Die Nato hat kürzlich verkündet, dass sie den Cyberraum als Kriegsgebiet betrachtet, für den im Falle von Angriffen der Bündnisfall gilt. Sie warnen in Ihrer im Frühjahr erschienen Studie vor einer Militarisierung des Internets. Ist sie bereits eingetroffen?
Die Tendenz zeichnet sich zumindest ab, auch bei uns in Deutschland. Wenn die Bundeswehr wie geplant 13.500 Soldaten für die Cyberabwehr einstellt, baut sie damit ihre Angriffskapazitäten aus. Weil Cyberangriffe aber oft nicht klar zuordenbar sind, ist die Gefahr einer Eskalation hier besonders groß, zudem ist auch die Mandatierung von Cyberangriffen ungeklärt: Wer entscheidet, ob wir angreifen? Sicher sollte das Militär eine Rolle in der Cyberverteidigung spielen, es ist aber nur ein Akteur unter vielen bei der Lösung einer gesamtgesellschaftlichen Aufgabe. Ganz besonders in Friedenszeiten sollte es darum gehen, die zivile Cybersicherheit mit allen hierfür notwendigen Instrumenten zu stärken. Insbesondere müssen resiliente, also widerstandsfähige Strukturen geschaffen werden. Dazu muss auch in Hochsicherheitstechnologie investiert werden.
Was braucht es dafür?
Es geht darum, den Informationsaustausch zur Cyberkriminalitätsbekämpfung zwischen Europol, dem BKA, den Verfassungsämtern, dem BND und der Polizei zu verstärken, ähnlich wie das beim gemeinsamen Terrorabwehrzentrum geschieht. Mit dem Cyberabwehrzentrum ist bereits eine Struktur hierfür vorhanden, die aber erheblich gestärkt werden muss. Damit Polizei und Nachrichtendienste organisatorisch eng zusammen arbeiten können, sollte das Trennungsgebot im Bereich Cybersicherheit aufgehoben werden. Auch die zivile IT-Forensik sollte gestärkt werden, um Sicherheitslücken besser erkennen und schließen zu können.
Dessen ungeachtet wird auch die militärische Cyberabwehr weiter ausgebaut werden. Wie Sie sagen, ist jedoch nicht geklärt, wie Cyberangriffe legitimiert werden. Wo liegt das Problem?
Um die Kommunikationsstrukturen der Bundeswehr bei Auslandseinsätzen effektiv zu schützen, muss man vor allem erst einmal identifizieren können, wie potenzielle Angreifer aufgestellt sind. Dafür kann es durchaus notwendig sein, in fremde Systeme einzudringen – und damit greift man bereits selber an. Wer aber kontrolliert solche potenziell folgenschweren Operationen?
Bei uns ist der Bundestag zuständig.
Richtig. Aber die parlamentarischen Strukturen hierfür funktionieren nicht optimal. Obwohl die Cybersicherheit sehr unterschiedliche Ressorts und damit Ausschüsse berührt, wird sie je nach Thema in jeweils nur einem Ausschuss behandelt. Angemessen wäre eine parlamentarische Kontrolle, die die Ausschüsse Digitale Agenda, Auswärtiges, Inneres und Verteidigung sowie das Parlamentarische Kontrollgremium, das für die Kontrolle der Nachrichtendienste zuständig ist, integriert.
Sie betonen in Ihrer Studie den Wert eines offenen, freien und sicheren Internets, das es zu schützen gilt. Was ist konkret damit gemeint?
Das Internet ist in erster Linie ein Marktplatz, auf dem man Milliarden umsetzen kann, insofern ist das freie Internet für die Wirtschaft besonders wichtig. Die Gefahr von Angriffen führt zu einer hohen Unsicherheit und erhöht Investitionskosten. Darüber hinaus ist das Internet eine soziale Sphäre, deren Einschränkung die Grundrechte eines jeden Einzelnen berührt. Ein freies Internet braucht Vertrauen, und das kann man nicht durch militärische oder sonstige Zwangsmaßnahmen erzeugen. Das gilt für die digitale wie für die analoge Welt.
