Im Sommer 2016 veröffentlichte eine Hackergruppe, die sich "The Shadow Brokers" nennt, Teile des Werkzeugkastens der sogenannten Equation Group, einer offensiven Cybereinheit, die dem US-Auslandsgeheimdienst NSA nahestehen soll. Unter den offengelegten Instrumenten befanden sich unter anderem Schadcode und Programme zum Ausnutzen von Sicherheitslücken, sogenannte Exploits.
Im Folgenden sollen – mit Blick auf die sicherheitspolitischen Herausforderungen – die Besonderheiten des Cyberspace analysiert und eingeordnet werden. Wir werfen dabei einen Blick auf Paradigmen und Paradoxien dieses vom Menschen geschaffenen Raums und beleuchten drei nationale Strategien (USA, Deutschland, Russland) für die Herstellung von Cybersicherheit. Weil im Datenraum einzelstaatliches Handeln allein noch keine Lösungen für sicherheitspolitische Probleme erlaubt, weiten wir im Anschluss den Fokus auf internationale Kooperation und nehmen dabei den sogenannten Cyberterrorismus in den Blick. All dies soll unter der Fragestellung geschehen, ob den konzeptionellen Besonderheiten des Raums politisch ausreichend Rechnung getragen wird.
Der Cyberraum war niemals sicher
Der Shadow-Brokers-Fall steht an der Spitze einer Entwicklung von digitaler Aufrüstung und Versicherheitlichung des Cyberraumes. Dieser wird zunehmend als Herausforderung für die nationale Sicherheit erachtet. Bislang haben 72 Staaten Cybersicherheitstrategien formuliert;
Den ersten und bisher einzig bekannten militärischen Cyberangriff auf einen anderen Staat begingen die USA und Israel 2011 mit dem Trojaner "Stuxnet" auf das iranische Atomprogramm. Dabei wurden mehrere Zentrifugen zur Anreicherung von Uran zerstört.
Spezielle Herausforderungen
Die konzeptionellen Besonderheiten des Cyberspace sind inzwischen vielfach dokumentiert. Kein Raum bietet bessere Möglichkeiten, die Spuren eigener Aktivitäten zu verwischen, falsche Fährten zu legen und die Rückverfolgbarkeit von Angriffen zu verhindern. Im globalen Netz werden zwangsläufig Dritte, insbesondere ihre IT-Infrastruktur, in den Konflikt hineingezogen. Ihrer durch das Völkerrecht auferlegten Sorgfaltspflicht können Staaten nur bedingt nachkommen, wollen sie nicht die Freiheit und Offenheit des Internets durch vollständiges Überwachen gefährden. Die Attribution von Aktivitäten, insbesondere von aggressiven, bleibt schwierig, wenn nicht unmöglich. Die dafür antretende Computerforensik sammelt nachträglich meist Indizien, keine Beweise. Viele technische Merkmale, die oftmals als politische Beweiskette für oder gegen Aktivitäten bestimmter Staaten ins Feld geführt werden, halten einer konsistenten juristischen Beweisführung nicht stand. Ob Zeitstempel und sprachspezifische Kommentare in Quellcodes, spezielle Codefragmente, Routinen oder Programmiertechniken: All das ist fälschbar, und kaum etwas lässt sich so leicht verbreiten wie Software(schad)code und die dafür nötigen Sicherheitslücken.
Gleichzeitig sind die meisten Staaten abhängig von kommerzieller Hard- und Software und damit auch von deren Sicherheit. Nationale technologische Souveränität in der IT ist schon deshalb eine Illusion, weil die Produktions- und Lieferketten globalisiert sind. Wirtschaftlich würde eine nationale, souveräne IT für die meisten Staaten auch keinen Sinn ergeben, weil die heimischen Märkte zu klein für die nötigen Investitionen in Forschung, Entwicklung und Produktion sind.
Schon diese wenigen Beispiele zeigen, dass klassische Paradigmen der Sicherheitspolitik nicht ohne Weiteres auf den Cyberspace übertragbar sind. Abschreckung kann nur funktionieren, wenn der Angreifer glaubhaft mit Vergeltung rechnen muss, doch das Attributionsproblem untergräbt diese Logik. Der Staat als Garant für Sicherheit im Cyberspace ist oft selbst abhängig von kommerziellen Unternehmen und tritt zudem nicht selten janusköpfig auf, etwa wenn staatliche Stellen Sicherheitslücken aufkaufen, um sie später gezielt einzusetzen, sei es zur Strafverfolgung und polizeilichen Prävention oder nachrichtendienstlich beziehungsweise militärisch. Zudem verwischt die Trennung zwischen Zivilem und Militärischem: Akteure beider Bereiche verwenden gleiche oder ähnliche IT-Infrastruktur, beide stehen in ähnlichen Abhängigkeiten zu kommerziellen Softwareanbietern. Selbst staatliche Hacker und Cyberkriminelle unterscheiden sich kaum in den eingesetzten technischen Mitteln.
