Warum uns die Militarisierung des Cyberspace beunruhigen sollte

Als Anwältin ‒ und insbesondere als Anwältin einer nichtstaatlichen internationalen Menschenrechtsorganisation ‒ stoße ich oft auf eine gehörige Portion Skepsis im Dialog mit Angehörigen der Streitkräfte. Sie sehen meine „Mission“ oft als lawfare, also als eine Art „Rechtsfeldzug“, in dem das Gesetz als Waffe gegen den Schutz staatlicher Interessen genutzt wird. Diese Skepsis möchte ich gleich eingangs ausräumen. Eine solche Fehlwahrnehmung kann schwerwiegende Folgen für eine demokratische Gesellschaft und deren Streitkräfte haben, genau wie auch Bürgerrechtler ein gefährliches Spiel treiben, wenn sie die Bedeutung von Terrorismus oder Aufständen als Bedrohung für die Menschenrechte herunterspielen. Auch wenn nationale Sicherheit und Menschenrechte häufig in einem Spannungsverhältnis stehen, sind sie in einer lebenswerten Gesellschaft doch voneinander abhängig. Selbst wenn die nationale Sicherheit als relative und nicht als absolute Bedingung betrachtet wird, ist sie integraler Bestandteil der staatlichen Pflicht, die Rechte des Einzelnen zu schützen. Doch der Staat kann diese Pflicht nicht erfüllen, wenn die nationale Sicherheit und die öffentliche Ordnung nicht gewährleistet sind. Man vergegenwärtige sich in diesem Zusammenhang das Phänomen der „gescheiterten Staaten“ oder denke an eine beliebige Konfliktregion irgendwo auf der Welt. 

Nur wenige bezweifeln, dass nationale Sicherheit und Menschenrechte in Beziehung zueinander stehen. Doch die Art dieser Beziehung wird durchaus kontrovers diskutiert. Seit dem 11. September 2001 wird diese Debatte im Zusammenhang mit der Terrorismusabwehr hitzig geführt, und bereits lange vor Edward Snowdens Enthüllungen gab es auch um die digitalen Technologien und die Regulierung des sogenannten „Cyberspace“ heftige Diskussionen. In letzter Zeit ging es dabei vor allem um die „Militarisierung des Cyberspace“. Dieses problematische Thema weist offensichtlich eine deutliche Schnittmenge zweier recht unterschiedlicher Gruppen auf ‒ auch wenn man dies zunächst nicht vermuten würde: nämlich derjenigen einerseits, deren Mission der Schutz von Rechten ist, und derjenigen andererseits, deren Mission der Schutz der nationalen Sicherheit ist.

Es gibt Gründe für die empfundene Militarisierung. Diese liegen zu einem guten Teil in der Bezeichnung böswilliger Handlungen als „Cyberangriffe“ bzw. als Bedrohung für die nationale Sicherheit. Andererseits liegen sie in der Delegierung der Verantwortung (und der Zuweisung umfangreicher Ressourcen) für die Bereiche Bereitschaft, Verteidigung und Reaktion an die Streitkräfte. Die Auffassung, der „Cyberspace“ sei ein Gefechtsfeld der Zukunft, hat zu einer starken Konzentration auf die Tätigkeit der Nachrichtendienste als auch auf die Anwendung des Kriegsvölkerrechts geführt.

Doch während Wissenschaftler darüber debattieren, was nun eigentlich einen „Angriff“ im Cyberspace ausmacht, besteht weitreichender Konsens darüber, dass solche „Angriffe“ lediglich eine recht kleine Untergruppe der potenziell zerstörerischen Handlungen oder Interventionen im Cyberspace darstellen, wenn bestimmt werden soll, welche Faktoren einen bewaffneten Konflikt oder eine unter das humanitäre Völkerrecht fallende Handlung auslösen. Ein weitaus größerer Teil der Handlungen, die häufig als „Angriffe“ bezeichnet werden, führt ebenfalls zu wirtschaftlichen Schäden, Verunstaltungen, Spionage, Identitätsdiebstahl, Rufschädigung oder anderen Folgen, fallen aber unter das Friedensrecht. Im Sinne des bestehenden Rechts finden solche böswilligen Handlungen entweder innerhalb oder außerhalb bewaffneter Konflikte statt – aber nicht in einem neuen, unregulierten Rechtsraum. Die Menschenrechte gelten weiter, sei es über den Vektor des örtlichen Rechts oder des Völkerrechts, und werden nur in einem bewaffneten Konflikt über das lex specialis des humanitären Völkerrechts bzw. durch die einschlägigen Menschenrechtsbestimmungen und -abkommen eingeschränkt.

