Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Sicherheit im Cyberspace | Internationale Sicherheit | bpb.de

Internationale Sicherheit Editorial Wohin treibt die Welt? Hybride Bedrohungen. Sicherheitspolitik in der Grauzone Sicherheit im Cyberspace Europäische Sicherheitskooperation. Bestandsaufnahme und Handlungsfelder Politikfelder im Wettstreit? Innere Sicherheit, Migration und Terrorismus Spying on enemies – knowing your friends. Zur Geheimdienstkooperation und Aufklärung unter Verbündeten "Shoot their hearts and blow their minds". Terrorismusbekämpfung in Israel: Vorbild für Europa?

Sicherheit im Cyberspace

Marcel Dickow Nawid Bashir

/ 15 Minuten zu lesen

Verschiedene nationale Cybersicherheitsstrategien zeigen, dass Antworten auf die dringendsten konzeptionellen Fragen des Cyberspace noch fehlen. Eine Weiterentwicklung des klassischen Konzepts der Rüstungskontrolle auf den Cyberspace ist momentan nicht erkennbar.

Im Sommer 2016 veröffentlichte eine Hackergruppe, die sich "The Shadow Brokers" nennt, Teile des Werkzeugkastens der sogenannten Equation Group, einer offensiven Cybereinheit, die dem US-Auslandsgeheimdienst NSA nahestehen soll. Unter den offengelegten Instrumenten befanden sich unter anderem Schadcode und Programme zum Ausnutzen von Sicherheitslücken, sogenannte Exploits. Der Fall war nicht nur eine Blamage für die Equation Group, sondern verdeutlichte erneut, dass das Internet mittlerweile zu einem sicherheitspolitischen Raum geworden ist, in dem die klassischen, staatlichen Verfahren allein nicht mehr ausreichen, um für Sicherheit zu sorgen. Außerdem zeigte er klar, dass Sicherheitslücken in Software selbst für diejenigen gefährlich sind, die sie üblicherweise nutzen.

Im Folgenden sollen – mit Blick auf die sicherheitspolitischen Herausforderungen – die Besonderheiten des Cyberspace analysiert und eingeordnet werden. Wir werfen dabei einen Blick auf Paradigmen und Paradoxien dieses vom Menschen geschaffenen Raums und beleuchten drei nationale Strategien (USA, Deutschland, Russland) für die Herstellung von Cybersicherheit. Weil im Datenraum einzelstaatliches Handeln allein noch keine Lösungen für sicherheitspolitische Probleme erlaubt, weiten wir im Anschluss den Fokus auf internationale Kooperation und nehmen dabei den sogenannten Cyberterrorismus in den Blick. All dies soll unter der Fragestellung geschehen, ob den konzeptionellen Besonderheiten des Raums politisch ausreichend Rechnung getragen wird.

Der Cyberraum war niemals sicher

Der Shadow-Brokers-Fall steht an der Spitze einer Entwicklung von digitaler Aufrüstung und Versicherheitlichung des Cyberraumes. Dieser wird zunehmend als Herausforderung für die nationale Sicherheit erachtet. Bislang haben 72 Staaten Cybersicherheitstrategien formuliert; hinzu kommen Vereinbarungen in und zwischen supranationalen beziehungsweise intergouvernementalen Organisationen wie EU und NATO. Dass der Cyberraum für Angriffe genutzt werden kann, ist keine Neuigkeit. Lange Zeit war der sicherheitspolitische Fokus allerdings auf kriminelle Akteure gerichtet. Bereits 1989 kursierte die erste Erpresser-Software "AIDS", die über 5,25-Zoll-Disketten weltweit Computer infizierte. Auf den Rechnern der Betroffenen führte sie zur Verschlüsselung zahlreicher Daten, die nur gegen eine Lösegeldzahlung wieder freigegeben wurden. Über staatliche Interessenverfolgung per Cyberangriff war indes wenig bekannt. Hier wurde erst 2007 ein Präzedenzfall geschaffen: Damals legten DDoS-Attacken mutmaßlich russischer Hackergruppen etliche Regierungs-, Banken- und Nachrichtenseiten Estlands lahm, nachdem ein sowjetisches Kriegerdenkmal aus der Hauptstadt Tallinn verlegt werden sollte.

