7

Ein normativer Ansatz zur Verhinderung von Cyber-Kriegen

CAMBRIDGE – Eine Anzahl von Episoden in den letzten Jahren – darunter Russlands Cyber-Interventionen zur Manipulation der US-Präsidentschaftswahlen 2016 zugunsten von Donald Trump, die anonymen Cyber-Angriffe, die das Stromnetz der Ukraine in 2015 störten, und das „Stuxnet“-Virus, das tausend iranische Zentrifugen zerstörte – haben eine wachsende Besorgnis über Konflikte im virtuellen Raum ausgelöst. Im Gefolge der Münchener Sicherheitskonferenz vom vergangenen Monat hat der niederländische Außenminister Bert Koenders die Gründung einer neuen, nichtstaatlichen Globalen Kommission für die Stabilität im Cyberspace ankündigt, die die UN-Gruppe von Regierungssachverständigen (GGE) ergänzen soll.

Die Berichte der GGE der Jahre 2010, 2013 und 2015 trugen dazu bei, die Verhandlungsagenda für die Cyber-Sicherheit festzulegen, und der jüngste Bericht zeigte eine Anzahl von Normen auf, die von der UN-Generalversammlung gebilligt wurden. Doch trotz dieses anfänglichen Erfolgs hat die GGE ihre Beschränkungen. Die Teilnehmer sind technisch gesehen Berater des UN-Generalsekretärs und keine umfassend bevollmächtigten nationalen Verhandlungsführer. Und obwohl die Teilnehmerzahl von ursprünglich 15 auf 25 erhöht wurde, haben die meisten Länder keine Stimme.

Doch es gibt noch eine wichtigere Frage, die hinter der GGE lauert: Können Normen dem staatlichen Verhalten wirklich Grenzen setzen?

Die meisten Experten stimmen überein, dass ein globaler Vertrag für den virtuellen Raum derzeit politisch unmöglich wäre (auch wenn Russland und China im Rahmen der Vereinten Nationen entsprechende Vorschläge vorgelegt haben). Doch gehören zu den normativen Beschränkungen außer formellen Verträgen auch Verhaltenskodizes, traditionelle staatliche Verhaltensweisen und weithin geteilte Erwartungen an angemessenes Verhalten innerhalb einer Gruppe (die ein Gewohnheitsrecht schaffen). Vom Umfang her können diese Beschränkungen von global über multilateral bis hin zu bilateral variieren. Was also kann uns die Geschichte über die Effektivität normativer politischer Instrumente sagen?

In dem Jahrzehnt nach Hiroshima wurden taktische Atomwaffen weithin als „normale“ Waffen betrachtet. Wenn das US-Militär irgendwo Truppen stationierte, wurden diese mit nuklearer Artillerie, Atomminen und nuklearen Flugabwehrwaffen ausgestattet. In den Jahren 1954 und 1955 erklärte der Vorsitzende der Gemeinsamen Stabschefs Präsident Dwight Eisenhower, dass die Verteidigung von Dien Bien Phu in Vietnam und der Taiwan vorgelagerten Inseln den Einsatz von Atomwaffen erfordern würde (Eisenhower lehnte diesen Rat ab).

Im Laufe der Zeit hat sich dies durch Herausbildung einer informellen Norm zum Nichteinsatz von Atomwaffen geändert. Laut dem mit dem Nobelpreis ausgezeichneten Ökonomen Thomas Schelling war die Entwicklung der Norm des Nichteinsatzes von Atomwaffen einer der wichtigsten Aspekte der Rüstungskontrolle der letzten 70 Jahre und hatte eine Hemmwirkung auf die Entscheidungsträger. Doch kann man sich nicht sicher sein, dass der Preis eines Tabubruchs in der Wahrnehmung einiger Nuklearstaaten wie Nordkorea den Nutzen überwiegen würde.

In ähnlicher Weise wurde nach dem Ersten Weltkrieg ein Tabu gegen den Kriegseinsatz von Giftgas entwickelt, und das Genfer Protokoll von 1925 verbot den Einsatz chemischer und biologischer Waffen. Zwei Verträge in den 1970er Jahren untersagten Herstellung und Lagerung derartiger Waffen, was nicht nur deren Einsatz, sondern sogar ihrem Besitz Kosten auferlegte.

