Wie kann Ethik bei der Regelung des Cyberkriegs helfen?

Seit dem ersten Cyberangriff auf Estland im Jahr 2008 hat die Debatte über die Regelung des Cyberkriegs an Fahrt aufgenommen und ist Bestandteil konkreter Bemühungen, die sich damit befassen, ob und inwieweit die bestehenden völkerrechtlichen Gesetze und Verträge mit Zusätzen versehen werden können, um eine Regelung zu erreichen. Derartige Bemühungen haben sich indes als recht schwierig erwiesen. Dabei sind sie nicht nur für die Streitkräfte von Belang, sondern betreffen auch Ethiker und politische Entscheidungsträger, da sich die bestehenden ethischen Theorien über den Krieg sowie nationale und internationale Regelungen mit diesem neuartigen Phänomen schwertun. 

Im Verlauf dieses Beitrags werde ich analysieren, wie einige der wichtigsten Grundsätze der Theorie des gerechten Kriegs und die völkerrechtlichen Gesetze und Verträge zu deren Umsetzung auf den Cyberkrieg angewandt werden. Dabei konzentriere ich mich auch auf die Auslegungen der bestehenden Gesetze und Regelungen, die im sogenannten Tallinn Manual¹ enthalten sind. Hierbei handelt es sich um das erste und bislang umfassendste Werk mit Anleitungen zur Anwendung dieser Gesetze und Regelungen im Fall eines Cyberkriegs. Das Handbuch leistet einen wertvollen Beitrag zur Diskussion über die Regelung des Cyberkriegs, denn es zeigt auf, dass die bestehenden Gesetze und Verträge gedehnt werden können, um dieses Thema zu erfassen, und es macht weiterhin deutlich, dass, wenn es um den internationalen Bereich geht, die Cyberwelt kein neuer Wilder Westen ist. Ein äußerst interessanter und wichtiger Ansatz also, der aber unvermeidlich an seine eigenen Grenzen stößt, weil er die konzeptionellen Wurzeln ignoriert, auf denen die Gesetze zur Regelung des Cyberkriegs beruhen: die Theorie des gerechten Kriegs. Damit wird die Möglichkeit verpasst, den Rahmen der bestehenden Gesetze durch eine Neugestaltung ihrer konzeptionellen Grundlagen tatsächlich zu erweitern. Die Folge ist, dass der Ansatz die vom Cyberkrieg ausgelösten konzeptionellen Änderungen weder prüft noch berücksichtigt und damit das Risiko besteht, dass eine Ad-hoc-Abhilfemaßnahme mit einer langfristigen Lösung verwechselt wird. Auf lange Sicht läuft man dabei Gefahr, den Gesetzen und Regelungen für diese neue Art der Kriegführung konzeptionelle Beschränkungen aufzuerlegen. 

Für eine rundum zufriedenstellende Regelung des Cyberkriegs muss das neuartige Szenario berücksichtigt werden, das sich durch die Ausbreitung der Informationsrevolution ergibt, die wiederum ihrerseits ein gründliches Überdenken unseres Verständnisses wichtiger Konzepte wie Gewalt, Angriff und Kriegführung erforderlich macht. Ohne ein derartig überdachtes Verständnis bestünde die Anwendung der bestehenden Gesetze und Verträge auf den Cyberkrieg lediglich in einer Dehnung derselben, die schließlich an ihre Grenzen stoßen und ein regulatorisches Vakuum schaffen würde. Um ein solches Vakuum zu vermeiden, sind theoretische Bemühungen um neue Normen und Grundsätze erforderlich, die eine Regelung nicht durch das Dehnen einer alten Decke, sondern durch das korrekte und angemessene Eingehen auf die Neuartigkeit dieses Phänomens ermöglichen. Bevor ich mich nun eingehender mit dem Cyberkrieg beschäftige, möchte ich die Leserinnen und Leser darauf aufmerksam machen, dass der Rest dieses Beitrags der Verdeutlichung des vorliegenden Problems und nicht seiner Lösung gewidmet ist; diese erfordert viel weitreichendere philosophische Überlegungen, die den Rahmen meines Beitrags sprengen würden.² 

Die ontologische Lücke

Ich definiere den Cyberkrieg als „[…] Nutzung der Kommunikations- und Informationstechnologie im Rahmen einer offensiven oder defensiven militärischen Strategie, die von einer [politischen Macht] verfolgt wird und auf die sofortige Unterbrechung oder Kontrolle der Ressourcen des Gegners abzielt und die in der Informationsumgebung stattfindet, wobei die Handelnden und die Ziele sich sowohl in der physischen als auch in der nicht-physischen Domäne befinden, und deren Grad der Gewalt je nach den Umständen verschieden ist.³ 

