Stabilität statt Cyberkrieg

Hinter dem Begriff „Geo-Cyber-Stabilität“ steckt die Fähigkeit von Staaten, das Internet sowohl für ihre nationalen Sicherheitsbelange als auch zu ihrem wirtschaftlichen, sozialen und politischen Vorteil zu nutzen, ohne unnötig Schaden und Zerstörung zu verursachen. Mit 1,6 Milliarden Usern in 266 Staaten oder Gebieten mit Zugang zum Internet sind Cyberattacken zum Normalzustand geworden. Die Missbrauchsmöglichkeiten von Informations- und Kommunikationstechnologien (IKT) sind mittlerweile so groß, dass sich Regierungsserver, Militärnetzwerke und Wirtschaftstransaktionen in einem permanenten Bedrohungszustand befinden.

Auch in der Vergangenheit gab es regelmäßige Cyberattacken. Aber die Häufigkeit und Qualität der Angriffe hat enorm zugenommen. Angesichts der veränderten Sicherheitslage scheint es fraglich, ob Staaten ihre Infrastruktur und Informationssysteme angemessen schützen können. Der Angriff auf staatliche und private Server in Estland im Frühjahr 2007 markierte einen Wendepunkt: Die Attacken eskalierten schnell und legten Netzwerke und Websites von Regierung, Medien und Finanzinstitutionen lahm. Bei den Angriffen zeigte sich deutlich, wie schnell Cyber-attacken zu einer Angelegenheit der nationalen Sicherheit werden können, die auch andere Staaten betrifft und die die Frage nach kollektiver Verteidigung aufwirft.

Die Angriffe waren auch deshalb so bedeutsam, weil Estland zwar zu den „vernetztesten“ Staaten der Welt gehört, aber die estnische Regierung beim Tracking and Blocking verdächtiger Vorgänge im Internet um Unterstützung aus dem Ausland bitten musste. Noch vor dem Ende der Angriffe halfen IT-Experten aus den USA, Israel sowie der EU und NATO aus – und hatten Gelegenheit, einiges zu lernen. Estland sah sich gezwungen, große Teile des nationalen Netzes für den Auslandsverkehr zu schließen, um die Situation wieder unter Kontrolle zu bringen. Estland behauptete, es habe verdächtige Vorgänge bis zu einer Internetadresse im Kreml zurückverfolgen können. Russland stritt jegliche Verantwortung ab, weigerte sich aber, an der Aufklärung mitzuwirken.

Chaos und Unsicherheit

Die Angriffe auf Estland offenbarten die „Grenzlosigkeit“ der Cyberkriminalität und die Schwierigkeit, derartige Attacken aufzudecken und zurückzuverfolgen. Der mit den Angriffen im Zusammenhang stehende Internetverkehr führte jedenfalls bis in so unterschiedliche Staaten wie die USA, China, Vietnam, Ägypten und Peru. Möglich, aber nicht beweisbar ist auch, dass es sich bei den Angreifern um eine Koalition von organisierter Cyberkriminalität und Staaten handelte, die ihre Angriffe koordinierten. Wenige Monate nach den Attacken auf estnische Server drangen vermutlich chinesische Militärangehörige in amerikanische Pentagon-Computer ein. Der Vorfall wurde als „erfolgreichster Cyberangriff auf eine US-Verteidigungsbehörde“ bezeichnet und legte für mehr als eine Woche Teile des Pentagon-Systems lahm. Chinesische Hacker wurden auch beschuldigt, Cyberspionageangriffe gegen britische Regierungsserver durchgeführt und deutsche Regierungsserver beschädigt zu haben.

Der Generaldirektor der britischen Gegenspionage- und Sicherheitsbehörde MI5 warnte in einem Schreiben an 300 Geschäftsführer und Sicherheitschefs, dass ihre Einrichtungen und Firmen von „chinesischen Staatsorganisationen“ bedroht würden; diese Angriffe seien dazu angelegt, bisherige Best Practices im Sicherheitsbereich zu zerstören. Ebenso wie die estnischen Cyberattacken warfen auch diese Angriffe Fragen grundsätzlicher Art auf, zum Beispiel zum Einsatz staatlicher Cybersöldner zur Gegenspionage im Netz.

Bei den russischen Angriffen auf georgische Server während des russisch-georgischen Krieges in Südossetien 2008 wurde noch deutlicher, in welchem Maße Staaten von Computern und Kommunikationssystemen abhängig sind – insbesondere in Krisenzeiten. Eine Reihe von DDoS-Angriffen (Distributed Denial of Service) auf georgische Regierungswebsites legte das staatliche Kommunikationssystem weitgehend lahm. Während die Angriffe in Estland Artikel 5 des NATO-Vertrags (kollektive Verteidigung) auf den Prüfstand stellten, warfen die Ereignisse in Georgien ganz andere völkerrechtliche Fragen auf. Die Juristen Stephen Korn und Joshua Kastenberg zum Beispiel fragten sich in ihrer Analyse der Vorfälle, ob Georgien die amerikanische Neutralitätspflicht unter dem Haager Abkommen verletzt habe, als es den „unorthodoxen Schritt“ unternahm, ohne vorherige Erlaubnis in den USA „virtuell Zuflucht“ zu suchen.