Den ersten und bisher einzig bekannten militärischen Cyberangriff auf einen anderen Staat begingen die USA und Israel 2011 mit dem Trojaner "Stuxnet" auf das iranische Atomprogramm. Dabei wurden mehrere Zentrifugen zur Anreicherung von Uran zerstört. Erstmalig wurde ein Cyberangriff genutzt, um Schäden physischer Infrastrukturen herbeizuführen. In nationalen Verteidigungs- und Cyberstrategien ist Stuxnet seither ein häufig zitierter Präzedenzfall. Viele Staaten versuchen deshalb, möglichst große Kontrolle über das Internet oder wenigstens über ihre nationale Internetinfrastruktur zu erlangen. So ist auch das sogenannte HACIENDA-Programm des britischen Nachrichtendienstes GCHQ zu verstehen, das 2014 durch den ehemaligen NSA-Mitarbeiter Edward Snowden aufgedeckt wurde. Es soll den Cyberraum und verwundbare Infrastrukturen kartografieren. Andere Staaten verfolgen wohl ähnliche Absichten.

Spezielle Herausforderungen

Die konzeptionellen Besonderheiten des Cyberspace sind inzwischen vielfach dokumentiert. Kein Raum bietet bessere Möglichkeiten, die Spuren eigener Aktivitäten zu verwischen, falsche Fährten zu legen und die Rückverfolgbarkeit von Angriffen zu verhindern. Im globalen Netz werden zwangsläufig Dritte, insbesondere ihre IT-Infrastruktur, in den Konflikt hineingezogen. Ihrer durch das Völkerrecht auferlegten Sorgfaltspflicht können Staaten nur bedingt nachkommen, wollen sie nicht die Freiheit und Offenheit des Internets durch vollständiges Überwachen gefährden. Die Attribution von Aktivitäten, insbesondere von aggressiven, bleibt schwierig, wenn nicht unmöglich. Die dafür antretende Computerforensik sammelt nachträglich meist Indizien, keine Beweise. Viele technische Merkmale, die oftmals als politische Beweiskette für oder gegen Aktivitäten bestimmter Staaten ins Feld geführt werden, halten einer konsistenten juristischen Beweisführung nicht stand. Ob Zeitstempel und sprachspezifische Kommentare in Quellcodes, spezielle Codefragmente, Routinen oder Programmiertechniken: All das ist fälschbar, und kaum etwas lässt sich so leicht verbreiten wie Software(schad)code und die dafür nötigen Sicherheitslücken.

Gleichzeitig sind die meisten Staaten abhängig von kommerzieller Hard- und Software und damit auch von deren Sicherheit. Nationale technologische Souveränität in der IT ist schon deshalb eine Illusion, weil die Produktions- und Lieferketten globalisiert sind. Wirtschaftlich würde eine nationale, souveräne IT für die meisten Staaten auch keinen Sinn ergeben, weil die heimischen Märkte zu klein für die nötigen Investitionen in Forschung, Entwicklung und Produktion sind.

Schon diese wenigen Beispiele zeigen, dass klassische Paradigmen der Sicherheitspolitik nicht ohne Weiteres auf den Cyberspace übertragbar sind. Abschreckung kann nur funktionieren, wenn der Angreifer glaubhaft mit Vergeltung rechnen muss, doch das Attributionsproblem untergräbt diese Logik. Der Staat als Garant für Sicherheit im Cyberspace ist oft selbst abhängig von kommerziellen Unternehmen und tritt zudem nicht selten janusköpfig auf, etwa wenn staatliche Stellen Sicherheitslücken aufkaufen, um sie später gezielt einzusetzen, sei es zur Strafverfolgung und polizeilichen Prävention oder nachrichtendienstlich beziehungsweise militärisch. Zudem verwischt die Trennung zwischen Zivilem und Militärischem: Akteure beider Bereiche verwenden gleiche oder ähnliche IT-Infrastruktur, beide stehen in ähnlichen Abhängigkeiten zu kommerziellen Softwareanbietern. Selbst staatliche Hacker und Cyberkriminelle unterscheiden sich kaum in den eingesetzten technischen Mitteln.

