"Cyberkrieg": Geschichte und Gegenwart eines umkämpften Begriffs

Ein weltweiter, katastrophaler Cyberkrieg hat trotz aller technischen Möglichkeiten bislang nicht stattgefunden und wird vermutlich in absehbarer Zeit nicht stattfinden - doch zugleich befinden wir uns mitten im Cyberkrieg, denn Angriffe im Internet sind geradezu ein fester Bestandteil des Alltags geworden. Wie hängt das zusammen, und welche Auswirkungen hat dieser paradoxe Befund auf unsere Vorstellungen von Krieg und Frieden? Schließlich: Ist es in dieser Situation eigentlich angebracht, von "Cyberkrieg" zu sprechen? Und ist in dieser Situation das Militär überhaupt geeignet, Cybersicherheit zu gewährleisten?

Um sich zu vergewissern, ob die Bezeichnung "Cyberkrieg" zutreffend ist, erscheint es ratsam, zunächst einmal die Geschichte des Begriffs und insbesondere der damit verbundenen Bedrohungsszenarien zu rekapitulieren. Von hier aus lässt sich die fragile strategische Situation besser verstehen, in der es trotz der Allgegenwart von Cyberangriffen keine realistische Aussicht auf große Cyberkriege gibt. Was sorgt für diese weitgehende Begrenzung des Cyberkriegs auf alltägliche Cyberangriffe? Diese Begrenzung wird in der einschlägigen Literatur gegenwärtig unter dem Aspekt der Normenbildung verhandelt - ein Sammelbegriff, unter dem sich so unterschiedliche Aspekte wie Diplomatie, strategische Abschreckung, ethische Begrenzungen und Haftungsfragen wiederfinden können.

Zwei Extrempositionen

Der Begriff "Cyberwar" wurde 1993 von den Sicherheitsexperten John Arquilla und David Ronfeldt eingeführt, um "die Zukunft des Krieges" im Zusammenhang mit der informationstechnischen Aufrüstung der Militärtechnologie und der daraus folgenden Neuorganisation der Kriegführung zu beschreiben.¹ Arquilla und Ronfeldt hatten dabei vor allem Terrorangriffe durch nicht staatliche Akteure im Sinn, wenngleich sie auch die zunehmende Integration von Cyberkomponenten in die militärische Gefahrenabwehr zu beschreiben suchten. Das Szenario des Cyberterrorismus ist kennzeichnend für eine erste Phase der Aufmerksamkeit, die bis in die frühen 2000er-Jahre reicht. Sie wurde abgelöst durch eine zweite Phase, in der vor allem Staaten in den Fokus rückten. Die öffentliche Aufmerksamkeit erreichte um 2009/2010 ihren Höhepunkt, als mit den ersten staatlichen oder staatlich geförderten Cyberangriffen die Gefahren und Möglichkeiten der neuen Technologie erstmals großflächig demonstriert worden waren. Für einen Moment schienen "Cyberkriege" in der kollektiven Imagination westlicher Bevölkerungen die nächste große Bedrohung der Menschheit zu sein. Dabei wurden Vorstellungen aus der Zeit des Kalten Kriegs von einer bevorstehenden atomaren Auslöschung der Menschheit reaktiviert.

Selbst wenn sich die Problemlage seitdem in vieler Hinsicht verändert hat, sind in der Debatte über Cyberkriege immer noch viele Ideen und Begriffe der 1990er-Jahre im Umlauf. Das Fortleben von gescheiterten Ideen - etwa dem Szenario des Cyberterrorismus, bei dem ideologisch motivierte Hacker von ihrem PC aus eine Katastrophe in der realen Welt auslösen - ist dabei lediglich Anzeichen einer grundsätzlicheren strategischen Unklarheit. Das ideologische Feld ließe sich grob in zwei Lager einteilen, in denen jeweils die extremsten Elemente den Ton angeben, während sich die vielen moderaten Stimmen in der Polemik gegen die Extrempositionen verfangen. Diesen Positionen zufolge drohen entweder große Cyberkatastrophen von bisher ungeahntem Ausmaß, oder die Bedrohung durch Cyberkriege ist nur vorgeschoben, und es droht in Wirklichkeit eine Militarisierung des Internets.

