Wassertropfen in einem Spinnenetz

21.10.2016 | Von:
Marcel Dickow
Nawid Bashir

Sicherheit im Cyberspace

Neue Räume – alte Konzepte?

Mittlerweile haben viele Staaten mit Cybersicherheitsstrategien auf die Herausforderungen im Datenraum reagiert, darunter die USA, Russland und Deutschland. Die Bedrohungswahrnehmungen und Herangehensweisen unterscheiden sich zum Teil beträchtlich.

Der Direktor der US-Geheimdienste definiert die Gefahren aus dem Cyberraum inzwischen als größte Herausforderung, sogar noch vor dem Terrorismus. Als mögliche Ziele von Attacken werden in der Cybersicherheitsstrategie des US-Verteidigungsministeriums kritische Infrastrukturen und militärische Netzwerke ausgemacht. Potenzielle Gegner werden vor allem in Russland und China gesehen, die über fortgeschrittene Cyberfähigkeiten verfügen und diese auch einsetzen. Auch Iran und Nordkorea sind auf der Liste der vermuteten Gegner, wenngleich sie über weniger ausgeprägte Fähigkeiten verfügen. Der sogenannte Islamische Staat (IS) wird ebenfalls als Gefahr genannt, da er den Cyberraum nutzt, um zu rekrutieren und Propaganda zu verbreiten. Zudem haben IS-Vertreter die Absicht erklärt, aggressive Cyberfähigkeiten erlangen zu wollen. Auch der Handel mit Software-Sicherheitslücken wird vom US-Verteidigungsministerium als Gefahr erkannt. Allerdings wird der Einfluss der staatlichen Aktivitäten auf diesen Markt nicht erwähnt und somit nicht als Gefahrenquelle benannt. Eine Stoßrichtung der amerikanischen Cybersicherheitsstrategie ist die Einbettung von Cyberfähigkeiten in konventionelle Angriffe, um beispielsweise militärische Netzwerke und Waffensysteme des Gegners zu stören oder auszuschalten. Hierzu sollen die bereits vorhandenen offensiven Fähigkeiten ausgebaut werden.[12]

Wie in anderen sicherheitspolitischen Räumen setzt die US-Regierung auch im Cyberraum auf Abschreckung: "The United States will continue to respond to cyberattacks against U.S. interests at a time, in a manner, and in a place of our choosing, using appropriate instruments of U.S. power and in accordance with applicable law."[13] Völkerrechtlich ist jedoch strittig, ob und in welchem Maße auf einen Cyberangriff mit kinetischen (also physischen) Angriffen reagiert werden darf. Die Erfolgsaussichten der Abschreckungspolitik im Cyberraum sind zudem unklar, da diese voraussetzt, dass ein Angreifer sicher identifiziert wird. Dass die Attributionsproblematik eine glaubwürdige Abschreckungspolitik untergräbt, räumt die US-Regierung ein: Um die Anonymität von Angriffen zu reduzieren, soll die Netzüberwachung gestärkt und vor allem die Zusammenarbeit der US-Sicherheitsbehörden ausgebaut werden.

In der Cybersicherheitsstrategie der Bundesregierung von 2011 werden dagegen die zivilen Ansätze und Maßnahmen in den Vordergrund gestellt. Die Bundeswehr soll lediglich Maßnahmen zum Schutz ihrer eigenen Handlungsfähigkeit ergreifen und auf entsprechenden Mandaten basierend zur "gesamtstaatlichen Sicherheitsvorsorge" beitragen.[14] Eine Veränderung dieses Ansatzes ist im aktuellen sicherheitspolitischen Weißbuch der Bundesregierung erkennbar. Hier wird der Cyberspace als einer den anderen Dimensionen (Land, Luft, Wasser, Weltraum) vergleichbarer Raum beschrieben, den es national und international zu schützen gilt. Hierzu sollen die Cyberkompetenzen sowohl im Bundesministerium für Verteidigung als auch in der Bundeswehr gebündelt werden.[15]

