Sind wir mitten in einem Cyberkrieg?

Viele von uns haben sich diese Frage gestellt, als auf Seite eins der Zeitungen stand, „Angriffe auf Computersysteme eines Nato-Staats sollen den Bündnisfall auslösen“. Es wäre der erste Bündnisfall seit dem 11.September 2001, und erst der zweite überhaupt. Am Mittwoch schrieb das Handelsblatt „Eines steht fest: Schwer aufzuklärende Cyber-Attacken dürften ein beliebtes Mittel der Kriegsführung im 21. Jahrhundert werden“.

Hintergrund der Aufregung ist Stuxnet, ein Computerwurm, der weltweit industrielle Steuerungssysteme angegriffen hat, und damit die Fernsteuerung und Sabotage von Industrieanlagen, Kraftwerke, oder Ölpipelines ermöglicht. Ziele und Herkunft des Wurms sind noch immer unklar. In Iran saß der Wurm in einer Atomanlage, und auch in China, Pakistan und Indien hat sich dieser Wurm verbreitet. Schließlich wurde berichtet, dass auch in Deutschland Computer infiziert sind.

Obwohl bis jetzt nichts „Schlimmes“ passiert ist, hat der Fall Stuxnet das Thema IT-Sicherheit auf die Tagesordnung gebracht. Die Diskussion, wie wir mit diesem Thema umgehen, steckt noch in der Anfangsphase. Als Berichterstatter für IT-Sicherheit im Innenausschuss habe ich mir natürlich Gedanken hierzu gemacht.
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Sicherheit der Kommunikations-Infrastruktur zuständig, es hat auch zu Stuxnet eine Handlungsempfehlung herausgegeben. Im militärischen Bereich ist das Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr, und zusätzlich das Kommando Strategische Aufklärung mit seiner Abteilung für Informations- und Computernetzwerkoperationen mit dem Thema befasst. Bis jetzt wurde in Deutschland über IT-Sicherheit aber vor allem unter dem Gesichtspunkt der Internetkriminalität und der innenpolitischen und rechtstaatlichen Konsequenzen der Gefahrenabwehr diskutiert.
Grundsätzlich ist es schwierig, den Charakter von Cyber-Angriffen einzuschätzen, und ebenso schwierig, adäquate institutionalisierte Vorbereitungen zu treffen. Wie bei vielen modernen Techniken haben wir es hier mit „dual use“ Techniken zu tun, d.h. sie kann sowohl für militärische wie auch zivile Zwecke benutzt werden. Einen Rüstungswettlauf um das Cyberspace würden wir unter Umständen gar nicht bemerken, bis wir bereits mitten drin wären. Staaten könnten Potential aufbauen ohne daß die bei klassischer militärischen Aufrüstung vorhandenen internationalen Kontrollmechanismen greifen würden. Vorstellbar ist etwa auch, dass nicht-staatliche Akteure wie Terrorgruppen organisierte kriminelle Hacker mit Attacken beauftragen könnten.

Cyberangriffe sind weitgehend anonym, und der Angreifer kann von überall zuschlagen. Entfernung zum Ziel ist so völlig unbedeutend geworden. Die Vorbereitung von Attacken kann unbemerkt und in Ruhe vorbereitet werden, der Angriff selbst erfolgt dann schnell, unerwartet und hocheffizient. Da die Lokalisierung und Identifizierung von Tätern sehr schwierig sind, hat der Täter zudem eine gute Chance, Strafverfolgung vermeiden zu können.

Wie wollen wir mit solchen Entwicklungen umgehen? Kernfrage wird sein, ob wir Cyberangriffe als eine militärische oder als zivile Bedrohung auffassen, und ob wir es für nötig halten, die bestehenden Strukturen in Deutschland entsprechend anzupassen.
In den Vereinigten Staaten wird das Thema mitterlweile aus einer sicherheitspolitischen und militärischen Perspektive gesehen. Die USA haben mit USCybercom ein dezidiert für die Abwehr und Durchführung von Computerattacken zuständiges eigenes IT-Kommando der Armee. 2009 hat Präsident Obama angekündigt, 30 Millionen Dollar für die Verteidigung gegen Cyber Attacken auszugeben . Aktuell wird in den USA das bisher größte Cyber-Manöver abgehalten, um zu klären, wie man am besten mit Cyber Attacken umgeht.

