Genfer Konventionen fürs Internet

Experten fordern Rüstungskontrolle im Cyberspace

Trends & News | News

Cyberwar ist längst nicht mehr Science-Fiction, sondern Bestandteil militärischer Strategien. Während es für die reale Kriegsführung international anerkannte Regeln gibt, fehlen diese im Cyberspace.

Der Stuxnet-Virus hat inzwischen mit Duqu einen Nachfolger gefunden. Die Wahrscheinlichkeit eines Cyberkriegs steigt. Eine Studie des amerikanischen Center for Strategic and International Studies (CSIS) untersuchte die Haltung von 133 Staaten zum Thema Cyberwar. Das Ergebnis: 12 Staaten richten offiziell sogenannte Cyber Commands ein, darunter auch Deutschland. 33 Staaten beziehen Cyberwar-Aktivitäten in ihre Militärplanung ein.

Mitte Dezember findet in Berlin eine vom Auswärtigen Amt geförderte Konferenz mit Experten aus den USA, Russland, China und anderen Ländern statt. Sie wollen diskutieren, wie vertrauensbildende Maßnahmen für den Cyberspace entwickelt werden könnten. Inhaltlich vorbereitet wurde die Tagung vom UN-Institut für Abrüstungsforschung, der FU Berlin und vom Hamburger Institut für Friedensforschung und Sicherheitspolitik. c’t sprach mit dessen stellvertretenden wissenschaftlichen Direktor Götz Neuneck darüber, was einer Rüstungskontrolle im Cyberspace entgegensteht.

c’t: Gab es schon einen Cyber-Angriff, der als bewaffneter Angriff im Sinne des Völkerrechts einzuordnen wäre?

Vergrößern Götz Neuneck ist stellvertretender wissenschaftlicher Direktor am Hamburger Institut für Friedensforschung und Sicherheitspolitik.

Götz Neuneck: Nein, eigentlich nicht. Es gab zwar die Angriffe auf Estland 2007 und während des Georgienkrieges 2008. Es gab die Stuxnet-Attacken. Diese Angriffe sind in einem politischen Umfeld zu sehen, in dem sich offensichtlich Hacker, Sympathisanten und vielleicht auch Staaten selbst eingemischt haben. Insbesondere bei Stuxnet waren die Vorbereitungen massiv, sodass die Vermutung besteht, dass dies mit staatlicher Hilfe und Wissen geschah. Letztlich ist aber niemand vor den UN-Sicherheitsrat getreten und hat diese Art als Kriegsführung im völkerrechtlichen Sinne angeprangert. Aber die Aktivitäten nehmen zu und man muss befürchten, dass in einem unmittelbaren Konflikt auch der Cyberspace massiv einbezogen wird.

c’t: Wann handelt es sich denn bei Internetangriffen um bewaffnete Angriffe nach völkerrechtlichem Verständnis?

Neuneck: In erster Linie dürfte das der Fall sein, wenn Cyberoperationen Tote, Verwundete oder Zerstörungen anrichten. Eine Studie in unserem Forschungsprojekt befasste sich mit den völkerrechtlichen Grundlagen. Prinzipiell gelten auch hier die Bestimmungen der UN-Charta und des Humanitären Völkerrechts, also zum Beispiel die Genfer Konventionen, die regeln, unter welchen Bedingungen Gewaltanwendungen verboten sind. Dabei gibt es zwei Möglichkeiten: das Völkerrecht, das Kriege von vorneherein verhindern soll, und das Humanitäre Völkerrecht, das exzessive und unproportionale Handlungen im Kriegsfall verbietet. Beide werden nicht immer erfolgreich angewendet und angesichts neuer technischer Möglichkeiten gibt es erhebliche Grauzonen und Definitionsprobleme.


„Vor Stuxnet nahm man an, dass Cyberwaffen mit Streuwaffen gleichzusetzen sind.”

c’t: Wie wäre demnach Stuxnet einzustufen? Wäre es nicht als präventives Werkzeug zu bewerten?