Die Regelungen zur Verifizierung der Einhaltung der Biowaffenkonvention sind schwach (es ist lediglich die Meldung an den UN-Sicherheitsrat vorgesehen), und diese Tabus hinderten die Sowjetunion in den 1970er Jahren nicht, weiterhin Biowaffen zu besitzen und zu entwickeln. Ähnlich hinderte die Chemiewaffenkonvention weder Saddam Hussein noch Bashar al-Assad am Einsatz von Chemiewaffen gegen ihre eigenen Bürger.

Trotzdem haben beide Verträge die Art und Weise beeinflusst, wie andere derartige Maßnahmen wahrnehmen. Diese Wahrnehmungen haben zur Rechtfertigung des Einmarsches im Irak im Jahr 2003 und zur internationalen Vernichtung der meisten syrischen Waffen im Jahr 2014 beigetragen. Angesichts der Tatsache, dass 173 Länder die Biowaffenkonvention ratifiziert haben, müssen Staaten, die derartige Waffen entwickeln möchten, das heimlich tun und sich allgemeiner internationaler Verurteilung stellen, wenn Belege für ihre Tätigkeit bekannt werden.

Normative Tabus könnten auch im Cyber-Bereich relevant werden, obwohl hier der Unterschied zwischen einer Waffe und einer Nichtwaffe von der Absicht abhängig ist und es schwierig wäre, die Entwicklung, den Besitz oder sogar die Umsetzung von Spionagemaßnahmen in Bezug auf bestimmte Computerprogramme zu verbieten – und unmöglich, sie zuverlässig zu unterbinden. In diesem Sinne können Bemühungen zur Verhinderung von Cyber-Konflikten nicht wie die während des Kalten Krieges entwickelte nukleare Rüstungskontrolle ablaufen, die ausgeklügelte Verträge und detaillierte Protokolle zur Verifizierung umfasste.

Ein fruchtbarerer Ansatz für normative Kontrollen in Bezug auf die Cyber-Kriegsführung könnte darin bestehen, ein Tabu nicht in Bezug auf die Waffen, sondern die Ziele zu etablieren. Die USA vertreten die Ansicht, dass das Kriegsrecht, das vorsätzliche Angriffe auf Zivilisten verbietet, auch im virtuellen Raum Anwendung finden sollte. Entsprechend haben sie vorgeschlagen, dass Länder – statt sich zu verpflichten, Cyber-Waffen nicht als Erstes anzuwenden – versprechen sollten, in Friedenszeiten keine Cyber-Waffen gegen zivile Einrichtungen einzusetzen.

Dieser Ansatz in Bezug auf die Normen wurde vom GGE übernommen. Das Tabu ließe sich durch vertrauensbildende Maßnahmen wie Versprechen zur forensischen Unterstützung und zur Nichteinmischung in die Arbeit von Computer-Notfallteams (Computer Security Incident Response Teams oder CSIRTs) verstärken.

Der GGE-Bericht vom Juli 2015 konzentrierte sich auf die Beschränkung von Angriffen auf bestimmte zivile Ziele statt auf ein Verbot bestimmten Codes. Auf dem Gipfeltreffen vom September 2015 zwischen US-Präsident Barrack Obama und dem chinesischen Präsidenten Xi Jinping vereinbarten beide die Einsetzung einer Expertenkommission zur Prüfung des GGE-Vorschlags. Der GGE-Bericht wurde dann in der Folge von den Staats- und Regierungschefs der G20 gebilligt und an die UN-Generalversammlung verwiesen.

Der Angriff auf das ukrainische Stromnetz ereignete sich im Dezember 2015, kurz nach Vorlage des GGE-Berichts, und im Jahr 2016 behandelte Russland den Wahlprozess in den USA nicht als geschützte zivile Infrastruktur. Die Entwicklung normativer Kontrollmechanismen für Cyber-Waffen bleibt ein langsamer – und an diesem Punkt unvollendeter – Prozess.

Aus dem Englischen von Jan Doolan