Die Aussicht auf globale "Cyberkriege" hat neue Bedrohungsszenarien eröffnet, die an die Stelle früherer Szenarien zur atomaren Auslöschung der Menschheit treten. Folgt man solchen Beschreibungen, so droht die Vernichtung der Zivilisation durch Zerstörung kritischer Infrastrukturen. Cyberkriege haben damit latente Vorstellungen von einem drohenden Atomkrieg reaktiviert - die reale Möglichkeit einer Auslöschung der Menschheit - und die vakante Stelle in der kollektiven Imagination eingenommen. Die entsprechenden Schlüsselbegriffe sind "Cyber 9/11", "Cyber Pearl Harbor", "Cyber Armageddon" (kurz "Cybergeddon"), in Ausnahmefällen auch "Cyber Holocaust". 

In diesem Szenario kämpfen Terrorgruppen, Hackergruppen, script kiddies und andere Staaten gegen westliche Staaten, und zwar vornehmlich, indem sie großflächig sogenannte kritische Infrastrukturen lahmlegen. 

Kritische Infrastrukturen sind Bereiche, die die moderne Zivilisation am Laufen halten, insbesondere Energie- und Wasserversorgung, Transport, Gesundheit, Banking und Agrar. Es handelt sich in der Regel um nicht staatliche Bereiche, die aber dennoch von vitalem Interesse für den Staat sind und deren potenzieller Ausfall eine Bedrohung der Souveränität darstellt. Insbesondere Kraftwerke, Krankenhäuser und Verkehrswege (einschließlich Häfen und Flughäfen), aber auch Kommunikationsnetze müssen unbedingt geschützt werden, denn die Zerstörung oder Unterbrechung dieser Infrastruktur würde das zivile Leben lahmlegen und potenziell viele Opfer nach sich ziehen. Solche Einrichtungen sind mit zunehmender Digitalisierung und Vernetzung verletzlich für Cyberangriffe geworden. Befürchtet wird, dass Hacker Staudämme öffnen und damit eine Flutwelle auslösen könnten; ebenso könnten sie Züge entgleisen lassen (vorzugsweise mit giftigen Chemikalien beladene Güterzüge) oder selbstfahrende Autos kapern und zu Waffen umfunktionieren; und durch Angriffe auf Kraftwerke könnte die Energieversorgung in urbanen Ballungszentren (wenn nicht gar landesweit) unterbrochen werden. Begleitet würden diese Angriffe von einer temporären Störung der Kommunikationsnetzwerke. Vielleicht die äußerste, noch geradezu futuristisch anmutende Idee ist, es könnte die "Smart City" der nahen Zukunft von Hackern gekapert werden und das Leben ihrer Bewohner zur Hölle auf Erden gemacht werden. 

Trotz der prinzipiellen Möglichkeit hat es bis dato keine solchen großflächigen Cyberangriffe auf kritische Infrastrukturen gegeben. Bekannte Ransomware-Attacken gegen Krankenhäuser (so der Angriff auf das Neusser Lukas-Krankenhaus und zwei weitere Krankenhäuser in Nordrhein-Westfalen im Februar 2016) und Stadtverwaltungen haben bei Weitem nicht das imaginierte Maß an zivilem Schaden und strategischer Bedrohung erreicht. Die großen Dystopien der Zerstörung kritischer Infrastrukturen durch Hacker sind Cyberkriegs-Folklore geblieben. Entscheidend ist dabei, dass solche großflächigen Angriffe auf kritische Infrastrukturen für staatliche Akteure keinerlei strategischen Nutzen besitzen, während nicht staatliche Akteure, die sich auch ohne strategischen Grund dazu verleitet sehen könnten, dazu nicht in der Lage sind. Die operationellen Anforderungen sind hierfür zu hoch geworden, zudem fehlt es an strategischer Plausibilität für solche Angriffe.² Erst durch die Einbettung in eine größere Kriegsstrategie würden sie strategisch plausibel, wären dann aber zugleich in ihrer Reichweite beschränkt. Vermutlich würde das temporäre Ausschalten von Infrastrukturen im Krieg − etwa um die Stromversorgung des Feindes zu unterbrechen - hier eher zu einer Verringerung an physischer Zerstörung führen, wie dies von Anfang an zu den Szenarien von Cyberkriegen gehörte.