Den Geltungsbereich des Rechts abgesteckt zu haben, bedeutet allerdings nicht, dass die Abgrenzungen oder Anwendungsfälle eindeutig wären oder dass kein Bedarf an weiteren Gesetzen bestünde. Im Gegenteil: Die Lage ist unübersichtlich. Die Grenzen zwischen dem Vorliegen und dem Nichtvorliegen eines bewaffneten Konflikts erscheinen verschwommen und veränderlich. Cyberangriffe sind häufig transnationaler Natur, doch es gibt kaum wirksame Instrumente für internationalen Schutz und Regulierung. Zudem werden Abschreckung und Vergeltung durch Probleme der Zuordnung erschwert. Staaten, Streitkräfte, Industrie, Zivilgesellschaft und Wissenschaftler streiten darüber, wessen Rechtsordnung in welcher Situation Vorrang hat und welche Normen schließlich auf das Internet angewandt werden sollen. Aber auch wenn der „Cyberspace“ uns mit seinen Besonderheiten als etwas Neuartiges erscheinen mag, ist es doch gefährlich, sich ihn als terra nullius vorzustellen, so als sei er ein leerer Raum, in dem die Selbsthilfe zur Regel würde. Denn wir selbst bevölkern diesem Raum: Unsere Kommunikation, Wirtschaft, Netzwerke, Verteidigungssysteme, Kultur und Menschenrechte befinden sich hier, in diesem Medium, von dem wir Tag für Tag abhängiger werden. Der rechtliche Rahmen mag uns undurchsichtig erscheinen wie der Kriegsnebel, in dem ein gewisses Maß von Überreaktion, Fehleinschätzung und Fehlern toleriert werden muss. Manchmal mag uns die Rechtslage auch wie im Wilden Westen vorkommen, wo allein das Gesetz der Waffe gilt.

Zunächst einmal ist Krieg nicht der Normalzustand einer demokratischen Gesellschaft. Mit gutem Grund sieht das Gesetz die Verhängung eines dauerhaften Notstands nicht vor – oft kennzeichnet ein solcher Zustand eine Gesellschaft, die entweder undemokratisch ist oder die ständige Beschneidung von Rechten hinnimmt. Das Nichtvorhandensein eines bewaffneten Konflikts ist nicht automatisch mit Frieden gleichzusetzen. Dennoch können Unsicherheit, andauernde Bedrohung sowie innere und äußere Angriffe an der Tagesordnung sein. Andererseits bedeutet die Abwesenheit bewaffneter Konflikte auch nicht einfach nur die Pause zwischen zwei Kriegen. In demokratischen Staaten obliegt die Reaktion auf Bedrohungen und Angriffe in Friedenszeiten den zuständigen Behörden, die der Öffentlichkeit und der Politik gegenüber rechenschaftspflichtig sind Diese Kontrolle wird durch Aufsicht, Regulierung und gerichtliche Entscheidungen sichergestellt und ermöglicht im Vergleich zur einseitigen Konzentration auf die militärische Bereitschaft die Herausbildung einer völlig anderen Herangehensweise.

Der Einsatz staatlicher Gewalt in Friedenszeiten ist selbst bei Gefahr in Verzug stark eingeschränkt ‒ und zwar durch ein Menschenrechtsverständnis, welches in einer Kriegssituation nicht in gleichem Maße zum Tragen kommt. So es ist zum Beispiel anerkannte Praxis, dass die Strafverfolgungsbehörden auch in einem öffentlichen Notfall Gewalt nur als letztes Mittel anwenden dürfen. Schäden und Verletzungen müssen hierbei auf ein Mindestmaß beschränkt bleiben – selbst im Umgang mit Menschen, die einer Straftat verdächtigt werden. Die seit Jahrzehnten in der Strafverfolgung bewährten internationalen Standards sehen vor, dass tödliche Gewalt nur eingesetzt werden darf, um das Leben Unbeteiligter zu schützen. Um einen Verdächtigen in Friedenszeiten rechtmäßig unschädlich zu machen, darf er nicht einfach nur inhaftiert, verletzt oder getötet werden – insofern solche Maßnahmen überhaupt erlaubt sind. Vielmehr bedarf es der Ermächtigung durch Gesetze, die bestimmte verbotene und vorsätzlich begangene Handlungen unter Strafe stellen. Selbst wenn die Behörden einen mutmaßlichen Straftäter gefasst haben, gilt grundsätzlich das Prinzip der Unschuldsvermutung. Der Angeklagte hat das Recht und die Möglichkeit, die Anklage erfolgreich von sich zu weisen, wenn die Staatsanwaltschaft die zum Nachweis seiner Schuld erforderlichen Beweise nicht erbringen kann. Es muss ein faires und üblicherweise öffentliches Gerichtsverfahren unter dem Vorsitz eines unabhängigen Richters stattfinden, in dem alle Rechte auf einen ordentlichen Strafprozess und angemessene Strafverteidigung gewährleistet sind. Angesichts dieser Auflagen bleibt den Strafverfolgungsbehörden in Friedenszeiten kein großer Spielraum für Fehlverhalten oder Überreaktionen. Folglich gilt für das behördliche Handeln die Vorgabe, rechtliche Grauzonen zu vermeiden, um getroffene Maßnahmen sicher rechtfertigen und Strafprozesse erfolgreich führen zu können. Diese Bedingungen für den Schutz unserer Sicherheit mögen uns als Gesellschaft suboptimal erscheinen. Wir akzeptieren sie jedoch, weil wir andererseits nicht in einem Polizeistaat leben wollen, in dem unsere Freiheiten ständig beschnitten werden. 

