Cyberspace als Kriegsschauplatz? | Moderne Kriegführung | bpb.de

Im Juni 2010 wurde in Iran auf speziellen Industriesteuerungscomputern einer Urananreicherungsanlage eine Schadsoftware (Malware) entdeckt, mit deren Hilfe über eine verborgene Manipulation von Zentrifugen die Anlage sabotiert wurde. Analysen des Programms, das mittlerweile als Stuxnet bekannt ist, ergaben, dass die Sabotage über mehrere Jahre gelaufen war und die Hacker über erstaunliche technische Fähigkeiten sowie Detailkenntnisse zum Aufbau der Industrieanlage verfügt haben mussten. Aufgrund des enormen auch finanziellen Entwicklungsaufwands für eine solche Schadsoftware, die in der Lage war, eine vom Internet abgekoppelte Industrieanlage anzugreifen, wurde hinter Stuxnet rasch ein staatlicher Akteur vermutet. Diese Annahme gilt mittlerweile als bestätigt und Stuxnet als Gemeinschaftsprojekt US-amerikanischer und israelischer Militärs und Nachrichtendienste.

Stuxnet war jedoch nicht die erste mutmaßlich staatlich eingesetzte Schadsoftware. 2007 etwa soll das israelische Militär die syrischen Luftabwehrsysteme sabotiert haben, und in Estland wurden Server vermutlich durch kremlnahe Aktivisten von Russland aus angegriffen und zeitweise lahmgelegt – Vorfälle, die in ähnlicher Form auch im Kaukasus-Krieg 2008 aufgetreten sein sollen. Seit 2010 wurden immer wieder solche Vorfälle bekannt, zuletzt 2015, als das interne Kommunikationssystem des Deutschen Bundestages "Parlakom" monatelang ausspioniert wurde und vermutlich Dokumente, Zugangsdaten und die persönliche Kommunikation von Abgeordneten und ihren Mitarbeiterinnen und Mitarbeitern entwendet wurden. Bis zum kompletten Herunterfahren des Systems während der Sommerpause konnte der Angriff monatelang nicht unterbunden werden und behinderte die Arbeit des Bundestages massiv.

Militarisierung des Cyberspace

Seit der Entdeckung von Stuxnet hat sich im Zusammenhang mit derartigen Vorfällen der an den Begriff Cyberspace angelehnte Terminus Cyberwar etabliert. Dieser verzerrt jedoch eine wichtige Unterscheidung, die bei der Behandlung und Bewertung solcher Vorfälle geboten ist: Sind die Urheber einer Cyberattacke nicht direkt durch einen Staat beauftragt, handelt es sich um "normale" Kriminalität und betrifft damit Fragen der nationalen und internationalen Strafverfolgung und Polizeikooperation, für die beispielsweise mit dem 2001 unterzeichneten Budapester Übereinkommen über Computerkriminalität bereits multilaterale Vereinbarungen existieren. Erst wenn ein Staat als mutmaßlicher Urheber hinter einer Attacke steht, verlagert sich die Bewertung des Vorfalls auf die außenpolitische Ebene und wird gegebenenfalls völkerrechtlich relevant.

Dann muss mit Blick auf eine angemessene Reaktion eine kritische Abgrenzung erfolgen: Handelt es sich um nachrichtendienstliche Spionagemaßnahmen, um Sabotage oder um klar auf strategische Ziele ausgerichtete, militärisch offensive Aktivitäten? Dabei sind die jeweils verursachten Schädigungen zu betrachten. Je nach Intention des Angreifers und eingesetzter Schadsoftware kann das Spektrum hier vom einfachen Datendiebstahl über das zeitweise Außerkraftsetzen eines IT-Dienstes bis zur konkreten Beschädigung von IT- und nachgeordneten Systemen reichen.

Fragen zum Cyberwar gehen über den rein technischen Aspekt der Sicherung von IT-Systemen beziehungsweise den Angriff auf solche Systeme hinaus. Neben den Aspekten der Defensive und Offensive sowie den benötigten Hilfsmitteln spielen die sicherheitspolitischen und militärstrategischen Doktrinen der Staaten eine entscheidende Rolle. Von diesen hängt ab, inwiefern ein Staat den Cyberspace als neue militärische Domäne auffasst und wie mit entsprechenden Maßnahmen anderer Staaten umgegangen wird.

