Über Cyber, Krieg und Cyberkrieg

Prolog: Cyberodyssee 2007

Fangen wir mit einer Geschichte vom Krieg an. Ohne Zweifel gibt es Kriegsgeschichten auch im Cyberkrieg. Dies ist Enekens Geschichte: 

„Ich habe den ersten Cyberkrieg überlebt. Vielleicht bin ich sogar eine Veteranin. Was Letzteres angeht, bin ich mir allerdings nicht ganz sicher.

Ende April 2007 wurden Cyberbomben auf Estland abgeworfen. Niemand konnte die Bomben sehen oder hören, aber jeder erfuhr davon, als Verteidigungsminister, Parlamentspräsidentin, Justizminister und Ministerpräsident versicherten, dass es sie gebe. Plötzlich waren die Unruhen in den Straßen nebensächlich. Wir waren mit Massenvernichtungswaffen angegriffen worden. Wir lebten in einem Zustand der Blockade. Russland, der riesige Nachbar im Osten, hatte (nun wirklich) zugeschlagen.

Am winzigen Flughafen von Tallinn ging der Flugbetrieb bereits am nächsten Morgen weiter. Ich musste das Flugzeug nehmen – in Brüssel fand eine Konferenz zum Schutz persönlicher Daten statt, und meine Anweisung zur Teilnahme war nicht zurückgenommen worden. Zumindest hatte mich niemand angerufen, um die Reise zu verschieben. Ich hätte auf dem regulären Dienstweg ohnehin keine Weisungen entgegennehmen können, da der Zugang zum Informationssystem der Regierung blockiert war. 

Also reiste ich schweren Herzens ab. Was packt man ein, wenn man ein Kriegsgebiet verlässt? Als meine Großeltern während des Zweiten Weltkriegs ihre Heimat verließen, hatten sie die Wertgegenstände der Familie im Garten vergraben. Aber das half mir nicht weiter, weil ich nichts dergleichen besaß. Wertgegenstände, meine ich.

In Brüssel konnte ich mich kaum auf die technokratische Arbeit konzentrieren. Ich versuchte immer wieder, Nachrichten aus Estland zu bekommen, aber vergeblich: Keine Webseite ließ sich öffnen, die Regierungsseiten waren ebenfalls nicht erreichbar. Allerdings erstatteten die Kollegen von der NATO Bericht von unserem Krieg, und auch bei der EU-Kommission gab es kaum ein anderes Thema.  

Am Abend dieses Tages, an dem eine Schlagzeile die nächste gejagt hatte, nahm ich ein Taxi zum Flughafen. Nach dem Einchecken fühlte ich mich etwas besser. Es gab immerhin noch ein Land, in das ich zurückkehren konnte. Ich war erleichtert und dankbar. Egal was am kommenden Tag geschehen sollte – gemeinsam mit meiner Familie und meinen Freunden würde ich mich ihm stellen.

Am nächsten Tag im Büro – ich hatte zwei Jobs – merkte ich, was es heißt, in der öffentlichen Verwaltung eines Landes tätig zu sein, das sich im Krieg befindet. Nicht dass etwas mein bisheriges, angenehmes Leben direkt bedroht hätte, aber die Situation war dennoch chaotisch: Ich hatte eine sofortige juristische Einschätzung der Lage zu erstellen, stündliche technische Updates wurden verlangt, ständig kamen neue Themen dazu, die Telefone klingelten ununterbrochen.

Während der Arbeit am Rechtsgutachten wurde mir bewusst, wie schlecht ich darauf vorbereitet war, mit dem Kriegsbegriff zu operieren. Ich war nicht nur unfähig, völkerrechtliche Bestimmungen auf die Lage anzuwenden, sondern musste immer wieder Exkurse in kommunales und nationales Recht, ins Strafrecht und ins Datenschutzgesetz unternehmen – bis hin zu unserem Informationsgesetz, welches das Kopieren Hunderter E-Mail-Adressen von Webseiten der Ministerien und ihr direktes Einfügen in das Programm erleichtert hatte, das nun als Waffe eingesetzt wurde. Ich stieß auf den Kommentar eines Völkerrechtlers, der befand, das Völkerrecht sei auf den Umgang mit der Art Krieg nicht ausgelegt, in dem sich Estland nun befand. Das erschien mir sehr nachvollziehbar. Der Artikel legte allerdings auch nahe, das Völkerrecht müsse weiterentwickelt werden, um für Angriffe aus dem Cyberspace gerüstet zu sein. Dessen war ich mir schon weniger sicher – aber für eine fundierte Einschätzung war ich auch hier nicht tief genug in der Materie.

