Drohnenübung der Schweizer Armee auf dem Militärflugplatz Emmen.

26.8.2016 | Von:
Thomas Reinhold

Cyberspace als Kriegsschauplatz? Herausforderungen für Völkerrecht und Sicherheitspolitik

Rüstungskontrolle im Cyberspace

Die dargestellten Schwierigkeiten und Unklarheiten, denen sich die Staatengemeinschaft angesichts der Militarisierung des Cyberspace gegenübersieht, werfen auch sicherheitspolitische Probleme auf. Einerseits liegt nahe, angesichts der zunehmenden Cyberbedrohungen und dem geschärften Problembewusstsein für die Gefahr rund um kritische Infrastrukturen IT besser, effektiver und nachhaltiger zu schützen und zu verteidigen. Andererseits bedeuten die Verbesserung des Defensiv-Know-hows, die Beschäftigung mit Angriffsszenarien und die Identifikation von Schwachstellen in aller Regel auch eine Zunahme der potenziellen Fähigkeiten zum offensiven Agieren in IT-Systemen. Eine sinnvolle technische Abgrenzung ist an dieser Stelle nicht möglich, und die Beschränkungen auf rein defensive Aktivitäten von Streitkräften haben lediglich deklarativen Charakter.

Ähnlich gelagert sind Probleme, die sich aus dem unter anderem von NATO[20] und Bundeswehr[21] erwogenen Verteidigungskonzept der active defence ergeben. Kern dieser Idee ist die Unterbindung von akuten Cyberbedrohungen nicht nur durch rein defensive Maßnahmen wie dem Trennen von Netzwerkverbindungen, sondern auch durch ein hack-back, also das Eindringen in und Stören der IT-Systeme des Angreifers. Neben dem bereits dargestellten Problem, dass der wahrgenommene Ursprung eines Angriffs nicht zwingend auf den tatsächlichen Angreifer zurückschließen lässt, müssen dafür offensive Fähigkeiten aufgebaut werden. Ferner ist ein ausgeprägtes Domänenwissen erforderlich, also Kenntnisse über Ziele, deren Zustand und technische Spezifik sowie über die eingesetzte Software und deren Version, damit die entsprechenden Cyberwirkmittel zielgerichtet entwickelt und effektiv eingesetzt werden können. Das bedeutet dass es gegebenenfalls im Vorfeld eines Angriffs zu nachrichtendienstlichen Aktivitäten in IT-Systemen potenzieller Angreifer kommt.

Darüber hinaus sind für Zugriffe Kenntnisse über Sicherheitslücken der anvisierten Ziele erforderlich. Bei sehr vielen Vorfällen wurden in der Vergangenheit Sicherheitslücken in populärer und weit verbreiteter Software wie E-Mail-Programmen, Browser oder Office-Anwendungen genutzt. Einen offenen Umgang mit Sicherheitslücken und ihre Behebung fördert die Zunahme militärischer Offensivaktivitäten nicht – stattdessen floriert der Handel mit derlei Wissen, ob auf dem Schwarzmarkt oder durch Firmen, die gezielt solche Lücken suchen, aufkaufen und vermarkten.[22]

Im Zuge der Militarisierung des Cyberspace besteht die Gefahr, dass Staaten angesichts der aktuellen Unklarheiten über den internationalen Umgang mit diesem neuen militärischen Potenzial in Rüstungswettläufe geraten. Mit Blick auf die etablierten internationalen Rüstungskontrollmaßnahmen und Abrüstungsinitiativen stellen sich in diesem Zusammenhang also neue Fragen. Sowohl IT-Güter als auch Softwarelücken mit potenziell militärischem Nutzen werden in aller Regel zivil verwendet. Während dieser sogenannte Dual-Use-Charakter eine eingehende Prüfung von Exporten erforderlich macht, erschweren die bereits erwähnten Eigenschaften von Software, die Ausbreitung (Proliferation) und Anwendungskontexte von Exporten nachzuvollziehen und die Zusagen der Importeure und Käufer dieser Systeme zu verifizieren.

Als erster Schritt für eine Überwachung des Handels mit nachrichtendienstlich oder militärisch nutzbaren IT-Systemen wurde 2013 das 1995 geschlossene Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien ergänzt, sodass es nun auch sogenannte Intrusion-Software abdeckt.[23] Auch wenn dieses multilaterale Abkommen, dem gegenwärtig 41 Staaten angehören, kritisch zu bewerten ist,[24] ist ein solcher Anfang für die Etablierung von Regularien und die Zukunft der Rüstungskontrolle im Cyberspace sehr wichtig.