2007 wurde Estland Opfer einer Reihe von Angriffen auf kritische Informationsstrukturen, die massiv die Handlungsfähigkeit von Politik und Wirtschaft beeinträchtigten. Die EU hat danach Maßnahmen getroffen: 2009 wurde ein Fünf-Punkte-Plan zum Schutz kritischer Informationsinfrastrukturen aufgestellt. Nach dem Bekanntwerden von Stuxnet kam der Vorschlag, härter gegen Cyberkriminelle vorzugehen. EU-Innenkommissarin Malmström hat die Bedrohung durch Angriffe im Internet als „enorm“ eingeschätzt. Auch die NATO besitzt seit 2008 einen „Cyber Defense Plan.“ Im Zuge der Verhandlungen über das neue strategische Konzept wird derzeit intensiv über eine stärkere Gewichtung des Aufbaus eigener Kapazitäten im Bereich der IT-Gefahrenabwehr diskutiert. Der NATO-Gipfel in Lissabon am 19. und 20.11. wird sicherlich auch im Zeichen von cyberwar stehen. Ob aber der Aufbau einer gemeinsamen Abwehrstrategie und –struktur beschlossen wird scheint momentan fraglich. Die Abwehr von Cyber-Attacken ist prinzipiell möglich, erfordert aber ein gewisses Maß an Offensivkapazität. Das bedeutet, dass ein militärisches Konzept, wie es im Rahmen der NATO ja der Fall wäre, eine Angriffskomponente und –strategie beinhalten müsste. Dies erscheint mir angesichts des Konsensprinzips der NATO nur schwer vermittelbar. Die völkerrechtliche Einschätzung von derart neuartigen Angriffen steht noch am Anfang. Wenn also über cyber-WAR, also Krieg, gesprochen wird, dann muß klar abgesichert sein, in welchem Maß und in welchen Situationen sich ein Staat auch aktiv verteidigen darf.
Ebenso bleibt zu bewerten, ob Cyber Attacken unter das Gewaltverbot der Vereinten Nationen fallen, wenn es zum Beispiel um die Störung kritischer Systeme oder den Diebstahl von Daten geht. Dies vor allem, da das Wort „Gewalt“ nicht definiert wird. Auch beim Selbstverteidigungsrecht (Kapitel VII Art. 51) bestehen Unklarheiten, zum Beispiel ob ein Präventivschlag zur Selbstverteidigung erlaubt ist, wenn klar ist, dass ein Angriff unmittelbar bevorsteht.
Diese Fragen sind alle sehr umstritten, vor allem deshalb, weil die Urheberschaft von Angriffen – und die Verantwortung eines Staates - oft nicht geklärt werden kann.

Welche Maßnahmen können wir bereits jetzt treffen? Beispiele wären: Verbesserte nationale Koordinierung der Zuständigkeiten für Abwehrmaßnahmen im Angriffsfall; intensivere internationale Kooperation auf bi- und multilateraler Basis komplementär zu den Verhandlungen in den Sicherheitsorganisationen; verbesserte Zusammenarbeit zwischen Staat und Wirtschaft; die Beschaffung neuster Technologien; die Aus- und Weiterbildung in der Nutzung von Kommunikations- und Informationstechnologien.
Ich denke, dass wir derzeit nicht von „Krieg“ sprechen sollten. Der Bericht des BSI über die „Lage der IT-Sicherheit in Deutschland 2009“ konstatiert eine ernst zu nehmende Bedrohung für Deutschland. Beinahe jeder hängt am „Cyberspace“ oder sogar von ihm ab, und Attacken können deshalb politische, gesellschaftliche, wirtschaftliche und militärische Folgen haben, sowie großes Zerstörungspotenzial. Wie man mit Cyberattacken umgeht, hängt vor allem davon ab, was das Ziel der Attacke ist, und wo die Attacke herkommt. Gerade weil diese zwei Punkte schwierig festzustellen sind, gibt es noch viel Diskussionsbedarf. Die Frage ist auch, wie viel Macht wir in diesem Zusammenhang den Strafverfolgungsbehörden geben wollen. Klar ist: Wir wollen auf keinen Fall eine europäische NSA!

Wir müssen uns also mit dem Thema intensiv beschäftigen, aber von einem Krieg zu sprechen geht mir im Moment erst mal zu weit.