In der medialen Reaktion auf diese Katastrophenszenarien wurden viele der Argumente erprobt, die bis heute in immer neuen Kombinationen gegen den Begriff des "Cyberkriegs" angeführt werden. Kritiker stören sich dabei nicht nur an sensationalistischen Wortkombinationen wie Cyber 9/11, Cyber Armageddon oder Cyber Pearl Harbor. Im Kern bestreiten sie, dass es so etwas wie Cyberkriege überhaupt gibt. Sie glauben, dass der Begriff "Cyberkrieg" lediglich ein ideologisches Konstrukt ist, mithilfe dessen Staaten sich neue Gegner und neue Befugnisse verschaffen. China und Russland, die beiden großen staatlichen Player im Kampf gegen die westliche Ordnung, würden lediglich Cyberspionage und/oder Cyberkriminalität betreiben, aber sie hätten kein Interesse an einem Cyberkrieg. Der Politikwissenschaftler Thomas Rid fasste den Vorbehalt 2012 in der Auskunft zusammen, statt eines Cyberkriegs gebe es lediglich verschiedene Versionen von Subversion, Spionage und Sabotage.³

Ein Stichwortgeber dieser Debatte war der Journalist Seymour Hersh, der in einem einflussreichen Artikel von 2010 den "Cyberkrieg" als einen Kampf zwischen ziviler und militärisch-geheimdienstlicher Nutzung und Kontrolle des Internets beschrieb, bei dem die Militärs und Geheimdienste immer mehr versuchen würden, das Internet zu übernehmen. Hersh zufolge verdanken sich die großen Ängste einer Verwirrung zwischen Cyberkrieg und Cyberspionage, die lediglich der Rüstungsindustrie dienen würde, während sie für Datenschützer entmutigend sei. Denn die Rede vom Cyberkrieg würde lediglich eine Rechtfertigung für staatliche Organe schaffen, die Bürger auszuspionieren. Stattdessen forderte Hersh - ebenso wie viele vor und nach ihm - einen stärkeren Gebrauch von Verschlüsselungstechniken, einschließlich der staatlich verordneten Pflicht zur Verschlüsselung: "Die Regierung würde sowohl Unternehmen wie auch Privatleute verpflichten, die jeweils aktuellste Sicherheitssoftware zu installieren."⁴ Einzig die Militärs und Geheimdienstler würden eine solche Lösung verhindern, da sie ihre Fähigkeit zum Abhören von Signalen beschränken würde.