Schließlich versagt das Rechtsprinzip der Territorialität insbesondere für digitale Daten, wenn sie losgelöst von ihren realen Ursprüngen global verarbeitet und gespeichert werden. Die neueste Fassung der US-amerikanischen Cyberstrategie spricht deshalb von einem gemeinsam geteilten Raum (shared space). Weil internationale Rechtsetzung in der Regel fehlt, kommt es zu Kollisionen unterschiedlicher nationaler Regulierungen. Dies ist nicht neu. Neu ist, dass die Daten im Datenraum delokalisiert verarbeitet und gespeichert werden. Der Cyberspace ist kein homogener, klar begrenzter Rechtsraum wie die internationale See, sondern ein durch die Anwendung von technischen Protokollen aufgespannter, virtueller Datenraum. All dies spricht dagegen, den Cyberspace als einen traditionellen, sicherheitspolitischen Raum aufzufassen; stattdessen gilt es, die Gültigkeit bestimmter Konzepte wie zum Beispiel Abschreckung, Verteidigung und Rüstungskontrolle neu zu bestimmen.

Die Gefahr von Cyberangriffen geht von unterschiedlichsten Akteuren aus. Einzeltäter tummeln sich hier genauso wie professionell organsierte Hackergruppen, kriminelle Banden ebenso wie militärische und nachrichtendienstliche Hackerkommandos. Cybersicherheitsexperten gehen davon aus, dass die Gefahr von Angriffen nicht ab-, sondern weiter zunimmt. Als größte Gefahrenquelle gelten professionelle und staatliche Hackerteams, die (Industrie-)Spionage betreiben oder kritische Infrastrukturen angreifen.

Die US-Sicherheitssoftwarefirma Symantec entdeckte 2015 mehr als 430 Millionen neue Varianten von Schadsoftware, was einer Zunahme von 36 Prozent gegenüber dem Vorjahr entspricht. Mehr als verdoppelt habe sich die Ausnutzung von sogenannten Zero-Day-Schwachstellen. Sobald diese Schwachstellen öffentlich werden, bleibt den Entwicklern kaum Zeit, diese durch ein Sicherheitsupdate zu korrigieren, bevor Kriminelle sie ausnutzen. Entdeckte und weiterverkaufte Schwachstellen werden bevorzugt von staatlichen Akteuren für Überwachungsmaßnahmen und Angriffe benutzt. Auch Stuxnet bediente sich mehrerer solcher Zero-Day-Sicherheitslücken. Der Handel mit diesen Schwachstellen befeuert ein Geschäftsmodell sogenannter Sicherheitsfirmen, an dessen Austrocknung Regierungen im Sinne der staatlichen Sicherheitsvorsorge eigentlich größtes Interesse haben müssten. Dass Sicherheitsorgane diese Lücken im Namen der Sicherheit aufkaufen und dann nicht an die Hersteller melden (um sie später selbst für Angriffe zu verwenden), gehört zu den Paradoxien der Cybersicherheit.

Ein weiteres Paradoxon des Cyberspace entsteht durch die Verwischung der Unterschiede zwischen Offensive und Defensive, also das Ausnutzen von offensiven Fähigkeiten für defensive Zwecke. Insbesondere für militärische und nachrichtendienstliche Akteure gilt mittlerweile die Devise, dass das Eindringen in fremde Computersysteme und die Analyse ihrer Schwachstellen noch keinen Angriff im klassischen Sinne darstellt. Wenn aber alle die Systeme der jeweils anderen infiltriert haben, wer ist dann Angreifer und wer Verteidiger? Die politischen und technischen Hemmschwellen in diesem "Spiel" sind jedenfalls deutlich gesunken. Der Cyberangriff auf den Deutschen Bundestag im Sommer 2015 verdeutlicht den Trend und zeigt die Verwundbarkeit wichtiger staatlicher Infrastrukturen.

Neue Räume – alte Konzepte?

