein Interesse, das alle Länder teilen, ist die zuverlässige Funktionsweise des Internets und die Kontrolle von Cyberkriminalität. So könnten zum Beispiel die 2001 von Mitgliedern des Europarats und nichteuropäischer Staaten wie den USA, Japan, Südkorea und anderen unterzeichnete Europäische Konvention zur Cyberkriminalität auf andere Teile der Welt ausgeweitet werden. 

Regierungen könnten sich außerdem für eine Ausweitung der bestehenden Kooperation zwischen technischen Institutionen wie den Computer Emergency Response Teams (CERTs) und anderen Stakeholdern wie zum Beispiel Netzwerkbetreibern und Internetprovidern  engagieren. Diese informellen Bemühungen für die Internetsicherheit könnten dabei helfen, internationale Sicherheitsstandards als Grundlage für Kooperation in anderen Bereichen zu schaffen. Von einer solchen Stärkung der Netzsicherheit würde auch jeder individuelle Nutzer profitieren.

Auf nationaler Ebene müssten demokratische Regierungen vor allem eine verstärkte Kontrolle ihrer Geheimdienste und des Militärs durch ihre Parlamente stärken. Genau das ist es, was sie von autoritären Regimen unterscheidet. Leider unterliegen die NSA wie der Britische GCHQ einer zu geringen Kontrolle der Legislative und Judikative. Gerade in Deutschland ist die juristische und parlamentarische Kontrolle des BND unzureichend. 

Im Zentrum der Sicherheitspolitik muss auch im digitalen Zeitalter die Freiheit des Individuums stehen. Das wäre der stärkste Pfeiler zur Gewährleistung der nationalen wie internationalen Sicherheit.