Eine verwirrende Auskunft stammt vom US-amerikanischen Cybersicherheitsexperten­ Amit Yoran, der einerseits "ernste Konsequenzen" geltend macht, "wenn wir die Cybersicherheitskrise als Cyberkrieg bezeichnen. Die Konnotation des Kriegs oder das Etikett des  Cyberkriegs verleiten uns dazu, die Rolle des Militärs und der Geheimdienste stärker hervorzuheben." Andererseits glaubt auch er: "Letztlich kommt es nicht darauf an, wie man Cyberkrieg definiert oder ob man glaubt, sich aktuell im Cyberkrieg zu befinden oder nicht."⁵ Es bräuchte nicht eigens erwähnt zu werden, dass die beiden Positionen ("erns­te Konsequenzen"/"es kommt nicht darauf an" gänzlich unvereinbar sind. Doch der Widerspruch registriert eine verbreitete Unsicherheit in Bezug auf das Verhältnis von Sprache und Gegenstand. Yoran versteht den Ausdruck einerseits als "Etikett" und scheint damit zu suggerieren, dass die sprachliche Bezeichnung bereits einen Akt des Kriegs darzustellen vermag - so als würde der Krieg im Akt der Bezeichnung erst erschaffen, anstatt dass die Bezeichnung auf einen kriegsähnlichen Zustand reagiert. Im zweiten Zitat stellt sich dagegen der gesunde Menschenverstand wieder ein, für den es tatsächlich nicht so sehr auf die genaue Bezeichnung, sondern primär ums Handeln geht. Am Ende versucht Yoran jedoch, die beiden gegenläufigen Aspekte durch eine gänzlich belanglose rhetorische Formel wieder zusammenzubringen: "Definitionen sind wichtig, aber wir müssen jetzt handeln."⁶

Der reale Kern der apodiktisch vorgetragenen Zurückweisung des Begriffs der Cyberkriege besteht darin, dass Cyberangriffe nicht als Casus Belli herhalten sollen. Befürchtet wird dabei, dass die USA (oder andere westliche Länder) durch die Berufung auf einen Cyberangriff den Eintritt in einen "richtigen" Krieg rechtfertigen können. Es ist in hohem Maß kennzeichnend für die Qualität dieser Debatte, dass die bloße Befürchtung eine eingehende Untersuchung der Frage, ob es Cyberkrieg gibt und wie die möglichen Cyberkriege der Zukunft aussehen könnten, von vornherein zu verbieten scheint. Dabei ist die Sorge weitaus weniger begründet als zunächst befürchtet. Zwar sehen westliche Militärdoktrinen durchweg vor, dass ein Cyberangriff auch mit konventionellen militärischen Mitteln beantwortet werden kann. Diese Auskunft ist jedoch Teil der strategischen Abschreckung insbesondere gegen Staaten, die durch Cyber-Gegenangriffe kaum verwundbar sind. (Das nordkoreanische Internet besteht aus lediglich 28 Webseiten.) Doch kein Staat würde wegen Spionage- oder Ransomware-Attacken in einen Krieg ziehen.  

Krieg und Frieden

Es ist daher an dieser Stelle sinnvoll, ein paar begriffliche Unterscheidungen vorzunehmen. Denn typischerweise werden drei ganz verschiedene Dinge als "Cyberkrieg" bezeichnet: 

1. Der Idee nach handelt es sich um einen Krieg zwischen zwei souveränen Staaten, der wesentlich mit Cybermitteln, also weitgehend nicht kinetisch geführt wird. Im Gegensatz zu Cyberkriminalität und Cyberspionage hat es Cyberkriege in diesem Sinne bislang nicht gegeben und es gibt keine Anzeichen, dass es sie in naher Zukunft geben wird. Als Ausnahme gilt gemeinhin Stuxnet, der mutmaßliche amerikanisch-israelische Angriff auf die Nuklearanlage im iranischen Natanz. Es ist jedoch umstritten, ob dieser Angriff sinnvoll als Kriegsakt bezeichnet werden kann.

2. Von Cyberkrieg wird auch dort gesprochen, wo begrenzte Cyberangriffe als Vorbereitung eines sogenannten kinetischen Kriegs vorgenommen werden. Inzwischen ist Cybertechnologie tief in eine Vielzahl von Waffen­systemen integriert. Kriege der Zukunft werden damit in hohem Maße auch Cyberelemente enthalten, doch es scheint, dass eine solche Integration von Cyberelementen in den Krieg letztlich die Vorstellung vom Cyberkrieg obsolet machen wird. Einstweilen hat Cybertechnologie in dieser Verwendung eher die Wirkung der Minderung von kinetischer Zerstörung und damit der Einhegung des Kriegs - ein Umstand, der von Anfang an zum Szenario von Cyberkriegen gehörte und bis heute ein entscheidendes Argument gegen die großen Cyberdystopien bildet.⁷ 