Neuneck: Nein. Nach meinem Verständnis ist das keine Kriegsführung, sondern Cyber-Sabotage. Das Besondere an Stuxnet sind die Zero-Day-Exploits und der unmittelbare Zugriff auf Prozesstechnik. Das kann nur mit einem enormen Aufwand und detailliertem Wissen realisiert werden. Es ist eine neue Methode, die nicht auf die unmittelbare Unterbrechung von Internetdiensten setzt. Vor Stuxnet nahm man an, dass Cyberwaffen mit Streuwaffen gleichzusetzen sind. Aber hier zeigt sich, dass die Anwendung sehr gezielt erfolgt, auch wenn Stuxnet zudem weltweit verteilt wurde. Es zeigt überdies, dass die heutigen Defensivmaßnahmen bei Weitem nicht ausreichen.

c’t: Und wie sehen Sie das in Bezug auf den Stuxnet-Nachfolger Duqu?

Neuneck: Duqu hat keine unmittelbare Zerstörungswirkung, sondern operiert aufbauend auf Stuxnet. Daran zeigt sich eine gefährliche Weiterentwicklung – bei der Rüstungskontrolle sprechen wir von Proliferation: Man könnte mit einmal freigesetzten Cybertools also neue „Angriffsformen“ entwickeln. So gesehen ist eine solche Freisetzung immer auch risikobehaftet. Stuxnet, das wohl gegen das iranische Anreicherungsprogramm gerichtet war, war ja im Grunde wenig erfolgreich, höchstens „verzögernd“. Eine wichtige Frage ist, ob technisch eine Weiterverbreitung zusammen mit einer großen Zerstörungswirkung gekoppelt werden kann.

c’t: Ist das eine Frage oder eine Tatsache?

Neuneck: Gute Frage. Wenn man das schon jetzt als Tatsache behandelt, liefert man Argumente für ein Wettrüsten. Die augenblickliche Debatte ist technisch sehr interessant, aber hysterisch, weil einige die Technik nicht verstehen und das mit der Phase des Wettrüstens nach dem ersten Atomtest der USA vergleichen, in der sich viele Staaten eigene Kapazitäten zugelegt haben. Einen Vergleich von Nukleartechnik und Informations-Technologie halte ich für falsch, weil Cybertools keine Massenvernichtungswaffen sind. Trotzdem besteht die Gefahr, dass Staaten aufgrund von Unkenntnis, Fehlwahrnehmung oder Angst jetzt Ressourcen zur Verfügung stellen, um vergeltende Offensivmaßnahmen zu planen.

c’t: An welche Staaten denken Sie dabei?

Neuneck: Das sind vornweg die USA. Die Obama-Administration hat eine internationale wie auch eine nationale Cyberspace-Doktrin entwickelt, die jedoch relativ klar formuliert ist in Bezug auf das, was man tut. Man weiß von China, dass es in seiner Militärdoktrin den Begriff von Informationalisierung hat. China fühlt sich gegenüber den USA unterlegen und setzt das in seinen Strategien um. Ein Weißbuch für die chinesischen Streitkräfte formuliert eine asymmetrische Reaktionsstrategie, die in etwa lautet: Jeder, der China angreift, könnte asymmetrisch angegriffen werden. Auch Südkorea unterhält ein Cyber Command. Hier ist davon auszugehen, dass als Gegner Nordkorea angesehen wird, da es viele Angriffe aus Nord- auf Südkorea gab. Deutschland hat selbst ein Cyber Command und eine Cyberstrategie, ebenso wie etwa Brasilien, Frankreich oder England.

c’t: Die Bundeswehr verfolgt ein defensives Cyberwar-Konzept. Wie lässt sich überhaupt unterscheiden, ob Cybertools offensiv oder defensiv eingesetzt werden?

Neuneck: Die Unterscheidung von offensiv und defensiv ist problematisch, weil die Operationen grenzenlos, mit Lichtgeschwindigkeit und einem hohen Grad an Anonymität durchgeführt werden können. Angreifer und Verursacher haben hier einen Vorteil. Das ist in der Praxis nur schwer zu beschreiben. Bezüglich künftiger Regeln ist das Hauptproblem die Detektion und Zuordnung bezüglich des Verursachers. Generell denke ich jedoch, dass Cybertools zunächst offensiv sind. Um eine Aufrüstungsspirale zu verhindern, muss man sich jetzt zusammensetzen und zusätzliche, international verbindliche Konventionen, Absprachen oder einen Verhaltenskodex schaffen, um die Prinzipien des Internet, also freien Zugang, intellektuellem Austausch und Handel, weiter gewährleisten zu können. Auch wird die Industrie darin einbezogen sein müssen.

c’t: Wo ist die Grenze zwischen Angriffen von Kriminellen und Cyber-Angriffen nach dem Völkerrecht?

