Der Cyberraum (oder: Cyberspace) ist die Kurzbezeichnung für die global miteinander verbundene digitale Informations- und Kommunikations-Infrastruktur, deren bedeutendster Teil das von nahezu allen Menschen genutzte Internet ist. Wesentliche Charakteristika sind Offenheit, Interoperabilität (Fähigkeit zur reibungslosen Zusammenarbeit) und Ubiquität (Allgegenwart). Ohne sie wären die immensen wirtschaftlichen Vorteile ebenso wenig gegeben wie die unzähligen Annehmlichkeiten, von denen alle Teile der Gesellschaft profitieren. Angesichts der Vorteile, die der Cyberraum sowohl der Wirtschaft und Privatpersonen als auch staatlichen Einrichtungen bietet, die diese selbstverständlich auch möglichst schnell, effizient und kostengünstig nutzen wollten, ist es nicht gänzlich verwunderlich, dass Sicherheitsaspekte lange Zeit vernachlässigt wurden. Folge ist nicht allein ein bemerkenswerter Anstieg aller möglichen Formen von Cyber-Kriminalität oder gar purem Vandalismus. Auch staatliche Einrichtungen, einschließlich der Streitkräfte, haben lange Zeit die Gefahren unterschätzt, die die zunehmende Abhängigkeit von der digitalen Informations- und Kommunikations-Infrastruktur mit sich bringt. So sind neue Verwundbarkeiten entstanden, die andere Staaten zu ihrem Vorteil ausgenutzt haben und ausnutzen werden. Wenngleich ein "Cyber-Krieg" im eigentlichen Sinne nicht zu erwarten ist, werden zwischenstaatliche Konflikte zunehmend auch im Cyberraum ausgetragen werden.
In diesem Artikel steht die zwischenstaatliche Ebene im Fokus. Freilich sei betont, dass eine klare Unterscheidung zwischen staatlichen und nicht staatlichen Akteuren oder zwischen staatlichen und privaten Zielen nicht immer möglich ist. Häufig wirken Regierungsstellen mit privaten Akteuren zusammen, etwa mit politischen Aktivisten ("Hacktivisten") – wie bei den Cyber-Angriffen gegen Estland 2007 und Georgien 2008 – oder gar mit der organisierten Kriminalität. Darüber hinaus betreiben auch staatliche Stellen Wirtschaftsspionage im Cyberraum und geben ihre Erkenntnisse an heimische Wirtschaftsunternehmen weiter. Der daraus entstehende Schaden wird auf jährlich etwa 500 Milliarden US-Dollar geschätzt.
Verwundbarkeit und Schutz kritischer Infrastruktur
Wesentliche Bereiche der Daseinsvorsorge – Energie- und Trinkwasserversorgung, Gesundheitswesen, Information und Kommunikation – sind heute in den Cyberraum integriert oder mit ihm verbunden. Die Technologie, auf der zahlreiche Netzleitsysteme zur Überwachung, Steuerung und Optimierung der Anlagen beruhen (SCADA-Systeme; Supervisory Control and Data Acquisition), ist teilweise veraltet oder nicht immer hinreichend gegen Cyber-Angriffe geschützt. Auch andere Bereiche, die der kritischen Infrastruktur zugerechnet werden können, wie etwa der Banken- und Finanzsektor, basieren mitunter auf Systemen und Komponenten, deren Schwachstellen entweder offen zu Tage treten oder jedenfalls vergleichsweise einfach in Erfahrung gebracht werden können. Zutreffend hat das Bundesministerium des Innern in der "Cyber-Sicherheitsstrategie für Deutschland" 2011 festgestellt: "Der vor allem wirtschaftlich begründete Trend, Informationssysteme in industriellen Bereichen auf Basis von Standard-Komponenten zu entwickeln und zu betreiben sowie mit dem Cyber-Raum zu verbinden, führt zu neuen Verwundbarkeiten."
