Militärische Auseinandersetzungen finden heute längst nicht mehr allein auf dem Wasser, in der Luft oder dem Boden statt. Cybervorfälle, z.B. in Form von staatlich unterstützten Hackerangriffen, oder Operationen in Computernetzwerken zur Unterstützung von Militäraktion sind längst Begleiterscheinungen von bewaffneten Konflikten und politischen Unruhen weltweit geworden. „WortMelder“ hat bei Janine Schmoldt nachgefragt: „Inwieweit ist Deutschland gegen solche Cyberattacken gerüstet, welche Rolle spielt dabei das Militär und welche internationalen Konventionen wären erforderlich, um Cyberkonflikte einzudämmen?“
Über die Gefahren von Cyberangriffen und Cyberkriegen wurde bereits zu Beginn der 1980er-Jahre debattiert. Als Ende der 1990er-Jahre begonnen wurde, den Cyberraum als Domäne der Kriegsführung zu betrachten, intensivierte sich die Debatte über Cybergefahren: Hacker und deren mögliche asymmetrische Kriegsführung standen dabei im Fokus. Denn der Cyberraum ermöglicht es Angreifern, anonym zu bleiben oder über beispielsweise fremde IP-Adressen unter fremden Cyber-Identitäten zu agieren. Das damit einhergehende Problem der Attribution bringt dem Angreifer wiederrum asymmetrische Vorteile. Die Cyberangriffe gegen Estland und Georgien in den Jahren 2007 und 2008 haben dies anschaulich gemacht: Bis heute besteht Unklarheit darüber, wer diese ‘Cyberkriege’ zu verantworten hat. Mit dem Computerwurm Stuxnet, der die iranische Urananreicherungsanlage in Natanz sabotierte, erreichte die Diskussion dann ihren vorläufigen Höhepunkt: Stuxnet wird vielfach als das neue Gesicht der Kriegsführung angesehen und Cyberkriege gelten als die nächste und größte Bedrohung für die Nationale Sicherheit. Auch der Bundestagshack im Jahr 2015, die Cyberoperationen im Zuge der amerikanischen Präsidentschaftswahlen 2016 und 2020, die NotPetya und WannaCry Ransomware-Angriffe aus dem Jahr 2017, der SolarWinds-Hack 2019 oder die Cyberangriffe auf die Microsoft Exchange Server 2021 veranschaulichen die Gefahren, die von Cyberoperationen ausgehen können. Aber wie ist nun Deutschland gegen Cyberangriffe gerüstet?
Deutschlands Cybersicherheitspolitik
Um Deutschland gegen Bedrohungen aus dem Cyberraum zu schützen und um Sicherheit zu gewährleisten, hat das Bundesinnenministerium 2011 eine Cybersicherheitsstrategie für Deutschland entwickelt, die im 2016 überarbeitet und fortgeschrieben wurde. In Deutschland ist die Cybersicherheit ein elementarer Bestandteil der Sicherheitspolitik, dessen Cybersicherheitsarchitektur äußerst vielfältig ist. So umfasst die deutsche Cybersicherheitsarchitektur, deren Grundstein bereits 1986 gelegt wurde, mehrere Akteure und Zuständigkeiten auf Europa-, Bundes- und Landesebene (das zeigt auch sehr gut die Grafik "Akteure und Zuständigkeiten in der deutschen Cybersicherheitspolitik" der Stiftung Neue Verantwortung). Einer der Akteure auf dem Feld der Cybersicherheitspolitik ist das im Jahr 1991 gegründete Bundesamt für Sicherheit in der Informationstechnik (BSI), zu dessen Kernaufgaben die Abwehr von Cyberangriffen gegen die IT-Systeme des Bundes gehört. Das IT-Sicherheitsgesetz von 2015 erweiterte die Befugnisse des BSI und verbesserte den Schutz Kritischer Infrastrukturen vor Cyberangriffen. Während also die innere Cybersicherheit Deutschlands in den Aufgabenbereich