Auf dem Flur hörte ich den Oberbefehlshaber unserer Streitkräfte sagen, nichts von dem, was vor sich gehe, sei von militärischer Relevanz. Er musste sich geirrt haben. Ich wusste nicht, wie es sich genau verhielt, aber bei dieser Lage konnte es sich eindeutig nur um einen Konfliktfall handeln, da das Verteidigungsministerium involviert war. Das Centre of Excellence der NATO sollte ebenfalls involviert bleiben. Ich sollte involviert bleiben. Der Oberbefehlshaber der Streitkräfte musste also schlicht etwas verwirrt gewesen sein: Wir hatten nun eine ganze andere Art von Krieg zu führen, die es während seiner eigenen Ausbildung noch nicht gab.

Am nächsten Tag war der Krieg vorbei. Die Cyberangriffe wurden bei uns im Zentrum natürlich mit großem Eifer untersucht. Wir Wissenschaftler und Forscher durften plötzlich an zahlreichen Treffen teilnehmen – in Brüssel, Bergen, Redmond, an großen britischen und US-amerikanischen Universitäten und Thinktanks – und unsere Geschichte erzählen. Die Geschichte von einer neuen Art von Krieg.

Bei einer der vielen Konferenzen erwähnte jemand, Estland habe den Bündnisfall nach Artikel 5 des NATO-Vertrags erklärt. Das war mir neu, deshalb wollte ich es prüfen. In der Tat hatte die NATO einen Brief aus Estland erhalten, in dem vor Cyberangriffen gewarnt wurde, die unserer Expertise und besten Einschätzung zufolge wahrscheinlich eine Bedrohung für alle NATO-Staaten darstellten.

‚Wir haben Artikel 5 nicht in Anspruch genommen‘, notierte ich. Zur Bekräftigung fügte ich hinzu: ‚Kein Land kann sich ohne das Eintreten eines bewaffneten Angriffs auf den Bündnisfall berufen. Einige Staaten definieren den Einsatz von Gewalt als Schwelle, aber der Vorfall in Estland war weit von dieser Schwelle entfernt.‘

Anscheinend befand ich mich erneut auf dem Holzweg. Einige Monate später war das Cooperative Cyber Defence Centre of Excellence der NATO (CCDCOE) einsatzbereit, jedoch nicht mit der erforderlichen Mindestanzahl von drei Mitarbeitern, sondern gleich mit sieben! Estland war zum bevorzugten Ansprechpartner beim Thema Cyberverteidigung und Cyberkrieg geworden. Der erste Ausschuss der UN-Generalversammlung nahm sich der Problematik der internationalen Cybersicherheit an. Estland erhielt einen Sitz in der Gruppe der anfangs 15, später 20 und schließlich 25 Experten, die sich mit dem Thema auseinandersetzen sollten.

Als ich Jahre später die Positionen verschiedener Staaten zum Völkerrecht in dieser Frage analysierte, entdeckte ich, dass Russland bis 2006 als einziger Staat das Szenario der Informations- und Kommunikationstechnologien (IKT) als Kriegsschauplatz bei den UN vorangetrieben hatte. Das geht aus den Akten im Archiv des ersten UN-Ausschusses hervor. Inzwischen ist der Cyberkrieg allgegenwärtig. Oft in ähnlicher Form wie 2007 in Estland. Dennoch erscheint es nicht sinnvoll, das Kriegsrecht auf diese Fälle anwenden zu wollen. Stattdessen sollten wir uns fragen, ob wir nicht auf Resilienz und mehr Cyberhygiene setzen sollten – auch in den Institutionen der Regierung. Denn Cybersicherheit fängt im eigenen Land an.