Häufig wird im Zusammenhang mit der Verwundbarkeit kritischer Infrastruktur übersehen, dass mehr als 95 Prozent des internationalen Daten- und Kommunikationsverkehrs über unterseeische Glasfaserkabel verläuft, die nicht vollständig überwacht und dauerhaft gegen Angriffe geschützt werden können. Diese Kabel sind nicht allein durch die Schifffahrt und Fischerei gefährdet. So wurden im Jahr 2007 vor der Küste Vietnams mehr als 170 Kilometer lange Abschnitte zweier unterseeischer Kabel entwendet. Vor Bangladesch und Kalifornien wurden Kabel schwer beschädigt, und ein terroristischer Hintergrund kann nicht ausgeschlossen werden. In Europa und Nordamerika mag ein unterbrochenes Kabel keine nachhaltigen Wirkungen zeigen, da der Datenstrom über andere Routen aufrechterhalten werden kann. In Regionen, die nur über ein Kabel verbunden sind, kann die Beschädigung eines einzigen unterseeischen Kommunikationskabels zu einer längeren Abkoppelung vom Cyberraum führen und so die wirtschaftlichen und Sicherheits-interessen der betroffenen Staaten nachhaltig beeinträchtigen. Seit einiger Zeit unternehmen zahlreiche Regierungen Anstrengungen, um die Ausfallsicherheit der digitalen Informations- und Kommunikations-Infrastruktur zu verbessern und sie insbesondere gegen Cyber-Angriffe zu schützen. Demgegenüber hat die Sicherheit unterseeischer Kommunikationskabel bislang eine bestenfalls untergeordnete Rolle gespielt.
Die Verwundbarkeit kritischer Infrastruktur gegenüber Cyber-Angriffen ist den Staaten durchaus bewusst. Die Strategien zur Cyber-Sicherheit, die sowohl auf nationaler als auch auf der Ebene der Europäischen Union entworfen worden sind, sehen daher ein Bündel von Maßnahmen vor, um den zahlreichen Bedrohungen wirksam begegnen zu können. Insbesondere die Zusammenarbeit zwischen staatlichen Stellen einerseits sowie der Industrie und Wirtschaft andererseits ist ein richtiger und notwendiger Ansatz. Allerdings ist zweifelhaft, ob das gesteigerte Bewusstsein und die damit einhergehende Bereitschaft die Cyber-Sicherheit zu verbessern, ausreichend sind, um einen wirksamen Schutz kritischer Infrastruktur gewährleisten zu können.
Die stetig zunehmende Cyber-Kriminalität führt deutlich vor Augen, wie schwierig es ist, die zahlreichen Sicherheitslücken zu schließen, die nahezu allen Systemen gemein sind. Können Kriminelle mit einem sogenannten zero-day-exploit-Angriff (= Angriff, der am selben Tag erfolgt, an dem eine Schwachstelle in einem Programm entdeckt wird) solche Lücken nutzen, bevor sie durch Updates geschlossen worden sind, ist dies auch Terroristen möglich. Nicht selten arbeiten diese eng mit der organisierten Kriminalität zusammen und können so deren Kenntnisse und Fähigkeiten für ihre Ziele verwenden. Diese Akteure mögen nicht in der Lage sein, eine komplexe Schadsoftware wie STUXNET zu entwickeln, die 2010 entdeckt wurde und Steuerungssysteme von Industrieanlagen sabotiert, da dies staatliche Strukturen voraussetzt. Gleichwohl verfügen sie über die Fähigkeit, durch Cyber-Angriffe erhebliche Schäden zu verursachen. So wird mit Blick auf die Explosion der Baku-Tiflis-Ceyhan-Pipeline im Jahr 2008 ein terroristisch motivierter Cyber-Angriff nicht ausgeschlossen. Einige Sicherheitsexperten verweisen darauf, bislang sei noch keiner Terrorgruppe ein erfolgreicher Cyber-Angriff gegen die kritische Infrastruktur eines Staates gelungen. Wären sie dazu in der Lage, wäre dies längst geschehen, da ein erfolgreicher Cyber-Angriff etwa gegen ein bedeutendes Finanzzentrum wie die New Yorker Börse nicht nur ein großer propagandistischer Sieg wäre, sondern auch weitreichende Auswirkungen nicht allein auf die US-amerikanische Volkswirtschaft zur Folge hätte. Tatsächlich finden sich keine öffentlich zugänglichen Quellen, die