des BSI fällt, ist das Auswärtige Amt für die Cyberaußen- und internationale Cybersicherheitspolitik verantwortlich. Die Verteidigung der gesamtstaatlichen Cybersicherheitsarchitektur fällt gemäß dem Weißbuch 2016 in den verfassungsgemäßen Auftrag der Bundeswehr. Um die IT-Infrastruktur der Bundeswehr zu schützen und gegen Cyberangriffe und Cyberkriege gerüstet zu sein, wurde 2017 das Kommando Cyber- und Informationsraum gegründet und der Bereich Cyber- und Informationsraum als sechster militärischer Organisationsbereich neben Heer, Luftwaffe, Marine, Sanitätsdienst und Streitkräftebasis aufgestellt. Der Einsatz der Bundeswehr zur Verteidigung der Bundesrepublik ist allerdings an rechtliche Rahmenbedingungen geknüpft: So muss verfassungsmäßig ein Verteidigungsfall und völkerrechtlich ein bewaffneter Konflikt vorliegen. Die meisten Cyberoperationen liegen allerdings unterhalb der Schwelle eines bewaffneten Konfliktes. Um in solchen Fällen Schäden zu minimieren, forderte der Inspekteur Cyber- und Informationsraum, Generalleutnant Ludwig Leinhos, im Jahr 2019 eine Überprüfung und Anpassung der rechtlichen Rahmenbedingungen und brachte den Begriff des digitalen Verteidigungsfalls ins Spiel. Horst Seehofer hingegen forderte im selben Jahr, dem Bundesnachrichtendienst im Falle einer Bedrohung der Bundesnetze oder bei einem Cyberangriff gegen die Bundesrepublik die rechtliche Möglichkeit zum Gegenschlag/Hackback und damit erstmals Exekutivbefugnisse zuzugestehen. Im Zuge der Debatten um das IT-Sicherheitsgesetz 2.0. sind die Diskussionen nach Akteuren, Befugnissen und Zuständigkeiten der aktive Cyberabwehr im vollen Gange. Dabei darf nicht übersehen werden, dass sowohl Cyberangriffe, Cyberkriege wie auch aktive, offensive Möglichkeiten zum Gegenschlag dem Völker- und Verfassungsrecht unterstehen.
Zum Verhältnis von Cyberkrieg und Völkerrecht
Nun könne man fragen: Welche Regeln gelten denn überhaupt im Cyberraum bzw. in Cyberkriegen? Das humanitäre Völkerrecht (ius in bello) ist hier das einschlägige Rechtsgebiet, denn es beantwortet die Frage, was überhaupt ein Krieg ist. Es differenziert zwischen einem international bewaffneten Konflikt, mit dem ein Krieg zwischen Staaten gemeint ist, und einem nicht-international bewaffneten Konflikt, also einem Krieg zwischen staatlichen und nicht-staatlichen Akteuren. Damit ein Konflikt als bewaffneter Konflikt klassifiziert werden kann, müssen natürlich auch verschiedene Voraussetzungen erfüllt sein. So muss ein Cyberangriff beispielsweise eine gewisse Intensität haben, um die Schwelle zum bewaffneten Konflikt zu überschreiten. Da dieses Kriterium nicht jeder Cyberangriff erfüllt, ist festzuhalten: Nicht jede Cyberoperation kann als Krieg klassifiziert werden. Vielfach liegen auch Fälle von Cyberkriminalität, Cyberterrorismus oder Cyberspionage vor. Der Politikwissenschaftler Thomas Rid hat daher vorgeschlagen, Cyberangriffe entlang eines Spektrums zu klassifizieren, dass von gewöhnlichen Verbrechen, von Subversion, Spionage und Sabotage bis hin zu bewaffneten Konflikten reicht. Das trifft es gut: Wir können nicht alle Operationen im Cyberraum als Krieg klassifizieren, denn sonst würden wir dauerhaft die Grenze zwischen Krieg und Frieden verwischen und unsere ordnungsschaffende, binäre völkerrechtliche Struktur untergraben.