Die Cyberattacken auf Estland und Georgien sind ausgezeichnete Beispiele für die Folgen solcher Angriffe, nämlich Chaos und Unsicherheit hinsichtlich des rechtlichen Rahmens der Gegenmaßnahmen. In Krisenzeiten hinkt die Theorie der Realität hinterher: Weder NATO noch die Staaten, die Estland zur Hilfe eilten, waren rechtlich zu Abwehrmaßnahmen befugt.

Jüngere Cyberattacken werfen ein Schlaglicht auf die vernetzte Verwundbarkeit im Internet und zeigen, wie dringend ein gewisses Maß an „Geo-Cyber-Stabilität“ benötigt wird.  „Tracking GhostNet“, so der im März 2009 veröffentlichte Titel eines Berichts des Information Warfare Monitor am Munk Center der University of Toronto über chinesische Hackerangriffe gegen Tibeter, berichtet von einem 1295 Computer in über 100 Staaten umfassenden Netzwerk, das von kommerziellen Internetadressen in China ferngesteuert wurde. Das GhostNet-System, so der Bericht, brachte Computer von Ministerien, Botschaften, Organisationen und der NATO in ganz Europa und Asien dazu, Schadprogramme aus dem Internet herunterzuladen. Mit Hilfe dieser Malware konnten die Angreifer umfassende Kontrolle über diese Computer erlangen, einschließlich der Dateien und Bedienelemente wie Mikrophone und Webcams.

1996 schätzten US-Regierungsvertreter, dass zwischen 120 und 140  Staaten entweder bereits über Mittel für Cyberkrieg verfügten oder im Begriff seien, solche herzustellen. Staaten müssen in der Lage sein, ihre Infrastruktur und Informationssysteme vor Angriffen, Spionage, Sabotage, unerlaubtem Zugang, widerrechtlicher Veröffentlichung und anderen Formen von Cyberkriminalität zu schützen, die ihre nationale und wirtschaftliche Sicherheit unterwandern könnten. Ebenso brauchen Staaten aber Rechtssicherheit hinsichtlich alltäglicher Operationen im Netz und hinsichtlich der Entscheidungen, die ihre nationale und Wirtschaftssicherheit und den Schutz ihrer Bevölkerung betreffen. Bislang fehlt ein solcher rechtlicher Rahmen.

Traditionelle Vorstellungen von nationaler Sicherheit – zum Beispiel geopolitische Sicherheit, Einflusssphären, Machtkorrelationen – sind überholt. Im virtuellen Raum gibt es keine Grenzen, und die Paragraphen zur kollektiven Verteidigung waren für traditionelle Konflikte gedacht, nicht für Cyberkriege. Auch wenn geopolitische Überlegungen weiterhin Bedeutung haben, muss die Gefährdung sensibler Infrastrukturen auch vor dem Hintergrund globaler Cyberstabilität bewertet werden.

Alle Staaten sind auf ein Minimum an Cyberstabilität angewiesen, das durch internationale Abkommen garantiert wird. Die lebenswichtige Infrastruktur eines Staates kann auf eine Weise zerstört werden, die den einschlägigen Abkommen widerspricht – wie der Genfer Konvention oder dem Haager Abkommen, das Nationen auch im Kriegsfall zur Wahrung der Neutralität gegenüber anderen Ländern verpflichtet.

Rechtliche und politische Fragen

Die Gesetze für bewaffnete Konflikte regulieren die Durchführung von bewaffneten Auseinandersetzungen und haben den Zweck, Leid und Zerstörung möglichst zu vermeiden. Nach diesen Gesetzen können Kampftruppen angreifen, wenn die Maßnahme notwendig ist, um ein berechtigtes militärisches Ziel zu erreichen (Prinzip der Notwendigkeit). Dabei müssen sie zwischen rechtmäßigen und unrechtmäßigen Zielen, wie -Zivilisten, ziviles Eigentum, Verwundete und Kranke, differenzieren (Prinzip der Unterscheidung). Der Umfang der Truppen darf nicht größer sein als zur Erreichung der militärischen Ziele erforderlich wäre (Prinzip der Verhältnismäßigkeit). Reguläre Kriegsteilnehmer müssen von der Regierung für die Teilnahme an Kampfhandlungen ermächtigt worden sein; sie müssen unverkennbare Abzeichen tragen und aus der Ferne erkennbar sein. Unrechtmäßige Kriegsteilnehmer sind solche, die ohne Befehl einer Regierung oder völkerrechtlich abgesichertes Mandat an Kampfhandlungen teilnehmen.

