Cyberwarfare – Hype oder Bedrohung?

Der Begriff des Cyberwar erlebt seit einigen Jahren einen beispiellosen Hype. Schuld daran sind aufsehenerregende Fälle von Cyberangriffen auf Großunternehmen, Banken und Regierungen sowie die häufige Verwendung des Begriffs Cyberkrieg durch die Medien. Auch werden Staaten immer wieder mit Cyberangriffen in Verbindung gebracht. Spektakuläre Angriffe auf Estland, Georgien, Iran oder Saudi-Arabien sind politisch motiviert. Folgerichtig ist das Thema Gegenstand internationaler Debatten und staatlicher Planungen geworden. Schließlich nutzen auch Staaten und ihre Regierungen zunehmend digitale Techniken, sei es zur Überwachung oder Spionage, sei es zur Kommunikation oder zur Optimierung des Streitkräfteeinsatzes. Waffensysteme sind heute vernetzt und fußen auf digitalen Technologien. Daher rührt die Debatte um die Entwicklung, Beschaffung und den Einsatz teilautomatisierter Kampfdrohnen. Solche unbemannten Systeme sind nur steuerbar, wenn sie über Datenverbindungen, Computersysteme und Bodenstationen verfügen. Sie sind ebenso Bestandteil des Cyberraums wie viele andere zivile und militärische Systeme auch. Das Pentagon bezeichnet den Cyberspace inzwischen als „neue Domäne der Kriegführung“. Damit stellt sich für Regierungen, Streitkräfte und die Gesellschaft als Ganzes die Frage nach der Stärkung der friedlichen Nutzung der Cybersphäre, der Abwehr künftiger Bedrohungen und dem Aufbau einer wirkungsvollen, demokratischen Kontrolle. 

Westliche Gesellschaften treten seit Langem für ein „offenes, sicheres und friedliches Internet“ ein, gleichzeitig bereitet sich westliches Militär auf den elektronischen Kampf im Cyberraum vor. Neue militärische Anwendungen und Gewalteinsätze führen vor dem Hintergrund des technischen Fortschritts stets zu ethischen, völkerrechtlichen und sicherheitspolitischen Herausforderungen für den einzelnen Soldaten, aber auch für die Staatenwelt. Unter welchen Bedingungen dürfen Cyberangriffe angewendet werden? Was ist eine adäquate Reaktion auf einen Cyberangriff? Wie schützt man sich gegen Angriffe? Welche Prinzipien des internationalen Völkerrechts sind anwendbar und wo fehlen Regelungen? Zunächst ist zu klären, ob es so etwas wie Cyberkrieg in Zukunft tatsächlich geben wird und welche möglichen Implikationen sich daraus für Streitkräfte und Gesellschaften ergeben. Sodann ist zu analysieren, ob heutige internationale Regelungen zur Begrenzung eines Cyberkriegs ausreichen und welche konkrete Verantwortung für Gesellschaften, Regierungen, Streitkräfte sowie Einzelnutzer daraus erwachsen.

In mehreren Debatten, die sich gegenseitig überlappen, geht es zum einen um die Zukunft des „globalen, freien und offenen“ Internets auch vor dem Hintergrund der Bestrebung einzelner Staaten, die Kontrolle über die nationale und globale Infrastruktur zu erlangen (Internet Governance). Zum anderen besteht die Befürchtung, dass das Internet vermehrt für militärisch motivierte Cyberangriffe verwendet werden könnte. Im Kriegsfall könnten Angriffe nicht nur auf klassische militärische Ziele geführt werden, sondern auch auf private und öffentliche Infrastrukturen, so dass das moderne Leben zum Stillstand käme. Fallen Kommunikationsinfrastrukturen wie das Internet oder die Stromversorgung längerfristig aus, werden zentrale gesellschaftliche Funktionen unterbrochen und belasten eine moderne Gesellschaft nachhaltig. Zum dritten könnten Militärs ihre Kampfhandlungen nicht nur z. B. im Internet austragen, sondern auch mit konventionellen Kriegsmitteln auf Cyberangriffe antworten und mit „kinetischen Mitteln“ wichtige Elemente des Cyberspace angreifen.

Was ist Cyberwarfare? Findet Krieg im Internet statt?