Vielfach wird davon ausgegangen, dass das humanitäre Völkerrecht, des in einer Zeit entstanden ist, in der die Idee eines Cyberkrieges noch jenseits aller Vorstellungskraft lag, gar nicht mehr anwendbar auf neue, technologische Kriegsformen und Waffen ist. Dies trifft aber nicht zu. Das Völkerrecht ist mit der "Martens’schen Klausel", der St. Petersburger Erklärung, Artikel 1(2) und Artikel 36 des ersten Zusatzprotokolls zu den Genfer Konventionen, flexibel genug gestaltet, um auch im Cyberraum anwendbar zu sein. Dies haben nicht nur das Tallinn Manual on the International Law Applicable to Cyber Operations, sondern auch die Konsensberichte aus den Jahren 2013 und 2015 der United Nations Group of Governmental Experts verdeutlicht. Wenn wir in die Geschichte der Rechtsauslegung des Völkerrechts schauen, können wir feststellen, dass der Internationale Gerichtshof eine ähnliche Frage bereits 1996 beantwortet hat. Damals ging es zwar nicht um den Cyberkrieg, wohl aber um die Drohung mit oder dem Einsatz von Atomwaffen. Auch da wurde gefragt: Ist das Völkerrecht überhaupt anwendbar? Der Internationale Gerichtshof hat dies bejaht und herausgestellt, dass das humanitäre Völkerrecht auf alle zukünftigen Kriegsformen und Waffen anwendbar ist. Aber natürlich ist die Diskussion um das Verhältnis von Völkerrecht und Cyberraum damit nicht abgeschlossen. Es ist notwendig, sich weiter mit dem Völkerrecht zu beschäftigen und auch praktische Anwendungsfragen zu beantworten. Zum Beispiel muss noch geklärt werden, wann genau ein Cyberangriff die Schwelle zu einem bewaffneten Konflikt überschreitet, wie mit nicht-staatlichen Hackern und zivilen Akteuren umzugehen ist, die an Cyberkriegen teilnehmen und inwiefern sich das völkerrechtliche Unterscheidungsgebot auf den Cyberraum übertragen lässt. Es besteht folglich noch viel Gesprächsbedarf. Aber grundsätzlich gilt: Das Völkerrecht ist anwendbar.
Cybersicherheit geht jeden an!
Wenn man fragt, was Cyberangriffe und -sicherheit mit uns persönlich zu tun haben, braucht man sich nur die aktuelle Diskussion um neuerliche Hackerangriffe auf Abgeordnete des Deutsches Bundestages anzuschauen: Ende März 2021 wurden erneut Phishing-E-Mails an Bundestagsabgeordnete geschickt, um Zugriff auf deren Account zu erhalten. Beim Phishing ist das Problem, dass die Nachrichten meist auf den ersten Blick vertrauenswürdig wirken. Prinzipiell sollte man allerdings darauf achten, nicht auf jeden Link zu klicken, der im E-Mail-Postfach oder auf Social Media-Messengern landet. Es lohnt sich, das E-Mail-Programm gesondert mit Sicherheitssoftware zu schützen. Bei wichtigen Login-Daten sollte eine Zwei-Faktor-Authentifizierung eingerichtet werden. Lohnend ist auch die Nutzung eines Passwortmanagers. Wichtige, sensible und persönliche Daten wie Zeugniskopien, Urkunden oder Personalausweis-Scans sollten ausschließlich auf externen Festplatten gespeichert sein. An diesen wenigen Beispielen wird schon deutlich: Cybersicherheit geht uns alle an! Es steht in der Verantwortung jedes Einzelnen sich selbst zu schützen. Hier gilt, was generell im Leben gilt: Was mir lieb und teuer ist, verdient besonderen Schutz. Und warum sollte dies nicht auch für digitale Endgeräte und Online-Anwendungen gelten, die wir täglich nutzen und die aus unserem Leben nicht mehr wegzudenken sind?
Die Autorin, Janine Schmoldt, ist Doktorandin an der Professur für Internationale Beziehungen an der Staatswissenschaftlichen Fakultät der Universität Erfurt. Im Rahmen ihrer Dissertation beschäftigt sie sich mit dem Thema Cybersicherheit.