In diesem Zusammenhang sind zwei Gesichtspunkte des Cyberkriegs erwähnenswert: der Informationscharakter und dessen Transversalität in Bezug auf die jeweiligen Ziele, die Bereiche, in denen der Cyberkrieg geführt wird, sowie der jeweilige Grad der Gewalt. Die Transversalität des Cyberkriegs kann besser nachvollzogen werden, wenn sie im Gesamtrahmen der sogenannten Informationsrevolution⁴ betrachtet wird, die weitreichende Auswirkungen auf unser tägliches Leben hat: von unserem Sozial- und Berufsleben bis zur Interaktion mit der uns umgebenden Umwelt. Mit der Informationsrevolution sind wir Zeuge einer Verschiebung geworden, durch die die nicht-physische Domäne in den Vordergrund gerückt wurde und genauso wichtig und wertvoll wie die physische Domäne wurde. Darüber hinaus sind der physische und der nicht-physische Bereich vollständig miteinander verschmolzen und integriert bis zu einem Grad, an dem ein Unterschied zwischen den beiden Bereichen nicht mehr wahrnehmbar ist. 

Der Cyberkrieg ist dabei eines der überzeugendsten Beispiele für diese Verschiebung. Er zeigt, dass es eine neue Umgebung gibt, in der physische und nicht-physische Daseinsformen nebeneinander existieren und gleichwertig sind und in der Staaten ihre Autorität beweisen müssen; neue Arten der Kriegführung werden speziell für diesen Zweck entwickelt. Die Verlagerung hin zur nicht-physischen Domäne legt den Grundstein für die Transversalität des Cyberkriegs. Dieser Aspekt unterscheidet den Cyberkrieg am stärksten von der herkömmlichen Kriegführung und ist gleichzeitig das Merkmal, das die ethischen und regulatorischen Probleme im Zusammenhang mit dem Cyberkrieg erzeugt. Während es als unumstritten gilt, dass die störenden (nicht-kinetischen) Ergebnisse des Cyberkriegs den heutigen Informationsgesellschaften schwerwiegenden Schaden zufügen können und dass der Cyberkrieg auch hochgradig gewaltsame und zerstörerische Folgen haben kann, die sowohl für die Streitkräfte als auch für die Zivilgesellschaft gefährlich sind, gibt es weitaus weniger Konsens beim moralischen Wert der immateriellen Objekte, die in den nicht-kinetischen Fällen des Cyberkriegs als Ziel gewählt werden. 

Dieses Durcheinander ist auf den anthropozentrischen Ansatz zum Verständnis des Cyberkriegs zurückzuführen, bei dem moralische Werte ausschließlich lebenden und körperlichen Dingen zugeschrieben werden. Da der Cyberkrieg Informationsinfrastrukturen, Rechnersysteme und Datenbanken umfasst, fügt er dem moralischen Diskurs neue Objekte hinzu, von denen einige immateriell sind. Es besteht also eine Lücke zwischen der Ontologie der an der herkömmlichen Kriegführung beteiligten Einheiten und den Entitäten, die am Cyberkrieg beteiligt sind, sowie zwischen den in der Theorie des gerechten Kriegs vorkommenden und den am Cyberkrieg beteiligten Entitäten. Eine solche Lücke hat Auswirkungen auf die ethische Analyse des Cyberkriegs und damit auch auf dessen Regelung. Randall R. Dipert beschreibt es folgendermaßen: „Da der Cyberkrieg als solcher ein Informationskrieg ist, muss eine Ontologie des Cyberkriegs notwendigerweise einen Weg enthalten, Informationsobjekte […], die Störung und Verfälschung von Daten sowie die Art und Eigenschaften von Malware zu beschreiben. […] Eine Ontologie des Cyberkriegs würde auch über eine militärische Ontologie hinausgehen, wie zum Beispiel Agenten, absichtliche Handlungen, unbeabsichtigte Wirkungen, Organisationen, Artefakte, Befehle, Angriffe und so weiter“ (vgl. Endnote 2). 

Der erste Schritt zu einer ethischen Regelung des Cyberkriegs ist also die Bestimmung des moralischen Status solcher (Informations-)Objekte und deren Rechte, damit die im nächsten Abschnitt beschriebenen Probleme nicht entstehen.