Je mehr ein Staat seine Sicherheit bedroht sieht, umso eher werden seine demokratisch gewählten Vertreter die engen Vorgaben für den Einsatz von Gewalt lockern und dem Staat einen weitreichenderen Handlungsspielraum mit Befugnissen zugestehen, die in manchem Fällen dem Kriegsrecht sehr nahekommen oder mit ihm sogar fast identisch sind. Ein aktuelles Beispiel hierfür ist der sogenannte „Krieg gegen den Terror“ der Vereinigten Staaten, in dessen Verlauf die Rechte der Polizei umfassend erweitert und die der Bürger beschnitten wurden. Zusätzlich schaffte der Gesetzgeber die rechtliche Grundlage für den Einsatz militärischer Gewalt. Diese Entscheidung wurde später sehr weit ausgelegt und zur Rechtfertigung militärischer Einsätze weitab vom ursprünglichen Gefechtsfeld in Afghanistan herangezogen. Aktuell soll sie eine militärische Intervention gegen den Islamischen Staat in Syrien und im Irak begründen. Viele Beobachter haben festgestellt, dass es grundsätzlich einfacher ist, den Anfang eines bewaffneten Konflikts zu benennen als sein Ende – und dies trifft nicht nur im Fall einer isolierten militärischen Intervention zu. Ist ein Staat erst einmal in einen bewaffneten Konflikt verwickelt, so beeinflusst diese Situation unvermeidlich auch seine zivilen Institutionen. Man kann in vielen Städten der USA diesen Effekt des Überschwappens erkennen: Oft werden Kriegsveteranen bei den Polizeibehörden oder im Strafvollzug beschäftigt und mit überschüssigen Waffen des Pentagons ausgestattet – dies sind unnötige und unangemessene Mittel, um die öffentliche Ordnung in der Zivilgesellschaft zu sichern. Das massive Vorgehen der Polizei bei den Protesten in Ferguson, Missouri, ist zumindest zum Teil auf diese Maßnahmen zurückzuführen. 

Das subtile Wirken der Regeln und Normen des Krieges ist nicht unbedingt einfach zu erkennen. Deshalb ist es so wichtig, die Bedeutungsnuancen von Begriffen wie „Angriff“ zu erfassen, denn diese werden sowohl im Kriegsvölkerrecht als auch im Friedensrecht verwendet. Im Sinne des jus ad bellum wird eine umfassende wissenschaftliche Diskussion darüber geführt, welche Art Cyberoperation einen „bewaffneten Angriff“ im Sinne von Artikel 51 der Charta der Vereinten Nationen darstellt. Ein bewaffneter Angriff in diesem Sinne lässt den Fall der Selbstverteidigung zu und setzt das in Artikel 2 (4) genannte Verbot der „Androhung oder Anwendung von Gewalt gegen die territoriale Unversehrtheit oder politische Unabhängigkeit“ eines anderen Staates außer Kraft. Die meisten Autoren verweisen hier auf die Absicht und die Schwere der erwarteten Folgen des Cyberangriffs, etwa ob ähnliche Auswirkungen zu erwarten sind wie bei einem Angriff mit kinetischen Waffen (Verlust an Menschenleben, etwa durch Flugzeugabstürze oder Zugunglücke). Auch das Ziel kann eine Rolle spielen, etwa dann, wenn ein Angriff wichtige Infrastruktur eines Landes zu zerstören oder dessen militärische Operationen lahmzulegen beabsichtigt. Zudem kann als Indiz herangezogen werden, ob ein Staat oder eine kriminelle Vereinigung den Angriff beauftragt (insofern dies überhaupt ermittelt werden kann). Auch seine Dauer sowie das mögliche gleichzeitige Eintreten von Angriffen mit kinetischen Waffen können mit Hinblick auf die juristische Zuordnung des Ereignisses relevant sein. Schon diese grobe Auflistung verdeutlicht allerdings, dass ein Cyberangriff, der die Anwendung von Gewalt als Akt nationaler Selbstverteidigung rechtfertigt, ein recht seltenes Ereignis ist. Die inflationäre Verwendung der Begriffe „Cyberangriff“ und „Cyberkrieg“ unter Politikern, die die gesamte Bandbreite denkbarer böswilliger Handlungen einschließt, verschleiert diese Tatsache und untergräbt jeglichen Ansatz zur Gestaltung belastbarer Schutzmaßnahmen in Friedenszeiten. 