3. Einer weiteren Auffassung zufolge beschreibt die Allgegenwart von Cyberkriminalität und Cyberspionage (die jederzeit in einen vollen Krieg übergehen kann, aber nicht tatsächlich in einen solchen Krieg übergeht) eine neue Art von Krieg, die den permanenten Ausnahmezustand zum neuen Normalzustand macht. Es handelt sich hier nicht um Krieg in dem Sinne, wie er durch das internationale Recht kodifiziert ist, sondern eher um einen vorrechtlichen Kriegszustand im Sinne des Hobbesʹschen Naturzustands, des Kampfes aller gegen alle.⁸ Insbesondere in dieser Bedeutung fordert der Cyberkrieg in hohem Maß unsere Vorstellungen von Krieg und Frieden heraus.

Jener Cyber-Naturzustand bildet einen Grenzbereich zwischen Cyberkriminalität, Cyberspionage und Cyberkrieg im engeren Sinne. Man muss hier zunächst mit der begrifflichen Unschärfe leben, dass "Cyberkrieg" sowohl etwas von Cyberkriminalität und Cyberspionage jeweils Verschiedenes als auch die Summe aller drei bezeichnen kann. Grob gesprochen, bildet Cyberkriminalität die technologische Avantgarde, während Cyberspionage der Bereich ist, in dem Staaten und staatlich unterstützte Organisationen ihre Cyberkapazitäten aufbauen. Cyberangriffe im engeren Sinne zeichnen sich dadurch aus, dass in ihnen die Kapazitäten von Cyberkriminalität und Cyberspionage auf eine neue Stufe der Präzision und Durchschlagskraft gebracht werden. Solche Angriffe sind äußerst selten (Stuxnet ist vielleicht das einzige Beispiel, das alle Kriterien erfüllt), extrem aufwendig in der Vorbereitung, in ihrer Reichweite begrenzt und nicht reproduzierbar. Zugleich sind sie prinzipiell möglich und stellen eine kontinuierliche strategische Gefahr dar.

In den allermeisten Fällen findet der Cyberkrieg in jenem Grenzbereich zu Cyberkriminalität und Cyberspionage statt, und dies scheint in hohem Maß die neue Art des Kriegs im 21. Jahrhundert zu bilden. Die eigentliche Pointe daran ist, dass damit die Unterscheidung von Krieg und Frieden nahezu unmöglich wird. George Lucas bezeichnet diese Art des Kriegs als "dauerhafte, 'grenzenlose' Kriegführung - eine Kriegführung ohne Regeln, 'Krieg aller gegen alle' [...]. Die Gefahr einer solchen Kriegführung besteht nicht nur darin, dass sie die Grenzen zwischen Krieg und 'bloßen' kriminellen Aktivitäten verschwimmen lässt, sondern auch, dass ein solcher Kriegszustand immer schwerer vom Frieden zu unterscheiden ist."⁹ 

Wenn es zutrifft, dass diese Art von Cyberkrieg die neue Art des Kriegs im 21. Jahrhundert bildet, dann löst sich die Definition des Cyberkriegs von ihrer Anlehnung an den Kriegsbegriff bei Clausewitz: "Der Krieg ist also ein Akt der Gewalt, um den Gegner zur Erfüllung unseres Willens zu zwingen."¹⁰ Dieser Begriff wird in der Cyberkriegsdebatte insbesondere von solchen Vertretern bevorzugt, die vom gerechten Krieg und vom Kriterium des Casus Belli ausgehen. Das eigentlich Neue am Cyberkrieg indes ist die prinzipielle Unklarheit, inwiefern es sich überhaupt um Krieg handelt - der Schwebezustand zwischen Krieg und Frieden. Die strategische Bedrohung durch Cyberkriege sorgt für eine Permanenz des Kriegs im Frieden.