Um einen Rüstungswettlauf zu bremsen, sind ferner vertrauensbildende Maßnahmen zwischen den Staaten von zentraler Bedeutung. Dabei geht es darum, dass Staaten sich über ihre Sicherheitsvorstellungen, über wahrgenommene und im Rahmen von Sicherheitsstrategien adressierte Bedrohungen sowie die getroffenen Maßnahmen austauschen. Ziel ist es, "to reduce and even eliminate the causes of mistrust, fear, misunderstanding and miscalculations with regard to relevant military activities and intentions of other States"[25] und Kommunikationskanäle für weiterführende Gespräche oder Krisensituationen zu etablieren.

Es gibt bereits erste bilaterale Verständigungen über ein gemeinsames Interesse an der Sicherheit ziviler IT-Systeme sowie die Eingrenzung der potenziell gefährdenden nachrichtendienstlichen Spionage. In den vergangenen Jahren führten insbesondere die USA und China hochrangige Gespräche miteinander und schlossen 2015 den ersten bilateralen Vertrag mit konkretem IT-Sicherheitsbezug ab, in dem beide Staaten gemeinsam wesentliche Bedrohungspotenziale im Cyberspace addressieren.[26] Dieser Prozess wurde von bi- und multilateralen militärischen Krisenübungen für Cybervorfälle begleitet.[27]

Ein weiterer wichtiger Schritt im Sinne vertrauensbildender Maßnahmen ist die Entwicklung und Etablierung von kollektiven Incident-reporting-Systemen, also von klar strukturierten und hierarchisierten Warn- und Meldesystemen für kritische Cybervorfälle, wie sie in Form sogenannter Computer Emergency Response Teams auf nationaler Ebene oder für Teilnetzwerke wie akademische Forschungsverbünde bereits existieren. So bewegt sich etwa die Europäische Union mit der Einführung von standardisierten nationalen Meldepflichten für solche Vorfälle und einer vernetzten Weitergabe über Staatsgrenzen hinweg in Richtung einer transnationalen Sicherung der Stabilität von IT-Infrastrukturen.

All das trägt auch dazu bei, irrationale Ängste vor dem in den Medien oft kolportierten "Cyberdoomsday" abzubauen. Die Cybervorfälle der vergangenen Jahre haben gezeigt, dass Cyberattacken staatlicher Akteure kaum in totale, über das Internet geführte Konflikte münden, sondern wie bei klassischen Spionagevorfällen zum Gegenstand außenpolitischen Interesses werden. So nahm beispielsweise die US-Regierung 2014 den Datendiebstahl im Zuge eines Cyberangriffs auf eine in den USA ansässige Sony-Tochterfirma trotz mangelhafter Beweislage zum Anlass für Sanktionen gegen nordkoreanische Staatsbürger und Unternehmen.

Fußnoten

20.
Vgl. NATO CCDCOE, Responsive Cyber Defence: Technical and Legal Analysis, Tallinn 2014.
21.
Siehe Verteidigungsausschuss des Deutschen Bundestages (Anm. 11).
22.
So zählt etwa die französische Firma Vulpen Security ausschließlich staatliche Institutionen zu ihren Kunden. Vgl. Thomas Reinhold, Die neuen digitalen Waffenhändler?, 22.4.2014, http://cyber-peace.org/2014/04/22/die-neuen-digitalen-waffenhaendler«.
23.
Vgl. The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies. List of Dual-Use Goods and Technologies and Munitions List, 4.4.2016, http://www.wassenaar.org/wp-content/uploads/2016/04/WA-LIST-15-1-CORR-1-2015-List-of-DU-Goods-and-Technologies-and-Munitions-List.pdf«.
24.
Einen Überblick bieten Paul Holtom/Mark Bromley, The International Arms Trade: Difficult to Define, Measure, and Control, 2.7.2010, http://www.armscontrol.org/taxonomy/term/47«.
25.
Vgl. UN, Special Report of the Disarmament Commission to the General Assembly at Its Third Special Session Devoted to Disarmament, 28.5.1988, UN Doc A/S-15/3, p. 2833.
26.
Vgl. Ellen Nakashima/Steven Mufson, The U.S. and China Agree not to Conduct Economic Espionage in Cyberspace, in: The Washington Post, 25.9.2015.
27.
Vgl. Nick Hopkins, US and China Engage in Cyber War Games, in: The Guardian, 16.4.2012.
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/3.0/ Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/3.0/
Autor: Thomas Reinhold für Aus Politik und Zeitgeschichte/bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.