Mittlerweile haben viele Staaten mit Cybersicherheitsstrategien auf die Herausforderungen im Datenraum reagiert, darunter die USA, Russland und Deutschland. Die Bedrohungswahrnehmungen und Herangehensweisen unterscheiden sich zum Teil beträchtlich.

Der Direktor der US-Geheimdienste definiert die Gefahren aus dem Cyberraum inzwischen als größte Herausforderung, sogar noch vor dem Terrorismus. Als mögliche Ziele von Attacken werden in der Cybersicherheitsstrategie des US-Verteidigungsministeriums kritische Infrastrukturen und militärische Netzwerke ausgemacht. Potenzielle Gegner werden vor allem in Russland und China gesehen, die über fortgeschrittene Cyberfähigkeiten verfügen und diese auch einsetzen. Auch Iran und Nordkorea sind auf der Liste der vermuteten Gegner, wenngleich sie über weniger ausgeprägte Fähigkeiten verfügen. Der sogenannte Islamische Staat (IS) wird ebenfalls als Gefahr genannt, da er den Cyberraum nutzt, um zu rekrutieren und Propaganda zu verbreiten. Zudem haben IS-Vertreter die Absicht erklärt, aggressive Cyberfähigkeiten erlangen zu wollen. Auch der Handel mit Software-Sicherheitslücken wird vom US-Verteidigungsministerium als Gefahr erkannt. Allerdings wird der Einfluss der staatlichen Aktivitäten auf diesen Markt nicht erwähnt und somit nicht als Gefahrenquelle benannt. Eine Stoßrichtung der amerikanischen Cybersicherheitsstrategie ist die Einbettung von Cyberfähigkeiten in konventionelle Angriffe, um beispielsweise militärische Netzwerke und Waffensysteme des Gegners zu stören oder auszuschalten. Hierzu sollen die bereits vorhandenen offensiven Fähigkeiten ausgebaut werden.

Wie in anderen sicherheitspolitischen Räumen setzt die US-Regierung auch im Cyberraum auf Abschreckung: "The United States will continue to respond to cyberattacks against U.S. interests at a time, in a manner, and in a place of our choosing, using appropriate instruments of U.S. power and in accordance with applicable law." Völkerrechtlich ist jedoch strittig, ob und in welchem Maße auf einen Cyberangriff mit kinetischen (also physischen) Angriffen reagiert werden darf. Die Erfolgsaussichten der Abschreckungspolitik im Cyberraum sind zudem unklar, da diese voraussetzt, dass ein Angreifer sicher identifiziert wird. Dass die Attributionsproblematik eine glaubwürdige Abschreckungspolitik untergräbt, räumt die US-Regierung ein: Um die Anonymität von Angriffen zu reduzieren, soll die Netzüberwachung gestärkt und vor allem die Zusammenarbeit der US-Sicherheitsbehörden ausgebaut werden.

In der Cybersicherheitsstrategie der Bundesregierung von 2011 werden dagegen die zivilen Ansätze und Maßnahmen in den Vordergrund gestellt. Die Bundeswehr soll lediglich Maßnahmen zum Schutz ihrer eigenen Handlungsfähigkeit ergreifen und auf entsprechenden Mandaten basierend zur "gesamtstaatlichen Sicherheitsvorsorge" beitragen. Eine Veränderung dieses Ansatzes ist im aktuellen sicherheitspolitischen Weißbuch der Bundesregierung erkennbar. Hier wird der Cyberspace als einer den anderen Dimensionen (Land, Luft, Wasser, Weltraum) vergleichbarer Raum beschrieben, den es national und international zu schützen gilt. Hierzu sollen die Cyberkompetenzen sowohl im Bundesministerium für Verteidigung als auch in der Bundeswehr gebündelt werden.