Merkwürdigerweise fühle ich mich wie eine Veteranin eines Krieges, den es nie gegeben hat, der aber eine neue Vorstellung von Krieg geschaffen hat. Und diese Vision ist nun plötzlich Normalität.“

*

Eine Krise sollte man nie ungenutzt verpuffen lassen. Die Saga von 2007 nützte gleichermaßen dem kontrollwütigen Osten, dem operationsversierten Westen, dem unsicheren Süden, dem zaudernden Norden, der allzeit bereitstehenden Industrie und den wohlmeinenden Verfechtern friedlicher Lösungen. Viele äußerten damals sehr nachdrücklich die Meinung, der Cyberkrieg sei bereits in vollem Gange, und führten entsprechende Belege an. Wir schenken diesen Bezeugungen keinen Glauben.

Über Krieg

Selbstverständlich geschehen im Cyberspace schlechte, schädliche und böse Dinge. Kinder werden gemobbt, bloßgestellt und ausgebeutet. Betrug und Diebstahl im Netz scheinen leicht durchführbar und profitabel zu sein, Gewaltvideos sind frei verfügbar, und selbst Staaten, eigentlich die zivilisierten Mitglieder der internationalen Gemeinschaft, betreiben Massenüberwachung und gezielte Informationsbeschaffung (Spionage) und führen teilweise zerstörerische Operationen durch. Aber wollen wir hier wirklich von „Krieg“ sprechen?

Natürlich hat es schon viele „Kriege“ gegeben. Zwar haben wir hoffentlich das vielfach bemühte Konzept des „Kriegs gegen den Terrorismus“ überwunden. Doch mittlerweile ist ein weiterer unsinniger Gedanke, die „hybride Kriegführung“, aufgetaucht – nach dem Protokoll- und dem Browserkrieg, dem „Colakrieg“ zwischen Coca-Cola und Pepsi Cola und dem Krieg gegen die Fettleibigkeit, den die Menschheit zwar führt, aber sicher verlieren wird. In der Tat wird die Idee des Kriegs, vermutlich ähnlich wie beim „Dschihad“, umgangssprachlich oder zur rhetorischen Verstärkung der Argumentation genutzt. Wer aber ständig vom Krieg spricht, bagatellisiert und normalisiert damit den Schrecken eines echten Kriegs. Wenn überall Krieg herrscht, reduziert sich das menschliche und gesellschaftliche Leben auf einen Zustand permanenten Konflikts. Doch in jedem Fall gilt: Sollten wir ernsthaft an einen andauernden oder lauernden Krieg im Cyberspace glauben, müssen wir uns konsequenterweise auch darauf vorbereiten, ihn zu führen. Das haben viele Regierungen bereits vorgeschlagen.

Wir raten dringend an, nur dann von Krieg zu sprechen, wenn ein Staat organisierte Gewalt gegen einen anderen Staat oder eine politisch organisierte Einheit richtet. Die Wortwahl spielt eine geringere Rolle als die Idee dahinter. Krieg ist immer organisiert. Genauer gesagt sind Kriegführung und die damit verbundenen Handlungen grundsätzlich organisiert und zielgerichtet, politisch motiviert, systemisch und systematisch. Krieg ist inhärent gewaltsam: Er führt zu Tod und Zerstörung. Krieg spielt sich grundsätzlich zwischen Staaten ab; Einzelpersonen, die Gewalt anwenden, sind Kriminelle. Man kann Krieg auch als Phänomen begreifen, das im bewaffneten Kampf zwischen Staaten sichtbar wird. Dennoch folgen die strukturellen und phänomenologischen Annäherungen derselben Logik.

In Bürgerkriegen (sic!), der Intifada und im Fall von Aufständen und Befreiungskriegen hingegen ist eine der kämpfenden Parteien ein Staat und die andere eine organisierte Gruppe, die nicht unbedingt den formellen Status eines Staates hat, aber als politische Einheit handelt. Die politische Natur von Befreiungsfronten, -armeen und -organisationen, ja sogar von Befreiungsstämmen, ist offensichtlich: Dafür braucht es kein Parlament oder Parteien, sondern Wünsche, konkrete Ziele sowie Mittel und Maßnahmen, um diese Ziele zu erreichen. Harold Lasswells 1936 erschienenes Buch verdeutlichte dies schon im Titel: Politics. Who Gets What, When, How (Politik. Wer was wann wie bekommt; eigene Übersetzung). Wenn eine politisch organisierte und motivierte Einheit mit systematischer, organisierter Gewalt, die Tod und Zerstörung zur Folge hat, gegen eine ähnliche Einheit vorgeht, dann, seien wir ehrlich, ist das ein Krieg – selbst wenn das Völkerrecht anderer Ansicht ist. Im völkerrechtlichen Sinne wurden allerdings seit dem Koreakrieg (der übrigens formal nie beendet wurde) nur sehr wenige Kriege geführt.