Regelung des Cyberkriegs

Wenn es um die Regelung der Kriegführung geht, bietet die Theorie des gerechten Kriegs die genauesten und umfassendsten konzeptionellen Rahmenbedingungen, und es bestehen nur geringe Zweifel daran, dass die Grundsätze des gerechten Kriegs und deren Bewahrung sowohl bei der herkömmlichen Kriegführung als auch im Fall des Cyberkriegs gültig sind. Trotzdem wäre es falsch, die Theorie des gerechten Kriegs als den notwendigen und ausreichenden ethischen Rahmen für die Regelung des Cyberkriegs zu betrachten, denn wenn diese neue Form der Kriegführung ausschließlich auf der Grundlage dieser Theorie betrachtet wird, entstehen mehr ethische Rätsel als gelöst werden. 

Die Probleme entstehen, weil sich die Theorie des gerechten Kriegs hauptsächlich auf die Anwendung von Gewalt im internationalen Rahmen bezieht und von einem blutigen und gewalttätigen Krieg in der physischen Domäne ausgeht. Da der Cyberbereich jedoch virtuell ist und der Cyberkrieg vor allem abstrakte Entitäten betrifft, wird die Anwendung der Theorie des gerechten Kriegs weniger direkt und intuitiv. 

Die Schwierigkeiten bei der Anwendung der Theorie des gerechten Kriegs auf Fälle des Cyberkriegs werden deutlicher, wenn man berücksichtigt, wie entscheidende Konzepte – zum Beispiel Leid, Ziel oder Angriff – durch die Verbreitung dieser neuen Art der Kriegführung verwandelt worden sind. Vgl. dazu auch Dipert, der argumentiert, dass jede moralische Analyse dieser Art des Kriegs in der Lage sein muss, ein Verständnis von Leid in Betracht zu ziehen, „das nicht nur auf die konkrete Verletzung von Menschen und Gegenständen bezogen ist, sondern auch auf eine (Fehl-)Funktion von Informationssystemen sowie der anderen hiervon abhängigen Systeme (Wirtschaft, Kommunikation und industrielle Produktion).“

Die Definition, was einen Angriff oder eine Anwendung von Gewalt im Cyberkrieg darstellt und was als solches einen Krieg oder Konflikt auslösen kann, ist nicht weniger problematisch als die Definition von Leid. In diesem Zusammenhang ist es recht hilfreich, zwei Definitionen miteinander zu vergleichen: die Definition des National Research Council in dessen Bericht von 2009 über die Fähigkeit zu Cyberangriffen (Technology, Policy, Law and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities 2014) und die im Tallinn Manual enthaltene Definition. In der erstgenannten Definition wird auf Seite 80 ein Cyberangriff definiert als „die Vornahme absichtlicher Handlungen – möglicherweise über einen längeren Zeitraum – zur Veränderung, Störung, Täuschung, Schwächung oder Vernichtung gegnerischer Rechnersysteme oder Netzwerke oder der Informationen und/oder Programme, die auf diesen Systemen oder Netzwerken existieren oder über sie weitergeleitet werden“. 

Das Tallinn Manual definiert Cyberangriffe als „eine Cyberoperation offensiver oder defensiver Art, von der begründet angenommen werden kann, dass sie zu Verletzungen oder dem Tod von Personen oder zu Beschädigung oder Zerstörung eines Objekts führen kann“ (vgl. Endnote 1, S. 106). Die Definition des National Resarch Council bietet eine konkretere Charakterisierung von Cyberangriffen und bezieht sich sowohl auf nicht-physische als auch auf physische Schäden, während der Gültigkeitsbereich der Definition des Tallinn Manual unentschieden ist, da er von der Definition des Begriffs Objekte abhängig ist. Versteht man darunter physische Objekte, so berücksichtigt das Handbuch bei Angriffen grundsätzlich nur die kinetische Nutzung von Cybertechnologien. Dies scheint tatsächlich der Fall zu sein, wenn man bedenkt, dass der Schwerpunkt der Definition auf physischen Schäden liegt und alle Verweise auf Schäden an immateriellen Objekten, z. B. Daten, Informationen und Informationsinfrastrukturen, fehlen. 

