Im Trippelschritt zum Cyberpeace

01. Juli 2001 Stefan Krempl

Das Phänomen Cyberwar stellt die Friedensforscher und Sicherheitspolitiker vor große Herausforderungen

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Rüstungskontrolle im Cyberspace ist ein vermintes Terrain. Das war die hauptsächliche Erkenntnis der am Samstag zu Ende gegangenen Internationalen Konferenz der Heinrich-Böll-Stiftung über Perspektiven der Friedenspolitik im Zeitalter von Computerattacken in Berlin. Viele der versammelten Experten aus Politik, Forschung und vom Militär sehen bislang kaum Chancen, Formen der traditionellen Rüstungskontrolle auf den Infowar zu übertragen. Zu groß seien die Definitions- und Verifikationsprobleme, zu unterschiedlich die Interessen einzelner Mächte. Erste Schritte auf dem Weg zu einer "Kultur der Zurückhaltung" beim Cyber-Wettrüsten könnten sich aber aus der Konferenz ergeben.

Die Grundlagen einer Cyber-Friedenspolitik zu bestimmen lautete die Aufgabe, die sich die Böll-Stiftung zusammen mit ihren Kooperationspartnern aus dem Bereich der Friedensforschung mit der Konferenz gestellt hatte. Möglichkeiten der Rüstungskontrolle für Cyberwaffen sollten ausgelotet und ein "Memorandum zur friedlichen Nutzung des Cyberspace" skizziert werden.

Bei der Umsetzung dieses Ziels wurden zahlreiche allgemeine und einzelne konkrete Anknüpfungspunkte für eine Entspannungspolitik rund um den gerade von den USA als strategisches Bedrohungsszenario missbrauchten Cyberwar-Hype deutlich (Entspannung an der Cyberwar-Front?). Gleichzeitig traten aber auch große Stolpersteine auf dem Weg zu einer Abrüstung im Netz ins Blickfeld, die die Verabschiedung einer gemeinsamen Position zunächst verhinderten.

Wenig Hoffnung auf den baldigen Start eines konkreten Cyber-Rüstungskontrollprozesses machten am ersten Konferenztag bereits die Aussagen eines Vertreters des Auswärtigen Amts). Berthold Johannes, Referatsleiter der Abteilung Konventionelle Rüstungskontrolle, tat seine "ganz private, die Regierung zu nichts verpflichtende " Meinung kund, derzufolge die Übertragung traditioneller Ansätze auf den virtuellen Datenraum "einer Quadratur des Kreises" gleich komme.

Verhinderte Abrüstungsrevolution

Die Suche der Friedensforscher nach einer Antwort auf die viel beschworene "Revolution in Military Affairs" und die Entwicklung im Bereich der Informationstechnologien über den Weg der Rüstungskontrolle verglich der Ministerialbeamte mit den gescheiterten Versuchen von Revolutionären, Bahnhöfe zu besetzen und dabei zunächst nach Tickets zum Betreten der Bahnsteige Ausschau zu halten. Der ganze Bereich der Informationsoperationen sei noch viel zu wenig umrissen, als dass man ihn bereits beschränken könnte. Die Abgrenzung zur zivilen Nutzung der Informationstechnologie sei zudem kaum möglich.

Insgesamt sieht Johannes noch zahlreiche fundamentale Fragen in der Diskussion über den Cyberwar vollkommen offen. Er hält den ganzen Bereich daher aktuell für nicht regulierbar. So wisse bislang kaum einer eine Antwort darauf, welchen Schaden man mit "Cyberwaffen" wirklich anrichten kann. Die Verursacher einer Attacke seien im Netz zudem kaum zurückzuverfolgen. Wie also zwischen einem angreifenden "böswilligen" Hacker auf der einen und einem feindlichen "Überfall" auf der anderen Seite unterscheiden? Wie unterscheiden sich Infowar-Angriffe mit Hilfe der so genannten "psychologischen Operationen" von Spionage, Erpressung oder Medienoperationen?

Unter welchen Umständen, lässt sich die Fragenpalette fortsetzen, könnte ein Staat eine Informationsoperation als bewaffneten Angriff im Sinne des Artikels 51 der Kriegsrechts-Charta der Vereinten Nationen interpretieren und ein Recht zum Zurückschlagen aus Verteidigungsgründen daraus ableiten? Kann auf einen virtuellen Angriff mit konventionellen Mitteln reagiert werden? Oder ist eine Nation für Hackerangriffe immer schon dann verantwortlich, wenn sie (vermeintlich?) von seinem virtuellen Territorium aus gestartet werden?

Statt Waffensysteme quantitativ oder qualitativ zu regulieren, würde eine Cyber-Rüstungskontrolle sich angesichts dieser Definitionsprobleme Johannes zufolge auf ein flüchtiges Ziel mitten in Bewegung einschießen, das momentan nicht einzuholen sei. Besondere Probleme gebe es selbst beim potenziellen Abschluss eines wie auch immer gearteten Abrüstungsvertrags für Cyberwaffen auch bei der Verifikation eines solchen Abkommens. Quantitativ nachzählen bringe in der digitalen Welt nämlich nichts. Chancen sieht der Ministerielle daher höchstens für die Vorbereitung von "Codes of Conduct" oder Selbstbeschränkungserklärungen einzelner Staaten.