Auch die im humanitären Völkerrecht verankerten Normen zur Reaktion eines Staates auf einen „Angriff“ beziehen sich stets auf den erwarteten militärischen Vorteil. Was auch immer genau gemeint sei – dieses Konzept ist nämlich auch nicht unumstritten –, es ist jedenfalls nicht deckungsgleich mit dem Mandat der Strafverfolgungsbehörden, das ausschließlich auf den Schutz von Menschenleben und der Sicherheit ausgerichtet ist (auch wenn diese Aufgabe nicht mit der Beseitigung aller vorstellbaren Bedrohungen gleichgesetzt werden darf). Zwar wird in der Praxis die Anwendung von Gewalt sowohl in der Strafverfolgung als auch in Situationen, die unter das humanitäre Völkerrecht fallen, durch den Grundsatz der Verhältnismäßigkeit bestimmt. Die Unterschiedlichkeit der Zielsetzungen führt jedoch zu grundlegend verschiedenen Berechnungen, Mitteln, Methoden und Ergebnissen. 

Ähnlich verhält es sich mit dem Begriff der „nationalen Sicherheit“, der für die internationalen Menschenrechtsbestimmungen von entscheidender Bedeutung ist, da er auf die Grenzen bzw. auf die Einschränkung bestimmter Rechte verweist. Er ist zwar im Instrumentarium der Menschenrechte nicht als eigener Rechtsbegriff definiert, hat aber durch die Rechtsprechung und Kommentare sowohl nationaler als auch internationaler Gerichte mit der Zeit an Schärfe gewonnen. Beginnen wir mit dem gravierendsten Fall von Bedrohung der nationalen Sicherheit: Wenn der nationale Notstand verhängt wurde und das Überleben der Bevölkerung bedroht ist, kann nach einer Reihe internationaler Menschenrechtsbestimmungen die Beschneidung bestimmter Rechte zulässig sein. Einige, jedoch nicht alle Gefahrenlagen im bewaffneten Konflikt oder bei einer Naturkatastrophe begründen einen Notstand. In jedem Fall müssen die ergriffenen Maßnahmen durch die Dringlichkeit der Lage unabdingbar sein. Zudem dürfen sie nicht länger als erforderlich andauern. Reichen weniger umfassende Einschränkungen aus, um die Lage zu bewältigen, ist eine Aufhebung der genannten Rechte nicht hinnehmbar – und abgesehen davon gibt es sowieso Rechte, die schon ihrem Wesen nach nicht aufhebbar sind. Jede Beschränkung von Rechten ist grundsätzlich in Ausmaß und Dauer strikt begrenzt und darf auch nicht auf die vollständige Aussetzung der Menschenrechtsbestimmungen ausgeweitet werden, denn diese finden schließlich selbst in bewaffneten Konflikten noch Anwendung. Der Begriff „nationale Sicherheit“ ist also kein Schalter, mit dem die militärischen Sonderbestimmungen des humanitären Völkerrechts einfach „eingeschaltet“ oder die Menschenrechte automatisch „abgeschaltet“ werden könnten.

Jenseits dieser extremen und zeitlich begrenzten Situationen können einige Rechte auch ohne Vorliegen eines Notstands eingeschränkt werden, um die nationale Sicherheit zu schützen – vorausgesetzt, die Beschränkung ist tatsächlich notwendig und das jeweilige Recht wird nur so weit eingeschränkt wie erforderlich, um die Bedrohung in einer demokratischen Gesellschaft abzuwenden. So ist beispielsweise nur schwer vorstellbar, dass es bei örtlich und zeitlich begrenzten Bedrohungen durch Verbrechen oder Terrorismus erforderlich wäre, das Recht auf Unverletzlichkeit der privaten Korrespondenz zu beschränken oder aufzuheben, um den notwendigen und verhältnismäßigen Schutzes der nationalen Sicherheit zu gewährleisten – auch wenn zielgerichtete und vorübergehende Eingriffe in die Privatsphäre unter bestimmten Umständen gerechtfertigt sein können. 