Wir vertreten hier die Clausewitz’sche Auffassung von Krieg. Auch wenn er sich, entsprechend dem berühmten Chamäleonvergleich, immer wieder in neuen Farben und Strukturen zeigt, ist und bleibt Krieg doch vom Wesen her gewalttätig, ungewiss und zielgerichtet. Die gegenwärtigen und für die Zukunft zu erwartenden Aktivitäten und Einsätze im Cyberspace erfüllen diese Kriterien nicht, selbst dann nicht, wenn Staaten sie ausführen.

Über Cyber

Cybereinsätze haben bislang keine großflächigen Zerstörungen angerichtet. Zwar wurde die Kommunikation blockiert, die Stromversorgung unterbrochen, Websites wurden verunstaltet, Informationen vernichtet und industrielle Prozesse aufgehalten. Es hat finanzielle Verluste und Identitätsdiebstahl gegeben. Doch keine Stadt wurde bislang in Schutt und Asche gelegt. Vor allem sind Menschen bislang nicht an Leib und Leben zu Schaden gekommen. In der Tat ist fast jede andere Aktivität des Menschen potenziell tödlicher als Operationen im Cyberspace.

Vor allem werden deren übliche Folgen, von verschiedenen Manipulationen über die Blockierung von Zugangsrechten bis hin zur Vernichtung von Informationen und Systemen, kaum dazu führen, dass Staaten in den Krieg ziehen. Operationen im Cyberspace bedrohen weder die Existenz von Staaten, noch rütteln sie am Gleichgewicht der Mächte. Zudem haben sie nicht die umfassenden, langfristigen und entscheidenden Folgen, wie sie militärische Einsätze, also Krieg im eigentlichen Sinne, anvisieren und erreichen können. Im Kontext der brutalen Realität politischer Entscheidungsfindung geht es beim Cyberangriff nicht um die Inkaufnahme von Tod und Zerstörung, sondern um das Ausmaß gewaltsamer, zerstörerischer und schmerzhafter Wirkungen. 

Warum entwickeln dann so viele Nationen dennoch cybermilitärische Fähigkeiten? Warum­­ schaffen sie cyberspezifische Einheiten und Kommandos, bilden Personal für Cyberoperationen aus und führen Krieg im Cyberspace? Zum Beispiel überarbeiten die USA seit 2012 systematisch ihre nationalen Strategien, gemeinsamen Militärdoktrinen und Feldhandbücher, um cyberspezifische Fähigkeiten als wesentlichen Bestandteil aller militärischen Operationen und Funktionen zu verankern. Dazu würde auch die Stationierung von Cybereinheiten und -teams bei den taktischen Landstreitkräften, möglicherweise bis hin zu den Manöverbrigaden, gehören, sodass cyberspezifische Fähigkeiten in die volle Bandbreite militärischer Operationen integriert würden. Russland und China sind ebenfalls dabei, Instrumente der Informationskriegführung in ihre Streitkräfte einzugliedern. Die angeblich so friedlichen Skandinavier bauen Kapazitäten für die Cyberkriegführung auf, und sogar Estland, ein Land mit lediglich rund einer Million Einwohnern, verfügt seit November 2018 über ein eigenes Cyberkommando. Ist das nun Militarisierung?

Die Streitkräfte stehen von jeher beim Einsatz aktueller Informations- und Kommunikationstechnologien an vorderster Front. Computer wurden ursprünglich zum Rechnen genutzt. Doch bereits in den 1950er Jahren wurden Überwachungsstationen, Kommandoposten sowie Feuer- und Manövereinheiten miteinander vernetzt. Im Anschluss an die Kubakrise richteten die USA ein (schlecht funktionierendes) „weltweites Militärkommando- und Kontrollsystem“ ein. Die Digitalisierung hat die Zielgenauigkeit in diesem Bereich erhöht. Zurzeit bringen die meisten Streitkräfte ihre Kommando- und Kontrollsysteme sowie Waffensysteme auf den modernsten Stand der Technik. Auf der Suche nach mehr Effektivität integrieren die am weitesten Fortgeschrittenen ihre Systeme und Netzwerke. Intelligente und vernetzte Technologien werden auf alle militärischen Funktionen angewendet, auf die administrativen ebenso wie auf potenziell tödliche. Überall geht es darum, Daten und Netzwerke zu schützen.