Die Aufgaben der Bundeswehr im Cyberbereich werden im Weißbuch als "Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit, Beiträge zum gesamtstaatlichen Lagebild im Cyber- und Informationsraum im Rahmen der nationalen und multinationalen Sicherheitsvorsorge sowie der Gewährleistung der Cybersicherheit in den bundeswehreigenen Netzen" beschrieben. Unklar bleibt, wie die Sicherheitsvorsorge im Cyberspace allein im nationalen Kontext umsetzbar ist, kennen die Datenflüsse doch keine Staatsgrenzen. So heißt es im Weißbuch denn auch folgerichtig: "Innere und äußere Sicherheit fallen in wenigen Bereichen so eng zusammen wie im Cyberraum. Die Bedrohungslage im Cyberraum erfordert eine ganzheitliche Betrachtung im Rahmen der Cybersicherheitspolitik." Die Bundesregierung hat sich dabei darauf verständigt, die verschiedenen Aufgaben zwischen den Ministerien aufzuteilen. Während das Bundesministerium des Innern (BMI) für die aktuell in Bearbeitung stehende Cybersicherheitsstrategie federführend verantwortlich ist, übernimmt die Bundeswehr Verteidigungsaspekte der gesamtstaatlichen Cybersicherheitsstrategie. Ergänzend ist das Auswärtige Amt für die internationale Cybersicherheitspolitik zuständig.

Allerdings wird im Weißbuch die unscharfe Trennung von offensiven und defensiven Fähigkeiten nicht problematisiert. Beide sollen ausgebaut, geübt und weiterentwickelt werden. Im Gegensatz zur fortschreitenden Versicherheitlichung und Militarisierung des Cyberraumes steht das Eintreten der Bundesregierung für internationale Abkommen, Rüstungskontrolle und vertrauensbildende Maßnahmen: "Die Anpassung des Instrumentariums der Rüstungskontrolle und Vertrauensbildung an veränderte sicherheitspolitische und technologische Rahmenbedingungen schließt klassische und neue Dimensionen von Sicherheit, wie den Cyber- und Informationsraum und Weltraum sowie die Implikationen neuartiger Waffensysteme, ein."

Russlands nationale Cybersicherheitsstrategie von 2013 kontrastiert den westlichen Ansatz durch einen Fokus auf territoriale Integrität und nationale Souveränität im Datenraum. Dafür soll ein internationales Kontroll- und Regulierungsregime auf Basis einer von Russland verfassten Konvention für internationale Informationssicherheit geschaffen werden. Dies spiegelt die staatszentrierte Position Russlands im Cyberbereich wider. Im Gegensatz zu den USA, Deutschland und der EU befürwortet Russland eine größtmögliche Kontrolle des Staates über die physischen Netzinfrastrukturen sowie über die Datenverarbeitung und Dateninhalte bis hin zur Regulierung des Internets auf globaler Ebene. Als größte Bedrohung aus dem Cyberraum sieht Russland die Nutzung von Cyberwaffen für militärische und politische Ziele (siehe Stuxnet). Weitere Bedrohungen aus Sicht der russischen Regierung sind terroristische Angriffe auf kritische Infrastrukturen und die Nutzung des Internets durch Extremisten für Propaganda- und Rekrutierungszwecke. Zudem wird die Einmischung in innere Angelegenheiten und die Aufwiegelung von innerrussischen Konflikten befürchtet.

Die drei Beispiele nationaler Cybersicherheitsstrategien zeigen, dass Antworten auf die dringendsten konzeptionellen Fragen des Cyberspace noch fehlen. Bemerkenswert ist die weitgehende Abwesenheit von Ideen und Initiativen für Regeln und gutes Verhalten der Staaten im Netz. Eine Weiterentwicklung des klassischen Konzepts der Rüstungskontrolle auf den Cyberspace ist momentan nicht erkennbar. Die Begrenzung schädlicher Aktivitäten oder von Rüstungsdynamiken im Cyberspace liegt zurzeit, so scheint es, nicht im Interesse der Großmächte. Gleichwohl bleibt Cybersicherheit für die Interpretation und Anwendung des Völkerrechts eine Herausforderung.

