Zum Hauptinhalt springen

Cyberwarfare – Herausforderungen an das Völkerrecht

Die globale Vernetzung bietet neue Chancen auf Wohlstandsmehrung, Bildung, und demokratische Partizipation. Gleichzeitig öffnen sich im Cyberspace neue Gefährdungshorizonte. Die Zahl, aber auch die Qualität von sogenannten „Cyberattacken“ hat in den letzten Jahren erheblich zugenommen. Erinnert sei nur an die denial of service-Angriffe auf Estland im Jahr 2007 oder die Manipulation iranischer Atomanlagen durch Stuxnet im Jahr 2010. Befeuert durch eine strategische Priorisierung militärischer Cyberkapazitäten insbesondere in den USA und China, die den Cyberspace übereinstimmend als „neue Domäne der Kriegführung“ einstufen1, haben diese Cyberattacken eine kontroverse Diskussion um die Anwendung des Völkerrechts, namentlich des Rechts auf (militärische) Selbstverteidigung im Cyberspace bis hin zur Anwendbarkeit des Kriegsvölkerrechts im Zusammenhang mit zukünftigen Cyberkonflikten (Cyberwarfare) geführt. 

Als geklärt kann dabei mittlerweile die Frage angesehen werden, ob das Völkerrecht, das in relevanten Bereichen auf Verträgen beruht, die zu einer Zeit vereinbart wurden, als die Idee eines Cyberspace noch jenseits jeglicher Vorstellungskraft lag, überhaupt auf Vorgänge im Cyberspace angewendet werden kann. Denn jedenfalls im Hinblick auf diese Ausgangsfrage sind sich die Staaten heute einig: Im Cyberspace herrscht kein (völker-)rechtliches Vakuum. Bis dato geltendes Völkerrecht gelangt auch im Hinblick auf Vorgänge im Cyberspace grundsätzlich zur Anwendung. Die größte Herausforderung besteht somit darin herauszufinden, wie herkömmliche Völkerrechtsregeln unter den besonderen technischen Strukturbedingungen des Cyberspace angewendet werden können und wie sich etwaige Schutz- und Regelungslücken durch eine dynamische Interpretation oder gegebenenfalls eine Reform des bestehenden Rechtsrahmens interessengerecht beheben lassen. Diesen Fragen nachzugehen, ist das Ziel dieses Beitrags, der sich im Sinne der thematischen Ausrichtung dieser Beitragsreihe auf die völkerrechtlichen Grundsatzfragen im Zusammenhang mit der militärischen Dimension des Cyberspace beschränkt. 