Demnach muss man sich nicht so sehr an Clausewitz halten, sondern auf Hobbes und den Begriff des Krieges aller gegen alle zurückgehen - in diesem Zustand "nagt [...] die Furcht vor Tod, Armut oder einem anderen Unglück den ganzen Tag über am Herzen des Menschen, der aus Sorge über die Zukunft zu weit blickt, und er hat vor seiner Angst nur im Schlaf Ruhe."¹¹ Dieser Zustand, der bei Hobbes durch die Abwesenheit eines starken Königs geprägt war, hat seine gegenwärtige Entsprechung in der Abwesenheit einer unipolaren Weltmacht und den Hegemoniekämpfen in einer multipolaren Welt. Cyberkrieg ist das Mittel der Wahl für aufstrebende Großmächte, um die immer noch starken USA innerhalb dieses Koordinatensystems herauszufordern und sich ihnen gegenüber technologische, informationelle, ökonomische oder ideologische Vorteile zu verschaffen. 

Normen für den Cyberkrieg

Bei Hobbes sollte die These vom Kampf aller gegen alle die Abkehr vom Naturzustand und die Begründung der Zivilisation motivieren. Vieles spricht dafür, dass dem 21. Jahrhundert ein ähnlicher Prozess hinsichtlich des Cyberkriegs aller gegen alle bevorsteht. Doch wie lässt sich dieser Cyber-Naturzustand einhegen? Ist es eine Sache des internationalen Rechts, das die klassischen Normen des (analogen) Kriegs auf den Cyberspace anwendet? Der ursprüngliche Völkerrechtsenthusiasmus, wie er noch im sogenannten Tallin Manual (2013/2017) zum Ausdruck kam, weicht dabei immer mehr einem komplexeren Verständnis der Prozesse, in denen sich Normen für den Cyberkrieg erst herausbilden. 

Einzelne mögliche "starke" Normen wie die Beschränkung von Angriffen auf enge militärische Ziele, die Ächtung von Cyber-Erstschlägen oder die Verpflichtung, nicht staatliche Angriffe vom eigenen Territorium zu unterbinden, haben bislang insbesondere bei den großen Playern keine Zustimmung gefunden. Dabei haben auch diese großen Player wenig Interesse an einem großen Cyberkrieg. Zum Teil ist dies paradoxerweise in dem Prinzip der mutually assured destruction begründet, analog zur Aussicht auf gegenseitige atomare Vernichtung im Kalten Krieg. Abschreckung sorgt insbesondere dafür, dass es zwischen den USA und China, zwei der drei größten Player, bislang keinen Cyberkrieg gegeben hat und ein solcher Cyberkrieg wenig strategische Plausibilität besitzt. China könnte jederzeit von der Cyberspionage zum Cyberkrieg gegen die USA übergehen, was zumindest durch einige große Hacks nahegelegt wird; und die USA könnten ihrerseits China angreifen, insbesondere wo sie die durch chinesische Produktpiraterie entstehenden Sicherheitslücken ausnutzen können. Beide können durch einen Cyberkrieg wenig erreichen, aber viel verlieren.

Es scheint, als hätte auch dieses trotz aller verschiedenen Ziele gemeinsame Interesse, es zu einem großen Cyberkrieg nicht kommen zu lassen, die jüngste Konjunktur der Cyberdiplomatie befördert. Folgt man den entsprechenden Initiativen gerade aufseiten der Europäischen Union, so geht es dabei zunächst vor allem um Dialog- und Vertrauensbildung zwischen den Cybermächten. Idealerweise führt der diplomatische Dialog zu Vereinbarungen unterhalb der Schwelle des Rechts, die mit der Zeit quasi Gesetzeskraft erlangen.