Unter einem Cyberwar versteht man einen koordinierten Cyberangriff eines Landes auf die Regierungs- oder zivilen Informationsnetzwerke eines gegnerischen Landes, um seine Computersysteme oder Informationsnetzwerke zu unterbrechen, lahmzulegen oder zu zerstören. Das Präfix Cyber- (griechisch Steuerung) ist dabei recht unpräzise und wird heute für alle möglichen Domänen wie die Nachrichtenübertragung, das Internet oder die Telefonnetze verwendet. Heute finden Cyberangriffe, also illegales Eindringen in fremde Computer zum Zwecke der Datenausspähung, Manipulation oder des Datendiebstahls im Internet täglich statt. Das Ziel sind oft Großunternehmen, aber auch militärische Netze oder Regierungen. Da jeder Nutzer Zugang zum Internet hat, ist oft unklar, von wem die Attacken stammen und welche Motive dahinterstecken. Oft ist der Schaden gering und rein ökonomisch. Schadprogramme, die zur Blockade von Internetseiten oder zum Datendiebstahl genutzt werden, sind allgemein zugänglich. Die Angriffsroutinen werden komplexer ‒ so können Botnetz-Attacken, bei denen Rechner aus verschiedenen Ländern gekapert werden, ferngesteuerte Angriffe ausführen. Nicht-intrusive Denial of Service (DOS)-Angriffe haben          z. B. 2007 in Estland Bank- und Regierungsseiten lahmgelegt. Cyberangriffe sind heute auch Beiprodukte realer Konflikte wie in der Ukraine oder in Syrien, wo Webseiten der Konfliktparteien attackiert werden. Komplexere, intrusive Angriffe mit Viren oder Trojanern können dabei allerdings erheblich größere Schäden anrichten, insbesondere wenn kritische Infrastrukturen wie z. B. die Stromversorgung oder das Finanzsystem getroffen werden. 

Hinweise auf offensive Cybertools:

Mit der Entdeckung von Stuxnet 2010 wurde erstmals eine Schadsoftware öffentlich, mit der es gelungen war, durch die Kombination einer Späh- mit einer Steuerungsmalware die umstrittene Urananreicherungsanlage in Natanz, Iran, zu infiltrieren und einige hundert Zentrifugen direkt zu zerstören, also Cybersabotage zu betreiben. Man kann den Stuxnet-Wurm durchaus als erste digitale, zielgerichtete „Cyberwaffe“ bezeichnen. Offensive Cybertools sind Programmcodes, die in eine logische oder physische Umgebung eindringen und reale Objekte blockieren oder zerstören können. Es ist nicht bekannt, ob es tatsächlich bereits einsetzbare Cyberwaffen gibt, aber es gibt Hinweise, dass sich in einigen wenigen Staaten, allen voran die USA, offensive Cyberwaffen in der Entwicklung befinden. 2012 schrieb die Forschungsagentur des Pentagon DARPA das Projekt Foundational Cyberwarfare (Plan X) aus, bei dem „innovative Ansätze“ für die Cyberkriegführung erforscht werden sollen. Das Defense Science Board des Pentagon sprach sich 2013 dafür aus, eine Legion von „Cyberkriegern“ aufzustellen und „Cyberangriffsfähigkeiten von Weltklasse“ zu entwickeln. Durch die Snowden-Enthüllungen wurde auch eine geheime Abteilung in der NSA bekannt, die seit 15 Jahren „maßgeschneiderte Angriffe“ gegen chinesische IT-Systeme ausführt. Äußerst aufschlussreich ist die von US-Präsident Obama am 20.10.2012 unterzeichnete geheime Präsidenten-Direktive  PPD-20. Die dafür zuständigen Behörden werden aufgefordert, Offensive Cyber Effect Operations (OCEO) zu entwickeln und eine Liste von potenziellen Zielen aufzustellen. Angesichts solcher Entwicklungen werden andere Staaten nicht tatenlos zuschauen. Die Wahrscheinlichkeit eines Wettrüstens mit Cybertools nimmt ebenso zu wie Fälle von Cyberspionage zum Ausspähen möglicher Angriffsoptionen, wie sie die USA etwa seit Langem China vorwerfen. 