Um die Anwendung dieses Grundsatzes zu verdeutlichen, ist es wichtig, den Begriff der „nationalen Sicherheit“ im Sinne der Menschenrechtsbestimmungen und nicht im Sinne des politischen Sprachgebrauchs zu verstehen. Die nationale Sicherheit ist zwar nicht als eigener Rechtsbegriff definiert, hat sich aber durch die Anwendung in internationalen Organisationen, Gerichten und wissenschaftlichen Gremien im Laufe der Zeit herausgebildet. Nach diesem Verständnis bezeichnet die nationale Sicherheit den Schutz des Staates, seiner territorialen Integrität und seiner politischen Unabhängigkeit bei Androhung oder Anwendung von Gewalt sowie den Erhalt der Reaktionsfähigkeit des Staates auf eine solche Bedrohung. Bislang weisen Gerichte und Völkerrechtler die Gleichsetzung diplomatischer Verstimmungen, Regierungskrisen oder wirtschaftlicher Engpässe mit einer Bedrohungslage für die nationale Sicherheit zurück. Aber genau hier zeigt sich die Kluft zwischen Politik und geltendem Recht: Während das humanitäre Völkerrecht keines dieser Ziele in den Zusammenhang mit dem Schutz der nationalen Sicherheit stellt, erklären Regierungen oft, die militärische Aufklärung sei zwingend erforderlich – für das Erlangen wirtschaftlicher oder geopolitischer Vorteile einerseits sowie für die Durchsuchung großer Gruppen, möglicherweise sogar ganzer Länder nach Anzeichen einer beginnenden Radikalisierung andererseits. Dies gelte auch über tatsächlich eintretende Gefahrenlagen hinaus.

Wissenschaftler haben darauf verwiesen, wie schwierig es ist, den Krieg durch Gesetze zu regulieren. Doch die Überwachung oder sonstige Cyberoperationen des Staates gesetzlich zu regeln, ist sicherlich nicht minder komplex. Die Überwachung von Personen kann rechtmäßig sein, ist jedoch im Regelfall eine geheime Operation. Auch wenn sie erkannt oder vermutet wird, verspricht die gerichtliche Anfechtung wegen des Verweises auf geltende Doktrinen, Staatsgeheimnisse und nationale Sicherheitsbedenken in der Regel wenig Aussicht auf Erfolg. Werden Ziele außerhalb des eigenen Hoheitsgebiets überwacht, so ist dies nach dem Gesetz des anderen Staats zwar meist illegal, wird jedoch nur selten öffentlich verlautbart oder strafrechtlich verfolgt – selbst wenn die Operation aufgedeckt wird. Das Prinzip der Informationsfreiheit kann die Mauer des Schweigens oft nicht durchbrechen. Ähnlich ergeht es so mancher parlamentarischer Untersuchung. Die gerichtliche Überprüfung oder Bestätigung staatlicher Anordnungen von Überwachungsoperationen findet meist unter Ausschluss der Öffentlichkeit statt. Doch wenn die nationale Sicherheit immer wieder reflexartig beschworen wird, um eine öffentliche Prüfung der Überwachung zu vermeiden, wird das Prinzip der Rechtsstaatlichkeit immer stärker ausgehöhlt. Ein „Recht“, das keinerlei demokratischen Rechenschaftspflichten unterworfen ist, läuft Gefahr, das Vertrauen der Öffentlichkeit in die Rechtmäßigkeit des staatlichen Handelns zu verspielen. Dadurch wird einerseits die Selbstjustiz gefördert, wie bei dem jüngst erfolgten Aufruf an Opfer von Cyberangriffen, Vergeltungsschläge zu verüben. Andererseits führen solche Entwicklungen auch zu Vergeltungsaufrufen gegen den Staat (oder gegen Unternehmen, die als seine Beauftragte oder Unterstützer betrachtet werden). Weder das eine noch das andere dient dem Schutz der originären nationalen Sicherheit, geschweige denn der Vermeidung eines Cyberkriegs oder dem Schutz der Menschenrechte.

Doch was genau ist diesen Zielen dienlich, die gleichzeitig auch die Ziele der militärischen Führung in jeder demokratischen Gesellschaft sein müssen? Im Jahr 2013 einigten sich die Mitglieder eines Ausschusses der Vereinten Nationen mit Regierungsvertretern aus China, Russland, den USA und Großbritannien als langjährigen Mitgliedstaaten darauf, dass „das Völkerrecht, und insbesondere die Charta der Vereinten Nationen, Anwendung findet und für den Erhalt von Frieden und Stabilität sowie zur Förderung eines offenen, sicheren, friedlichen und zugänglichen IKT-Umfelds (IKT = Informations- und Kommunikationstechnik) unabdingbar ist“.