Mit Sicherheit kommen cyberspezifische Fähigkeiten in allen Konflikten unserer Zeit zum Einsatz. Regierungen nutzen Cybermethoden auch für Spionage in Politik und Wirtschaft. Einigen wird nachgesagt, dass sie außerdem kriminell im Netz agieren. Ein konzeptuell korrekter und faktisch präziser Begriff, der das Entwickeln, Stationieren und Anwenden von IKT und cybermilitärischen Fähigkeiten beschreibt, wäre die Bezeichnung Cyberkriegführung als Kombination von Wegen und Mitteln, Methoden, Fähigkeiten, Instrumenten und deren Einsatz.

Dass die Operationen im Cyberspace genau nicht die Definition von Krieg erfüllen, macht sie so lukrativ und gefährlich zugleich. Einige sehen diese Operationen als neue Standardform der Machtprojektion. Manche Länder sind offenkundig stolz auf ihre cyberspezifischen Fähigkeiten und Operationen, möglicherweise in der Annahme, diese seien frei von Risiken. Das Gegenteil ist der Fall.

Konflikte und Auseinandersetzungen sind trotz aller Digitalität niemals per se virtuell, sondern grundsätzlich politisch und real. Selbst die reinste Form, die verklärendste Vorstellung von Cybereinsätzen – der Schlagabtausch mittels virtueller Geschosse und hitziger Softwaregefechte –, findet weder im luftleeren Raum noch mit Licht­geschwindigkeit statt. 

Gepaart mit den realen Gegebenheiten der Ope­rationen im Cyberspace, führt die Logik des Kriegs und der Politik zu einer paradoxen Si­tuation:

Solange Cybereinsätze lediglich eine relativ geringe, temporäre und sekundäre Wirkung erzielen, überschreiten sie nicht die Schwelle zum Krieg. Der (wenn auch unwahrscheinliche) Fall einer digitalen Operation mit ernsthaften existenziellen oder zerstörerischen Auswirkungen dagegen würde die Situation eskalieren lassen und zu herkömmlichen politischen und militärischen Konflikten und Kriegen führen.

Statistisch gesehen, handelt es sich bei fast allen nachweislich oder mutmaßlich von staatlicher Hand gesteuerten Cyberangriffen um Spionage. Zudem sind einige Dutzend weiterer Vorfälle dokumentiert, die jedoch nur relativ geringfügige Schäden anrichteten: Verunstaltung von Websites, Blockierung von Diensten, Manipulation sowie in sehr wenigen Fällen Vernichtung von Daten, Sabotage und materielle Schäden. Dieses Lagebild ist also weit von einem Kriegsszenario entfernt.

Das wahre Problem

Wir sind derart auf die Idee des Cyberkriegs fixiert, dass wir übersehen, was sich tatsächlich abspielt. Die zunehmende Militarisierung im digitalen Raum betrifft nicht nur bekannte, etablierte Mächte, denen der Cyberspace sogar Möglichkeiten bieten könnte, Todesopfer und Zerstörung zu vermeiden. Vielmehr ist rund um den Globus das Entstehen völlig neuer operativer Einheiten zu beobachten – in der EU insbesondere in Estland, den Niederlanden und Polen. 

Das Erscheinen von Cyberneulingen auf der Bühne der globalen Konflikte ist besorgniserregend und stellt eine potenzielle Destabilisierung dar. Ihre Präsenz zeugt vom Verlangen, durch Machtprojektion Relevanz zu erlangen. Obwohl den neuen Cybermächten bewusst ist, dass sie sich durch die Entwicklung und Nutzung dieser Fähigkeiten gegenüber ihren Kontrahenten exponieren, lassen sie ihre operativen Bestrebungen die Oberhand über ihre rechtsstaatlichen Verpflichtungen gewinnen. Auf den ersten Blick geht es um Nichtigkeiten, um winzig kleine Eingriffe in puncto Souveränität oder gebührende Sorgfaltspflicht. Diese Einschnitte schlagen jedoch ernste Wunden in die völkerrechtlich begründete öffentliche Ordnung. Wer sich dazu aufschwingt, einem Staat das Recht auf die eigene Souveränität abzusprechen, spricht es automatisch allen anderen Staaten ab.