Das völkerrechtliche Selbstverteidigungsrecht im Cyberspace

Die völkerrechtliche Diskussion hat sich zunächst in erster Linie auf Cyberattacken konzentriert, die das in Artikel 51 der UN Charta verankerte Recht auf (militärische) Selbstverteidigung auslösen könnten. Konkret ging es dabei um die Frage, wann eine Cyberattacke die Schwelle eines „bewaffneten Angriffs“ im Sinne von Artikel 51 UN Charta erreicht. Denn dann ‒ und nur dann ‒ kommt eine Selbstverteidigung, die im Rahmen der Verhältnismäßigkeit allerdings auch eine konventionelle militärische Reaktion beinhalten könnte, überhaupt in Betracht. Traditionell wird diese Schwelle sehr hoch angesetzt. Wenn das allgemeine Gewaltverbot der UN Charta Bestand haben soll, muss das Selbstverteidigungsrecht ein absolutes Ausnahmerecht bleiben. Das muss auch und gerade für etwaige Cyberattacken gelten. Nur wenn ein Cyberangriff Konsequenzen herbeiführt, die in ihrem Ausmaß und ihrer Schwere mit denen eines konventionellen bewaffneten Angriffs vergleichbar sind, kann von einem das Selbstverteidigungsrecht auslösenden Angriff ausgegangen werden. Technische Experten sind sich einig, dass eine Cyberattacke diese hohe Schwelle durchaus erreichen könnte ‒ etwa wenn Industrieanlagen oder Flug- und andere Verkehrsleitsysteme manipuliert und tatsächlich Tod und Zerstörung verursacht würden. Dieser Auffassung haben sich unlängst auch die NATO Staaten im Rahmen ihrer Cyberstrategie vom Juni 2014 angeschlossen.2 Bislang hat allerdings keine der öffentlich bekannt gewordenen Cyberattacken die Schwelle eines solchen Angriffs erreicht. Dies gilt selbst für die Stuxnet-Attacke aus dem Jahr 2010, die angesichts ihrer physischen Auswirkungen auf das iranische Atomprogramm der Angriffsschwelle von allen bislang bekannt gewordenen Cyberattacken wohl am nächsten kam. Darüber hinaus wird insbesondere auch kontrovers diskutiert, ob ein Cyberangriff auf die Wall Street oder die Frankfurter Börse nicht ebenfalls die Schwelle zu einem das Selbstverteidigungsrecht auslösenden Angriff erreichen könnte. Dafür könnte sprechen, dass ein solcher Cyberangriff womöglich verheerende Konsequenzen nach sich ziehen könnte. Allerdings besteht nach herkömmlicher Lesart Einigkeit, dass wirtschaftliche Schädigungshandlungen keinen „bewaffneten Angriff“ im Sinne von Artikel 51 UN Charta darstellen. Das bedeutet nicht, dass ein Staat solchen Vorgängen tatenlos zusehen müsste. Auch unterhalb der Schwelle des „bewaffneten Angriffs“ gestattet das Völkerrecht als Reaktion auf völkerrechtswidrige Schädigungshandlungen abhängig von der Schwere des Angriffs Gegenmaßnahmen. Auch ist nicht völlig ausgeschlossen, dass das Völkerrecht sich in diesem Bereich in Zukunft verändern könnte, etwa wenn Staaten zu der Auffassung gelangten, dass in global vernetzten Finanz- und Wirtschaftssystemen wirtschaftliche Schädigungshandlungen durch Cyberattacken eine völlig neue und potenziell existenzbedrohende Dimension erreichen können. Bislang gibt es für eine derart veränderte Sichtweise der Staaten allerdings keinerlei Anhaltspunkte. 

Aufgrund der technischen Besonderheiten des Cyberspace wird aber – unabhängig von der Schwellendiskussion – eine Berufung auf das Selbstverteidigungsrecht auch aus einem anderen Grund in zahlreichen Fällen nicht in Betracht kommen. Denn Selbstverteidigung setzt immer eine eindeutige Identifikation des Angreifers voraus. Eine Selbstverteidigung „ins Blaue hinein“ hat der Internationale Gerichtshof in Den Haag ausdrücklich ausgeschlossen. Diese unumgängliche Identifikation des Angreifers und die dafür erforderliche Beweisführung sind aber gerade im Cyberspace in vielen Fällen erheblich erschwert. Jedenfalls in dem engen Zeitfenster, innerhalb dessen eine Selbstverteidigung gegen einen bewaffneten Angriff nur in Betracht kommt, wird sie in vielen Fällen nicht gelingen. Die Möglichkeiten zur Verschleierung beziehungsweise Manipulation des Ausgangspunkts eines Angriffs im virtuellen Raum erscheinen gerade für militärisch versierte Staaten nahezu unbegrenzt. 

Militärische Cyberoperationen im Rahmen (zukünftiger) bewaffneter Konflikte

Neben der Diskussion um das Recht auf Selbstverteidigung wird insbesondere auch diskutiert, ob das humanitäre Völkerrecht geeignet ist, militärische Cyberoperationen in zukünftigen bewaffneten Konflikten entsprechend seiner humanitären Zielrichtung adäquat zu begrenzen. Im Hinblick auf bestimmte militärische Cyberoperationen ist die humanitär-völkerrechtliche Bewertung schon heute klar. Eine Cyberattacke, mit der ein klar identifiziertes, rein militärisches Ziel angegriffen wird – etwa wenn eine militärische Kommandozentrale durch eine Cyberattacke lahmgelegt werden soll – erweckt keine humanitär-völkerrechtlichen Bedenken. Derartige Vorgehensweisen sind im Kontext eines bewaffneten Konfliktes nach geltendem Völkerrecht legal. Ebenso klar ist auch, dass eine Schadsoftware, die sich vergleichbar mit einer biologischen Waffe unkontrolliert ausbreitet und zivile wie militärische Einrichtungen schädigt, eindeutig verboten ist. Insgesamt werden sich die meisten Szenarien, in denen der Cyberspace – vergleichbar etwa mit der Luft bei einem Luftangriff – letztlich nur als Medium benutzt wird, um einen Angriff gegen ein physisches Ziel auszuüben, auf der Grundlage des geltenden Völkerrechts erfassen lassen und werfen jedenfalls keine grundlegend neuartigen Fragestellungen auf. 