mit Sicherheit belegen, dass transnationale Terroristen dahingehende Versuche unternommen hätten. Dies ändert indes nichts an der weiter bestehenden Verwundbarkeit kritischer Infrastruktur. Nicht allein die Schwachstellen der verwendeten Systeme können vergleichsweise einfach herausgefunden werden, sondern auch die für einen erfolgreichen Cyber-Angriff notwendigen Kenntnisse und Werkzeuge, die zum großen Teil im Internet frei zur Verfügung stehen. Jedenfalls zeigen die DDoS-Attacken (Distributed Denial of Service = Außerkraftsetzen der Verfügbarkeit eines Computers oder Netzwerks durch Angriffe von mehreren Rechnern) gegen die digitale Infrastruktur Estlands im Jahr 2007, dass ein politisch motivierter Cyber-Angriff einer Gruppe von Aktivisten ("Hacktivisten") ein durchaus realistisches Szenario ist und nicht ausgeschlossen werden kann.
Zudem darf nicht aus dem Blick geraten, dass die Verwundbarkeit kritischer Infrastruktur gegen Cyber-Angriffe auch dann als erhebliches Problem bestehen bliebe, wenn eine terroristische Bedrohung (nahezu) ausgeschlossen werden könnte. Die Staaten sind sich nicht allein der Verwundbarkeiten bewusst geworden, sondern auch der Möglichkeiten, die ihnen der Cyberraum eröffnet, um sicherheits- und verteidigungspoli-tische Ziele zu verfolgen. Anders als Terroristen und andere Kriminelle verfügen sie über Mittel, Kenntnisse und Fähigkeiten, mit denen sie in Krisen- oder Kriegszeiten die kritische Infrastruktur eines potenziellen Gegners jederzeit mittels eines Cyber-Angriffs schwächen oder gar ausschalten könnten. Ein Vorteil eines solchen Angriffs liegt darin, dass es nur in Ausnahmefällen und nur unter großem Aufwand möglich ist, ihn zurückzuverfolgen und den angreifenden Staat zu identifizieren. Es sind allerdings keineswegs allein Industriestaaten oder große Schwellenländer wie die Volksrepublik China oder die Russische Föderation dazu fähig, Cyber-Angriffe durchzuführen. Wie die Cyber-Attacke gegen Sony im Jahr 2014 gezeigt hat, ist dazu auch ein technologisch rückständiger Staat wie Nordkorea durchaus in der Lage. Der nordkoreanische Angriff hat zudem gezeigt, dass Staaten mittels Cyber-Angriffen auch andere als sicherheits- und verteidigungspolitische Ziele zu verfolgen bereit sind, selbst wenn sie Gefahr laufen, ihrerseits Ziel von Cyber-Gegenangriffen zu werden.
Sicherheits- und verteidigungspolitische Dimension
Das Internet wurde ursprünglich für den militärischen Daten- und Informationsaustausch geschaffen. Wenngleich heute der Cyberraum mehrheitlich in der Hand privater Betreiber liegt, verdeutlichen bereits die militärischen Wurzeln des Internets die sicherheits- und verteidigungspolitische Dimension des Cyberraums. Heute nutzen Streitkräfte ihn für das gesamte Spektrum militärischer Operationen. Die digitale Informations- und Kommunikationstechnologie ist wesentliche Grundlage für die Führungs- und Befehlsstrukturen, für die Aufklärung sowie für die technische Durchführung moderner Operationen. Dies betrifft insbesondere die "netzwerkzentrierte Kriegführung" (network centric warfare), einschließlich des Einsatzes luft-, see- oder landgestützter unbemannter Systeme ("Drohnen", "Roboter"). Wie im privaten und öffentlichen Bereich gehen mit der zunehmenden Abhängigkeit von digitalen Informations- und Kommunikationstechnologien Verwundbarkeiten einher. Zahlreiche Staaten, darunter auch die Bundesrepublik Deutschland, haben daher Cyber-Verteidigungseinheiten ins Leben gerufen, deren Aufgabe darin besteht, ihre Streitkräfte gegen solche Angriffe wirksam zu schützen. Dass sich diese Einheiten nicht auf rein defensive Maßnahmen beschränken können, sondern mit Blick auf eine wirksame Verteidigung auch offensive Fähigkeiten entwickeln müssen, liegt auf der Hand.