Die Konsequenzen eines solchen Ansatzes sind von größter Bedeutung, da sie sowohl die Anwendung von jus ad bellum (Recht zum Krieg) als auch von jus in bello (Recht im Krieg) betreffen. Regel 10 des Tallinn Manual betont zum Beispiel, dass ein Cyberangriff nach dem jus ad bellum rechtswidrig ist, wenn dieser Angriff die Androhung oder Anwendung von Gewalt gegen einen Staat enthält. Regel 11 konkretisiert Regel 10, indem darin hervorgehoben wird, dass ein Cyberangriff als Anwendung von Gewalt zu betrachten ist, wenn sein Ausmaß und seine Auswirkungen mit denen von Operationen außerhalb des Cyberbereichs vergleichbar sind. Es wurden Kriterien vorgeschlagen, die sich auf die Größenordnung und die Auswirkungen eines Cyberangriffs beziehen, um zu beurteilen, ob der Angriff einer Anwendung von Gewalt oder einem bewaffneten Angriff gleichkommt, wie es in Regel 11 des Tallinn Manual beschrieben ist. All dies ist alles in allem unumstritten, denn nach dem Gesetz sollte ein Cyberangriff, der dieselben oder ähnliche Auswirkungen wie ein konventioneller Angriff hat, wie ein kinetischer Angriff behandelt werden. 

Gleichwohl betrifft ein Cyberangriff auch Informationsinfrastrukturen, Rechnersysteme und Datenbanken. Damit kommen neue immaterielle Objekte in den moralischen Diskurs. Der moralische Status solcher (Informations-)Objekte und deren Rechte müssen ebenfalls einwandfrei festgestellt werden, wenn die Normen zur Regelung des Cyberkriegs erarbeitet werden. Ansonsten besteht die Gefahr, dass die Anwendung der Theorie des gerechten Kriegs auf den Cyberkrieg gefährdet ist; dies ist zum Beispiel der Fall bei dem Grundsatz „mehr Nutzen als Schaden“.

Diesem Grundsatz zufolge muss ein Staat vor der Kriegserklärung das allgemeine Gute, das von der Entscheidung zum Krieg erwartet wird, gegen das allgemeine Schlechte abwägen, das erwartet wird, nämlich die Verluste, die bei dem Krieg zu beklagen sein werden. Der Staat ist bei der Kriegserklärung nur dann im Recht, wenn das Gute dem Schlechten proportional gegenübersteht. Dabei handelt es sich um ein heikles Gleichgewicht, das im Fall der herkömmlichen Kriegführung ohne Umschweife beurteilt wird, wobei das Schlechte hauptsächlich in der Anzahl der Verluste und im Ausmaß des physischen Schadens als Ergebnis eines Kriegs seinen Ausdruck findet. Beim Cyberkrieg hingegen ist das Gleichgewicht zwischen dem Guten und dem Schlechten schwieriger zu berechnen. 

Wenn der Grundsatz „mehr Nutzen als Schaden“ strikt auf die nicht-kinetischen Ereignisse des Cyberkriegs angewandt wird, ergeben sich problematische Konsequenzen. So kann dahingehend argumentiert werden, dass angesichts der Tatsache, dass der Cyberkrieg ohne Tote und Verletzte zu einem Sieg über einen Gegner führen kann, dies eine Art der Kriegführung ist (oder zumindest die nicht-kinetischen Elemente davon), die stets moralisch gerechtfertigt ist, da das Gute, das erreicht werden kann, immer größer sein wird als das Schlechte, das möglicherweise verursacht wird.

Trotzdem kann der Cyberkrieg zu unethischen Handlungen führen, zum Beispiel zur Zerstörung einer Datenbank mit seltenen und wichtigen historischen Informationen. Wenn das einzige Kriterium für die Beurteilung von Leid in Kriegsszenarien die Berücksichtigung der durch den Krieg verursachten physischen Schäden ist, ergibt sich eine unwillkommene Konsequenz, denn alle nicht-gewalttätigen Fälle von Cyberkrieg erfüllen dann grundsätzlich diese Vorgabe. Dementsprechend wird die Zerstörung einer digitalen Quelle mit wichtigen Aufzeichnungen ohne Einschränkung als ethische Handlung betrachtet, da diese Handlung an sich keinen physischen Schaden verursacht. 

