Cyberpeace & Cyberwar

Mit Stuxnet [1] wurde 2010 zum ersten Mal der Einsatz einer Malware [2] mit expliziter Schadwirkung gegen einen Staat öffentlich bekannt. Dieser, als Sabotageangriff gegen das iranische Atomprogramm gerichtete Einsatz hat eine internationale Debatte über den staatlich militärischen Verwendung derartiger Mittel und die zukünftige friedliche Nutzung des Cyberspace ausgelöst. Weitere Vorfälle in den Folgejahren wie „Flame“, „Duqu“ oder „Gauss“[3] haben die Tragweite der Abhängigkeit von IT-Systemen und insbesondere der sogenannten kritischen Infrastrukturen[4] vor Augen geführt. Auch wenn es bisher kaum verlässliche Studien zur Verwundbarkeit der oftmals stark vernetzten IT-Systeme gibt, so nehmen die dargestellten Worst-Case-Szenarien oftmals dramatische Ausmaße an. Dazu kommen zunehmend Fälle digitaler Spionage gegen staatliche Organisationen oder Personen und der Diebstahl hochrangiger politischer, militärischer oder privat-wirtschaftlicher Daten, deren geschätzte Schäden Milliarden von US-Dollar erreichen.

Als Reaktion darauf haben verschiedene internationale Organisationen, darunter die Vereinten Nationen, die OSCE und die EU Arbeitsgruppen zu dem Thema eingerichtet und erste Maßnahmen zur internationalen Etablierung und Harmonisierung einer Cyber-Gesesetzgebung in Richtung eines „cyberpeace“ auf den Weg gebracht. Auf der anderen Seite integrieren Staaten den Cyberspace zunehmend als weitere Domäne in ihre Sicherheits- und Militärdoktrinen und beginnen mit dem Aufbau militärischer Cybercommands, mit teilweise offensivem Handlungsauftrag. Eine Studie des CSIS von 2011 kommt zu dem Ergebnis, dass 33 Staaten laut ihren Statuten über aktive, offensive Cyberfähigkeiten verfügen oder diese anstreben. Auch wenn wenig mehr Details über die genaue Ausprägung dieser Programme, die zur Verfügung stehenden Wirkmittel und deren destruktives Potential bekannt ist, so sorgen Mißtrauen und Intrasparenz für zunehmende Spannungen im Bereich der Militarisierung des Cyberspace und begünstigen die Entwicklung eines Rüstungswettläufes um offensive Cyberwaffen. Seit Anfang 2016 ist bekannt, dass auch die deutsche Bundeswehr weitreichende Umstrukturierung im Zusammenarbeit mit dem Bundesministerium der Verteidigung in Angriff nimmt. Ziel ist der Aufbau einer eigenes Organisationsbereich Cyber und Informationsraum (CIR) der den Teilstreitkräften Heer, Luftwaffe und Marine sowie dem Sanitätsdienst gleichgestellt sein soll [14].

Cyberspace und Völkerrecht

Der Einsatz von Malware als staatlich militärisches Wirkmittel wirft darüber hinaus viele weitere unbeantwortete Fragen auf, wie die Rolle der staatlichen Souveränität im Cyberspace und dem Prinzip der nationalstaatlichen Verantwortlichkeit oder die damit zusammenhängenden Fragen nach territorialen Grenzen im Cyberspace oder neutralen Gebiete und Objekten im Sinne der Genfer Konventionen. In einem Anfang 2013 vom NATO-Centre of Excellence in Tallin (CCDCOE) veröffentlichen, nicht-repräsentativem Handbuch wird wegweisend die Rolle des Völkerrechts im Cyberspace betrachtet, die Gültigkeit des Rechtes auf Selbstverteidigung bei Cyberattacken nach UN Charta Art. 51 (ius ad bellum [5]) und die Regularien zum Recht im Krieg (ius ad bello [6]). Die Expertengruppe des Tallin-Manuals kommt darin unter anderem zu dem Schluß, dass Cyberattacken in ihrer Wirkung dem “use of force” klassischer Waffen entsprechen und die Tragweite eines bewaffneten Angriffs im Sinne des Völkerrechts erreichen können. Auch können bereits Spionage oder Sabotageakte unter Umständen das internationale Souveränitätsprinzip verletzten und angemessene Gegenmaßnahmen rechtfertigen. Über die Verhältnismäßigkeit von derartiger Reaktionen scheiden sich international jedoch die Geister.