Darüber hinaus haben die Staaten die Möglichkeiten erkannt, die ihnen der Cyberraum eröffnet, um ihre sonstigen sicherheits- und verteidigungspolitischen Interessen zu verfolgen. Dabei geht es nicht allein darum, sensible Daten durch Cyber-Spionage auszuspähen. Vielmehr nutzen die Staaten den Cyberraum zunehmend auch als Medium zur Machtprojektion, ohne gezwungen zu sein, auf die traditionellen Mittel, wie etwa den Einsatz von Seestreitkräften, zurückzugreifen. Das wohl bekannteste Beispiel eines erfolgreichen Cyber-Angriffs zur Verfolgung sicherheitspolitischer Ziele dürfte STUXNET sein. Mit Hilfe dieser Schadstoffsoftware gelang es, die vom Iran verwendeten Zentrifugen zur Urananreicherung so schwer zu beschädigen, dass das iranische Nuklearprogramm erheblich verzögert wurde. Wie insbesondere auch die in der jüngeren Vergangenheit bekannt gewordenen Cyber-Angriffe zwischen den USA und der Volksrepublik China verdeutlichen, herrscht nicht allein zwischen diesen beiden Staaten eine Art "Kalter Krieg" im Cyberraum, dessen Ausgang ungewiss ist.
Die zahlreichen Fälle von staatlicher Cyber-Spionage zeigen zudem, wie sehr die Grenzen zwischen Sicherheits- und Wirtschaftspolitik verschwimmen. Daher sowie angesichts der Vielfalt der Bedrohungen aus dem Cyberraum kann eine wirksame Cyber-Verteidigung nicht allein den Streitkräften oder allein den zivilen Akteuren anvertraut werden. Vielmehr bedarf es, wie dies in der Cyber-Sicherheitsstrategie der Europäischen Union zu Recht hervorgehoben wird, einer verstärkten Nutzung der "Synergien zwischen dem Vorgehen auf ziviler und auf militärischer Ebene beim Schutz kritischer Cyberanlagen und -daten".
Relativität der sicherheits- und verteidigungspolitischen Bedrohungslage
Freilich sollten die sicherheits- und verteidigungspolitischen Gefahren des "Kalten Krieges" im Cyberraum nicht überschätzt werden. Selbstverständlich werden die Staaten sich auch in Zukunft nicht davon abhalten lassen, ihre technologischen Fähigkeiten zu nutzen, um Informationen zu gewinnen und sich so militärische, aber auch wirtschaftliche Vorteile zu verschaffen. Die weitreichende Anonymität des Cyberraums ist viel zu verlockend, als dass die mit ihr einhergehenden Gelegenheiten nicht ergriffen würden, zumal das Völkerrecht Spionage nicht verbietet. In Krisen- und Kriegszeiten werden die Staaten alle Maßnahmen ergreifen, um bestehende Verwundbarkeiten auszubeuten und den jeweiligen Gegner zu schwächen. Andererseits sind diese Verwundbarkeiten aber keineswegs asymmetrisch in dem Sinne, dass sich das Ausmaß der jeweiligen Abhängigkeit von der digitalen Informations- und Kommunikationstechnologie drastisch voneinander unterschiede. Vielmehr muss ein Staat, der zum Mittel von Cyber-Angriffen zu greifen beabsichtigt, stets mit vergleichbaren Angriffen gegen seine gleichermaßen verwundbare Cyber-Infrastruktur rechnen. Wenngleich der Cyberraum immer noch durch Anonymität gekennzeichnet ist, haben die Staaten und die Industrie die Anstrengungen, ihre Fähigkeiten im Bereich der Cyber-Forensik zu verbessern, mittlerweile deutlich