Dem Cyberraum wird spätestens seit der Stuxnet-Attacke gegen iranische Atomanlagen aus dem Jahr 2010 erhebliches militärisches Potenzial beigemessen. Längst sind sich Experten einig, dass Cyberattacken – etwa durch manipulative Eingriffe in Flugleitsysteme, die Stromversorgung oder andere zentrale Komponenten der (zivilen) Infrastruktur – erheblichen Schaden verursachen können. Darüber hinaus bietet der Cyberspace unzählige Möglichkeiten, die Handlungs- und Reaktionsfähigkeit gerade hoch moderner Armeen mit ihrem vernetzten Militärapparat zu manipulieren. Die USA und China haben den Cyberspace aus diesem Grund übereinstimmend als „neue Domaine der Kriegführung“ eingestuft und „Cyberdominanz“ in zukünftigen bewaffneten Konflikten jeweils zur strategischen Priorität erklärt. Auch die NATO hat die Cyberabwehr 2014 als Kernaufgabe kollektiver Verteidigung definiert. 

Doch inwiefern reguliert das Völkerrecht das neuartige Phänomen Cyberwarfare adäquat? Mittlerweile herrscht zwischen den Staaten Einigkeit, dass der Cyberspace kein (völker-)rechtliches Vakuum ist. Völkerrecht gilt online ebenso wie offline. Diskutiert wird aber die Frage der Anwendung des bestehenden Rechts unter neuartigen technischen Bedingungen. Die globale Vernetztheit des virtuellen Raums, seine Losgelöstheit von den für das traditionelle Völkerrecht so grundlegenden Staatsgrenzen, Anonymität und die Geschwindigkeit der Abläufe fordern zentrale Grundannahmen der Völkerrechtsordnung heraus.

Dabei wirft das Phänomen Cyberwarfare aus völkerrechtlicher Sicht zwei grundlegende Fragestellungen auf. Erstens: Unter welchen Voraussetzungen überschreitet eine Cyberattacke die Schwelle zu einem bewaffneten Angriff und löst damit das in Artikel 51 der Charta der Vereinten Nationen verankerte Recht auf (militärische) Selbstverteidigung aus? Zweitens: Soweit es in zukünftigen bewaffneten Konflikten tatsächlich zum Einsatz militärischer Cybertechnologie kommt, stellt sich die Frage, inwiefern dies durch das vor allem in den Genfer Konventionen von 1949 verankerte humanitäre Völkerrecht erfasst wird.

 

Selbstverteidigung gegen Cyberangriffe?

Die Charta der Vereinten Nationen erkennt Staaten im Falle eines bewaffneten Angriffs „das naturgegebene Recht zur individuellen oder kollektiven Selbstverteidigung“ zu. Dieser Grundsatz gilt auch im Cyberspace. Mittlerweile besteht Einigkeit, dass eine Cyberattacke die in ihren Folgen mit den Konsequenzen eines herkömmlichen, militärischen Angriffs vergleichbar ist, als bewaffneter Angriff gilt und das Selbstverteidigungsrecht der UN Charta auslöst.

Klar ist auch, dass jedwede Antwort auf eine derartige Attacke dem Verhältnismäßigkeitsprinzip unterliegt und der Schwere des Angriffs angepasst sein muss. Nicht erforderlich ist es allerdings, dass ein Cyberangriff ebenfalls mit einer Cybermaßnahme beantwortet wird. Die Staaten sind in der Wahl ihrer Verteidigungsmittel grundsätzlich frei und könnten auch auf konventionelle militärische Mittel rekurrieren. Neu diskutiert werden muss im Rahmen dieser Schwellendiskussion allenfalls die Fragestellung, ob wirtschaftliche Gewalt, wie etwa eine schadhafte Manipulation der Finanzmärkte, nicht möglicherweise ebenfalls als ein das Selbstverteidigungsrecht auslösender Angriff zu qualifizieren sein sollte. Traditionell wird dies klar verneint. Da aber heutzutage unterschiedlichste Wirtschaftsabläufe und auch die Finanzmärkte in erheblichem Maße von einem funktionsfähigen Cyberraum abhängig sind und sich – vereinfacht gesagt – mit wenigen Mausklicks ein unter Umständen enormer wirtschaftlicher Schaden herbeiführen ließe, muss dies Position womöglich neu überdacht werden.

Für die Frage der Selbstverteidigung ist darüber hinaus auch die Zurechnung des Angriffs entscheidend. Problematisch ist, dass die unzähligen Verschleierungs- und Manipulationsmöglichkeiten des Cyberspace die Identifikation des Angreifers erheblich erschweren und bisweilen unmöglich machen. Selbstverteidigung aber darf es völkerrechtlich nur gegen einen klar identifizierten Angreifer geben. Eine Selbstverteidigung ins Blaue hinein hat der Internationale Gerichtshof in Den Haag ausdrücklich ausgeschlossen. Nicht alle Staaten wollen derart enge Schranken für das Selbstverteidigungsrecht akzeptieren. Mit Blick auf Cyberattacken gibt es daher durchaus Bestrebungen, einerseits die hohe Schwelle für einen bewaffneten Angriff herabzusetzen und andererseits die strengen Zurechnungskriterien aufzuweichen.