Weiterhin kam das Gremium zu dem Schluss, dass „staatliche Bemühungen zur Gewährleistung einer sicheren Informations- und Kommunikationstechnik Hand in Hand mit der Achtung der Menschenrechte und der grundlegenden Freiheiten gehen müssen, die in der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen und in weiteren internationalen Übereinkommen festgelegt sind“. Diese Aussage ist für sich genommen schon eine klare Bestätigung dessen, dass wir uns weder im Wilden Westen noch in einer nebligen neuen Dimension befinden. Aber auch wenn es klare und eindeutige Grundsätze des Völkerrechts gibt, die international verbindliche Geltung haben, so bleibt doch noch viel zu tun: Es gilt, diese Grundsätze zu vervollkommnen und auf die Anwendung in der Welt des Cyberspace anzupassen.

Da wir inzwischen zu der Erkenntnis gelangt sind, dass die große Mehrheit böswilliger Handlungen im Cyberspace keine „Angriffe“ im Sinne des jus ad bellum oder des jus in bello darstellen, sollten wir im ersten Schritt davon absehen, sie weiterhin so zu bezeichnen. Entsprechend ist die Zuständigkeit für die Ermittlung, Strafverfolgung und Verurteilung solcher Fälle in die Hände der zivilen Strafgerichtsbarkeit und der Zivilbehörden zu legen. Nachdem die Vereinigten Staaten beschlossen hatten, den Terrorismus als „Krieg“ zu bezeichnen – auch ohne Zusammenhang mit einem tatsächlichen bewaffneten Konflikt –, kam es zu schwerwiegenden Verletzungen der Grundrechte und Rechtsgrundsätze, zu einer Herabsetzung der US-amerikanischen Kultur der Soft Power und zu schrecklichen Präzedenzfällen grenzüberschreitender Gewalt. Es bleibt zu hoffen, dass diese Fehler beim Thema Cyberspace nicht wiederholt werden. Diesem Ziel ist es allerdings nicht gerade förderlich, Proteste und Demonstrationen, auch nicht die potenziell schädlichen wie etwa die Aktionen des Cybernetzwerks Anonymous, als „Angriffe“ oder „Terrorismus“ zu bezeichnen. Denn im Grunde handelt es sich um das Cyberpendant zur Tradition des symbolischen, kleinen, störenden zivilen Ungehorsams, bei dem Aktivisten Eigentum beschädigen und sich an das Tor eines Atomkraftwerks ketten.

Ebenso wichtig ist es, auf die Cyberkriminalität die allgemeinen Rechtsnormen anzuwenden und nicht den Begriff der „nationalen Sicherheit“ zu bemühen, um ihn als Trumpf gegen die Menschenrechte auszuspielen. Nicht jede denkbare Bedrohung der Interessen eines Staats oder seiner aktuellen Regierung hat Auswirkungen auf die nationale Sicherheit. Wer Informationen von Whistleblowern veröffentlicht, kann vielleicht eine Regierung in Verlegenheit bringen oder deren diplomatische Beziehungen stören. Doch ohne stichhaltige Beweise dafür, dass die veröffentlichten Informationen die territoriale Integrität, die politische Unabhängigkeit oder die Verteidigungsfähigkeit eines Staats beschädigt haben, dürfen weder die Rechte der Hinweisgeber noch die Rechte derjenigen beschnitten werden, die die veröffentlichten Informationen lesen. Wenn Informanten Geheimnisse preisgeben, muss der tatsächliche Schaden für die nationale Sicherheit abgewogen werden – und zwar im Sinne der Bedeutung, die die Menschenrechtsbestimmungen diesem Begriff beimessen. Auf der anderen Seite der Waagschale liegen ebenfalls wichtige Güter, nämlich die freie Meinungsäußerung und das Recht der Öffentlichkeit auf Information über ein mögliches Fehlverhalten der Regierung. Manchmal wird in diesem Zusammenhang auch das „Recht auf die Wahrheit“ genannt. Und selbst wenn die nationale Sicherheit offenkundig bedroht ist, darf dadurch die öffentliche, rechtliche und gerichtliche Prüfung vorbeugender Maßnahmen, mit denen Rechte eingeschränkt werden, nicht einfach beiseitegeschoben werden. Es gibt bereits ein stetig wachsendes Gesetzeswerk zum Umgang mit der Internetkriminalität, das ein breites Spektrum an öffentlichen Interessen abdeckt. Zwar sind nicht alle neuen Cyberkriminalitätsgesetze im Hinblick auf den Schutz von Rechten gleich durchdacht oder ausgewogen, aber in demokratischen Gesellschaften unterliegen sie generell den üblichen gesetzlichen und politischen Prozessen, durch die der Rahmen, die Auslegung und die Anwendung ständig überprüft werden. Diese Prüfung funktioniert wiederum dann am besten, wenn die Öffentlichkeit und die Zivilgesellschaft vollständig in den Prozess eingebunden sind.