Normen für den Cyberkrieg bilden sich ferner auch im Zusammenspiel mit dem Privatsektor heraus, so in dem schnell wachsenden Markt für Cyberversicherungen. Hier wird in nächster Zukunft über modellhafte Gerichtsurteile zu Haftungsfragen ein neuer Normierungsschub erfolgen - und dies in einem Umfang, der erheblich über das medial weithin sichtbare Thema der selbstfahrenden Autos hinausgeht. Recht wird demnach zunächst primär aus Gerichtsurteilen zu Haftungsfragen bei Schäden durch Cyberangriffe entstehen. So geht es bei der versicherungsrechtlichen Abwicklung von NotPetya - einem mutmaßlichen russischen Cyberangriff gegen die Ukraine, bei dem eine Ransomware-Schadsoftware (Petya) als Tarnung verwendet wurde - zentral um die Frage, ob es sich dabei um einen staatlichen russischen Angriff und damit einen kriegsähnlichen Akt handelt. Nach der Klage des Mondelez-Konzerns gegen die Zurich-Versicherungsgruppe, die nach dem NotPetya-Angriff aufgrund der Kriegsausschlussklausel die Zahlung verweigerte, wird die Frage demnächst von einem amerikanischen Gericht zu entscheiden sein. Der Fall ist für die Herausbildung von Normen für den Cyberkrieg von größter Tragweite und wird sich zweifellos auch auf die Normierung zwischenstaatlicher Cyberangriffe auswirken. Aber auch die Festlegung von "Good Practice"-Verfahren und Industriestandards werden den Umgang mit Bedrohungen stark verändern. Cyberethik sollte vornehmlich diese Prozesse reflektieren und kritisch begleiten, anstatt der Cyberpraxis eine normative Konzeption vorgeben zu wollen, die in den tatsächlichen Normierungsprozessen keine Rolle spielt.

Die multipolare Welt der Cybersicherheit

Folgt man solchen Beispielen für Normierungsprozesse und den daran beteiligten Instanzen, so zeigt sich auch, dass die befürchtete "Militarisierung" des Cyberspace nicht stattgefunden hat. Das Militär ist einer von vielen Playern im Bereich der staatlichen Cyberabwehr, aber es hat nicht den Cyberraum "unter Kontrolle" gebracht. Gerade im föderalen Deutschland teilt sich die Bundeswehr ihre Aufgaben mit den verschiedenen Landeskriminalämtern, dem BND, dem BSI und verschiedenen Ministerien. International ist die staatliche Cyberabwehr in die NATO und die EU eingebunden. Ferner ergeben sich immer wieder begrenzte Allianzen von hoher Durchschlagskraft, darunter die Five Eyes (Australien, Großbritannien, Kanada, Neuseeland, Vereinigte Staaten) mitsamt ihren diversen Erweiterungen, zu denen teilweise auch Deutschland gehört (Eight Eyes, Nine Eyes, Fourteen Eyes). Zugleich haben auch Unternehmen, private IT-Sicherheitsfirmen und Cyberversicherungen einen immer größeren Anteil an der Cybersicherheit. 

Die militärische Komponente ist in dieser Multipolarität der Kompetenzen und Zuständigkeiten ein wichtiges Element. Es wird vor allem dann bedeutsam sein, wenn ein Angriff militärischer Natur ist. Dies betrifft nicht allein die Ziele, sondern vor allem die Angriffsart, das heißt den Grad der Komplexität und strategischen Tiefe. Im Bereich der alltäglichen Cyberkriminalität übernehmen staatliche Stellen nur in geringem Maß selbst Abwehraufgaben. Sie sind hier weitgehend koordinierend tätig und können zudem über die Formulierung von technischen Mindeststandards - etwa bei der Vergabe von öffentlichen Aufträgen - oder rechtlichen Rahmenbedingungen auf die Cybersicherheit von Unternehmen, Infrastrukturen und privaten Nutzern einwirken.

