Cyberwar und Völkerrecht:"Ein Gegenschlag ist nicht legal"

Mit Würmern, Viren und Trojanern wollen Armeen künftig Kriege gewinnen. Aber gelten auch für einen Cyberwar die Genfer Konventionen - oder überhaupt irgendwelche Regeln? Darüber haben jüngst Völkerrechtler aus aller Welt diskutiert. Unter ihnen der Deutsche Robin Geiß.

Ronen Steinke

Mitten in der Nacht zerriss in der vergangenen Woche der Heavy-Metal-Song "Thunderstruck" von AC/DC die Ruhe in der iranischen Atomanlage Natans. Wie von Geisterhand waren die Lautsprecher auf die höchste Stufe gedreht worden, klagten iranische Techniker angeblich in internen E-Mails. Es wird dies noch die harmloseste Seite der jüngsten Cyber-Attacke auf das iranische Atomprogramm gewesen sein, aber auch ein Signal der Hacker: Seht, was wir können!

Stuxnet-Ziel iranische Atomanlage

Der Angriff von Stuxnet galt iranischen Atomanlagen

(Foto: AFP)

Angriffe dieser Art spielen eine wachsende Rolle. Westliche Armeen, auch die Bundeswehr, arbeiten an ihrer Fähigkeit, mit Würmern und Trojanern Konflikte zu gewinnen. Gelten dafür die Genfer Konventionen - oder überhaupt irgendwelche Regeln? Am Naval War College in Newport an der US-Ostküste diskutierten darüber jüngst Völkerrechtler aus aller Welt. Deutschland war durch Robin Geiß vertreten, der an der Universität Potsdam lehrt.

SZ: Die USA beanspruchen das Recht, Cyber-Attacken künftig mit physischer Gewalt zu beantworten. Zu Recht?

Robin Geiß: Natürlich muss kein Staat es ertragen, wenn er angegriffen wird, auch nicht mit Viren oder Trojanern. In der Charta der Vereinten Nationen steht das naturgegebene Recht der Staaten auf Selbstverteidigung, und das setzt auch nicht voraus, dass man mit derselben technischen Finesse zurückschlägt, mit der man angegriffen worden ist. Entscheidend ist aber immer, dass die Verhältnismäßigkeit gewahrt bleibt.

SZ: Die Verhältnismäßigkeit zwischen einem Virus und einer echten Bombe - liegen da nicht Welten dazwischen?

Geiß: Solange wir nur von Würmern und Trojanern reden, die Geheimnisse ausspähen oder Forschungsprogramme sabotieren: Ja, natürlich. In so einem Fall kommt eine militärische Selbstverteidigung auch nicht infrage.

SZ: Das heißt: Kampfflugzeuge dürfen erst dann zur Vergeltung ausschwärmen, wenn eine Cyber-Attacke wirklich Züge entgleisen und Kraftwerke explodieren lässt, wenn Menschen umgekommen sind?

Geiß: So kann man das sagen, und von diesem Schreckensszenario, das manche schon beschwören und das man dann wirklich als Cyber-Krieg bezeichnen könnte, sind wir zum Glück noch weit entfernt. Eine Cyber-Attacke mit wirklich sichtbaren, auch blutigen Konsequenzen hat es bislang nirgends gegeben.

SZ: Aber mithilfe des Virus Stuxnet ließen die USA im Jahr 2009 plötzlich Hunderte iranischer Zentrifugen durchdrehen. Am Ende gab es Scherben und Risse, also physische Zerstörung.

Geiß: Die Stuxnet-Attacke war vielleicht einschneidend, aber sie war vollkommen unblutig. Natürlich hatten die USA, die ja offenbar die Urheber waren, nicht das Recht dazu, ein Forschungsprogramm eines anderen souveränen Staates zu sabotieren. Insofern war das eine Grenzüberschreitung, und Iran hätte das Recht gehabt zu kontern - allerdings nur mit Gegenmaßnahmen, die ebenso unblutig sind. Das ist wichtig. Soweit ich weiß, hat es daran auch in Iran nie Zweifel gegeben. Von einem Niveau an Gewalt, das sich als kriegerischer Angriff bezeichnen ließe, sind wir bei den heutigen Cyber-Attacken auf Iran noch weit entfernt.