Weitaus schwieriger erscheint hingegen die rechtliche Bewertung, wenn Komponenten (Hard- und Software) der Cyberinfrastruktur selbst zum strategischen Angriffsziel gemacht werden sollen. In dem Maße, in dem Staaten ihre Kapazitäten zur Kriegführung im Cyberspace aufrüsten, wird dieses Szenario zunehmend relevanter. Hier bestehen zum Teil noch erhebliche und bedenkliche rechtliche Grauzonen. 

Die vernetzte Struktur des Cyberspace erschwert zudem die Anwendung des für das humanitäre Völkerrecht fundamentalen Unterscheidungsprinzips. Nach diesem Prinzip ist im bewaffneten Konflikt stets zwischen militärischen (angreifbaren) und zivilen (vor direkten Angriffen geschützten) Objekten zu unterscheiden. Im global vernetzten Raum des Cyberspace lässt sich dieses Prinzip womöglich nicht aufrechterhalten und es besteht die Gefahr, dass unterschiedlichste Komponenten der Cyberinfrastruktur viel zu leicht als militärisches Angriffsziel qualifiziert werden könnten. Die Logik des humanitären Völkerrechts wäre damit auf den Kopf gestellt. Das Problem besteht dabei darin, dass nach geltendem Recht grundsätzlich jedes Objekt, das in einem bewaffneten Konflikt für militärische Zwecke genutzt wird, für die Dauer dieser militärischen Nutzung rechtlich als zulässiges Angriffsziel gilt. Während allerdings in traditionellen Konflikten die Zahl solcher sogenannter dual use-Objekte (das heißt zivile Objekte, die für militärische Zwecke genutzt werden können) überschaubar war, ist dies im Cyberspace anders. Die weltweite zivile Cyberinfrastruktur eignet sich nicht nur potenziell zur zivilen und militärischen Nutzung, sie wird schon heute in großem Umfang (simultan) auch für militärische Zwecke genutzt.3 Im Fall eines bewaffneten Konflikts könnte dies zur Folge haben, dass insbesondere technologisch führende Staaten einer Auslegung folgen werden, die auch in militärischer Hinsicht größtmögliche Handlungsspielräume und Zugriffsmöglichkeiten eröffnet. Angesichts des enormen Datenhungers der NSA – schon in Friedenszeiten – erscheint diese Befürchtung keineswegs unbegründet. Europäische Staaten sollten sich hier klarer als bisher für eine enge Auslegung stark machen. 

Hinzu kommt, dass angesichts der weitreichenden Vernetzung des Cyberspace militärische Angriffe auf zentrale Komponenten der Cyberinfrastruktur weitreichende und schwer kalkulierbare Auswirkungen auf Zivilpersonen und zivile Anwendungen haben könnten. Das Internationale Komitee des Roten Kreuzes hat bereits eindringlich auf diese Problemlage hingewiesen.4 Da die NATO-Staaten in ihrer Abschlusserklärung von Wales gerade erst bestätigt haben, dass in Zukunft mit höher entwickelten, häufigeren und potenziell schwereren Cyberangriffen zu rechnen sein wird5, erscheint auch in dieser Hinsicht eine eingehendere Untersuchung der Problemlage auf staatlicher Ebene geboten und eine klare Positionierung zur Anwendung und Auslegung des humanitär-völkerrechtlichen Verhältnismäßigkeitsprinzips, das bei Auswirkungen auf die Zivilbevölkerung eine wichtige Grenze zieht, im Cyberspace wünschenswert. Das US State Department hat diesbezüglich bereits erste Vorschläge unterbreitet, die in die richtige Richtung zielen.6

Fazit

Als Fazit bleibt festzuhalten: Das Recht auf Selbstverteidigung besteht auch im Cyberspace. Angesichts der erheblichen Beweisschwierigkeiten im virtuellen Raum ist bei einer zukünftigen Berufung auf dieses Recht im Zusammenhang mit Cyberattacken größte Zurückhaltung geboten. Im Bereich des humanitären Völkerrechts besteht bei vielen Fragen im Zusammenhang mit potenziellen Auswirkungen auf die Zivilbevölkerung noch erheblicher Klärungsbedarf. Diese können insbesondere in Staaten, in denen immer größere Teile des wirtschaftlichen und gesellschaftlichen Lebens auf einen funktionsfähigen Cyberraum angewiesen sind, gravierend sein. Bei dem bloßen Bekenntnis, dass der Cyberraum kein völkerrechtliches Vakuum darstellt, darf die Debatte daher keinesfalls stehen bleiben. 