Seit einigen Jahren und spätestens seit der Entdeckung von Stuxnet nehmen Staaten den Cyberspace verstärkt als militärische Domäne wahr. Einer Studie des United Nations Institute for Disarmament Research zufolge betrieben 2013 mindestens 47 Staaten militärische Cyberprogramme, darunter zehn Nationen mit nominell auch offensiver Ausrichtung. Weitere Hinweise geben Dokumente aus dem Fundus Edward Snowdens. So wies etwa US-Präsident Barack Obama 2012 seine Militär- und Geheimdienstchefs an, eine Liste der wichtigsten potenziellen militärischen Ziele im Cyberspace zu erstellen und Maßnahmen für die Störung dieser Ziele bis hin zu ihrer Zerstörung zu entwickeln. Die Tragweite dieser präsidialen Direktive wird mit Blick auf die 2013 enthüllten umfassenden Cyberspionage- und -manipulationsmöglichkeiten deutlich, die die National Security Agency (NSA) in den Vereinigten Staaten entwickelt sowie teilweise als verdeckte "digitale Schläfer" in kommerziellen Produkten verbreitet hat. Traditionell untersteht die NSA dem Leiter des US-Cybercommand, also den offensiven Cyberstreitkräften der US-Armee, die damit direkt auf die NSA-Technologien zugreifen können. Seit 2016 werden diese im Kampf gegen den "Islamischen Staat" auch erstmals offiziell eingesetzt.

In Deutschland verfügt die Bundeswehr seit 2006 über eine Einheit für Computer Network Operations (CNO) mit aktuell etwa 60 Mitarbeiterinnen und Mitarbeitern, die dem Organisationsbereich des Kommandos Strategische Aufklärung zugeordnet ist. Diese Einheit hat die Aufgabe, offensiv auf fremde IT-Systeme zuzugreifen, allerdings trainiert sie ihre Fähigkeiten gegenwärtig nur in abgeschlossenen Übungsnetzwerken und wurde offiziellen Angaben zufolge bisher noch nicht eingesetzt. Das Bundesverteidigungsministerium plant, die bei der Bundeswehr mit IT und Cyber befassten Dienststellen in den kommenden Jahren zu einem eigenen Organisationsbereich "Cyber und Informationsraum" zusammenzufassen, der 13800 Stellen umfassen soll und den bisherigen Teilstreitkräften Heer, Marine und Luftwaffe sowie dem Sanitätsdienst gleichgestellt sein soll. Damit verbunden ist eine deutliche Aufstockung der CNO-Einheit um 20 Dienstposten, die bereits im Frühjahr 2017 abgeschlossen sein soll, sowie eine engere Verzahnung zum militärischen Nachrichtenwesen. Die strategischen Leitlinien des Weißbuchs 2016 zur Sicherheitspolitik und zur Zukunft der Bundeswehr zeigen, dass mit diesen Umstrukturierungen neben verbesserten Verteidigungsmöglichkeiten auch eine stärker strategisch offensive Ausrichtung der Bundeswehr im Cyberspace verbunden ist. "Die Befähigung zum bundeswehrgemeinsamen Wirken in allen Dimensionen – Land, Luft, See, Cyber- und Informations- sowie Weltraum – ist der übergeordnete Maßstab. (…) Wirkungsüberlegenheit muss über alle Intensitätsstufen hinweg erzielt werden können."

Im Rahmen der NATO gilt der Cyberspace seit dem Warschauer Gipfeltreffen im Juni 2016 neben Land, Luft und See als viertes Operationsgebiet. Cyberattacken werden nunmehr als militärische Aggressionen gewertet und können demnach den Bündnisfall nach Artikel 5 des NATO-Vertrages auslösen.

Die zunehmende Militarisierung des Cyberspace birgt eine Reihe von völkerrechtlichen und sicherheitspolitischen Herausforderungen für die internationale Gemeinschaft und die einzelnen Staaten, auf die im Folgenden eingegangen wird.

Völkerrecht im Cyberspace

Mit Blick auf die etablierten Regeln des zwischenstaatlichen Agierens stellt sich die Frage, inwiefern sie auf den Cyberspace übertragen werden können. Die Schwierigkeit dieser Debatte zeigt sich bereits an den Diskussionen um eine gemeinsame Definition des Cyberspace: Während sich etwa die US-amerikanische und westeuropäische Interpretation stark an technischen Maßstäben orientiert und die Menge der IT-Systeme und deren Vernetzungsinfrastruktur umfasst, sodass sich Sicherheit meist auf die Integrität dieser Systeme bezieht, verstehen etwa Russland und China auch die darin gespeicherten, übertragenen und veröffentlichten Informationen als Teil des Cyberspace. Sicherheit, insbesondere die nationale Sicherheit, geht bei diesem Verständnis über den Aspekt der Integrität der technischen Systeme hinaus und wird somit auch zu einer Frage der Kontrolle und des Zugriffs auf diese Informationen – eine Sichtweise, die mit menschenrechtlichen Grundsätzen wie freie Meinungsäußerung schwer zu vereinbaren ist.

Einen ersten Vorstoß zur Lösung des Problems der Übertragbarkeit des Völkerrechts auf den Cyberspace wagten die Expertinnen und Experten des NATO Cooperative Cyber Defence Centre of Excellence 2013 mit dem sogenannten Tallinn Manual, einem Handbuch mit 95 Orientierungshilfen für Staaten für den Fall eines Cyberwar. Es hat zwar keinerlei bindenden Charakter, stellt aber die spezifisch neuen Eigenschaften des Cyberspace heraus, die völkerrechtlich bewältigt werden müssen.

Die zentrale Herausforderung besteht in der Virtualität des Cyberspace, die Ansätze und Regularien unterminiert, die auf territorialen Grenzen oder der Lokalisation militärischer Mittel basieren. Ebenso problematisch sind die Immaterialität von Schadsoftware sowie die Möglichkeit, sie unbegrenzt zu vervielfältigen. Zudem ist es aufgrund der Struktur des Cyberspace und der Prinzipien der Datenübertragung recht leicht, im Verborgenen zu agieren oder den eigentlichen Ursprung einer Attacke zu verschleiern. Hinzu kommt, dass IT-Systeme oft stark vernetzt sind und direkt oder indirekt wichtige Prozesse der sogenannten kritischen Infrastrukturen steuern, etwa der Strom- und Wasserversorgung, der Kommunikation oder des Verkehrs. Die Beeinträchtigung der IT eines Staates kann demzufolge potenziell unabschätzbare Folgen mit Kaskadenwirkung auch für ursprünglich nicht attackierte Ziele haben. Da bereits der verdeckte Zugriff auf IT-Systeme zur Spionage oder militärischen Lagebildaufklärung meist mit dem Einsatz von Schadsoftware und damit der Manipulation der normalen Funktionalität eines IT-Systems einhergeht, ist die Schwelle für derartige Gefahren sehr niedrig.

Mit Blick auf zentrale Konzepte des Völkerrechts werfen diese Eigenschaften des Cyberspace eine Reihe von Problemen auf. Das betrifft etwa das völkerrechtliche Gebot zum Gewaltverzicht und das Recht zur Selbstverteidigung nach Artikel 2 Ziffer 4 beziehungsweise Artikel 51 der UN-Charta sowie die Prinzipien der Angemessenheit und Proportionalität von militärischen Reaktionen: Was bedeutet "Anwendung von Gewalt" im Cyberspace? Wann handelt es sich bei Malware und diversen Cyberangriffshilfsmitteln und -methoden um eine "Waffe" – im militärischen Jargon als "Wirkmittel" bezeichnet? Wann kann von einem "bewaffneten Angriff" gesprochen werden?

Bisherige Ansätze der Übertragung dieser Konzepte auf den Cyberspace greifen in aller Regel auf Vergleiche zu den Auswirkungen von klassischen, sogenannten kinetischen Wirkmitteln zurück, um Cybervorfälle und die völkerrechtlichen Reaktionsmöglichkeiten zu bewerten. So definiert etwa das Tallinn-Manual einen bewaffneten Angriff im Cyberspace als "cyber activities that proximately result in death, injury, or significant destruction".

Ein solcher Ansatz greift jedoch etwas zu kurz, da er folgende, für den Einsatz von Schadsoftware charakteristische Situationen ungenügend berücksichtigt: Zum einen ist es möglich, dass sich die eingesetzte Malware unkontrolliert über IT-Netzwerke hinweg ausbreitet und fremde Systeme befällt und beeinträchtigt, die ursprünglich nicht Ziel des Angriffs waren und möglicherweise einer unbeteiligten Nation gehören. So wurden beispielsweise inaktive Versionen von Stuxnet auf Zehntausenden Systemen weltweit entdeckt. Ebenso problematisch ist der Einsatz von Malware, die verdeckt über einen längeren Zeitraum hinweg schleichend wirkt oder indirekte Wege der Manipulation von Teilsystemen wählt und so keinen direkt beobachtbaren und zuordbaren Schaden verursacht. Hinzu kommt der aktuelle Trend der Cloud-Technologien, der die geografische Verortbarkeit von IT-Systemen weiter erschwert. Eng damit verbunden ist das sogenannte Attributionsproblem: Das Recht auf Selbstverteidigung eines Staates sieht vor, dass der Ursprung eines Angriffs, auf den es akut zu reagieren gilt, zweifelsfrei feststeht. Im Cyberspace ist es jedoch üblich, Angriffe von eigens dafür gekaperten fremden IT-Systemen aus durchzuführen, um den Ursprung zu verschleiern. Die Rückverfolgung dieser oft über mehrere Zwischenschritte hinweg geführten Attacken ist praktisch kaum zeitnah und forensisch sicher umsetzbar. Ebenso problematisch gestaltet sich die nähere Eingrenzung des erlaubten militärischen Einsatzes von Schadsoftware. Normalerweise unterscheiden sich die IT-Werkzeuge und Methoden sowie die Software, wie sie von Kriminellen, IT-Sicherheitsfachleuten oder möglicherweise militärischen Kräften eingesetzt werden, um auf IT-Systeme zuzugreifen, kaum. Je nach Intention läuft ihr Einsatz jedoch auf ganz unterschiedliche Wirkungen hinaus, beispielsweise auf die Aufdeckung, Analyse und Behebung von Schwachstellen (IT-Sicherheitsexperten), das Entwenden von Kreditkartendaten (Kriminelle) oder das Zerstören eines Luftüberwachungsprogramms (Militär). Neben den Werkzeugen ist auch die Identifizierbarkeit staatlicher oder militärischer Akteure und damit verbunden der Begriff des Kombattanten im Cyberspace sowie die Abgrenzung zum Zivilisten mit aktuellen Technologien schwer umsetzbar. Eine solche Kennung ist jedoch für den Umgang mit Akteuren in Krisen- und kriegerischen Situationen maßgeblich.

Auch bei den Vereinten Nationen oder der Organisation für Sicherheit und Zusammenarbeit in Europa diskutieren Expertengruppen über diese Fragen. Konkrete Ansätze für verbindliche völkerrechtliche Regelungen im Cyberspace, insbesondere mit Blick auf das "Recht zum Krieg" (ius ad bellum) und das "Recht im Krieg" (ius in bello), sind gegenwärtig jedoch noch nicht zu erkennen.

Rüstungskontrolle im Cyberspace

Die dargestellten Schwierigkeiten und Unklarheiten, denen sich die Staatengemeinschaft angesichts der Militarisierung des Cyberspace gegenübersieht, werfen auch sicherheitspolitische Probleme auf. Einerseits liegt nahe, angesichts der zunehmenden Cyberbedrohungen und dem geschärften Problembewusstsein für die Gefahr rund um kritische Infrastrukturen IT besser, effektiver und nachhaltiger zu schützen und zu verteidigen. Andererseits bedeuten die Verbesserung des Defensiv-Know-hows, die Beschäftigung mit Angriffsszenarien und die Identifikation von Schwachstellen in aller Regel auch eine Zunahme der potenziellen Fähigkeiten zum offensiven Agieren in IT-Systemen. Eine sinnvolle technische Abgrenzung ist an dieser Stelle nicht möglich, und die Beschränkungen auf rein defensive Aktivitäten von Streitkräften haben lediglich deklarativen Charakter.

