Drohnenübung der Schweizer Armee auf dem Militärflugplatz Emmen.

26.8.2016 | Von:
Thomas Reinhold

Cyberspace als Kriegsschauplatz? Herausforderungen für Völkerrecht und Sicherheitspolitik

Völkerrecht im Cyberspace

Mit Blick auf die etablierten Regeln des zwischenstaatlichen Agierens stellt sich die Frage, inwiefern sie auf den Cyberspace übertragen werden können. Die Schwierigkeit dieser Debatte zeigt sich bereits an den Diskussionen um eine gemeinsame Definition des Cyberspace: Während sich etwa die US-amerikanische und westeuropäische Interpretation stark an technischen Maßstäben orientiert und die Menge der IT-Systeme und deren Vernetzungsinfrastruktur umfasst, sodass sich Sicherheit meist auf die Integrität dieser Systeme bezieht, verstehen etwa Russland und China auch die darin gespeicherten, übertragenen und veröffentlichten Informationen als Teil des Cyberspace. Sicherheit, insbesondere die nationale Sicherheit, geht bei diesem Verständnis über den Aspekt der Integrität der technischen Systeme hinaus und wird somit auch zu einer Frage der Kontrolle und des Zugriffs auf diese Informationen – eine Sichtweise, die mit menschenrechtlichen Grundsätzen wie freie Meinungsäußerung schwer zu vereinbaren ist.

Einen ersten Vorstoß zur Lösung des Problems der Übertragbarkeit des Völkerrechts auf den Cyberspace wagten die Expertinnen und Experten des NATO Cooperative Cyber Defence Centre of Excellence 2013 mit dem sogenannten Tallinn Manual, einem Handbuch mit 95 Orientierungshilfen für Staaten für den Fall eines Cyberwar. Es hat zwar keinerlei bindenden Charakter, stellt aber die spezifisch neuen Eigenschaften des Cyberspace heraus, die völkerrechtlich bewältigt werden müssen. [15]

Die zentrale Herausforderung besteht in der Virtualität des Cyberspace, die Ansätze und Regularien unterminiert, die auf territorialen Grenzen oder der Lokalisation militärischer Mittel basieren. Ebenso problematisch sind die Immaterialität von Schadsoftware sowie die Möglichkeit, sie unbegrenzt zu vervielfältigen. Zudem ist es aufgrund der Struktur des Cyberspace und der Prinzipien der Datenübertragung recht leicht, im Verborgenen zu agieren oder den eigentlichen Ursprung einer Attacke zu verschleiern. Hinzu kommt, dass IT-Systeme oft stark vernetzt sind und direkt oder indirekt wichtige Prozesse der sogenannten kritischen Infrastrukturen steuern, etwa der Strom- und Wasserversorgung, der Kommunikation oder des Verkehrs.[16] Die Beeinträchtigung der IT eines Staates kann demzufolge potenziell unabschätzbare Folgen mit Kaskadenwirkung auch für ursprünglich nicht attackierte Ziele haben. Da bereits der verdeckte Zugriff auf IT-Systeme zur Spionage oder militärischen Lagebildaufklärung meist mit dem Einsatz von Schadsoftware und damit der Manipulation der normalen Funktionalität eines IT-Systems einhergeht, ist die Schwelle für derartige Gefahren sehr niedrig.

Mit Blick auf zentrale Konzepte des Völkerrechts werfen diese Eigenschaften des Cyberspace eine Reihe von Problemen auf. Das betrifft etwa das völkerrechtliche Gebot zum Gewaltverzicht und das Recht zur Selbstverteidigung nach Artikel 2 Ziffer 4 beziehungsweise Artikel 51 der UN-Charta sowie die Prinzipien der Angemessenheit und Proportionalität von militärischen Reaktionen: Was bedeutet "Anwendung von Gewalt" im Cyberspace? Wann handelt es sich bei Malware und diversen Cyberangriffshilfsmitteln und -methoden um eine "Waffe" – im militärischen Jargon als "Wirkmittel" bezeichnet? Wann kann von einem "bewaffneten Angriff" gesprochen werden?