Die erste offensichtliche Frage, die sich im Zusammenhang mit dem Internet stellt, lautet: Was begründet einen Akt des Cyberkriegs? Andere Fragen betreffen den Angriff auf Kommunikationssysteme und andere entscheidende Infrastruktur, die der Privatwirtschaft gehören und das zivile Leben aufrechterhalten wie beispielsweise Krankenhäuser (und damit die Versorgung von Kranken, Verletzten, Alten und Minderjährigen). Sollten diese und die Angriffsziele, die von der Genfer Konvention geschützt werden, tabu sein? Sind Angriffe auf diese Einrichtungen wirklich notwendig, um militärische Ziele zu erreichen? Steht der Schaden an den Netzwerken im Verhältnis zum militärischen Ziel? Wenn ein Angriff erfolgt, weiß niemand, wer der Aggressor ist, bis der Angriff zurückverfolgt wird und eine Zuordnung erfolgen kann. Reguläre Internetsoldaten sind nicht von jugendlichen Hackern oder irgendwelchen Cyberschurken zu unterscheiden. Wie kann man feststellen, ob ein Angreifer ein militärischer Gegner ist? Welche internationale Zusammenarbeit ist erforderlich? Desgleichen stellt sich die Frage: Wie kann man wissen, ob ein Dritter auf Geheiß eines Nationalstaats handelt? Gewiss tragen die Angreifer keine „erkennbaren Zeichen“ – oder sollten Internetsoldaten oder Cybersöldner eine Internetuniform tragen? Was bedeutet unverhältnismäßige Gewalt im Internet?

Hoffnungslos veraltet

Die beiden wesentlichen rechtlichen Instrumente zur Regelung von Kon-flikten zwischen Nationalstaaten sind der NATO-Vertrag und die UN-Charta. Beide Dokumente sind schon älter als 50 Jahre und dem Zeitalter des Internet nicht mehr angemessen. Die Termini des NATO-Vertrags sind „bewaffneter Angriff“, „territoriale Unversehrtheit und politische Unabhängigkeit“. Die Begriffe Selbsthilfe, gegenseitige Unterstützung und kollektiver Beistand werden nur im Zusammenhang eines „bewaffneten Angriffs“ verwendet. Estlands Verteidigungsminister Jaak Aaviksoo hat die Mängel des NATO-Vertrags bei Cyberattacken auf den Punkt gebracht: „Kein einziger NATO-Verteidigungsminister würde zurzeit einen Internetangriff als militärischen Angriff definieren.“

Artikel 12 des Vertrags  erlaubt es den Mitgliedern, den Vertrag hinsichtlich „Faktoren, die Frieden und Sicherheit betreffen“ zu bewerten. Demnach könnte dieser Artikel den NATO-Mitgliedern dazu dienen, -Internetangriffe, kollektive Verteidigung und Geo-Internetsicherheit zu berücksichtigen.

Die UN-Charta wiederum dient als Grundlage des internationalen Rechts in Fragen der Staatsführung, einschließlich der Frage bewaffneter Konflikte. Die Sprache der UN-Charta ist eng abgestimmt mit der des NATO-Vertrags. Auch sie spricht von „territorialer Unversehrtheit und politischer Unabhängigkeit“ oder dem „Einsatz bewaffneter Truppen“. Die Bestimmungen über Selbstverteidigung verwirren mehr als sie Klarheit schaffen. Artikel 51 besagt, dass nichts eine Nation oder eine Gruppe von Nationen davon abhalten kann, in kollektiver Selbstverteidigung anzugreifen, falls ein bewaffneter Angriff erfolgt – was die Frage aufwirft, ob ein Internetangriff einen „bewaffneten Angriff“ darstellt. Sogar, wenn der Angriff von regulären Streitkräfte, käme, spricht Artikel 41 gegen diese Interpretation, der speziell die Handlungen auflistet, die nicht als bewaffnete Gewalt erachtet werden können. Zu den erlaubten Maßnahmen zählen die gesamte oder teilweise Unterbrechung des Kommunikationsbereichs, was auf das Szenario eines Internetangriffs zutreffen könnte.