Cybercrime und Cyberwar

Neben diesen Aspekten der Militarisierung gibt es noch zwei weitere Diskursebenen die bei der Betrachtung des Cyberspace wichtig sind. Zum einen ist bei der Betrachtung konkreter Vorfälle die Unterscheidung zwischen Kriminalität im Cyberspace (Cybercrime) in Abgrenzung zu Cyberattacken und Cyberwar und die Verwendung korrekter Begrifflichkeiten elementar wichtig. Während bei Cybercrime-Vorfällen vor allem Fragen der internationalen Strafgesetzgebung, der Strafverfolgung und internationaler Kooperationen im Vordergrund stehen, ist „Krieg“ in erster Linie eine Frage der staatlich politischen Interpretation, des möglichen Akteurs und dessen Motivation und wird auf Ebenen der zwischenstaatlichen Diplomatie oder der internationalen Staatenbündnisse diskutiert und bewertet. Daher ist eine deutliche Abgrenzung von Kriminalität in ihren unterschiedlichsten Ausprägungen zu Cyberattacken, deren Wirkung reale negative Konsequenzen für Staaten und deren Gesellschaft haben geboten. Damit verbunden ist die Frage, welches Ausmaß einer Beeinträchtigung durch Cyberzugriffe diese negativen Konsequenzen nach sich ziehen könnten und wie die verschiedenen Arten von Cyberoperationen, von der verborgenen Spionage, über blockierende und unterbrechende Zugriffe (bspw. DDoS [7]) bis zu hin zu explizit schädigenden Zugriffen dabei zu beurteilen sind.

Freiheit und Kontrolle im Cyberspace

Die dritte Diskursebene und wichtiger Bestandteil eines „cyberpeace“ besteht in der international stark umstrittenen Frage nach der Regulierungs- und Verwaltungshoheit über den Cyberspace. Dieser ist aufgrund seiner Entstehungsgeschichte stark durch US-amerikanischen und westlich-europäische Ideen geprägt und wird von dort verorteten Gremien verwaltet. Dazu gehören neben den beiden für technische Standards zuständigen Organisationen IRTF [8] und IETF [9] die Organisation ICANN [10], von der unter anderem die Vergabe von einmaligen Namen und Adressen im Internet kontrolliert wird und die IANA [11], deren Aufgabe in der Zuteilung und Verwaltung der verfügbaren IP-Adressen besteht. Andere Staaten wie Russland und China, zunehmend aber auch wirtschaftliche Schwellenländer bemühen sich seit längerem um größere Einflußmöglichkeiten in diesen Gremien, teilweise mit dem Wunsch nach einer Stärkung nationaler Souveränitäts-Interessen. In diesem Zuge streben einige Staaten die Integration des Cyberspace unter die Regulationsbefugnisse der International Telecommunication Union (ITU [12]) an. Dieses Vorgehen, das in Teilen bereits auf der WCIT 2012 [13] begonnen wurde, widerspricht jedoch dem bisherigen Ideal der größtmöglichen Selbstregulation des Cyberspace und wird aus westlicher Sicht sehr kritisch betrachtet. Insbesondere NGOs befürchten eine Einschränkung freiheitlicher Rechte, Kontroll- und Zensurmaßnahmen durch autoritäre Staaten und engagieren sich daher stark für den Erhalt der Freiheit im Cyberspace. Aber auch große internationale Telekommunikationsanbieter und Betreiber der IT-Infrastrukturen verfolgen eigene Interessen, die diesen Idealen entgegenstehen, wie die Einschränkung der Netzneutralität zugunsten priorisierter Übertragungsdienstleistungen.

Fußnoten:

  1. Stuxnet, 2010 entdeckte Malware zur Sabotage des iranischer Atom-Anreicherungsanlagen, Details hier 
  2. Malware: Software mit unerwünschter und gegebenenfalls schädlicher Funktion, wie Viren, Würmer oder Trojaner,Quelle Wikipedia
  3. Flame (komplexes Spionage-Toolkit, 2012 entdeckt, Details hier), Duqu (gezielte Spionage-Malware gegen einzelne, wenige Organisation, 2011 entdeckt, Details hier), Gauss (gezielte Spionage-Malware gegen Personen, 2012 entdeckt, Details hier)
  4. Kritische Infrastrukturen: Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, Quelle Wikipedia
    Laut BMI gehören in den Bereich der Kritischen Infrastrukturen Einrichtungen und Organisationen der folgenden Bereiche:

    • Energie: Elektrizität, Gas, Mineralöl
    • Informationstechnik und Telekommunikation: Telekommunikation, Informationstechnik
    • Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
    • Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
    • Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
    • Ernährung: Ernährungswirtschaft, Lebensmittelhandel
    • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
    • Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
    • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke
  5. Ius ad bellum: Recht zum Krieg (Wikipedia) und UN Charta Art. 51
  6. Ius in bello: Recht im Krieg
  7. DDoS (Distributed Denial of Service): Nichtverfügbarkeit eines Internetdienstes als Folge einer durch Dritte (und in diesem Kontext beabsichtigten) Überlastung von dahinter stehenden Infrastruktursystemen. Quelle: Wikipedia
  8. IRTF (Internet Research Task Force), Wikipedia
  9. IETF (Internet Engineering Task Force), Wikipedia
  10. ICANN (Internet Corporation for Assigned Names and Numbers), Wikipedia
  11. IANA (Internet Assigned Numbers Authority), Wikipedia
  12. ITU (International Telecommunications Union), Wikipedia
  13. Einschätzung der gescheiterten WCIT (World Conference on International Telecommunications) in Dubai 2012 bei heise.de
  14. Details zum neuen Organisationsbereich CIR sind hier zu finden