„Wir brauchen eine gemeinsame Idee“
Wie kann dieses Vertrauen entstehen?
Wir brauchen eine internationale Cyberdiplomatie, in deren Rahmen Staaten, die sich feindlich oder konflikthaft gegenüberstehen, in den Dialog treten. Das haben im vergangenen Jahr die USA und China getan. Natürlich gibt es bei solchen Begegnungen auch Drohgebärden. Die USA etwa haben deutlich gemacht, dass sie die massiven Cyberangriffe aus China als Angriff auf ihre Souveränität betrachten und sich vorbehalten, darauf zu reagieren – und zwar auch mit konventionellen Mitteln. Aber immerhin sind die beiden Staaten miteinander im Gespräch. Um sich weiter aufeinander zu zu bewegen, müssen sie an gemeinsamen Normen arbeiten.
Sie schlagen die Norm der Sorgfaltsverantwortung vor, der sich einzelstaatliche Regelungsprozesse unterordnen sollen. Was ist darunter zu verstehen?
Um Vertrauen aufzubauen, brauchen wir eine gemeinsame Idee von der Gestaltung des Cyberraums. Hier scheint mir die völkerrechtliche Norm von Sorgfaltspflichten hilfreich, die besagt, dass in Friedenszeiten keine Handlungen vom eigenen Territorium ausgehen dürfen, die die Rechte anderer Staaten verletzen. So lange die Durchsetzung dieser Norm international nicht gelingt, sollte man sich zumindest national und möglichst auch europäisch bzw. transatlantisch auf diese gemeinsame Idee verpflichten.
Wie weit ist Deutschland mit der Etablierung dieser Norm?
Bisher gibt es keine explizite Ausrichtung auf diese Norm, lediglich das Ideal eines freien, offenen und sicheren Internets. Die Politik muss sich gefallen lassen, hierfür kritisiert zu werden. Denn so lange eine Norm zur Orientierung fehlt, werden weiterhin komplett widersprüchliche Initiativen aus den einzelnen Ressorts kommen: Mit der Schaffung der Abteilung Cyber- und Informationsraum der Bundeswehr werden beispielsweise militärische Kapazitäten ausgebaut, während im Rahmen des OSZE-Vorsitzes und der Vereinten Nationen vertrauens- und sicherheitsbildende Maßnahmen vorangetrieben werden.
Wie könnte die Norm der Sorgfaltsverantwortung international vorangebracht werden?
Es wäre ein wesentlicher Schritt nach vorne, wenn es eine transatlantische Übereinkunft zur Einhaltung von Sorgfaltspflichten gäbe. Immerhin hat die Tallinn-Gruppe des Exzellenz-Zentrums der Nato in seinem »Tallin-Manual« zur Cybersicherheit die Pflicht von Staaten verankert, dafür Sorge zu tragen, dass von ihrem Territorium keine Angriffe gegen andere verübt werden. Es wäre viel gewonnen, wenn diesem Prinzip mehr Verbindlichkeit beigemessen würde. Dem müssten dann auch Strukturen folgen, die die Fähigkeit stärken, Cyberangriffe ihren Verursachern zuzuordnen und Cyberkriminelle dingfest zu machen. Es muss außerdem dafür gesorgt werden, dass Staaten international zur Rechenschaft gezogen werden können, wenn Cyberangriffe von ihrem Territorium ausgehen.
Annegret Bendiek forscht bei der Stiftung Wissenschaft und Politik (SWP) unter anderem zu Cybersicherheitspolitik. Die Stiftung berät Bundestag und Bundesregierung in allen Fragen der Außen- und Sicherheitspolitik. Der Artikel erscheint auf der SWP-Homepage in der Rubrik „Kurz gesagt“. Das Interview führten Nicola Habersetzer und Candida Splett.