UN-Charta und NATO-Vertrag erfassen die elektronischen Möglichkeiten des 21. Jahrhunderts also nicht. Nie zuvor war die Notwendigkeit so groß wie heute, diese rechtlichen Instrumente zu aktualisieren, um die Maßnahmen der Nationalstaaten im Hinblick auf Cyberkrieg und Angriffsmöglichkeiten zu regeln. Die Bekämpfung des globalen Terrorismus hat ohnehin schon die Fundamente des Rechtsstaats bedenklich erodiert. Die verhängnisvolle Bedrohung durch Internetangriffe von Nationalstaaten und Cyberschurken ist inzwischen Realität geworden. Staaten können es sich nicht länger leisten, einander an die Gurgel zu gehen anstatt sich die Hand zu reichen, wie Winston Churchill einmal bemerkte. Regierungen, die Privatwirtschaft und multinationale Organisationen müssen einen internationalen Dialog über neue militärische Einsatzmöglichkeiten, gemeinsame Maßnahmen und eine „Geo-Cyber-Politik“ führen. Werden diese  Fragen vernachlässigt, dann wachsen sich die Gefahren des Cyberspace in den nächsten fünf Jahren zu einer immensen Bedrohung für die nationalen und wirtschaftlichen Sicherheitsinteressen aller Länder aus.

Vorreiterrolle Russlands

Der Dialog über eine globale Cyberstabilität muss mit der Frage internationaler Kooperation beginnen. Sie ist fast immer erforderlich, wenn man Internetkommunikationen verfolgen will, schon weil das Internetprotokoll eine Mitteilung in Datenpakete zerlegt und durch viele Netzwerke – und Länder – leitet, bevor die Datenteile an ihrem Bestimmungsort wieder zusammengesetzt werden. Auch bei der Verteidigung gegen Internetangriffe ist die Hilfe anderer Nationalstaaten erforderlich.

Ursprünglich hatte man geglaubt, dass das Abkommen des Europarats über Internetkriminalität, das ausgezeichnete Bestimmungen hinsichtlich gegenseitiger Unterstützung und Zusammenarbeit enthält, das beste Vehikel wäre, um eine entsprechende Übereinkunft zu erzielen. Jedoch haben das Abkommen seit 2001 nur 46 Staaten unterzeichnet und 26 ratifiziert. Allerdings gibt es in mehr als 200 Ländern Zugang zum Internet. Das Abkommen des Europarats scheint also kaum die richtige Lösung zu sein.

Ganz eindeutig müssen die Vereinten Nationen die Führung übernehmen, um ein internationales Abkommen über Zusammenarbeit und Beherrschung von Internetkonflikten zu erarbeiten. Auf die USA scheint man dabei nicht zählen zu können. Sie haben zwar das Internet erfunden, stehen aber bei der Vergabe des Postens als Vorreiter in dieser Frage bei den UN nicht in erster Reihe.

Ironischerweise hat Russland – eines der aktivsten Länder beim Engagement in der Internetkriegsführung – die größte Führerschaft an den Tag gelegt. Seit 1998 hat Russland jedes Jahr eine UN-Resolution zu „Entwicklungen auf dem Gebiet der Information und Telekommunikation im Zusammenhang mit internationaler Sicherheit“ eingebracht. So forderte es zu einer multilateralen Abwägung der Bedrohungen auf, die im Bereich er Internetsicherheit auftauchen und verlangte eine Definition der grundlegenden Absichten der internationalen Prinzipien zur Bekämpfung von Internetkriminalität und Terrorismus. Die Resolution aus dem Jahr 1999 beinhaltet das militärische Potenzial der Informations- und Kommunikationstechnik. Diese Resolutionen wurden von der Generalversammlung  regelmäßig verabschiedet. Die USA haben regelmäßig dagegen gestimmt. Russlands Resolution aus dem Jahr 2008 wurde sowohl vom First Committee der UN als auch von der Generalversammlung angenommen – allein die USA legten Einspruch ein.

Die internationale Gemeinschaft muss kooperieren und erkennen, dass die enormen Vorteile des Internet in Gefahr sind, wenn es als Werkzeug benutzt wird, um jenseits der gesetzlichen Regelungen Schaden zu verursachen. Regierungen haben die Verpflichtung, bei der Verteidigung des Internet und der Systeme zu helfen, die ihre Wirtschaft fördern, das Leben ihrer Bürger bereichern und die Regierung sowie militärische Operationen unterstützen. Sie haben auch eine Verpflichtung, bei der Verfolgung und Ahndung von Cyberaktivitäten zu helfen. Notwendig ist die Entwicklung eines rechtlichen Systems, das auf Internetkonflikte Anwendung findet und ein Mindestmaß an Geo-Cyberstabilität garantiert, damit das Wild Wild Web nicht die völkerrechtlichen Regeln im Krieg, die Menschenrechte und die freundschaftlichen Beziehungen der Staaten zerstört und damit zum Werkzeug der Verwüstung im 21. Jahrhundert wird.

JODY WESTBY ist Direktorin der Firma Global Cyber Risks in Washingon D.C. und Fellow des Carnegie Mellow CyLab.