Ambivalente Sicherheitsvorsorge

Eine Studie des UN-Forschungsinstituts in Genf UNIDIR zeigt, dass viele Länder die Gründung und Einbeziehung von Cybercommands in die regulären Streitkräfte und in die Landesverteidigung betreiben; 2012 hatten bereits 114 Staaten nationale Cyberschutz-Programme eingerichtet.¹ Gegenüber 2011 hat sich die Zahl mehr als verdoppelt. 67 Staaten haben rein zivile Programme und 47 Staaten geben ihren Streitkräften eine zusätzliche Rolle und beziehen Formen des Cyberwarfare in ihre militärische Planung und Organisation mit ein. Bisher haben lediglich sechs Staaten militärische Cyberstrategien veröffentlicht. 17 Staaten geben laut Medienberichten an, dass sie „offensive Fähigkeiten“ entwickeln. Es bleibt aber meist unklar, was darunter im Detail zu verstehen ist. Insgesamt herrscht keine Transparenz bezüglich der jeweiligen Einsatzfelder und Möglichkeiten. Es ist eine dringende Aufgabe internationaler Diplomatie, mehr Licht in die verschiedenen Anstrengungen zu bringen.

Eine Cyberkriegführung ist sicher nicht mit konventioneller Kriegführung zu vergleichen. Computerprogrammcodes, die als Cyberwaffen eingesetzt werden, nutzen meist Verwundbarkeiten gegnerischer Computersysteme oder Netzwerke aus. Tiefgehender Einblick in deren technologische Funktionsweise ist also ebenfalls eine wichtige Voraussetzung. Wer sich gegen eine Offensive mit Bits und Bytes verteidigen will, braucht etwas Zeit, um reagieren zu können. Auch ist die Wirkung von Cyberwaffen zunächst nicht-letaler Natur. Die Schadenswirkung ist angesichts der Komplexität der Technologie nur schwer absehbar. Kollaterale Kaskadeneffekte können ebenso auftreten wie unbeabsichtigte Wirkungen. Aufgrund der Anonymität im weltweiten Netz ist die Attribution² eines Angriffs erschwert oder unmöglich. Die Infrastruktur des Internets wird meist von Firmen und multinationalen Internetprovidern betrieben, Regierungen haben also keinen direkten Zugriff. Disruptive Cybertools sind zudem one-shot-weapons, deren Wirkung durch geeignete Gegenmaßnahmen leicht einzuschränken ist, wenn Sie erst einmal bekannt sind. Insbesondere Angriffe auf kritische Infrastrukturen können dabei trotzdem erheblichen Schaden hervorrufen. Im Hinblick auf einen strategischen Cyberkrieg sind zwei Szenarien denkbar: Zum einen könnte in einer Krisensituation ein angegriffener Staat selbst Cyberangriffe starten und so die Krise eskalieren. Zum anderen könnte ein Staat nach schweren, lang andauernden Cyberangriffen selbst mit „kinetischen Waffen“ zurückschlagen und so einen konventionellen Krieg vom Zaun brechen. Es ist vorstellbar, dass in Zukunft reale Kampfhandlungen von Cyberattacken gegen Medien, aber auch gegen das gegnerische Militär begleitet werden und dass sich Staaten schon jetzt auf solche Szenarien vorbereiten. 

