Vor wenigen Tagen hat das US-amerikanische Verteidigungsministrium seine aktualisierte Fassung der Strategie für den Cyberspace veröffentlicht. Anders als noch in der vorherigen Fassung von 2011 betont die neue Strategie die Rolle von effektiven offensiven Maßnahmen im Kampf gegen die – aus Sicht des Verteidigungsministeriums – immer stärker werdenden Angriffe. Dabei wird verstärkt auf das militärische Konzept der Abschreckung (engl. „deterrence“) gesetzt, das aus den Zeiten des kalten Krieg bekannt ist. Die Abschreckung soll sich in diesem Fall auf wirksame Cyber-Mittel aber auch konventionelle militärische Methoden beziehen um mögliche Angreifer angesichts drohender Rückschläge von Angriffen abzuhalten
„The United States must be able to declare or display effective response capabilities to deter an adversary from initiating an attack“ (..) „We obviously have a capability to do that, not just in cyber but in other ways“ (Q: U.S. Defense Secretary Ash Carter bei Reuters / lokale Kopie)
Abschreckung durch die Androhung starker Reaktionen ist jedoch im Cyberspace im Gegensatz zu klassischen Waffen ein eher schwierig zu übertragendes Konzept. Zum einen muss die Abschreckung glaubhaft einem potentiellen Gegner demonstriert werden um diesen von der Ernsthaftigkeit der US-Pläne zu überzeugen. Dies ist inbesondere für Verteidigungsmöglichkeiten die auf Cyber-Mittel setzen schwer, weil bisher keine Vorfälle bekannt wurden, in denen Cyber-Mittel zeitlich nah, zielgenau und präzise gegen bestimmte Ziele eingesetzt werden konnten. Die bisher bekannten „großen“ Cybervorfälle von Stuxnet, der Sony-Hack oder die Hacking-Attacken von TV5 basierten alle auf langwieriger Vorbereitung und Durchführung. Gerade diese Verzögerungen bei Cyberattacken weisen auf ein weiteres Problem hin. Die erwähnten Cyberattacken hatten keinen klaren Angriffszeitpunkt und wurden zumeist erst bekannt, nachdem der Angriff längere Zeit im Verborgenen durchgeführt oder abgeschlossen war. Selbst bei entdeckten Angriffen dauerte es in aller Regel einige Wochen bis zu mehreren Monaten bis die Angriffe forensisch untersucht wurden, mögliche Angreifer identifiziert und tatsächliche Schäden ermittelt werden konnte. Einer solchen Situation mit Abschreckung begegnen zu wollen entspräche dem Bild eines Hausbesitzers, der beim Nachausekommen einen Einbruch bemerkt und laut in der Nachbarschaft seine Rache- und Vergeltungsgedanken verkündet. Sinnvoller wäre eine gute Einbruchssicherung gewesen.
Angesichts dieser Probleme ist auch unklar, ob der Verweis auf mögliche Verteidiungs-Reaktionen mit klassischen Mitteln geeignet erscheint. Die nach der UN-Charta zulässige Selbstverteidigung muss einem Angriff angemessen sein. Inwiefern Schäden durch Cyberattacken – die zu mindestens bisher stets nur materielle Schäden angerichtet haben – eine Vergeltung mit Raketen oder ähnlichem genügen ist daher völlig offen.
Aus diesen Erwägungen heraus erscheint eine Kritik angebracht die durch Mary Ellen O’Connell im Oxford Journal of Conflict and Security Law formuliert wurde:
To date, the problem of Internet security has been the domain of international law scholars with expertise in use of force questions. They have sent the message that the Internet may be protected through military force or the threat of military force, analogizing to Cold War deterrence strategy. Governments have followed this modelling, pouring resources into the military for keeping the Internet safe and for taking advantage of what it offers to attack opponents. Doing so has required strained analogies of cyberattacks to conventional kinetic attacks. The Internet is now far less secure than before there was a Cyber Command or a NATO CCDCOE. It is time, therefore, to turn to cyber disarmament and a focus on peaceful protection of the Internet. The motto should be: a good cyber defence is good cyber defence.