Schließlich versagt das Rechtsprinzip der Territorialität insbesondere für digitale Daten, wenn sie losgelöst von ihren realen Ursprüngen global verarbeitet und gespeichert werden. Die neueste Fassung der US-amerikanischen Cyberstrategie spricht deshalb von einem gemeinsam geteilten Raum (shared space).
Die Gefahr von Cyberangriffen geht von unterschiedlichsten Akteuren aus. Einzeltäter tummeln sich hier genauso wie professionell organsierte Hackergruppen, kriminelle Banden ebenso wie militärische und nachrichtendienstliche Hackerkommandos. Cybersicherheitsexperten gehen davon aus, dass die Gefahr von Angriffen nicht ab-, sondern weiter zunimmt.
Die US-Sicherheitssoftwarefirma Symantec entdeckte 2015 mehr als 430 Millionen neue Varianten von Schadsoftware, was einer Zunahme von 36 Prozent gegenüber dem Vorjahr entspricht. Mehr als verdoppelt habe sich die Ausnutzung von sogenannten Zero-Day-Schwachstellen.
Ein weiteres Paradoxon des Cyberspace entsteht durch die Verwischung der Unterschiede zwischen Offensive und Defensive, also das Ausnutzen von offensiven Fähigkeiten für defensive Zwecke. Insbesondere für militärische und nachrichtendienstliche Akteure gilt mittlerweile die Devise, dass das Eindringen in fremde Computersysteme und die Analyse ihrer Schwachstellen noch keinen Angriff im klassischen Sinne darstellt. Wenn aber alle die Systeme der jeweils anderen infiltriert haben, wer ist dann Angreifer und wer Verteidiger? Die politischen und technischen Hemmschwellen in diesem "Spiel" sind jedenfalls deutlich gesunken. Der Cyberangriff auf den Deutschen Bundestag im Sommer 2015 verdeutlicht den Trend und zeigt die Verwundbarkeit wichtiger staatlicher Infrastrukturen.
Neue Räume – alte Konzepte?
Mittlerweile haben viele Staaten mit Cybersicherheitsstrategien auf die Herausforderungen im Datenraum reagiert, darunter die USA, Russland und Deutschland. Die Bedrohungswahrnehmungen und Herangehensweisen unterscheiden sich zum Teil beträchtlich.
Der Direktor der US-Geheimdienste definiert die Gefahren aus dem Cyberraum inzwischen als größte Herausforderung, sogar noch vor dem Terrorismus. Als mögliche Ziele von Attacken werden in der Cybersicherheitsstrategie des US-Verteidigungsministeriums kritische Infrastrukturen und militärische Netzwerke ausgemacht. Potenzielle Gegner werden vor allem in Russland und China gesehen, die über fortgeschrittene Cyberfähigkeiten verfügen und diese auch einsetzen. Auch Iran und Nordkorea sind auf der Liste der vermuteten Gegner, wenngleich sie über weniger ausgeprägte Fähigkeiten verfügen. Der sogenannte Islamische Staat (IS) wird ebenfalls als Gefahr genannt, da er den Cyberraum nutzt, um zu rekrutieren und Propaganda zu verbreiten. Zudem haben IS-Vertreter die Absicht erklärt, aggressive Cyberfähigkeiten erlangen zu wollen. Auch der Handel mit Software-Sicherheitslücken wird vom US-Verteidigungsministerium als Gefahr erkannt. Allerdings wird der Einfluss der staatlichen Aktivitäten auf diesen Markt nicht erwähnt und somit nicht als Gefahrenquelle benannt. Eine Stoßrichtung der amerikanischen Cybersicherheitsstrategie ist die Einbettung von Cyberfähigkeiten in konventionelle Angriffe, um beispielsweise militärische Netzwerke und Waffensysteme des Gegners zu stören oder auszuschalten. Hierzu sollen die bereits vorhandenen offensiven Fähigkeiten ausgebaut werden.
Wie in anderen sicherheitspolitischen Räumen setzt die US-Regierung auch im Cyberraum auf Abschreckung: "The United States will continue to respond to cyberattacks against U.S. interests at a time, in a manner, and in a place of our choosing, using appropriate instruments of U.S. power and in accordance with applicable law."