Bisherige Ansätze der Übertragung dieser Konzepte auf den Cyberspace greifen in aller Regel auf Vergleiche zu den Auswirkungen von klassischen, sogenannten kinetischen Wirkmitteln zurück, um Cybervorfälle und die völkerrechtlichen Reaktionsmöglichkeiten zu bewerten. So definiert etwa das Tallinn-Manual einen bewaffneten Angriff im Cyberspace als "cyber activities that proximately result in death, injury, or significant destruction".[17]

Ein solcher Ansatz greift jedoch etwas zu kurz, da er folgende, für den Einsatz von Schadsoftware charakteristische Situationen ungenügend berücksichtigt: Zum einen ist es möglich, dass sich die eingesetzte Malware unkontrolliert über IT-Netzwerke hinweg ausbreitet und fremde Systeme befällt und beeinträchtigt, die ursprünglich nicht Ziel des Angriffs waren und möglicherweise einer unbeteiligten Nation gehören. So wurden beispielsweise inaktive Versionen von Stuxnet auf Zehntausenden Systemen weltweit entdeckt.[18] Ebenso problematisch ist der Einsatz von Malware, die verdeckt über einen längeren Zeitraum hinweg schleichend wirkt oder indirekte Wege der Manipulation von Teilsystemen wählt und so keinen direkt beobachtbaren und zuordbaren Schaden verursacht. Hinzu kommt der aktuelle Trend der Cloud-Technologien, der die geografische Verortbarkeit von IT-Systemen weiter erschwert. Eng damit verbunden ist das sogenannte Attributionsproblem: Das Recht auf Selbstverteidigung eines Staates sieht vor, dass der Ursprung eines Angriffs, auf den es akut zu reagieren gilt, zweifelsfrei feststeht. Im Cyberspace ist es jedoch üblich, Angriffe von eigens dafür gekaperten fremden IT-Systemen aus durchzuführen, um den Ursprung zu verschleiern. Die Rückverfolgung dieser oft über mehrere Zwischenschritte hinweg geführten Attacken ist praktisch kaum zeitnah und forensisch sicher umsetzbar. Ebenso problematisch gestaltet sich die nähere Eingrenzung des erlaubten militärischen Einsatzes von Schadsoftware. Normalerweise unterscheiden sich die IT-Werkzeuge und Methoden sowie die Software, wie sie von Kriminellen, IT-Sicherheitsfachleuten oder möglicherweise militärischen Kräften eingesetzt werden, um auf IT-Systeme zuzugreifen, kaum. Je nach Intention läuft ihr Einsatz jedoch auf ganz unterschiedliche Wirkungen hinaus, beispielsweise auf die Aufdeckung, Analyse und Behebung von Schwachstellen (IT-Sicherheitsexperten), das Entwenden von Kreditkartendaten (Kriminelle) oder das Zerstören eines Luftüberwachungsprogramms (Militär). Neben den Werkzeugen ist auch die Identifizierbarkeit staatlicher oder militärischer Akteure und damit verbunden der Begriff des Kombattanten im Cyberspace sowie die Abgrenzung zum Zivilisten mit aktuellen Technologien schwer umsetzbar. Eine solche Kennung ist jedoch für den Umgang mit Akteuren in Krisen- und kriegerischen Situationen maßgeblich.

Auch bei den Vereinten Nationen oder der Organisation für Sicherheit und Zusammenarbeit in Europa diskutieren Expertengruppen über diese Fragen. Konkrete Ansätze für verbindliche völkerrechtliche Regelungen im Cyberspace, insbesondere mit Blick auf das "Recht zum Krieg" (ius ad bellum) und das "Recht im Krieg" (ius in bello),[19] sind gegenwärtig jedoch noch nicht zu erkennen.

Fußnoten

15.
Vgl. NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), The Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge 2013, https://ccdcoe.org/research.html«.
16.
Die Bundesregierung definiert kritische Infrastrukturen als "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden"; http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/BevoelkerungKrisen/Sektoreneinteilung.pdf?__blob=publicationFile«.
17.
Vgl. NATO CCDCOE (Anm. 15).
18.
Vgl. Nicolas Falliere/Liam O. Murchu/Eric Chien, W32.Stuxnet Dossier, Symantec Security Response Dossier, Februar 2011, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf«.
19.
Siehe dazu auch den Beitrag von Jost Dülffer in dieser Ausgabe (Anm. d. Red.).
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/3.0/ Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/3.0/
Autor: Thomas Reinhold für Aus Politik und Zeitgeschichte/bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.