Das Problem, das bei der Anwendung dieses Grundsatzes auf den Cyberkrieg auftritt, hat keine Auswirkungen auf die prinzipielle Gültigkeit der Grundsätze. Es ist vielmehr der Rahmen, in dem die Grundsätze angewandt werden, der sich als problematisch erweist. In diesem Fall ist nicht die Vorschrift problematisch, dass das Gute größer als das Schlechte sein muss, um die Entscheidung zum Krieg zu rechtfertigen, sondern die festgelegten Kriterien zur Beurteilung des Guten und des Schlechten offenbaren ihre Unzulänglichkeit bei der Anwendung auf den Cyberkrieg.

Fazit

Zum Abschluss dieses Beitrags stelle ich drei grundlegende Fragen, die beantwortet werden müssen, um die hier dargelegten Probleme zu bewältigen:

1. Die erste Frage dreht sich um die Identifizierung der moralisch Handelnden, denn es ist nicht klar, ob ein künstlicher Handelnder, wie zum Beispiel ein Virus, als moralisch Handelnder betrachtet werden soll oder ob diese Rolle eher dem Hersteller oder der Stelle, die den Virus in Umlauf gebracht hat, zugewiesen werden soll.
2. Die zweite Frage bezieht sich auf moralisch Behandelte. Es stellt sich die Frage, ob ein Rechnersystem als moralischer Empfänger der Handlung gelten kann, oder ob das Rechnersystem und seine Nutzer als die moralisch Behandelten zu betrachten sind. 
3. Die dritte Frage betrifft schließlich die Rechte, die im Fall eines Cyberangriffs verteidigt werden sollen. Hier besteht das Problem darin, ob den Informationsinfrastrukturen oder dem System, das sich aus der Informationsinfrastruktur und den Nutzern zusammensetzt, Rechte zugewiesen werden sollen. 

Die Frage, mit der sich dieser Beitrag beschäftigt, ist nicht die, ob der Cyberkrieg auf eine Art betrachtet werden kann, die den Parametern der kinetischen Kriegführung entspricht und somit in die Domäne der Theorie des gerechten Kriegs, wie wir sie kennen, fällt. Man kommt schnell zu diesem Ergebnis, wenn der Fokus lediglich auf physischen Schäden und materiellen Objekten liegt. Das Problem liegt jedoch tiefer und stellt die konzeptionellen Rahmenbedingungen der Theorie des gerechten Kriegs als solche sowie deren Fähigkeit zur zufriedenstellenden und gerechten Einbindung der Änderungen, die durch die Informationsrevolution in den Vordergrund gerückt sind, infrage. Betroffen ist dabei nicht nur die Art, wie wir einen Krieg führen, sondern auch die Art und Weise, wie wir unser Leben führen und uns selber wahrnehmen, und es betrifft ebenso die grundlegenden Konzepte von Leid, Kriegführung, Eigentum und Staat. 

Es wäre nicht zielführend, die in diesem Beitrag beleuchteten Probleme als Gründe dafür anzuführen, die Theorie des gerechten Kriegs bei der Regelung des Cyberkriegs beiseite zu lassen oder die bestehenden Gesetze und Regelungen zur Kriegführung gänzlich abzuschaffen. Die hier dargelegten Probleme weisen vielmehr auf die Notwendigkeit hin, die Frage des Cyberkriegs sorgfältiger zu betrachten und seine Besonderheiten zu berücksichtigen, damit ein angemessener konzeptioneller Rahmen erarbeitet werden kann, um die „zeitgemäßen Werte“ zu berücksichtigen und gleichzeitig Gesetze zur Regelung des Cyberkriegs zu entwickeln. 

1 NATO Cooperative Cyber Defence Centre of Excellence, 2013. Tallinn Manual on the International Law Applicable to Cyber Warfare, erarbeitet von der Internationalen Expertengruppe auf Einladung des NAvTO Cooperative Cyber Defence Centre of Excellence. Cambridge, New York: Cambridge University Press.

2 Leser, die mehr über die ethischen Analysen des Cyberkriegs erfahren wollen, seien verwiesen an Dipert, R., 2010. „The Ethics of Cyberwarfare.“ Journal of Military Ethics 9 (4): 384 – 410; Taddeo, M., 2014. „Just Information Warfare“, Topoi, demnächst erscheinend. Taddeo, M. & Floridi, L., 2014. „The Ethics of Information Warfare“, Philosophy of Law, Comparative Law, International and European Law Series, Springer.

3 Taddeo, M., 2012: „Information Warfare: A Philosophical Perspective“, Philosophy and Technology, 25.1, 105 – 120, S. 112.

4 Floridi, L., 2014: „The Fourth Revolution – How the infosphere is reshaping human reality”, Oxford University Press.