In der Cybersicherheitsstrategie der Bundesregierung von 2011 werden dagegen die zivilen Ansätze und Maßnahmen in den Vordergrund gestellt. Die Bundeswehr soll lediglich Maßnahmen zum Schutz ihrer eigenen Handlungsfähigkeit ergreifen und auf entsprechenden Mandaten basierend zur "gesamtstaatlichen Sicherheitsvorsorge" beitragen.
Die Aufgaben der Bundeswehr im Cyberbereich werden im Weißbuch als "Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit, Beiträge zum gesamtstaatlichen Lagebild im Cyber- und Informationsraum im Rahmen der nationalen und multinationalen Sicherheitsvorsorge sowie der Gewährleistung der Cybersicherheit in den bundeswehreigenen Netzen" beschrieben.
Allerdings wird im Weißbuch die unscharfe Trennung von offensiven und defensiven Fähigkeiten nicht problematisiert. Beide sollen ausgebaut, geübt und weiterentwickelt werden. Im Gegensatz zur fortschreitenden Versicherheitlichung und Militarisierung des Cyberraumes steht das Eintreten der Bundesregierung für internationale Abkommen, Rüstungskontrolle und vertrauensbildende Maßnahmen: "Die Anpassung des Instrumentariums der Rüstungskontrolle und Vertrauensbildung an veränderte sicherheitspolitische und technologische Rahmenbedingungen schließt klassische und neue Dimensionen von Sicherheit, wie den Cyber- und Informationsraum und Weltraum sowie die Implikationen neuartiger Waffensysteme, ein."
Russlands nationale Cybersicherheitsstrategie von 2013 kontrastiert den westlichen Ansatz durch einen Fokus auf territoriale Integrität und nationale Souveränität im Datenraum. Dafür soll ein internationales Kontroll- und Regulierungsregime auf Basis einer von Russland verfassten Konvention für internationale Informationssicherheit geschaffen werden. Dies spiegelt die staatszentrierte Position Russlands im Cyberbereich wider. Im Gegensatz zu den USA, Deutschland und der EU befürwortet Russland eine größtmögliche Kontrolle des Staates über die physischen Netzinfrastrukturen sowie über die Datenverarbeitung und Dateninhalte bis hin zur Regulierung des Internets auf globaler Ebene. Als größte Bedrohung aus dem Cyberraum sieht Russland die Nutzung von Cyberwaffen für militärische und politische Ziele (siehe Stuxnet). Weitere Bedrohungen aus Sicht der russischen Regierung sind terroristische Angriffe auf kritische Infrastrukturen und die Nutzung des Internets durch Extremisten für Propaganda- und Rekrutierungszwecke. Zudem wird die Einmischung in innere Angelegenheiten und die Aufwiegelung von innerrussischen Konflikten befürchtet.
Die drei Beispiele nationaler Cybersicherheitsstrategien zeigen, dass Antworten auf die dringendsten konzeptionellen Fragen des Cyberspace noch fehlen. Bemerkenswert ist die weitgehende Abwesenheit von Ideen und Initiativen für Regeln und gutes Verhalten der Staaten im Netz. Eine Weiterentwicklung des klassischen Konzepts der Rüstungskontrolle auf den Cyberspace ist momentan nicht erkennbar. Die Begrenzung schädlicher Aktivitäten oder von Rüstungsdynamiken im Cyberspace liegt zurzeit, so scheint es, nicht im Interesse der Großmächte. Gleichwohl bleibt Cybersicherheit für die Interpretation und Anwendung des Völkerrechts eine Herausforderung.
Cybersicherheit als internationale Herausforderung
Völkerrechtliche Prinzipien wie Territorialität, staatliche Souveränität, Interventions- und Gewaltverbot sind für den Cyberraum nicht aufgehoben. Die internationale Gemeinschaft scheint sich derzeit jedoch kaum darauf einigen zu können, wie diese Prinzipien aus der analogen Welt auf den digitalen Raum übertragen werden sollen. Das Territorialprinzip, das jedem Staat auf seinem Territorium Souveränität zugesteht, stößt im Cyberspace an die Grenzen der Anwendbarkeit. Da die Aufdeckung und Zurechnung von Cyberangriffen kaum möglich ist, kann aktuell nur selten zweifelsfrei nachgewiesen werden, ob ein Verstoß gegen das Interventionsverbot vorliegt. Sollte ein Staat jedoch nachgewiesenermaßen Hackergruppen mit einer solchen Absicht finanziell unterstützen, so wäre der Tatbestand der Intervention erfüllt.
Cyberattacken können von E-Mail-Hacks bis hin zur Manipulation von Steuerungssystemen kritischer Infrastrukturen mit verheerenden und tödlichen Folgen reichen. Sollte im letzteren Fall die Attacke von einem Staat ausgehen, so läge nach Artikel 2 Absatz 4 der UN-Charta ein Verstoß gegen das Gewaltverbot vor.