Sicherlich ist es trotzdem gut, wenn wir schon jetzt darüber diskutieren, wie mit heftigeren Angriffen eines Tages umzugehen wäre, und da ist die Position der USA - "Wenn wir uns nicht anders schützen können, antworten wir mit Kampfflugzeugen" - grundsätzlich legitim. Aber die Betonung liegt wirklich auf "eines Tages".

Katz und Maus im Cyberspace

SZ: An potenzielle Gegner gerichtet haben die USA noch eine zweite Botschaft. Im Cyberspace könne sich niemand verstecken. Technisch sei es möglich, jede Cyber-Attacke zurückzuverfolgen. Niemand solle glauben, er könne aus dem Hinterhalt zuschlagen. Stimmt das?

Geiß: Diese Botschaft ist leider sehr viel weniger überzeugend. Politiker, die sich das Recht zum militärischen Gegenschlag vorbehalten wollen, sagen zwar oft, sie wüssten, wie man jede Cyber-Attacke zurückverfolgt. Aber alle Computerexperten, mit denen ich spreche, mahnen zur Skepsis. Es gibt von Jahr zu Jahr mehr Möglichkeiten der Manipulation, man kann eine Schadsoftware über so viele Umwege schicken, über Server in so vielen Ländern . . . Und selbst wenn sich eine Cyber-Attacke einmal zu einem bestimmten Computer zurückverfolgen lassen sollte, bleibt immer noch offen, wer eigentlich an der Tastatur saß. Der Flame-Virus . . .

SZ: . . . mit dem die USA und Israel angeblich jahrelang das iranische Atomprogramm ausspionierten . . .

Geiß: . . und auch Stuxnet haben gezeigt, dass es sehr viel mehr Einfallstore für Cyber-Attacken gibt als gedacht. Man weiß auch, dass heute immer öfter bereits bestimmte Hardware-Komponenten manipuliert sind. Wer genau dahintersteckt, ist kaum nachvollziehbar. Unter Umständen ist nicht einmal klar, ob man überhaupt angegriffen wird oder ob ein technisches Problem besteht. Das heißt: Man weiß einfach viel zu wenig, um sofort zurückschlagen zu können.

SZ: Wie viel müsste man denn wissen?

Geiß: Der Internationale Gerichtshof verlangt eine klare Beweislage, und das zu Recht. Selbstverteidigung ins Blaue hinein darf es nicht geben. Iran und die USA haben vor dem Gerichtshof schon über die Auswertung von Satellitenbildern und die Zurechnung eines Raketenangriffs im Persischen Golf gestritten. Bei einer Cyber-Attacke wäre die Beweisführung noch viel schwieriger, und im Zweifel hieße das für den Angegriffenen immer: Ein Gegenschlag ist nicht legal.

SZ: Im Cyberspace bleiben die Angegriffenen immer ein Stück weit blind?

Geiß: Das scheint bislang der entscheidende Unterschied zu sein im Vergleich zu herkömmlichen Kämpfen zwischen Staaten zu Land oder in der Luft. Zugegeben, auch in herkömmlichen Kriegen haben die Staaten nie die perfekte Sicht. Auch bei einem Angriff von einem U-Boot aus ist es schwierig festzustellen, welcher Staat dahinter steht. Der Punkt ist aber: Bei Cyber-Angriffen sind solche Beweisschwierigkeiten nicht die Ausnahme, sondern die Regel. Wenn Sie so wollen, entsteht da eine neue Qualität der Blindheit.

SZ: Gleichzeitig sagen Sie: Das Recht zurückzuschlagen wird man den Staaten nicht auf Dauer absprechen können. Das klingt nach einer gefährlichen Kombination.