Abschließend ist darauf hinzuweisen, dass der virtuelle Raum über die militärische Dimension hinaus eine Vielzahl weiterer Gefährdungspotenziale eröffnet, die erst nach und nach in den Vordergrund der (völkerrechtlichen) Diskussion gerückt sind. Dies gilt insbesondere für die im Zusammenhang mit der NSA-Affäre offenkundig gewordene Bedrohung der Privatsphäre und der Meinungsfreiheit durch das Verschmelzen klassischer Spionageaktivitäten mit einer massenhaften Überwachung Einzelner, aber auch in Bezug auf Wirtschaftsspionage und das große Spektrum der Cyberkriminalität. Während die Diskussion um die militärische Dimension des Cyberspace eine in die Zukunft gewandte Debatte ist, die in Ermangelung einer entsprechenden (erkennbaren) Staatenpraxis in Teilen auf Spekulationen um die militärischen Möglichkeiten im Cyberspace beruht, sind Massenausspähungen, Wirtschaftsspionage und Cyberkriminalität schon heute keine hypothetischen, sondern höchst reale Gefährdungsszenarien.

1 Siehe The Economist, War in the Fifth Domain, 1. Juli 2010, www.economist.com/node/16478792.

2 NATO, Wales Summit Declaration, 4.‒5. September 2014, Rn. 72 ff., www.nato.int/cps/en/natohq/official_texts_112964.htm.

3 US Department of State, International Law in Cyberspace, 18 September 2012, www.state.gov/s/l/releases/remarks/197924.htm.

4 IKRK, What limits does the law of war impose on cyber-attacks?, 28 June 2013, www.state.gov/s/l/releases/remarks/197924.htmhttps://www.icrc.org/eng/resources/documents/faq/130628-cyber-warfare-q-and-a-eng.htm.

5 NATO, Wales Summit Declaration, 4-5 September 2014, Rn. 72 ff., www.nato.int/cps/en/natohq/official_texts_112964.htm.

6 US Department of State, International Law in Cyberspace, 18 September 2012, www.state.gov/s/l/releases/remarks/197924.htm.

Zusammenfassung

Prof. Dr. Robin Geiß

Prof. Dr. Robin Geiß ist Inhaber des Lehrstuhls für Internationales Recht und Sicherheit an der Universität Glasgow und Leiter des Forschungsprojekts „Völkerrechtliche Beiträge zur Ermöglichung von Sicherheits-Governance in Räumen begrenzter Staatlichkeit“ am Sonderforschungsbereich 700 in Berlin. Zuvor war er Professor für Völker- und Europarecht an der Universität Potsdam und UN-Delegierter sowie Rechtsberater für das Internationale Komitee vom Roten Kreuz (IKRK) in Genf und New York. Robin Geiß ist Managing Editor des „Yearbook of International Humanitarian Law“ und Rapporteur einer Arbeitsgruppe der International Law Association, welche die Herausforderungen asymmetrischer bewaffneter Konflikte untersucht. Er war zudem Mitglied der internationalen Expertengruppe, die unter der Ägide des NATO-Cyber-Abwehrzentrums in Tallinn das sog. „Tallinn Manual“ zum Thema Cyberwarfare erstellt hat.

Robin.Geiss@glasgow.ac.uk


Download als PDF

Alle Artikel dieser Ausgabe

Cybersicherheit und Freiheitsrechte – eine Aufgabe für die Europäische Union
Annegret Bendiek
Ein ethisches Argument für Hochsicherheits-IT
Sandro Gaycken
Cyberwarfare – Herausforderungen an das Völkerrecht
Robin Geiß
Staatlicher Hacktivismus und der "Soft War"
George R. Lucas, Jr.
Cyberwarfare – Hype oder Bedrohung?
Götz Neuneck
Warum uns die Militarisierung des Cyberspace beunruhigen sollte
Dinah PoKempner
Wie kann Ethik bei der Regelung des Cyberkriegs helfen?
Mariarosaria Taddeo

Specials

Isabel Skierka Felix FX Lindner Michael Hange