Die Aufgaben der Bundeswehr im Cyberbereich werden im Weißbuch als "Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit, Beiträge zum gesamtstaatlichen Lagebild im Cyber- und Informationsraum im Rahmen der nationalen und multinationalen Sicherheitsvorsorge sowie der Gewährleistung der Cybersicherheit in den bundeswehreigenen Netzen" beschrieben.[16] Unklar bleibt, wie die Sicherheitsvorsorge im Cyberspace allein im nationalen Kontext umsetzbar ist, kennen die Datenflüsse doch keine Staatsgrenzen. So heißt es im Weißbuch denn auch folgerichtig: "Innere und äußere Sicherheit fallen in wenigen Bereichen so eng zusammen wie im Cyberraum. Die Bedrohungslage im Cyberraum erfordert eine ganzheitliche Betrachtung im Rahmen der Cybersicherheitspolitik."[17] Die Bundesregierung hat sich dabei darauf verständigt, die verschiedenen Aufgaben zwischen den Ministerien aufzuteilen. Während das Bundesministerium des Innern (BMI) für die aktuell in Bearbeitung stehende Cybersicherheitsstrategie federführend verantwortlich ist, übernimmt die Bundeswehr Verteidigungsaspekte der gesamtstaatlichen Cybersicherheitsstrategie. Ergänzend ist das Auswärtige Amt für die internationale Cybersicherheitspolitik zuständig.

Allerdings wird im Weißbuch die unscharfe Trennung von offensiven und defensiven Fähigkeiten nicht problematisiert. Beide sollen ausgebaut, geübt und weiterentwickelt werden. Im Gegensatz zur fortschreitenden Versicherheitlichung und Militarisierung des Cyberraumes steht das Eintreten der Bundesregierung für internationale Abkommen, Rüstungskontrolle und vertrauensbildende Maßnahmen: "Die Anpassung des Instrumentariums der Rüstungskontrolle und Vertrauensbildung an veränderte sicherheitspolitische und technologische Rahmenbedingungen schließt klassische und neue Dimensionen von Sicherheit, wie den Cyber- und Informationsraum und Weltraum sowie die Implikationen neuartiger Waffensysteme, ein."[18]

Russlands nationale Cybersicherheitsstrategie von 2013 kontrastiert den westlichen Ansatz durch einen Fokus auf territoriale Integrität und nationale Souveränität im Datenraum. Dafür soll ein internationales Kontroll- und Regulierungsregime auf Basis einer von Russland verfassten Konvention für internationale Informationssicherheit geschaffen werden. Dies spiegelt die staatszentrierte Position Russlands im Cyberbereich wider. Im Gegensatz zu den USA, Deutschland und der EU befürwortet Russland eine größtmögliche Kontrolle des Staates über die physischen Netzinfrastrukturen sowie über die Datenverarbeitung und Dateninhalte bis hin zur Regulierung des Internets auf globaler Ebene. Als größte Bedrohung aus dem Cyberraum sieht Russland die Nutzung von Cyberwaffen für militärische und politische Ziele (siehe Stuxnet). Weitere Bedrohungen aus Sicht der russischen Regierung sind terroristische Angriffe auf kritische Infrastrukturen und die Nutzung des Internets durch Extremisten für Propaganda- und Rekrutierungszwecke. Zudem wird die Einmischung in innere Angelegenheiten und die Aufwiegelung von innerrussischen Konflikten befürchtet.[19]

Die drei Beispiele nationaler Cybersicherheitsstrategien zeigen, dass Antworten auf die dringendsten konzeptionellen Fragen des Cyberspace noch fehlen. Bemerkenswert ist die weitgehende Abwesenheit von Ideen und Initiativen für Regeln und gutes Verhalten der Staaten im Netz. Eine Weiterentwicklung des klassischen Konzepts der Rüstungskontrolle auf den Cyberspace ist momentan nicht erkennbar. Die Begrenzung schädlicher Aktivitäten oder von Rüstungsdynamiken im Cyberspace liegt zurzeit, so scheint es, nicht im Interesse der Großmächte. Gleichwohl bleibt Cybersicherheit für die Interpretation und Anwendung des Völkerrechts eine Herausforderung.

Fußnoten

12.
Vgl. U.S. Department of Defense, The Department of Defense Cyber Security Strategy, Washington D.C. 2015, S. 9, S. 14.
13.
Ebd., S. 10.
14.
Vgl. Bundesministerium des Innern (BMI), Cyber-Sicherheitsstrategie für Deutschland, Berlin 2011, S. 5.
15.
Vgl. Bundesregierung, Weißbuch 2016 zur Sicherheitspolitik und zur Zukunft der Bundeswehr, Berlin 2016.
16.
Ebd., S. 93.
17.
Ebd., S. 38.
18.
Ebd., S. 82.
19.
Vgl. Russian Federation, Basic Principles for State Policy of the Russian Federation in the Field of International Information Security, Moskau 2013, S. 2f.
Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/3.0/ Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/3.0/
Autoren: Marcel Dickow, Nawid Bashir für Aus Politik und Zeitgeschichte/bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.