Völkerrechtlich unklar ist bisher auch, wie die Antwort auf eine solche Cyberattacke ausfallen darf. Die USA behalten sich Vergeltungsschläge auch mit konventionellen Gegenschlägen vor.
Cyberterrorismus
Wo das Völkerrecht in schwieriges Fahrwasser gerät, da sind nichtstaatlichen Akteuren Tür und Tor geöffnet, so möchte man denken. Tatsächlich sind einige Herausforderungen für Cybersicherheit asymmetrischer Natur, allerdings spielt dabei der sogenannte Cyberterrorismus nur eine untergeordnete Rolle. Das BMI definiert Cyberterrorismus als "eine Form von Terrorismus, bei der das Internet als Waffe genutzt wird. Es werden also mit Hilfe von Internet-Technologien Angriffe auf Computersysteme verübt."
Derzeit werden bei keiner Terrororganisation die erforderlichen hohen technischen Fähigkeiten vermutet. Es besteht jedoch die Gefahr, dass eine fertige "Cyberwaffe", also schon entwickelte oder gar benutzte Schadsoftware, weitergegeben und von Kriminellen oder Terroristen verwendet wird. Bislang sind nur niedrigschwellige Angriffe ohne schwerwiegende Folgen bekannt, zum Beispiel die kurzzeitige Übernahme der Social-Media-Accounts des US-Zentralkommandos durch den IS beziehungsweise die Hackergruppe "Cyber-Kalifat" im Januar 2015.
Terrorismus im Cyberraum manifestiert sich aktuell vielmehr durch die Verbreitung von Propaganda und durch die Möglichkeit der Online-Radikalisierung. Gleichwohl nutzen terroristische Gruppen gesicherte Kommunikationswege im Internet für die Planung von Anschlägen oder zur Steuerung von Terrorzellen. Auch diese Aktivitäten stellen für Staaten ein Sicherheitsrisiko dar und werfen die Frage auf, wie viel Freiheit und Privatheit im Netz der Sicherheit geopfert werden sollen. Durch Verschlüsselung gesicherte Kommunikation ist eben nur dann wirklich geschützt, wenn weder staatliche Sicherheitsbehörden noch andere Dritte mitlesen können. Absichtlich geschwächte Verschlüsselung, Hintertüren oder Generalschlüssel gefährden, so zeigen die Erfahrungen der vergangenen Jahre, die Sicherheit aller.
Wie in zwischenstaatlichen Beziehungen, stellt sich auch beim Cyberterrorismus die Frage nach der Gewaltschwelle von Cyberangriffen. So ist fraglich, ob das bloße Hacken von Social-Media-Accounts und das Stören von Sendebetrieben ohne personellen oder sachlichen Schaden Terrorismus ist. Bisher wurden jedenfalls noch keine großangelegten Angriffe aus dem Cyberraum verzeichnet, die massiven physischen Schaden angerichtet haben und einen terroristischen Hintergrund vermuten ließen.
Schluss
Mit dem Cyberspace hat sich der Mensch erstmals einen (virtuellen) Raum selbst geschaffen und nutzt ihn nun für seine Auseinandersetzungen. Das Fehlen von Regelsetzungen und die schwierige Übertragbarkeit des bestehenden Völkerrechts hat dabei ein "Spielfeld" entstehen lassen, das längst überwunden geglaubtem, aggressivem Staatenverhalten zu einer Renaissance verholfen hat. Während dieser "Wilde Westen" immer mehr Akteure anzieht, ringen die Regierungen mit den Konsequenzen für den Kernbereich ihrer staatlichen Souveränität. Die Sicherheit im Cyberspace ist ein fundamentales Interesse staatlicher Vorsorge, die klassischen Durchsetzungsmechanismen aus der realen Welt versagen jedoch weitgehend.
Der Politik, auch in Deutschland, bleibt wohl nichts anderes übrig, als die Paradigmen des Cyberspace zur Grundlage einer neuen Sicherheitsarchitektur zu machen, die sehr viel mehr als bisher Verhaltensregeln und Vertrauensbildung betont und der Selbstbeschränkung bedarf (etwa durch nationale Moratorien, keine offensiven Cyberwaffen gegen zivile Infrastruktur einzusetzen). Im Zentrum neuer internationaler Vereinbarungen sollte die Frage stehen, wie die Staaten mit immer neu aufklaffenden Sicherheitslücken in Hard- und Software umgehen. Diese Risiken zu minimieren, könnte das einende Interesse aller Akteure bilden.