Man darf also die militärische Cyberabwehr nicht mit zu hohen Erwartungen überfordern. Ihre tatsächlichen Aufgaben liegen im Normalfall in einem Bereich, der von anderen Playern nicht bedient werden kann. Im Ernstfall kann sie aufgrund ihrer größeren Möglichkeiten und Befugnisse eine stärker koordinierende Rolle einnehmen. Die Diskussionen über die notwendigen Kapazitäten und Befugnisse des Cyberkommandos der Bundeswehr haben sich stark auf die Frage konzentriert, ob es im Angriffsfall allein ihrem defensiven Mandat treu bleiben kann oder gegebenenfalls auch "zurückhacken" darf, etwa um den Server eines Angreifers abzuschalten. Ebenso könnte sie auch Teile der deutschen Infrastruktur vom Netz nehmen, um sie temporär dem Zugriff durch militärische Angreifer zu entziehen. Während eine flächendeckende militärische Kontrolle des Internets kaum wünschenswert wäre, gibt es wenig Grund, auf den relativen Schutz durch militärische Cyberkommandos zu verzichten.

1 Arquilla, John/Ronfeldt, David (1993): "Cyberwar is Coming!". In: Comparative Strategy 12 (1), S. 141-165, Nachdruck in: Arquilla, John/ Ronfeldt, David (Hg.) (1997): In Athena's Camp. Preparing for Conflict in the Information Age. Santa Monica, S. 23−60.

2 James Andrew Lewis (2018): "Rethinking Cyber­security. Strategy, Mass Effect, and States. A Report of the CSIS Technology Program". www.csis.org/analysis/rethinking-cybersecurity (Stand: 25. April 2019).

3 Rid, Thomas (2012): "Cyber War Will Not Take Place." The Journal of Strategic Studies, 35 (1), S. 5-32,
S. 6; vgl. ders. (2018): Mythos Cyberwar. Hamburg.

4 Hersh, Seymour M. (2010): "The Online Threat: Should We Be Worried About a Cyber War?". The New Yorker, 1.11.2010 (aus dem Englischen übersetzt).

5 Amit Yoran (2010): "Cyberwar or Not Cyberwar? And Why That Is the Question". Forbes, 25.3.2010 (aus dem Englischen übersetzt). www.forbes.com/sites/firewall/2010/03/25/cyberwar-or-not-cyberwar-and-why-that-is-the-question/ (Stand: 25. April 2019).

6 Ebd.

7 Arquilla, John (2012): "Cyberwar Is Already Upon Us. But Can It Be Controlled?". Foreign Policy, 27.2.2012, foreignpolicy.com/2012/02/27/cyberwar-is-already-upon-us/ (Stand: 25. April 2019).

8 Für Hobbes liegt die Schwelle zum Kriegszustand schon bei der drohenden Gefahr einer Eskalation: "Denn Krieg besteht nicht nur in Schlachten oder Kampfhandlungen, sondern in einem Zeitraum, in dem der Wille zum Kampf genügend bekannt ist. Und deshalb gehört zum Wesen des Krieges der Begriff Zeit, wie zum Wesen des Wetters. Denn wie das Wesen des schlechten Wetters nicht in ein oder zwei Regenschauern liegt, sondern in einer Neigung hierzu während mehrerer Tage, so besteht das Wesen des Kriegs nicht in tatsächlichen Kampfhandlungen, sondern in der bekannten Bereitschaft dazu während der ganzen Zeit, in der man sich des Gegenteils nicht sicher sein kann. Jede andere Zeit ist Frieden." Hobbes, Thomas (2011): Leviathan. Aus dem Englischen von Walter Euchner. Berlin, S. 122.

9 Lucas, George (2017): Ethics and Cyber Warfare. The Quest for Responsible Security in the Age of Digital Warfare. New York, S. 9 (aus dem Englischen übersetzt).

10 Clausewitz, Carl von (1973): Vom Kriege. 18. Aufl. Bonn, S. 191 f. 

11 Hobbes, Thomas (2011): Leviathan. Aus dem Englischen von Walter Euchner. Berlin, S. 106.