Damit der Großteil staatlichen Handelns zum Schutz der nationalen Sicherheit im Cyberspace in Friedenszeiten durch einen gültigen Rechtsrahmen abgedeckt werden kann, ist insbesondere die Trennung der militärischen und der zivilen Ausrichtung der Cyberpolitik auf nationaler Ebene zu berücksichtigen. So empfahl die Review Group on Intelligence and Communications Technology US-Präsident Obama Ende 2013, einen zivilen Leiter für den Geheimdienst, die National Security Agency (NSA), zu ernennen. Doch das Weiße Haus wies diesen Rat zurück – obwohl er von einer handverlesenen Auswahl von Regierungsberatern kam. Auch wenn kein Zweifel daran besteht, dass eine Koordination zwischen den zivilen und den militärischen Behörden im Bereich des Nachrichtenwesens und der territorialen Sicherheit und Verteidigung notwendig ist, sind diese Funktionen aus guten Gründen in den meisten Demokratien voneinander getrennt. Die Streitkräfte sollten immer den Interessen einer Nation, nicht einer politischen Agenda dienen. Die Leitung der zivilen Behörden ist hingegen ein politisches Amt. Entsprechend sind diese Behörden für die Umsetzung von Verordnungen und Rechtsakten zuständig, die zuvor von Politikern erlassen wurden, die zur Rechenschaft verpflichtet sind. Es ist ein positives Zeichen, dass die NSA die Position eines leitenden Risikobewerters geschaffen hat, der „das Gesamtbild“ im Blick behalten soll. Doch wenn die Zuständigkeit für Nachrichtenbeschaffung und offensive Cyberoperationen sich unter einem Dach mit der Verteidigung wichtiger Infrastruktur befindet, muss es zwangsläufig zu Interessenkonflikten kommen, die nur schwer beizulegen sind – unabhängig von der Hierachieebene. An dieser Stelle ist ein breit angelegtes Engagement der Regierung erforderlich – und zwar unter Beteiligung aller Ressorts.

Die Verschmelzung militärischer und ziviler Behörden in manchen Ländern spiegelt die Verflechtung ziviler und militärischer Infrastruktur im Cyberspace wider. Dass militärische Cyberoperationen auf zivile Infrastruktur und privatwirtschaftliche Firmen zurückgreifen müssen, hat beunruhigende Auswirkungen auf den Grundsatz der Unterscheidung des Zivilen und des Militärischen im Fall eines bewaffneten Konflikts. Eine Reihe multinationaler US-Konzerne, die lange vermieden haben, Kundendaten in Ländern zu speichern, die für Menschenrechtsverletzungen bekannt sind, sehen ihre Datenspeicherung nun zunehmendem Druck ausgesetzt. Denn die US-Regierung will auf die Daten zugreifen – ob mit oder ohne Kenntnis der betroffenen Unternehmen. Ohne die Nutzung gemeinsamer Protokolle und die verpflichtende Zusage, die zivile Infrastruktur zu schützen anstatt sie auszubeuten, ist davon auszugehen, dass genau diese Infrastruktur ein attraktives Ziel für Angriffe werden wird. Dieses Dilemma leistet wiederum der Militarisierung im Umgang mit der Cyberkriminalität Vorschub. Internationales Handeln ist gefordert, sowohl um die besonders exponierte zivile Infrastruktur von der militärischen Infrastruktur zu separieren als auch, um sie auf eine Art zu kennzeichnen, die die Illegalität jeglichen Angriffs deutlich markiert. Diese Art der Separation und Kennzeichnung mag schwierig sein und sie mag auch immer unvollkommen und unvollständig bleiben, aber ohne entsprechende Bemühungen und Versuche wird es äußerst schwierig werden, den Grundsatz der Unterscheidung im Cyberspace durchzusetzen.