Selbstbeschränkung versus Informationsdominanz

Die USA dürften dabei aber kaum mit gutem Beispiel vorangehen. Als eines der Haupthindernisse für die Cyber-Abrüstung machte Johannes - genauso wie zahlreiche andere Referenten auf dem Kongress - die Haltung der Vereinigten Staaten gegenüber dem Einsatz von Mitteln des Infowar aus.

Die US-Streitkräfte beanspruchen seit längerem ganz offen in zahlreichen Doktrinen neben der Vorherrschaft zu Lande, zu Wasser und im Weltraum auch die militärische Dominanz im Informationsraum. Die neue Bush-Regierung hat zudem dem Informationskrieg seit Januar bereits wiederholt als Konzept zu neuen Ehren verholfen. Nach Ansicht von Verteidigungsminister Donald Rumsfeld etwa sollen "Informationsoperationen" verstärkt in "Friedens-, Krisen- und Kriegszeiten" berücksichtigt und in das militärische Denken besser integriert werden.

Doch "das Ziel einer Dominanz in einem gesamten Spektrum ist keine gute Voraussetzung für Waffenkontrollgespräche", weiß Johannes. Der Wille zur Abrüstung sei in der Regel nur dann vorhanden, wenn die Vorherrschaft eines Staates in Frage gestellt würde.

Davon wollte Richard Aldrich, Deputy Staff Judge Advocate beim U.S. Air force Office für Special Investigations an der Andrews Air Force Base in Maryland nichts wissen. Der einzige Militärvertreter auf der Konferenz, der die Veranstaltung wie Johannes als eine "Private Party" ansah und dementsprechend nicht offiziell für die US-Streitkräfte sprach, fragte rhetorisch in die Runde, warum sich die einzige Supermacht im Bereich Infowar freiwillig eine Hand auf den Rücken binden sollte. Aber selbst in den USA befinde sich die Entwicklung von Cyberwaffen noch im "embryonalen Stadium", versuchte Aldrich die europäischen Gemüter zu beschwichtigen. Und einen echten Infowar zwischen einzelnen Staaten habe es auch noch nicht gegeben.

Auch eine zweite Stimme aus den USA erteilte der Cyber-Abrüstung aus pragmatischen Gründen eine klare Absage. Für Dorothy Denning, Direktorin des Georgetown Institute for Information Assurance und Regierungsberaterin unter Ex-Präsident Bill Clinton, ist die Verbreitung von "Waffen" für den Cyberwar - darunter versteht die Professorin vor allem die so genannten Hackerwerkzeuge - kaum zu bremsen. Sie seien einfach und ohne teures Laboratorium zu programmieren, leicht übers Netz zu vertreiben und daher nicht zu kontrollieren. Das eigentliche Wettrüsten für den Krieg im Netz findet Denning zufolge nicht zwischen Staaten, sondern zwischen Script-Kiddies statt.

Cybercrimebekämpfung als Ansatzpunkt?

Die Debatte über den Cyberwar verlagerte sich so insgesamt immer wieder auf den Sektor Cybercrime. In kaum einem Vortrag der (halb-) offiziellen Abgesandten aus Militär und Politik fehlte der Hinweis auf das geplante Cybercrime-Abkommen des Europarats, mit dem unter anderem der "unrechtmäßige" Gebrauch von Hackerwerkzeugen international als Verbrechen verfolgbar werden soll (Cybercrime-Abkommen nimmt eine der letzten Hürden). Den ganzen Hacker-Szenarien sei mit dem Strafrecht deutlich besser beizukommen, so der Tenor zahlreicher Redner, als mit Instrumenten der höchsten Ebene der Sicherheitspolitik.

Doch die Cybercrime-Konvention ist wegen ihrer Überwachungsauflagen höchst umstritten und weist somit auf das auch bei Cyber-Abrüstungsverträgen kritisierte Kontrollproblem hin. Viel zu schnell, waren sich die amerikanische Professorin und der deutsche Ministerialbeamte einig, könnten die nötigen Überwachungsinstrumente zu Einschnitten in den durchaus erwünschten freien Informationsfluss führen und auch andere Bürgerrechte wie den Schutz der Privatsphäre unterminieren.

Die Mitarbeiter der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS), die seit 1999 für das Beenden des Wettrüstens im Cyberspace eintritt und die Konferenz inhaltlich weitgehend geplant hatte, beobachteten die Verschiebung der Diskussion in Richtung Cybercrime derweil mit Unbehagen.

Sie erinnerten daran, dass staatliche Akteure vom Straftatenkatalog der Europarats-Konvention gerade ausgenommen seien und dieser nur für Privatpersonen und zivile Vereinigungen gelte. Auf diese Weise werde etwa der Wirtschaftsspionage durch Geheimdienste kein Riegel vorgeschoben. Anliegen der Konferenz sei es dagegen gewesen, so FoG:IS-Mitgründer Ralf Bendrath, Staaten und Militärs von der Notwendigkeit der Entschleunigung der sich anhand von eigenen Bedrohungsszenarien geschürten Rüstungsdynamik im virtuellen Raum zu überzeugen.

