Warum der Hackerangriff auf Thyssenkrupp kein Cyberangriff ist

In den vergangenen Tagen wurde in Medienberichten (bspw. hier bei der Wirtschaftswoche / lokale Kopie) von einen Hacking-Vorfall beim Unternehmen Thyssenkrupp berichtet, bei dem sensible Daten entwendet worden sein sollen. Belastbare Informationen über den tatsächlichen Vorfall sind rar, übereinstimmend berichtet Medien folgendes:

Indizien deuten darauf hin, dass die Cyberspione aus dem südostasiatischen Raum kommen und sich langfristig in den IT-Systemen einnisten wollten. Nahezu perfekt versteckten die Hacker in den IT-Systemen Backdoors, („Hintertüren“), um auf wertvolle Informationen zugreifen zu können. In den beiden attackierten Geschäftsbereichen flossen Datensätze ab (..)
(Q:Wirtschaftswoche / lokale Kopie)

Das Ziel der Angreifer bestand also aller Voraussicht nach in der Spionage von relevanten Informationen wie Geschäftsgeheimnissen und möglicherweise auch militärisch relevanten Informationen, also in dem verborgenen Agieren und Ausbreiten innerhalb eines IT-Systems zum Zwecke der Datenanalyse und des Datenabflußes. Spionage, oder wie hier Wirtschaftsspionage ist ein elementarer Bestandteil der globalen Ordnung, kommt vermutlich fast täglich vor und immer wieder ist von „Datenabflüssen“ bei Unternehmen zu lesen.

Derlei Vorfälle jedoch im Bereich der „Cyberattacken“ bzw. „Cyberangriffe“ zu verorten ist ein problematisches Vorgehen und wird dem aktuellen internationalen Stand der Debatten nicht gerecht. Gegenwärtig gibt es keine international verbindliche Definition dieses Begriffs und die einzigen Begriffsfindungsversuche wie das (umstrittene) Tallinn-Manual verweisen auf Analogien zum Definitionen im Bereich klassischer Technologien und Waffen. Diese begreifen den Begriff „Angriff“ (bwz. das englische „attack“) in aller Regel als einen Vorfall mit bewaffneten Parteien und einer signifikanten Zerstörung von Gütern oder der Gefährdungen bzw. dem Verlust von Menschenleben. Die Klassifikation von Spionage von Daten oder der kurzzeitigen Unterbrechungen von IT-Diensten als Cyberangriff geht damit fehl. Derart schwerwiegende Begrifflichkeiten wie „Angriff“ sind im Rahmen des Völkerrechts nämlich mit dem Recht auf staatliche Sanktion und Reaktion gegen Angriffe verknüpft, enthalten als implizit eine militärische Komponente, wie dem (eigenschränkten) Recht auf staatliche Selbsvverteidigung nach Art. 51 der UN.  Schadlose Vorfälle im Cyberspace, die überdies ebenso in klassischen Domänen vorkommen, mit solchen Begriffen zu beschreiben ist daher eine rhetorische Eskalation die nicht zu einer Beruhigung der Debatten beiträgt. Letztere befinden sich gegenwärtig ohnehin in einer schwierigen Ausgangslage: Einerseits weist der Cyberspace sehr viele spezifische Eigenschaften auf, die eine Anwendung etablierter Regeln des Völkerrechts erschweren, während unklar ist, wie verwundbar IT-Systeme sind bzw. welche Zerstörungskraft in gezielt eingesetzter Schadsoftware liegt. Derlei Fragen lassen sich für klassische Waffen deutlich leichter beantworten und darauf aufbauend Grenzwerte, Regeln, Verbote und Abkommen gründen. Andererseits rüsten militärische und zunehmend auch zivile Organisationen weltweit im Bereich des Cyberspace auf, zum Teil dabei auch mit der klaren Vorgabe des offensiven Wirkens gegen fremde IT-Systeme. Eine ausführlichere Darstellung dieses Themas gibt es bspw. hier in einem Beitrag für die Bundeszentrale für politische Bildung. Einen guten Ansatz für die Bewertung von schadhaften Vorfällen im Cyberspace bieten bswp. Gary D. Brown und Owen W. Tullos in ihrem Beitrag „On the Spectrum of Cyberspace Operations“ (Quelle: Small Wars Journal / lokale Kopie).

Der Umgang mit Vorfällen wie bei Thyssenkrupp oder der unbeabsichtigten Störung der Telekom-Router durch Kriminelle  verdeutlicht, dass die Debatte über Cybersicherheit aktuell politisch sehr aufgeladen ist und angesichts von Ausbau-Interesse der Bundeswehr und der Geheimdienste von vielerlei Interessen begleitet wird. Aus Sicht der Friedensforschung wäre daher der Fokus auf die Sachlichkeit in den Debatten und bei der Wortwahl wünschenswert, denn das würde es erleichtern die wirklich wichtigen Fragen zu stellen um das Bedrohungs- und Eskalationspotential der Cyber-Aufrüstung zu verstehen und zu begrenzen.