Neuneck: Letztlich entscheiden das die Juristen. Bei der Computerkriminalität geht es in erster Linie um Bereicherungsabsichten und Diebstahl. Cyberspionage und Sabotage hingegen sind klassische Bereiche der Kriegsführung. Sie können also auch in einem militärischen Kontext stattfinden. Es ist ja kein Geheimnis, dass die USA diskutiert haben, die Luftverteidigung im Kosovo 1998 oder Irak 2003 oder Libyen 2011 durch Trojaner und Viren lahmzulegen. Es ist nicht klar, ob das umgesetzt wurde, aber einige behaupten, das beim Angriff der israelischen Luftwaffe auf den syrischen Atomreaktor die syrische Luftabwehr nicht funktionierte. Man ist hier aber vorsichtig, weil ein potenzieller Gegner das dann auch in Zukunft machen kann. Was würden wir sagen, wenn ein iranischer Stuxnet eine Raffinerie lahmlegt?

c’t: Auf welchem Stand befinden sich die Kontroll- und Abrüstungsvorschläge gegenwärtig?

Neuneck: Ganz am Anfang. Prinzipiell geht es um die Kontrolle von militärischen Fähigkeiten und Intentionen – es gibt ja Staaten, die enorme Mittel haben, aber vielleicht keine Absicht anzugreifen. Die Notwendigkeit internationaler Regelungen wird heute diskutiert. Russland, China und andere Staaten haben in der UNO einen Vorschlag präsentiert, der einen Rahmen für einen internationalen Code etablieren soll. Eine UN-Expertengruppe hat einen ersten Bericht vorgelegt, und es gibt den Vorschlag, eine weitere Expertengruppe einzusetzen. Es gibt Studien und Rüstungskontrollvorschläge, wie man hier weiter verfahren kann.

c’t: Gibt es Staaten, die blockieren?

Neuneck: Die USA sind sehr interessiert an der internationalen Debatte, ebenso die EU-Staaten, Russland und China. Dennoch steht in der „International Strategy for Cyberspace“ vom Mai 2011, dass sich die USA „alle Rechte vorbehalten, alle nötigen Mittel“ zur Selbstverteidigung der USA und ihrer Partner zu nutzen. Viele US-Experten halten nichts von Vorbereitungen für einen offensiven Cyberwar, weil gerade die USA eher verwundbar sind. Aber es wird in den USA auch über Abschreckung und die Aufstockung der Cyberarsenale gesprochen.

c’t: Wie sieht das mit Russland und China aus?

Neuneck: Sie sind bezüglich ihrer technischen Fähigkeiten intransparent. In ihrem Entwurf vom 12. 9. 2011 für einen Verhaltenskodex sind Prinzipien formuliert, wie etwa die Normen der UN-Charta einzuhalten oder keine feindlichen Aktivitäten zu unternehmen. Ihr Vorschlag hat allerdings auch einen innenpolitischen Aspekt. So sollen die Rechte und die Freiheit des Informationsraums auf Basis der nationalen Gesetze respektiert werden. Das bedeutet, dass ein Staat wegen Sezession oder Terrorismusaktivitäten das Internet auch abstellen darf – wie etwa kürzlich in Ägypten.

c’t: Eine Einigung darüber wird wohl nicht zu erzielen sein?

Neuneck: Ich glaube nicht, dass wir schnell eine rechtsverbindliche Regelung haben werden. Aber ich hoffe, dass die Staaten letztlich die fruchtbaren Seiten des Internet schätzen und dass sie es nicht für Kriege nutzen werden. Es gibt eine Analogie zwischen Cyberwaffen und Weltraumwaffen: In beiden Fällen gelten andere physikalische Gesetze; es gibt eine Sphäre, die sehr komplex ist. Trotz einiger Anläufe hat man bis heute keine Waffen in den Weltraum gebracht. Im Grund gilt der Weltraum als „gemeinschaftsfreier Hoheitsraum für die Menschheit“. Das gilt meiner Meinung nach auch für den Cyberspace, der den intellektuellen Austausch für friedliche Zwecke ermöglicht. Das ist das Entscheidende bei dem, was wir als Internet bezeichnen und das erhalten werden muss. Eine friedliche Cyberaußenpolitik wäre also ein lohnenswertes Ziel, an dem sich auch die Netzgemeinde beteiligen sollte. (dab)

Infos zum Artikel

Kapitel
0Kommentare
Kommentieren
Kommentar verfassen
Anzeige

Anzeige

Anzeige