Internationale Anstrengungen zur Regulierung des Cyberwar

Westliche Staaten wie die USA und die EU betrachten den wichtigsten Teil der globalen Cybersphäre, das Internet, als globale res communis omnium (wie die Hohe See oder den Weltraum) und als ökonomische Ressource, die für die Nutzer „frei, sicher und offen“ bleiben soll. Vor diesem politischen Hintergrund und der technischen Dynamik auf dem zivilen wie auf dem militärischen Cybersektor haben internationale wie regionale Organisationen und Staatengruppen Konferenzen, Dialoge und Studien zur Verbesserung der globalen Cybersicherheit initiiert. Auch die NATO hat das Cyberthema für sich entdeckt und begonnen, eine Cyberabwehr aufzubauen und innerhalb der Mitgliedstaaten abzustimmen. Das Strategische Konzept von 2010 spricht davon, dass Cyberangriffe eine Schwelle erreichen können, die „den Wohlstand, die Sicherheit und die Stabilität von Staaten und des euro-atlantischen Raums bedrohen“. Keine eindeutige Position gibt es hinsichtlich der Frage, wie die Allianz auf einen Cyberangriff reagieren würde. Auf Einladung des NATO Cooperative Cyber Defence Centre of Excellence in Tallinn (Estland) wurde eine internationale Gruppe von Juristen beauftragt, zu prüfen, ob die Normen und Praktiken des Völkerrechts auf den Fall eines Cyberwars anwendbar sind. Im März 2013 erschienen die Prüfungsergebnisse in einem Handbuch, dem sogenannten Tallinn Manual³: Es enthält 95 kommentierte Regeln und kommt zu dem Schluss, dass der Cyberspace kein rechtsfreier Raum ist, dass die UN-Charta auf Cyber-to-Cyber-Angriffe anwendbar ist und dass Staaten grundsätzlich für die Cyberinfrastruktur und daraus hervorgehende Aktivitäten auf ihrem Territorium verantwortlich sind. In Bezug auf das Gewaltverbot der UN-Charta Art. 2 (4) besagt Regel 10, dass „eine Cyber-Operation, die eine Androhung oder Anwendung von Gewalt gegen die territoriale Unversehrtheit und politische Unabhängigkeit eines Staates darstellt oder in irgendeiner anderen Weise mit den Zielen der UN unvereinbar ist, rechtswidrig ist“. Daraus leitet sich ab, dass ein angegriffener Staat sein Recht auf Selbstverteidigung nach Art. 51 wahrnehmen darf. Ein umfassender Cyberangriff kann demnach durchaus zu einem regulären Krieg führen. Genaue Kriterien, wann eine Cyberoperation die Schwelle eines „bewaffneten Angriffs“ erreicht, sind einzelfallabhängig. Spionage oder Datendiebstahl, die zu einer Unterbrechung von nicht-existenziellen Cyberdiensten führen, zählen nicht dazu. Da genaue Kriterien, wann die Schwelle eines „bewaffneten Angriffs“ im Cyberspace überschritten ist, fehlen, besteht die Gefahr, dass präventive militärische Aktionen durch die angegriffene Seite legitimiert und kinetische Angriffe gegen Cyberziele „führbar“ werden. Dennoch hat das Tallinn Manual eine interessante Grundlage für die weitere Diskussion zur Anwendbarkeit des Völkerrechts auf die Aktivitäten im Cyberraum geschaffen. Auf UN-Ebene hat im Juni 2013 eine fünfzehnköpfige Group of Governmental Experts (GGE) dem UN-Generalsekretär einen Bericht vorgelegt, in dem sie vier Kategorien vorschlägt, um für eine „friedliche, sichere, offene und kooperative ICT-Umgebung“ zu sorgen.⁴ Unter anderem will man verstärkt Normen, Regeln und Prinzipien für verantwortungsvolles Staatsverhalten berücksichtigen, das auf dem existierenden Völkerrecht basiert, und Vertrauensbildende Maßnahmen (VBM) weiterentwickeln, die in einer Krise eine weitere Eskalation verhindern helfen. Der Bericht enthält eine Liste von möglichen VBM, die als Grundlage für internationale Vereinbarungen dienen können. Sie reichen von einem Informationsaustausch nationaler Cyberstrategien über die Etablierung von regionalen Konsultationsmechanismen bis hin zur gegenseitigen Meldung von Cybervorfällen. Eine neue UN-Expertengruppe setzt diese Arbeit zurzeit ebenso fort wie regionale Organisationen, etwa die OSZE. Der OSZE-Ministerrat hat im Dezember 2013 eine erste Liste von VBM verabschiedet, zu deren Einführung sich die OSZE-Teilnehmerstaaten freiwillig verpflichten. Sie reichen vom Austausch nationaler Ansichten zur ICT-Sicherheit über verstärkte Kooperationen und Konsultationen bis hin zur Erarbeitung einer gemeinsamen Terminologie. Einzelne Staaten haben inzwischen auch bilaterale Konsultationen und „Cyberdialoge“ ins Leben gerufen, so zwischen den USA, Deutschland, Japan und Russland, und die USA und Russland haben bereits eine Art „rotes Telefon“ zur gegenseitigen Warnung vor Cybervorfällen eingerichtet.