Nationale Positionen

Unterstützung erhielten die Friedensforscher vom bündnisgrünen Bundestagsabgeordneten Winfried Nachtwei, der Mitglied im Verteidigungsausschuss ist. Seiner Meinung nach sind Überlegungen für den Einsatz offensiver Informationsoperationen für viele Politiker verführerisch, da der Cyberwar häufig mit der Fiktion eines sauberen, blutlosen Kriegs verknüpft sei und die Bevölkerung in Demokratien eine solche klinische Kriegsführung ohne Opfer verlange. Doch dabei würden die "Dimensionen der Entgrenzung", die etwa ein Angriff auf die vernetzten Infrastrukturen eines Landes mit sich bringen könnten, außer acht gelassen.

In Europa sei daher momentan genau der richtige Augenblick, glaubt Nachtwei, um "ohne Alarmismus" das Bewusstsein für derartige Gefahren zu schärfen und die Staaten zur Selbstbeschränkung aufzurufen. Auch bei der Bundeswehr werde gerade "kräftig investiert" in den Bereich Information Warfare. Die Bundesregierung bastle zudem - bislang weitgehend unter Ausschluss der Öffentlichkeit - an einer "Nationalen Position" zum Cyberwar. Der "offene Problemlösungsdiskurs" müsse daher jetzt beginnen und die politische Spitze verpflichtet werden, ihre Überlegungen offen zu legen.

Trotz der Schwierigkeiten mit der Übertragung klassischer Rüstungskontrollmethoden auf das Internet debattierten die versammelten Wissenschaftler und Hacker ganz im Sinne Nachtweis denn auch zum Abschluss der Konferenz noch über konkrete Ansätze zur Verwirklichung des Cyberpeace.

Startpunkt: Völkerrechtlicher Schutz kritischer Infrastrukturen

Um den Import von amerikanischen Bedrohungsszenarien und Cyberwarfare-Konzepten nach Europa zu vermeiden, plädierte FoG:IS-Mitarbeiter und "Rüstungskontroll-Positivist" Georg Schöfbänker etwa zum Start der Normenbildung im Geiste der Genfer Abkommen von 1949 zum Schutz der Opfer internationaler bewaffneter Konflikte für eine Verständigung über die Ausgrenzung kritischer nationaler Infrastrukturen wie der Energie- oder Wasserversorgung aus zukünftigen Cyberwar-Szenarien. Das sei ein wichtiger erster Schritt, um die zivilgesellschaftlichen IT-Systeme nicht zum digitalen Schlachtfeld werden zu lassen. Dem Problem des "Cyberterrorismus", weiß Schöfbänker, sei damit allerdings nicht beizukommen.

Auch Hans-Joachim Schmidt von der Hessischen Stiftung Friedens- und Konfliktforschung sieht einen Ansatzpunkt für die Stärkung der Rüstungskontrolle der Informationskriegsmittel vor allem im "völkerrechtlichen Schutz ziviler grenzüberschreitender Netzwerkkommunikation". Schon bestehende völkerrechtliche Bestimmungen zum Schutz der internationalen Telekommunikation sollten seiner Meinung nach daraufhin abgeklopft werden, ob sie um die "Unverletzlichkeit der grenzüberschreitenden Datennetzwerke" und die Sicherstellung des freien Informationsflusses zu erweitern seien. Damit könnten die völkerrechtlichen Hürden vor einem Angriff gegen zivile Netzeinrichtungen und gleichzeitig die Krisenstabilität erhöht werden.

Dass die USA an jeglichen Überlegungen in diesem Bereich unter den gegenwärtigen sicherheitspolitischen Bedingungen nicht interessiert seien, ist für Schmidt kein Totschlagargument. So seien auch bei den Gesprächen zur Ottawa-Konvention zum Verbot von Tretminen Vertreter der Vereinigten Staaten zunächst nicht mit am Tisch gesessen. Inzwischen wird das Abkommen von den USA aber befolgt. Auch im Fall Cyberwar-Abrüstung könnten sie sich daher "wenigstens teilweise an solche Ergebnisse gebunden fühlen".

Als weiteres Beispiel für die Verständigung auf eine friedliche Nutzung des Cyberspace führte Andy Müller-Maguhn vom Chaos Computer Club die Infopeace-Erklärung zahlreicher Hackervereinigungen Ende 1998 an. Zuvor hatten die Freaks von der amerikanischen "Legions of the Underground" eine offizielle "Kriegserklärung" gegen Irak und China abgegeben, derzufolge die Cracks die dortigen Verletzungen der Menschenrechte mit dem Keyboard zu beantworten gedachten. Das ging dem CCC und anderen Gruppierungen zu weit, da sich ihrer Ethik nach Hacker nicht an Angriffen auf kritische Infrastrukturen beteiligen. Derartige "Nichtangriffspakte" kann sich Müller-Maguhn nun auch zur "aktiven Friedenssicherung" im Netz vorstellen.