Die Entwicklung neuer operativer Fähigkeiten treibt das Perpetuum mobile der politischen Spannungen an und kann leicht zu unerwünschter oder unerwarteter Eskalation führen. In keinem Fall lässt sich vorhersagen, wie diese neu entstandenen Mächte reagieren werden oder inwieweit die neuen Cybermächte politischer Manipulation und Provokation standhalten können. Während wir also fasziniert den Cyberkrieg verfolgen, der keiner ist, verpassen wir genau die Entwicklungen, die zu einem tatsächlichen Konflikt führen könnten.

Cybereinsätze durchzuführen ist eine riskante Angelegenheit. Das Klima eines Cyberkonfliktes und dessen (falsche) Wahrnehmung destabilisieren das empfindliche Gleichgewicht zwischen Normalität und Krise zusätzlich. In einem Cyberkonflikt sind politische Entscheidungen oft durch ein Gefühl von Dringlichkeit, das vorrangige Gebot der hard security und den Irrtum motiviert, auf diese Weise mächtig zu erscheinen. Schließlich werden Entscheidungen mitten in einem Dickicht aus Fehlinformation, Fehl­einschätzungen, Unsicherheit und Angst ge­troffen. In ihren Übungen zelebrieren Staaten und Organisationen einen eskalierenden Sprachgebrauch, flankiert durch entsprechende Maßnahmen. Es scheint kaum möglich, an Deeskalation überhaupt nur zu denken. Dabei ist genau das nötig.

Wir alle hoffen, dass diese Zeiten niemals kommen werden. Vermutlich hoffen wir vergebens. Niemand weiß, wie viele Schnitte die internationale Ordnung noch verkraften kann, bevor sie endgültig ausblutet. Menschenrechte, Rechtsstaatlichkeit und das Leitmotiv des Friedens bleiben im Spiel um die Macht im Cyberspace außen vor. Dieser Voluntarismus fördert den Mangel der Staatengemeinschaft an Verantwortungssinn zutage. Er unterstreicht, dass Staaten im Gegensatz zu sozialen Gemeinschaften nicht durch eine gemeinsame Identität oder gemeinsame Werte gebunden sind. Stattdessen zeigt er, dass der ­ein­zige gemeinsame Nenner zwischen Staaten in ihrer politischen Identität besteht. Die Aussicht auf irgendeine Art von internationalem Kontrollregime bleibt schiere Utopie.

Dies führt uns zu einer weiteren Unsinnigkeit: freiwillige, nicht bindende Normen verantwortlichen staatlichen Handelns. Sie sind das Placebo, das der internationalen Gemeinschaft als Ersatz zum Völkerrecht angeboten wird. Da gegen­wärtig kein Krieg zwischen den USA und der Russischen Föderation ins Haus steht, können es sich beide leisten, im Ballsaal der Schrankenlosigkeit ein Tänzchen miteinander zu wagen. Derart eng umschlungen, fühlen sie sich viel zu wohl und sicher, um sich mit dem überwältigenden Mangel an Resilienz, Umsicht und Verantwortlichkeit abzugeben, der überall auf der Welt lauert. So bieten die immer längeren Listen neuer Cybermächte dem einen potenzielle neue Verbündete, dem anderen potenzielle Ausreden … bis es zu spät ist.

Die Welt schien inzwischen so friedlich geworden zu sein, dass viele Staaten es sich erlaubt haben, ihre Schutzschilde sinken zu lassen. Doch die Informations- und Kommunikationstechnologien können wirklich zur Gefahr werden, wenn wir ihre Entwicklung und Nutzung nicht ernst genug nehmen. Diese Gefahr besteht allerdings nicht in einem Cyberkrieg, sondern in einem echten Krieg. In der Art von Krieg, für die das humanitäre Völkerrecht geschaffen wurde.