Trotz dieser sinnvollen Anstrengungen fehlen bis heute allgemeine, völkerrechtlich akzeptierte Definitionen für Begriffe wie „offensive Cyberwaffe“ oder „strategischer Cyberkrieg“ ebenso wie eine verbindliche Schadensklassifizierung für Angriffe und effektive Schutzkonzepte für den Cyberraum. Der inzwischen technisch möglichen Abhörpraxis der Geheimdienste sind in den demokratischen Staaten enge Grenzen zu setzen. Über bilaterale Vereinbarungen hinaus erscheint eine Stärkung des internationalen Rechts bei Regelungen für den Datenschutz und den Schutz der Privatsphäre dringend geboten. Kriterien und neue Instrumente sind erforderlich, um das massenweise und verdachtsunabhängige Abhören zu unterbinden. Wirtschaftsspionage muss ebenso untersagt werden wie die verdachtsunabhängige Massenspeicherung von Daten über lange Zeiträume. Für die Etablierung solcher Prinzipien sind nicht die Geheimdienste, sondern Parlamente und internationale Organisation zuständig. Innerhalb der EU ist eine einheitliche Regelung zu schaffen, die dem EU-Bürger das Recht auf Dateneinsicht verschafft und das Löschen von Daten ermöglicht. Die Computerwirtschaft muss zu besserer Cybersicherheit und Transparenz der benutzten Daten verpflichtet werden. Auch benötigen die Nutzer mehr Informationen über Cybersicherheit und bessere Schulung in der technischen Handhabung. Für eine zeitnahe Frühwarnung und ein effektiveres Krisenmanagement müssen die verantwortlichen Behörden, die zentralen Internet Serviceprovider und die wissenschaftlichen Einrichtungen gemeinsam Technologien und Prozesse entwickeln, um eine bessere Analyse, Erkennung und Abwehr von Angriffsmustern zu etablieren. Gemeinsame Übungen und der Datenaustausch forensischer Analysen sind hier ebenso wichtig wie die gegenseitige technische Hilfe, der regelmäßige Erfahrungsaustausch und gemeinsame Tabletop- oder Expertenübungen von betroffenen Staaten. Auch ist zu prüfen, ob vertrauensbildende Kontrollmechanismen der Verifikation, wie im militärischen Bereich vielfach erprobt, übertragbar sind. Die Aufgabe internationaler Cybersicherheitspolitik ist es zuallererst, einen digitalen Rüstungswettlauf zu verhindern. In den Zeiten des Kalten Krieges haben die Instrumente „Vertrauens- und Sicherheitsbildende Maßnahmen“ (VSBM) und Rüstungskontrolle wichtige Dienste geleistet, um zumindest einen „Krieg aus Versehen“ oder eine exzessive Rüstungskonkurrenz zu unterbinden. Ermutigend ist die Einrichtung eines „roten Telefons“ zwischen den USA und Russland. Sie sollte Vorbild für ähnliche Anstrengungen zwischen diesen Staaten und der EU sein. Auf UN-Ebene gehört die Entwicklung von Prinzipien und Instrumenten für ein verantwortungsvolles Handeln sowie von ersten VBM auf die Tagesordnung. Die OSZE hat bereits eine erste Liste von VBM beschlossen, um die Transparenz, Stabilität und Berechenbarkeit der Teilnehmerstaaten bezüglich der Nutzung von Informations- und Kommunikationstechnologien zu stärken. Ein erster Schritt ist der freiwillige Austausch nationaler Sichtweisen auf nationale und transnationale Bedrohungen sowie der jeweiligen Aufgaben staatlicher Organisationen, Strategien und Programme. Solch ein Prozess im Rahmen der OSZE lässt sich durch kontinuierliche Treffen nationaler Experten verstetigen und ausbauen. Nützlich wäre eine Datenbank, die den OSZE-Teilnehmerstaaten zur Erfassung nationaler Cyberpolitiken und ihrer jeweiligen Akteure zur Verfügung steht. In weiteren vertrauensbildenden Schritten könnten die OSZE-Staaten sich gegenseitig ihre jeweiligen militärischen Cyberkomponenten vorstellen, ihre jeweiligen Cyberabwehrzentren besuchen und dazu gemeinsame Übungen unternehmen. Längerfristig empfiehlt sich die Verständigung auf Konventionen zur Begrenzung von militärischen Cyberangriffen.