Die Suche nach einer „Grauzone“ ohne Regeln ist ein gefährliches Spiel, bei dem es darum geht, ob zivile Daten durch das Kriegsrecht geschützte Objekte darstellen oder nicht. Das Tallinn Manual, eine umfassende Studie über die Anwendung des humanitären Völkerrechts auf den Cyberkrieg, erkennt die Infrastruktur des Internets und die dazugehörige Hardware zwar als potenzielle zivile Objekte an, verweigert den Daten und Kodes diesen Status jedoch mit der Begründung, sie seien immateriell. Diese Interpretation geht auf einen alten Kommentar des Internationalen Komittes Roten Kreuzes (IKRK) zurück zurück, der die analoge Welt der militärischen Ziele als sichtbare, materielle „Objekte“ definiert. Nach dieser Auslegung befände sich ein gerichteter Angriff auf zivile Datenbanken außerhalb des humanitären Völkerrechts, solange nicht auch physische Rechnersysteme betroffen wären. Dementsprechend wäre eine zivile Datenbank auf bedrucktem Papier kein militärisches Ziel, eine digitale Datenbank jedoch sehr wohl. Eine Reihe von Kommentatoren hat hierzu die Meinung vertreten, es handele sich bei dieser Interpretation wohl kaum um eine direkte oder logische Anwendung des Rechts auf diese neue Art der Kriegführung. Zudem stehe es dem Zweck des humanitären Völkerrechts, nämlich dem Schutz der Zivilbevölkerung vor den Auswirkungen eines bewaffneten Konflikts, diametral entgegen. Die Gefahr ungebremster Angriffe auf zivile Daten liegt auf der Hand und sollte uns allen Anlass zur Sorge sein.

Und schließlich sollte auch die Durchführbarkeit von Rüstungskontrollen in all ihren Dimensionen unbedingt auf die internationale Tagesordnung gesetzt werden, einschließlich der Bereiche Verifizierung und Vertrauensbildende Maßnahmen. Dieser Prozess hat bereits begonnen: Es laufen Gespräche zu Lieferbeschränkungen insbesondere für gefährliche Überwachungstechnologien. Denn europäische Hersteller liefern diese Systeme an Regierungen aus, die im Ruf stehen, sie missbräuchlich zu verwenden. Die Europäische Kommission erkennt in einem Bericht an den Europäischen Rat und das EU-Parlament im April 2014 „das Entstehen spezieller ‚Cyberwerkzeuge‘ für die Massenüberwachung, Beobachtung, Verfolgung und Abhörung“ an und bezeichnet die „Cyberverbreitung“ als einen wichtigen Bereich der Ausfuhrkontrolle. Das Problem wird auch den nationalen Regierungen immer bewusster, insbesondere seit ferngesteuerte Abhörprodukte westlicher Hersteller wie der Gamma Group oder dem Hacking Team zwischenzeitlich in Staaten aufgetaucht sind, die vor Repressalien nicht zurückschrecken und sich nicht scheuen, solche Technologien auch gegen „Bedrohungen“ wie Menschenrechtsaktivisten und politische Demonstranten einzusetzen. 

Über all diese Themen ist bereits umfangreich diskutiert worden. Mit Ausnahme einzelner Wissenschaftler oder des Internationalen Komitees vom Roten Kreuz ist die Zivilgesellschaft von diesen Diskussionen jedoch meistens ausgeschlossen. Cybersicherheits-Experten wie Ronald Deibert fordern die Zivilgesellschaft dazu auf, sich in den Gremien aktiv zu beteiligen, in denen die relevanten Entscheidungen getroffen werden. Deibert selbst setzt diese Forderung bei Konferenzen politischer Entscheidungsträger, technischer Experten, Wissenschaftler und Aktivisten aktiv in die Praxis um. Die breite Beteiligung der verschiedenen Akteure – etwa Techniker, Unternehmer und Wissenschaftler – ist immer mehr zur gängigen Praxis in vielen Bereichen der Internetpolitik geworden, mit Ausnahme der Cybersicherheit. Dass Menschenrechtsexperten eine wichtige Rolle spielen, weil sie sowohl die Dimension der Friedens- als auch der Kriegssituation beleuchten können, wird oft übersehen. Dies ist jedoch ein grundlegender Aspekt, sowohl mit Bezug auf den für den Cyberspace relevanten Teil des Völkerrechts als auch im Hinblick auf die ethischen Erwägungen demokratischer Gesellschaften, über die sich ihr Selbstverständnis definiert und durch die sie die eigene Sicherheit schützen. Eine Partnerschaft zwischen den Streitkräften und der Menschenrechtsbewegung – beide Experten im Bereich der menschlichen Sicherheit – ist unabdingbar, wenn wir verhindern wollen, dass das Internet zum Gefechtsfeld von morgen wird, und wenn wir sicherstellen wollen, dass der Cyberspace auch weiterhin im Einflussbereich unserer demokratischen Gesellschaft verbleibt. 

Die Verfasserin dankt Camille Francois, Cynthia Wong und Eileen Donahoe für ihre Erkenntnisse und Vorschläge. Für etwaige Fehler zeichnet sich die Verfasserin alleine verantwortlich.