verstärkt. Daher ist damit zu rechnen, dass Cyber-Angriffe nicht wie bislang erst nach mehreren Wochen oder Monaten, sondern möglicherweise innerhalb sehr kurzer Zeit einem bestimmten Staat zugerechnet werden können. Ist dies mit hinreichender Wahrscheinlichkeit belegt, wird es dem Angreiferstaat nicht mehr möglich sein, durch bloßes Leugnen Gegenmaßnahmen des Zielstaats, dem sein Angriff galt, zu verhindern. Der Cyber-Angriff gegen Sony im Jahr 2014 konnte vergleichsweise schnell Nordkorea zugerechnet werden und hat scheinbar einen anderen Staat zu einem Gegenangriff veranlasst, mit dem Nordkorea vom Internet abgeschnitten wurde. Gleichwohl ist es wenig wahrscheinlich, dass Staaten außerhalb eines Krieges die digitale Informations- und Kommunikations-Infrastruktur anderer Staaten in schwerer Weise schädigen werden, wenn sie nicht ihrerseits das Risiko eines vergleichbaren Angriffs in Kauf zu nehmen bereit sind.
Weitere Bedrohungen des Cyberraums durch Staaten
Alle Staaten anerkennen die dringende Notwendigkeit, die Cyber-Sicherheit zu stärken, sie beschreiten jedoch höchst unterschiedliche Wege. Europa und Nordamerika wollen, dass der "Cyberraum auch in Zukunft durch Offenheit und Freiheit geprägt bleibt" und der "Privatsektor […] weiterhin eine führende Rolle spielen" soll (Cyber-Sicherheitsstrategie der EU). In anderen Regionen, insbesondere in Asien, missbrauchen Regierungen den Cyberraum zur umfassenden Kontrolle der Bürgerinnen und Bürger oder zu staatlicher Einflussnahme auf die politische Meinungsbildung in Form von Blogs, die durch Regierungsstellen kontrolliert sind. Ein offener und freier Cyberraum, in dem Informationen und Ideen ausgetauscht werden, wird als Bedrohung begriffen. Dies ist aus der Sicht dieser Regierungen durchaus verständlich. Immerhin haben soziale Netzwerke einen wesentlichen Beitrag zu den politischen Veränderungen in einigen arabischen Staaten geleistet. In anderen Staaten wie China berichten Bürgerinnen und Bürger im Internet über Machtmissbrauch und Korruption, was stets staatliche Stellen dazu veranlasst, die Informationen zu löschen oder den Zugang zu sperren. Die Regierungen verkennen jedoch, dass ein umfassend staatlich regulierter Cyberraum, der bis zu einer vollständigen Abschottung der Bevölkerung vom globalen Informationsfluss führen kann, stets auch zu einer deutlichen Minderung der wirtschaftlichen Vorteile führt, die der Cyberraum bietet. Gleichwohl ist es den Regierungen Russlands und Chinas im Rahmen der Internationalen Fernmeldeunion (International Telecommunication Union) gelungen, eine Mehrheit von Staaten davon zu überzeugen, dass eine weitreichende staatliche Regulierung notwendig sei. Die Position europäischer und nordamerikanischer Staaten, die auf Freiheit und Offenheit des Cyberraums gerichtet ist, vermochte sich nicht durchzusetzen. Soll der Cyberraum aber auch in Zukunft zu wirtschaftlicher Prosperität und zur Verwirklichung demokratischer Grundrechte beitragen, muss jeder Versuch einer internationalen Anerkennung staatlicher Übergriffe auf die Freiheit des Cyberraums verhindert werden.