Geiß: Ja, das Eskalationspotenzial ist enorm. Da kommt ein Problem auf uns zu: die Gefahr, dass Staaten voreilig in die falsche Richtung zurückschießen. Gerade deshalb ist es wichtig, dass wir anfangen, viel mehr über nichtmilitärische Reaktionen auf Cyber-Attacken zu reden. Vor allem über gerichtliche Aufklärung. Es mag manchen Staaten nicht gefallen, aber militärische Selbstverteidigung ist bei Cyber-Angriffen ohne klar identifizierbaren Aggressor keine Option.

Ich war's nicht

SZ: Wie soll man ein Tohuwabohu, in dem die Akteure weitgehend blind sind, überhaupt durch Regeln zivilisieren? Jeder Angreifer, der sich nicht an diese Regeln hält, kann nachher kinderleicht behaupten: Ich war's nicht.

Geiß: Das kann der Angreifer vielleicht im ersten Moment tun. Wenn man ihm nicht sofort etwas nachweisen kann, also im engen Zeitfenster des Selbstverteidigungsrechts, dann kann er sich auch darüber ins Fäustchen lachen, dass der Angegriffene nicht zurückschlagen darf. Aber irgendwann kommt die Wahrheit vielleicht doch ans Licht. Stuxnet wurde 2010 in Iran entdeckt, am 1. Juni 2012 hat die New York Times berichtet, dass Stuxnet von den USA und Israel entwickelt und eingesetzt wurde. Daran ließe sich anknüpfen - etwa, wenn auf lange Sicht mit gerichtlichen Sanktionen zu rechnen wäre. Im Moment ist das noch Zukunftsmusik. Träume eines Völkerrechtlers.

SZ: Russland schlägt vor, den Einsatz von Cyber-Waffen ganz zu ächten, um der Eskalation vorzubeugen. Ein frommer Wunsch?

Geiß: Ein frommer Wunsch und vollkommen unrealistisch. Das ist so aussichtsreich, als wollte man die Luft oder das Meer für militärische Operationen sperren. Dahinter steckt derselbe verständliche russische Wunsch wie auch hinter der Forderung, die militärische Nutzung des Weltraums zu verbieten: Der technische Vorsprung der USA auf diesen Gebieten ist so immens, dass er wohl nur mithilfe rechtlicher Verbote eingeebnet werden könnte. Ein technischer Vorsprung, wie ihn die USA haben, ist aber noch nichts Unrechtes. Das ist die realistische Antwort an Russland.

SZ: Dass Cyber-Waffen typischerweise Blinde treffe, wie Sie sagen, spricht nicht gegen sie?

Geiß: Aus humanitärer Sicht muss man eher die Frage stellen: Sind diese neuen Waffen, an denen manche Staaten offenbar schon recht erfolgreich tüfteln, so grausam oder so ungenau, dass sie auch zivile Ziele treffen würden? Nur dann könnte man sie ächten.

SZ: Was denken Sie?

Geiß: Ich finde nicht, dass man das so pauschal sagen kann. Für den Einsatz von Cyber-Waffen gilt schon heute dasselbe völkerrechtliche Prinzip wie für den Einsatz herkömmlicher Waffen: Die Waffen müssen stets genau unterscheiden zwischen legitimen militärischen Zielen und Zivilisten. Eine gezielte Cyber-Attacke gegen die Zivilbevölkerung - zum Beispiel gegen das Wassernetz - wäre deshalb ein Kriegsverbrechen. Eine Schadsoftware hingegen, die im bewaffneten Konflikt ganz gezielt gegen ein militärisches Kommunikationszentrum eingesetzt würde, wäre in Ordnung. Stuxnet hat gezeigt, dass das durchaus möglich ist.

Der Völkerrechtler Robin Geiß, 37, entwickelt derzeit mit einer internationalen Expertengruppe am Nato-Cyber-Abwehrzentrum in Tallinn Leitlinien für den Umgang mit Cyber-Attacken. Das "Tallinn Handbuch" soll Anfang 2013 erscheinen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: