Im Juni 2010 wurde in Iran auf speziellen Industriesteuerungscomputern einer Urananreicherungsanlage eine Schadsoftware (Malware) entdeckt, mit deren Hilfe über eine verborgene Manipulation von Zentrifugen die Anlage sabotiert wurde. Analysen des Programms, das mittlerweile als Stuxnet bekannt ist,
Stuxnet war jedoch nicht die erste mutmaßlich staatlich eingesetzte Schadsoftware. 2007 etwa soll das israelische Militär die syrischen Luftabwehrsysteme sabotiert haben,
Militarisierung des Cyberspace
Seit der Entdeckung von Stuxnet hat sich im Zusammenhang mit derartigen Vorfällen der an den Begriff Cyberspace angelehnte Terminus Cyberwar etabliert. Dieser verzerrt jedoch eine wichtige Unterscheidung, die bei der Behandlung und Bewertung solcher Vorfälle geboten ist: Sind die Urheber einer Cyberattacke nicht direkt durch einen Staat beauftragt, handelt es sich um "normale" Kriminalität und betrifft damit Fragen der nationalen und internationalen Strafverfolgung und Polizeikooperation, für die beispielsweise mit dem 2001 unterzeichneten Budapester Übereinkommen über Computerkriminalität bereits multilaterale Vereinbarungen existieren.
Dann muss mit Blick auf eine angemessene Reaktion eine kritische Abgrenzung erfolgen: Handelt es sich um nachrichtendienstliche Spionagemaßnahmen, um Sabotage oder um klar auf strategische Ziele ausgerichtete, militärisch offensive Aktivitäten? Dabei sind die jeweils verursachten Schädigungen zu betrachten. Je nach Intention des Angreifers und eingesetzter Schadsoftware kann das Spektrum hier vom einfachen Datendiebstahl über das zeitweise Außerkraftsetzen eines IT-Dienstes bis zur konkreten Beschädigung von IT- und nachgeordneten Systemen reichen.
Fragen zum Cyberwar gehen über den rein technischen Aspekt der Sicherung von IT-Systemen beziehungsweise den Angriff auf solche Systeme hinaus. Neben den Aspekten der Defensive und Offensive sowie den benötigten Hilfsmitteln spielen die sicherheitspolitischen und militärstrategischen Doktrinen der Staaten eine entscheidende Rolle. Von diesen hängt ab, inwiefern ein Staat den Cyberspace als neue militärische Domäne auffasst und wie mit entsprechenden Maßnahmen anderer Staaten umgegangen wird.
Seit einigen Jahren und spätestens seit der Entdeckung von Stuxnet nehmen Staaten den Cyberspace verstärkt als militärische Domäne wahr. Einer Studie des United Nations Institute for Disarmament Research zufolge betrieben 2013 mindestens 47 Staaten militärische Cyberprogramme, darunter zehn Nationen mit nominell auch offensiver Ausrichtung.
In Deutschland verfügt die Bundeswehr seit 2006 über eine Einheit für Computer Network Operations (CNO) mit aktuell etwa 60 Mitarbeiterinnen und Mitarbeitern, die dem Organisationsbereich des Kommandos Strategische Aufklärung zugeordnet ist. Diese Einheit hat die Aufgabe, offensiv auf fremde IT-Systeme zuzugreifen, allerdings trainiert sie ihre Fähigkeiten gegenwärtig nur in abgeschlossenen Übungsnetzwerken und wurde offiziellen Angaben zufolge bisher noch nicht eingesetzt.
Im Rahmen der NATO gilt der Cyberspace seit dem Warschauer Gipfeltreffen im Juni 2016 neben Land, Luft und See als viertes Operationsgebiet. Cyberattacken werden nunmehr als militärische Aggressionen gewertet und können demnach den Bündnisfall nach Artikel 5 des NATO-Vertrages auslösen.
Die zunehmende Militarisierung des Cyberspace birgt eine Reihe von völkerrechtlichen und sicherheitspolitischen Herausforderungen für die internationale Gemeinschaft und die einzelnen Staaten, auf die im Folgenden eingegangen wird.
Völkerrecht im Cyberspace
Mit Blick auf die etablierten Regeln des zwischenstaatlichen Agierens stellt sich die Frage, inwiefern sie auf den Cyberspace übertragen werden können. Die Schwierigkeit dieser Debatte zeigt sich bereits an den Diskussionen um eine gemeinsame Definition des Cyberspace: Während sich etwa die US-amerikanische und westeuropäische Interpretation stark an technischen Maßstäben orientiert und die Menge der IT-Systeme und deren Vernetzungsinfrastruktur umfasst, sodass sich Sicherheit meist auf die Integrität dieser Systeme bezieht, verstehen etwa Russland und China auch die darin gespeicherten, übertragenen und veröffentlichten Informationen als Teil des Cyberspace. Sicherheit, insbesondere die nationale Sicherheit, geht bei diesem Verständnis über den Aspekt der Integrität der technischen Systeme hinaus und wird somit auch zu einer Frage der Kontrolle und des Zugriffs auf diese Informationen – eine Sichtweise, die mit menschenrechtlichen Grundsätzen wie freie Meinungsäußerung schwer zu vereinbaren ist.
Einen ersten Vorstoß zur Lösung des Problems der Übertragbarkeit des Völkerrechts auf den Cyberspace wagten die Expertinnen und Experten des NATO Cooperative Cyber Defence Centre of Excellence 2013 mit dem sogenannten Tallinn Manual, einem Handbuch mit 95 Orientierungshilfen für Staaten für den Fall eines Cyberwar. Es hat zwar keinerlei bindenden Charakter, stellt aber die spezifisch neuen Eigenschaften des Cyberspace heraus, die völkerrechtlich bewältigt werden müssen.
Die zentrale Herausforderung besteht in der Virtualität des Cyberspace, die Ansätze und Regularien unterminiert, die auf territorialen Grenzen oder der Lokalisation militärischer Mittel basieren. Ebenso problematisch sind die Immaterialität von Schadsoftware sowie die Möglichkeit, sie unbegrenzt zu vervielfältigen. Zudem ist es aufgrund der Struktur des Cyberspace und der Prinzipien der Datenübertragung recht leicht, im Verborgenen zu agieren oder den eigentlichen Ursprung einer Attacke zu verschleiern. Hinzu kommt, dass IT-Systeme oft stark vernetzt sind und direkt oder indirekt wichtige Prozesse der sogenannten kritischen Infrastrukturen steuern, etwa der Strom- und Wasserversorgung, der Kommunikation oder des Verkehrs.
Mit Blick auf zentrale Konzepte des Völkerrechts werfen diese Eigenschaften des Cyberspace eine Reihe von Problemen auf. Das betrifft etwa das völkerrechtliche Gebot zum Gewaltverzicht und das Recht zur Selbstverteidigung nach Artikel 2 Ziffer 4 beziehungsweise Artikel 51 der UN-Charta sowie die Prinzipien der Angemessenheit und Proportionalität von militärischen Reaktionen: Was bedeutet "Anwendung von Gewalt" im Cyberspace? Wann handelt es sich bei Malware und diversen Cyberangriffshilfsmitteln und -methoden um eine "Waffe" – im militärischen Jargon als "Wirkmittel" bezeichnet? Wann kann von einem "bewaffneten Angriff" gesprochen werden?
Bisherige Ansätze der Übertragung dieser Konzepte auf den Cyberspace greifen in aller Regel auf Vergleiche zu den Auswirkungen von klassischen, sogenannten kinetischen Wirkmitteln zurück, um Cybervorfälle und die völkerrechtlichen Reaktionsmöglichkeiten zu bewerten. So definiert etwa das Tallinn-Manual einen bewaffneten Angriff im Cyberspace als "cyber activities that proximately result in death, injury, or significant destruction".
Ein solcher Ansatz greift jedoch etwas zu kurz, da er folgende, für den Einsatz von Schadsoftware charakteristische Situationen ungenügend berücksichtigt: Zum einen ist es möglich, dass sich die eingesetzte Malware unkontrolliert über IT-Netzwerke hinweg ausbreitet und fremde Systeme befällt und beeinträchtigt, die ursprünglich nicht Ziel des Angriffs waren und möglicherweise einer unbeteiligten Nation gehören. So wurden beispielsweise inaktive Versionen von Stuxnet auf Zehntausenden Systemen weltweit entdeckt.
Auch bei den Vereinten Nationen oder der Organisation für Sicherheit und Zusammenarbeit in Europa diskutieren Expertengruppen über diese Fragen. Konkrete Ansätze für verbindliche völkerrechtliche Regelungen im Cyberspace, insbesondere mit Blick auf das "Recht zum Krieg" (ius ad bellum) und das "Recht im Krieg" (ius in bello),
Rüstungskontrolle im Cyberspace
Die dargestellten Schwierigkeiten und Unklarheiten, denen sich die Staatengemeinschaft angesichts der Militarisierung des Cyberspace gegenübersieht, werfen auch sicherheitspolitische Probleme auf. Einerseits liegt nahe, angesichts der zunehmenden Cyberbedrohungen und dem geschärften Problembewusstsein für die Gefahr rund um kritische Infrastrukturen IT besser, effektiver und nachhaltiger zu schützen und zu verteidigen. Andererseits bedeuten die Verbesserung des Defensiv-Know-hows, die Beschäftigung mit Angriffsszenarien und die Identifikation von Schwachstellen in aller Regel auch eine Zunahme der potenziellen Fähigkeiten zum offensiven Agieren in IT-Systemen. Eine sinnvolle technische Abgrenzung ist an dieser Stelle nicht möglich, und die Beschränkungen auf rein defensive Aktivitäten von Streitkräften haben lediglich deklarativen Charakter.
Ähnlich gelagert sind Probleme, die sich aus dem unter anderem von NATO
Darüber hinaus sind für Zugriffe Kenntnisse über Sicherheitslücken der anvisierten Ziele erforderlich. Bei sehr vielen Vorfällen wurden in der Vergangenheit Sicherheitslücken in populärer und weit verbreiteter Software wie E-Mail-Programmen, Browser oder Office-Anwendungen genutzt. Einen offenen Umgang mit Sicherheitslücken und ihre Behebung fördert die Zunahme militärischer Offensivaktivitäten nicht – stattdessen floriert der Handel mit derlei Wissen, ob auf dem Schwarzmarkt oder durch Firmen, die gezielt solche Lücken suchen, aufkaufen und vermarkten.
Im Zuge der Militarisierung des Cyberspace besteht die Gefahr, dass Staaten angesichts der aktuellen Unklarheiten über den internationalen Umgang mit diesem neuen militärischen Potenzial in Rüstungswettläufe geraten. Mit Blick auf die etablierten internationalen Rüstungskontrollmaßnahmen und Abrüstungsinitiativen stellen sich in diesem Zusammenhang also neue Fragen. Sowohl IT-Güter als auch Softwarelücken mit potenziell militärischem Nutzen werden in aller Regel zivil verwendet. Während dieser sogenannte Dual-Use-Charakter eine eingehende Prüfung von Exporten erforderlich macht, erschweren die bereits erwähnten Eigenschaften von Software, die Ausbreitung (Proliferation) und Anwendungskontexte von Exporten nachzuvollziehen und die Zusagen der Importeure und Käufer dieser Systeme zu verifizieren.
Als erster Schritt für eine Überwachung des Handels mit nachrichtendienstlich oder militärisch nutzbaren IT-Systemen wurde 2013 das 1995 geschlossene Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien ergänzt, sodass es nun auch sogenannte Intrusion-Software abdeckt.
Um einen Rüstungswettlauf zu bremsen, sind ferner vertrauensbildende Maßnahmen zwischen den Staaten von zentraler Bedeutung. Dabei geht es darum, dass Staaten sich über ihre Sicherheitsvorstellungen, über wahrgenommene und im Rahmen von Sicherheitsstrategien adressierte Bedrohungen sowie die getroffenen Maßnahmen austauschen. Ziel ist es, "to reduce and even eliminate the causes of mistrust, fear, misunderstanding and miscalculations with regard to relevant military activities and intentions of other States"
Es gibt bereits erste bilaterale Verständigungen über ein gemeinsames Interesse an der Sicherheit ziviler IT-Systeme sowie die Eingrenzung der potenziell gefährdenden nachrichtendienstlichen Spionage. In den vergangenen Jahren führten insbesondere die USA und China hochrangige Gespräche miteinander und schlossen 2015 den ersten bilateralen Vertrag mit konkretem IT-Sicherheitsbezug ab, in dem beide Staaten gemeinsam wesentliche Bedrohungspotenziale im Cyberspace addressieren.
Ein weiterer wichtiger Schritt im Sinne vertrauensbildender Maßnahmen ist die Entwicklung und Etablierung von kollektiven Incident-reporting-Systemen, also von klar strukturierten und hierarchisierten Warn- und Meldesystemen für kritische Cybervorfälle, wie sie in Form sogenannter Computer Emergency Response Teams auf nationaler Ebene oder für Teilnetzwerke wie akademische Forschungsverbünde bereits existieren. So bewegt sich etwa die Europäische Union mit der Einführung von standardisierten nationalen Meldepflichten für solche Vorfälle und einer vernetzten Weitergabe über Staatsgrenzen hinweg in Richtung einer transnationalen Sicherung der Stabilität von IT-Infrastrukturen.
All das trägt auch dazu bei, irrationale Ängste vor dem in den Medien oft kolportierten "Cyberdoomsday" abzubauen. Die Cybervorfälle der vergangenen Jahre haben gezeigt, dass Cyberattacken staatlicher Akteure kaum in totale, über das Internet geführte Konflikte münden, sondern wie bei klassischen Spionagevorfällen zum Gegenstand außenpolitischen Interesses werden. So nahm beispielsweise die US-Regierung 2014 den Datendiebstahl im Zuge eines Cyberangriffs auf eine in den USA ansässige Sony-Tochterfirma trotz mangelhafter Beweislage zum Anlass für Sanktionen gegen nordkoreanische Staatsbürger und Unternehmen.
Cyberpeace?
Die Militarisierung des Cyberspace betrifft auch dessen zivile, individuelle Nutzung. Die NSA-Affäre hat gezeigt, wie umfangreich die Überwachungs- und Kontrollmöglichkeiten im Cyberspace sind – von einer Aggregation unterschiedlichster Daten durch IT-Dienstleistungen und soziale Netzwerke bis hin zur Totalüberwachung oder einer zielgerichteten Manipulation von Hardware
Zugleich ähnelt der Cyberspace in seiner Breitenwirkung und den wirtschaftlichen und gesellschaftlichen Abhängigkeiten stark einer Allmende, den sogenannten commons.
Umso wichtiger ist es, dass sich Staaten vermehrt auch den vielfältigen Herausforderungen auf dem Weg zu einer friedlichen Nutzung des Cyberspace widmen. Neben den bereits erwähnten Fragen zu Rüstungskontrolle und vertrauensbildenden Maßnahmen betreffen diese auch die Strukturen selbst, die hinter dem Cyberspace stecken: Die Diskussionen um eine stärkere Mitbestimmung internationaler Gremien wie der International Telecommunication Union der Vereinten Nationen bei den Entscheidungen über die Entwicklung und den technologischen Ausbau des Cyberspace halten weiter an. So fordern vor allem Schwellenländer wie Brasilien seit geraumer Zeit ein Ende der bisherigen Dominanz der US-amerikanischen Internet Corporation for Assigned Names and Numbers, die das Domain-Name-System und die Zuteilung von IP-Adressen koordiniert, sowie eine breite Beteiligung aller Staaten an der Gestaltung des Cyberspace.
Als vollkommen vom Menschen definierte und kontrollierte Domäne bietet der Cyberspace einerseits die besten Voraussetzungen für eine friedliche Gestaltung – sofern es gelingt, international ein Bewusstsein für deren Notwendigkeit zu etablieren. Andererseits wird der alles zerstörende Cyberwar angesichts der immer stärker werdenden internationalen Abhängigkeiten vermutlich ausbleiben. "Cyberwirkmittel" werden vielmehr in das Arsenal der militärstrategischen Planungen aufgenommen und primär begleitend zu konventionellen Mitteln eingesetzt werden. Ausreichen sollte diese Aussicht allen Friedensbewegten jedoch nicht.