Cybersicherheit als internationale Herausforderung

Völkerrechtliche Prinzipien wie Territorialität, staatliche Souveränität, Interventions- und Gewaltverbot sind für den Cyberraum nicht aufgehoben. Die internationale Gemeinschaft scheint sich derzeit jedoch kaum darauf einigen zu können, wie diese Prinzipien aus der analogen Welt auf den digitalen Raum übertragen werden sollen. Das Territorialprinzip, das jedem Staat auf seinem Territorium Souveränität zugesteht, stößt im Cyberspace an die Grenzen der Anwendbarkeit. Da die Aufdeckung und Zurechnung von Cyberangriffen kaum möglich ist, kann aktuell nur selten zweifelsfrei nachgewiesen werden, ob ein Verstoß gegen das Interventionsverbot vorliegt. Sollte ein Staat jedoch nachgewiesenermaßen Hackergruppen mit einer solchen Absicht finanziell unterstützen, so wäre der Tatbestand der Intervention erfüllt. Unter das Verbot fallen auch das Streuen falscher Informationen und die Aufwiegelung zu politischen Unruhen. Vor allem Russland reklamiert für sich ein besonderes Schutzbedürfnis vor solchen ausländischen Eingriffen aus dem Cyberraum.

Cyberattacken können von E-Mail-Hacks bis hin zur Manipulation von Steuerungssystemen kritischer Infrastrukturen mit verheerenden und tödlichen Folgen reichen. Sollte im letzteren Fall die Attacke von einem Staat ausgehen, so läge nach Artikel 2 Absatz 4 der UN-Charta ein Verstoß gegen das Gewaltverbot vor. Die Tatbestandslage bei Cyberattacken ist oft unklar, denn die Auswirkungen einer Attacke aus dem Cyberraum sind selten unmittelbar zu beobachten und erschweren damit die Definition der Gewaltschwelle. Das unverbindliche Tallinn-Manual, in dem versucht wird, Kriegführung im Cyberraum international zu verrechtlichen, beschreibt einen bewaffneten Angriff aus dem Cyberraum als "cyber operation, whether offensive or defensive, that is reasonably expected to cause injury or death to persons or damage or destruction to objects".

Völkerrechtlich unklar ist bisher auch, wie die Antwort auf eine solche Cyberattacke ausfallen darf. Die USA behalten sich Vergeltungsschläge auch mit konventionellen Gegenschlägen vor. Die Mehrheit der internationalen Gemeinschaft sieht das Recht auf Selbstverteidigung durch einen militärischen Angriff erst dann gerechtfertigt, wenn der erlittene Angriff über eine gewisse Schwelle physischer Gewalt hinausgeht. Völlig ausgenommen von solchen völkerrechtlichen Regelungen ist der Tatbestand der Spionage. Die flächendeckende und anlasslose Überwachung des Cyberraums kann zwar Menschenrechte wie das Recht auf Privatsphäre und die Pressefreiheit verletzen, ist aber gängige (und international ungeregelte) Praxis vieler Staaten.

Cyberterrorismus

Wo das Völkerrecht in schwieriges Fahrwasser gerät, da sind nichtstaatlichen Akteuren Tür und Tor geöffnet, so möchte man denken. Tatsächlich sind einige Herausforderungen für Cybersicherheit asymmetrischer Natur, allerdings spielt dabei der sogenannte Cyberterrorismus nur eine untergeordnete Rolle. Das BMI definiert Cyberterrorismus als "eine Form von Terrorismus, bei der das Internet als Waffe genutzt wird. Es werden also mit Hilfe von Internet-Technologien Angriffe auf Computersysteme verübt." Cyberterrorismus kann ein Angriff auf kritische Infrastrukturen wie die Elektrizitäts- und Trinkwasserversorgung, Staudämme, Bahnverkehr, Verkehrsleitsysteme oder die Flugsicherung sein. Jedes dieser Ziele birgt potenziell hohe Opferzahlen und ist daher für Terroristen besonders attraktiv. Allerdings schätzt das BMI die Gefahr durch Cyberterrorismus als gering ein: "Grundsätzlich ist von einer Gefährdung durch Cyberterrorismus auszugehen. Es sind aber bislang keine Hinweise auf konkrete Anschlagsplanungen bekannt. Mit Ausnahme von Staatsterrorismus ist es unwahrscheinlich, dass derzeit überhaupt die technischen Fähigkeiten vorhanden sind, um eine Cyber-Attacke diesen Ausmaßes durchzuführen."