Ähnlich gelagert sind Probleme, die sich aus dem unter anderem von NATO und Bundeswehr erwogenen Verteidigungskonzept der active defence ergeben. Kern dieser Idee ist die Unterbindung von akuten Cyberbedrohungen nicht nur durch rein defensive Maßnahmen wie dem Trennen von Netzwerkverbindungen, sondern auch durch ein hack-back, also das Eindringen in und Stören der IT-Systeme des Angreifers. Neben dem bereits dargestellten Problem, dass der wahrgenommene Ursprung eines Angriffs nicht zwingend auf den tatsächlichen Angreifer zurückschließen lässt, müssen dafür offensive Fähigkeiten aufgebaut werden. Ferner ist ein ausgeprägtes Domänenwissen erforderlich, also Kenntnisse über Ziele, deren Zustand und technische Spezifik sowie über die eingesetzte Software und deren Version, damit die entsprechenden Cyberwirkmittel zielgerichtet entwickelt und effektiv eingesetzt werden können. Das bedeutet dass es gegebenenfalls im Vorfeld eines Angriffs zu nachrichtendienstlichen Aktivitäten in IT-Systemen potenzieller Angreifer kommt.

Darüber hinaus sind für Zugriffe Kenntnisse über Sicherheitslücken der anvisierten Ziele erforderlich. Bei sehr vielen Vorfällen wurden in der Vergangenheit Sicherheitslücken in populärer und weit verbreiteter Software wie E-Mail-Programmen, Browser oder Office-Anwendungen genutzt. Einen offenen Umgang mit Sicherheitslücken und ihre Behebung fördert die Zunahme militärischer Offensivaktivitäten nicht – stattdessen floriert der Handel mit derlei Wissen, ob auf dem Schwarzmarkt oder durch Firmen, die gezielt solche Lücken suchen, aufkaufen und vermarkten.

Im Zuge der Militarisierung des Cyberspace besteht die Gefahr, dass Staaten angesichts der aktuellen Unklarheiten über den internationalen Umgang mit diesem neuen militärischen Potenzial in Rüstungswettläufe geraten. Mit Blick auf die etablierten internationalen Rüstungskontrollmaßnahmen und Abrüstungsinitiativen stellen sich in diesem Zusammenhang also neue Fragen. Sowohl IT-Güter als auch Softwarelücken mit potenziell militärischem Nutzen werden in aller Regel zivil verwendet. Während dieser sogenannte Dual-Use-Charakter eine eingehende Prüfung von Exporten erforderlich macht, erschweren die bereits erwähnten Eigenschaften von Software, die Ausbreitung (Proliferation) und Anwendungskontexte von Exporten nachzuvollziehen und die Zusagen der Importeure und Käufer dieser Systeme zu verifizieren.

Als erster Schritt für eine Überwachung des Handels mit nachrichtendienstlich oder militärisch nutzbaren IT-Systemen wurde 2013 das 1995 geschlossene Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien ergänzt, sodass es nun auch sogenannte Intrusion-Software abdeckt. Auch wenn dieses multilaterale Abkommen, dem gegenwärtig 41 Staaten angehören, kritisch zu bewerten ist, ist ein solcher Anfang für die Etablierung von Regularien und die Zukunft der Rüstungskontrolle im Cyberspace sehr wichtig.

Um einen Rüstungswettlauf zu bremsen, sind ferner vertrauensbildende Maßnahmen zwischen den Staaten von zentraler Bedeutung. Dabei geht es darum, dass Staaten sich über ihre Sicherheitsvorstellungen, über wahrgenommene und im Rahmen von Sicherheitsstrategien adressierte Bedrohungen sowie die getroffenen Maßnahmen austauschen. Ziel ist es, "to reduce and even eliminate the causes of mistrust, fear, misunderstanding and miscalculations with regard to relevant military activities and intentions of other States" und Kommunikationskanäle für weiterführende Gespräche oder Krisensituationen zu etablieren.

Es gibt bereits erste bilaterale Verständigungen über ein gemeinsames Interesse an der Sicherheit ziviler IT-Systeme sowie die Eingrenzung der potenziell gefährdenden nachrichtendienstlichen Spionage. In den vergangenen Jahren führten insbesondere die USA und China hochrangige Gespräche miteinander und schlossen 2015 den ersten bilateralen Vertrag mit konkretem IT-Sicherheitsbezug ab, in dem beide Staaten gemeinsam wesentliche Bedrohungspotenziale im Cyberspace addressieren. Dieser Prozess wurde von bi- und multilateralen militärischen Krisenübungen für Cybervorfälle begleitet.

