Der Cyberspace, das Völkerrecht und der Status von Kombatanten – ein Kommentar

Das sogenannte Tallinn-Manual, in dem Experten des NATO Exzellenz-Zentrums in Tallinn (CCDCOE) die Anwendbarkeit der bestehenden Regelungen des Vorkriegs- und Kriegsvölkerrechts auf den Cyberspace analysiert und dokumentiert haben, war in den vergangenen Wochen oft Gegenstand medialer Berichterstattung. Die Neue Züricher Zeitung geht hier nochmal auf wichtige Punkte ein und kommentiert dabei vor allem die im Tallinn Manual – lt. Kommentator der NZZ – veränderte Rechtsauslegung zur legitimen Selbstverteidigung. Der wesentliche Punkt besteht in der sich Grundlage des Selbstverteidigungsrechtes im Cyberspace, da die bisherige Interpretation stets konkreten Schaden für ein Land voraussetzt, der durch eine physische Gegenreaktion unmittelbar beendet oder abgewendet werden kann, ohne das es dafür einer Resolution des UN-Sicherheitsrates bedarf. Diese Grundlage ist bei Cyberattacken naturgemäß anders, oder nicht? 

Dem Kommentar zufolge ist es der erfolgte physische Schaden eines Angriffs der Maßnahmen zur Selbstverteidigung legitimiert. Meiner Auffassung nach reicht diese Sichtweise nicht. Die hier entscheidende Grenze ist der erhebliche gesellschaftliche oder volkswirtschaftliche Schaden, der eben aller bisherigen Lesarten und den Eigenschaften bisheriger Waffengattung zufolge stets in physischer Ausprägung gedacht wurde. Cyberwaffen sind in diesem Kontext eine kleine Revolution, da ihre unmittelbare Schadeinwirkung nicht physischer Natur ist, sondern diese maximal als Auswirkung erfolgt, etwa indem Server zum irreperablen Absturz oder Festplatten zum Crash gebracht werden. Aber Schaden kann auch gänzlich ohne diese physische Komponente erfolgen indem bspw. Datenbanken manipuliert oder gelöscht werden, durch die in der Folge wichtige Systeme wie die oft zitierten kritischen Infrastrukturen ausfallen. Auch wenn derartige Gefahren Gott sei Dank bisher nur in der Fiktion vorkommen, ist ein solches Szenario zumindestens theoretisch denkbar. Und darum geht es meiner Auffassung nach den Experten des Tallinn Manuals, die Wirkungen, Handhabe und Konsequenzen des Einsatzes von Cyberwaffen zu analysieren und in den bestehenden Rechtsrahmen einzuordnen.

Der aus dieser Betrachtungsweise gesehen wichtigste Schluss ist, dass sich – anders als im NZZ Kommentar behauptet – bei Cyberattacken, die durch Staaten und deren militärische Organisationen durchgeführt und verantwortet werden eben doch “Armeen gegenüberstehen”. Vor diesem Hintergrund betrachtet, legitimiert auch das Tallinn-Manual nicht per se die Selbstverteidigungsreaktion nach einem Börsencrash, denn jedweden Reaktionen sind nach dem Kriegsvölkerrecht Grenzen gesetzt, Grenzen der Angemessenheit und Verhältnismäßigkeit die stets gewahrt werden müssen. Auch die medial oft befürchtete militärische Reaktion auf zivile Hacker oder Hacking-Aktivisten ist dem Tallinn nicht zu entnehmen, denn derartige Maßnahmen können nur gegen feindliche Kombatanten ausgeübt werden. Entscheidend ist nur, dass Soldaten die im Auftrag eines Staates fernab vom eigentlichen Zielort derartige Attacken durchführen eben dem Tallinn-Manual zufolge als Kombatanten angesehen werden. Da Staaten in jedem Fall laut Kriegsvölkerrecht den Ursprung eines Angriffs zweifelsfrei nachweisen und einem anderen Staat zuordnen müssen um sich auf das Recht zur Selbstverteidigung zu berufen, sollten zivile Hacker weiterhin ruhig schlafen können.

Neben diesen medial oft behandelten Fragen bleiben im Tallinn-Manual aber weitere wichtige Fragen offen. Woher und wie kann eine Cyberattacke einem anderen Staat zweifelsfrei zugeordnet werden. Diese – als Attributions-Problem bezeichnet Frage stellt aus völkerrechtlicher Sicht eine entscheidende Hürde dar, obgleich es technische Ansätze für deren Beantwortung gibt (dazu später). Eine andere unbeantwortete Frage in der sich auch die Experten des Manuals uneinig sind, ist der genaue Schaden einer Cyberattacken der einer Anwendung konventioneller Waffen entspricht und obige Maßnahmen rechtfertigt.

Es bleibt abzuwarten wie die – nicht verbindlichen – Ansichten der Tallinn-Experten in den kommenden Monaten und Jahren auf diplomatischen und militärischen Ebenen diskutiert werden und wie Cyberattacken oder ähnliche Sicherheitsvorfälle in Zukunft bewertet werden.