Derzeit werden bei keiner Terrororganisation die erforderlichen hohen technischen Fähigkeiten vermutet. Es besteht jedoch die Gefahr, dass eine fertige "Cyberwaffe", also schon entwickelte oder gar benutzte Schadsoftware, weitergegeben und von Kriminellen oder Terroristen verwendet wird. Bislang sind nur niedrigschwellige Angriffe ohne schwerwiegende Folgen bekannt, zum Beispiel die kurzzeitige Übernahme der Social-Media-Accounts des US-Zentralkommandos durch den IS beziehungsweise die Hackergruppe "Cyber-Kalifat" im Januar 2015.

Terrorismus im Cyberraum manifestiert sich aktuell vielmehr durch die Verbreitung von Propaganda und durch die Möglichkeit der Online-Radikalisierung. Gleichwohl nutzen terroristische Gruppen gesicherte Kommunikationswege im Internet für die Planung von Anschlägen oder zur Steuerung von Terrorzellen. Auch diese Aktivitäten stellen für Staaten ein Sicherheitsrisiko dar und werfen die Frage auf, wie viel Freiheit und Privatheit im Netz der Sicherheit geopfert werden sollen. Durch Verschlüsselung gesicherte Kommunikation ist eben nur dann wirklich geschützt, wenn weder staatliche Sicherheitsbehörden noch andere Dritte mitlesen können. Absichtlich geschwächte Verschlüsselung, Hintertüren oder Generalschlüssel gefährden, so zeigen die Erfahrungen der vergangenen Jahre, die Sicherheit aller.

Wie in zwischenstaatlichen Beziehungen, stellt sich auch beim Cyberterrorismus die Frage nach der Gewaltschwelle von Cyberangriffen. So ist fraglich, ob das bloße Hacken von Social-Media-Accounts und das Stören von Sendebetrieben ohne personellen oder sachlichen Schaden Terrorismus ist. Bisher wurden jedenfalls noch keine großangelegten Angriffe aus dem Cyberraum verzeichnet, die massiven physischen Schaden angerichtet haben und einen terroristischen Hintergrund vermuten ließen.

Schluss

Mit dem Cyberspace hat sich der Mensch erstmals einen (virtuellen) Raum selbst geschaffen und nutzt ihn nun für seine Auseinandersetzungen. Das Fehlen von Regelsetzungen und die schwierige Übertragbarkeit des bestehenden Völkerrechts hat dabei ein "Spielfeld" entstehen lassen, das längst überwunden geglaubtem, aggressivem Staatenverhalten zu einer Renaissance verholfen hat. Während dieser "Wilde Westen" immer mehr Akteure anzieht, ringen die Regierungen mit den Konsequenzen für den Kernbereich ihrer staatlichen Souveränität. Die Sicherheit im Cyberspace ist ein fundamentales Interesse staatlicher Vorsorge, die klassischen Durchsetzungsmechanismen aus der realen Welt versagen jedoch weitgehend.

Der Politik, auch in Deutschland, bleibt wohl nichts anderes übrig, als die Paradigmen des Cyberspace zur Grundlage einer neuen Sicherheitsarchitektur zu machen, die sehr viel mehr als bisher Verhaltensregeln und Vertrauensbildung betont und der Selbstbeschränkung bedarf (etwa durch nationale Moratorien, keine offensiven Cyberwaffen gegen zivile Infrastruktur einzusetzen). Im Zentrum neuer internationaler Vereinbarungen sollte die Frage stehen, wie die Staaten mit immer neu aufklaffenden Sicherheitslücken in Hard- und Software umgehen. Diese Risiken zu minimieren, könnte das einende Interesse aller Akteure bilden.

ist promovierter Physiker und Master of Peace and Security Studies. Er leitet die Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik (SWP) in Berlin. E-Mail Link: marcel.dickow@swp-berlin.org

ist Politikwissenschaftler mit Fokus auf die Querschnittsthemen Digital- und Sicherheitspolitik. E-Mail Link: n.bashir@zeppelin-university.net