Ein weiterer wichtiger Schritt im Sinne vertrauensbildender Maßnahmen ist die Entwicklung und Etablierung von kollektiven Incident-reporting-Systemen, also von klar strukturierten und hierarchisierten Warn- und Meldesystemen für kritische Cybervorfälle, wie sie in Form sogenannter Computer Emergency Response Teams auf nationaler Ebene oder für Teilnetzwerke wie akademische Forschungsverbünde bereits existieren. So bewegt sich etwa die Europäische Union mit der Einführung von standardisierten nationalen Meldepflichten für solche Vorfälle und einer vernetzten Weitergabe über Staatsgrenzen hinweg in Richtung einer transnationalen Sicherung der Stabilität von IT-Infrastrukturen.

All das trägt auch dazu bei, irrationale Ängste vor dem in den Medien oft kolportierten "Cyberdoomsday" abzubauen. Die Cybervorfälle der vergangenen Jahre haben gezeigt, dass Cyberattacken staatlicher Akteure kaum in totale, über das Internet geführte Konflikte münden, sondern wie bei klassischen Spionagevorfällen zum Gegenstand außenpolitischen Interesses werden. So nahm beispielsweise die US-Regierung 2014 den Datendiebstahl im Zuge eines Cyberangriffs auf eine in den USA ansässige Sony-Tochterfirma trotz mangelhafter Beweislage zum Anlass für Sanktionen gegen nordkoreanische Staatsbürger und Unternehmen.

Cyberpeace?

Die Militarisierung des Cyberspace betrifft auch dessen zivile, individuelle Nutzung. Die NSA-Affäre hat gezeigt, wie umfangreich die Überwachungs- und Kontrollmöglichkeiten im Cyberspace sind – von einer Aggregation unterschiedlichster Daten durch IT-Dienstleistungen und soziale Netzwerke bis hin zur Totalüberwachung oder einer zielgerichteten Manipulation von Hardware – und wie tief ihre militärische Anwendung im Zuge der internationalen Konkurrenz um die Dominanz im Cyberspace in universale Menschenrechte eingreift.

Zugleich ähnelt der Cyberspace in seiner Breitenwirkung und den wirtschaftlichen und gesellschaftlichen Abhängigkeiten stark einer Allmende, den sogenannten commons. Konstante nachrichtendienstliche Aktivitäten im Cyberspace sowie die gezielte Schwächung von IT-Systemen oder die bewusste Manipulation von IT-Infrastrukturen zugunsten militärischer Strategien schwächen somit ein gemeinschaftlich genutztes Gut.

Umso wichtiger ist es, dass sich Staaten vermehrt auch den vielfältigen Herausforderungen auf dem Weg zu einer friedlichen Nutzung des Cyberspace widmen. Neben den bereits erwähnten Fragen zu Rüstungskontrolle und vertrauensbildenden Maßnahmen betreffen diese auch die Strukturen selbst, die hinter dem Cyberspace stecken: Die Diskussionen um eine stärkere Mitbestimmung internationaler Gremien wie der International Telecommunication Union der Vereinten Nationen bei den Entscheidungen über die Entwicklung und den technologischen Ausbau des Cyberspace halten weiter an. So fordern vor allem Schwellenländer wie Brasilien seit geraumer Zeit ein Ende der bisherigen Dominanz der US-amerikanischen Internet Corporation for Assigned Names and Numbers, die das Domain-Name-System und die Zuteilung von IP-Adressen koordiniert, sowie eine breite Beteiligung aller Staaten an der Gestaltung des Cyberspace.

Als vollkommen vom Menschen definierte und kontrollierte Domäne bietet der Cyberspace einerseits die besten Voraussetzungen für eine friedliche Gestaltung – sofern es gelingt, international ein Bewusstsein für deren Notwendigkeit zu etablieren. Andererseits wird der alles zerstörende Cyberwar angesichts der immer stärker werdenden internationalen Abhängigkeiten vermutlich ausbleiben. "Cyberwirkmittel" werden vielmehr in das Arsenal der militärstrategischen Planungen aufgenommen und primär begleitend zu konventionellen Mitteln eingesetzt werden. Ausreichen sollte diese Aussicht allen Friedensbewegten jedoch nicht.