Sicher, kein Staat Cyberattacken muss dulden. Das heißt aber nicht, dass bei einer Cyberattacke – selbst wenn sie gravierende Folgen haben sollte – automatisch und in jedem Fall das Selbstverteidigungsrecht zur Verfügung steht. Insbesondere ist nicht erkennbar, wie ein vereinfachter Rückgriff auf das Selbstverteidigungsrecht zu einem Mehr an Sicherheit beitragen sollte. Im Gegenteil: Die Auflockerung der strengen Kriterien des militärischen Selbstverteidigungsrechts untergräbt das völkerrechtliche Gewaltverbot und wird langfristig die Stabilität der internationalen Beziehungen gefährden. Auch und gerade im Cyberspace sollte das Recht zur militärischen Selbstverteidigung daher ein absolutes Ausnahmerecht bleiben.

 

Es geht um Cyberdominanz

Welche militärischen Nutzungen des Cyberraums tatsächlich möglich und strategisch sinnvoll sind, lässt sich in Ermangelung entsprechender Staatenpraxis bislang nicht eindeutig beurteilen. Ein in den USA vieldiskutiertes Szenario ist etwa ein eskalierender Streit um Taiwan, in dessen Verlauf China durch Cybermaßnahmen versuchen könnte, eine amerikanische Reaktion zu verzögern, um innerhalb des so geschaffenen Zeitfensters irreversible Fakten zu schaffen. Daran wird deutlich, dass Cyberwarfare nicht als rein virtueller Konflikt verstanden wird, sondern als ein Element (neben vielen anderen) der modernen Konfliktführung.

Die USA, China und Russland scheinen sich gegenwärtig ein Wettrüsten im Cyberspace liefern. Ziel ist es, die technischen Voraussetzungen zu schaffen, um in einem möglichen Konfliktfall „Cyberdominanz“ zu gewährleisten. Das heißt, so wie es in der Vergangenheit im bewaffneten Konflikt darum ging, den Luftraum zu beherrschen, wird es in Zukunft (zusätzlich) auch darum gehen, die Kontrolle über den Cyberspace zu erlangen. Führt man sich vor Augen, wie schlagkräftig und manipulativ die NSA bereits in Friedenszeiten im Cyberraum operiert, lässt sich erahnen, wozu hoch moderne Militärs in der Lage sein könnten.

So wie es in der Vergangenheit im bewaffneten Konflikt darum ging, den Luftraum zu beherrschen, wird es in Zukunft (zusätzlich) auch darum gehen, die Kontrolle über den Cyberspace zu erlangen.

Vor diesem Hintergrund stellt sich die Frage, inwiefern das humanitäre Völkerrecht derartige Operationen adäquat einzugrenzen vermag. Dabei wirft längst nicht jede militärische Cyberoperation komplizierte Rechtsfragen auf. Direkte Angriffe auf die Zivilbevölkerung sind eindeutig verboten. Problematisch ist aber, dass in einem global vernetzen Raum selbst im Falle eines (grundsätzlich erlaubten) Angriffs auf militärische Systeme, unvorhergesehene Kaskadeneffekte eintreten könnten. Schwierigkeiten resultieren auch daraus, dass das humanitäre Völkerrecht die Zivilbevölkerung zwar vor physischer Zerstörung schützt, Cyberattacken der Bevölkerung aber auch – unabhängig von jeglicher Zerstörung in der realen Welt – erheblichen wirtschaftlichen Schaden zufügen können. Diese Schutzlücke sollte im Wege einer dynamischen – den modernen Verhältnissen angepasste – Interpretation geschlossen werden.

Weitaus schwieriger erscheint die rechtliche Bewertung, wenn Hard- und vor allem Softwarekomponenten der globalen Cyberinfrastruktur selbst zum strategischen Angriffsziel werden. In dem Maße, in dem Staaten wechselseitig um Cyberdominanz ringen, wird dieses Szenario zuneh­mend relevanter. Hier bestehen zum Teil noch erhebliche rechtliche Grauzonen. Problematisch ist vor allem, dass die Anwendung des völkerrechtlich zentralen Unterscheidungsprinzips zwischen militärischen (angreifbaren) und zivilen (geschützten) Objekten erheblich erschwert ist. Schließlich werden schon heute weitreichende Elemente der zivilen Cyberinfrastruktur auch für militärische Zwecke genutzt.

Das führt dazu, dass Komponenten der Cyberinfrastruktur auf Grundlage des geltenden Völkerrechts potentiell viel zu leicht als legitimes Angriffsziel qualifiziert werden können. Wenn Cyberdominanz das erklärte strategische Ziel ist, liegt es durchaus nahe, dass technologisch führende Staaten darin eher eine Chance als ein Problem sehen. Europäische Staaten, deren Gesellschaften in Zukunft immer stärker auf einen funktionsfähigen Cyberraum angewiesen sein werden, sollten sich hier klarer als bisher für eine enge(re) Auslegung stark machen.

Auch wenn das Schlagwort Cyberwarfare aus den Schlagzeilen kaum noch wegzudenken ist, Hysterie ist fehl am Platz. Bis heute hat noch keine der öffentlich bekannt gewordenen Cyberattacken die Schwelle zum bewaffneten Angriff im völkerrechtlichen Sinne erreicht. Gleichwohl muss eine sachliche Debatte um das Phänomen Cyberwarfare – losgelöst von überzogenen Worst-Case-Szenarien – dringend geführt werden. Der Cyberspace hat enormes militärisches Potenzial. Die militärische Nutzung dieses Raums wird in Zukunft zunehmen. In dem Maße in dem die Vernetzung der Wirtschaftsabläufe und des gesellschaftlichen Lebens insgesamt fortschreitet, wird auch die Schutzbedürftigkeit der Zivilbevölkerung vor militärischen Cyberoperationen weiter steigen.