Arne hat per Informationsfreiheitsanfrage vom wissenschaftlichen Dienst des Bundestags das Gutachten mit dem Titel „Anwendbarkeit des humanitären Völkerrechts auf Computernetzwerkoperationen und digitale Kriegsführung (Cyber Warfare)“ (pdf) erhalten, das sich mit elektronischer Kriegsführung beschäftigt. Argumentiert wird darin aus rein rechtlicher Perspektive, wer sich eine Erörterung von ethischen oder technischen Fragen erwartet, wird hier kaum fündig.
„Cyber warfare“ meint Methoden der technologieorientierten digitalen Kriegsführung, von der Ausspähung gegnerischer Institutionen und Personen bis hin zum offensiven Hacking in dessen Netzwerken. Nicht selten handelt es sich in der Praxis um gemeinschaftliche Operationen der technischen Geheimdienste mit den Militärs. Der militärische Gegner soll dadurch ausspioniert, geschwächt, sabotiert oder an der Nutzung seiner kritischen Systeme gehindert werden, zuweilen schicken Cyber-Warfare-Einheiten aber auch Millionen Tweets herum.
Damit zusammenhängende rechtliche Fragen werden in den letzten Jahren häufiger diskutiert, insbesondere seit Fälle wie Stuxnet und Flame öffentlich wurden. Seitdem ist es als Fakt zu betrachten, dass Staaten digitale Waffen militärischer Herkunft gegeneinander anwenden – ob man nun den Begriff „Cyberwar“ dafür passend findet oder nicht.
Entsprechend stellen sich vor allem völkerrechtliche Fragen, anknüpfend an die Zivilisten, die in den betroffenen Ländern zu potentiellen „Kollateralschäden“ der Angriffe werden können. Bisher bekanntgewordene Angriffe mit militärischem Hintergrund richteten sich im Regelfall direkt gegen zivile Infrastrukturen, sie können aber auch unbeabsichtigt in Mitleidenschaft gezogen werden.
Die Frage der Anwendbarkeit des Völkerrechts auf militärische „Cyber-Angriffe“ wird in dem Gutachten erörtert, aber auch Kennzeichnungspflichten für technische Einrichtungen der Kriegsparteien sowie Fragen der Zurechenbarkeit von digitalen Angriffen. Es kommt im Ergebnis zu dem Schluss: Die Anwendung des Völkerrechts wirft bei der Unterscheidung von Kämpfern (Militärdeutsch: Kombattanten) und Zivilpersonen zwar einige Probleme auf, es ist aber auf digitale Operationen der Militärs insgesamt anwendbar:
Die Anwendung der Regeln des Völkerrechts auf Computernetzwerkoperationen stellt weder prinzipiell noch methodisch ein unüberwindbares Hindernis dar. So können die hier erörterten Fragen der Kennzeichnungspflicht sowie die Unterscheidung zwischen Perfidie und Kriegslist im Cyberraum auch mit dem herkömmlichen juristischen Instrumentarium zufriedenstellend gelöst werden.
Militärische Angriffe über die Netze seien „trotz aller Besonderheiten grundsätzlich mit traditionellen Kampfhandlungen vergleichbar“. Die „Cyber-Angriffe“ der Militärs sind also nicht generell inkompatibel mit dem bestehenden Völkerrecht, selbst wenn bei diesen Angriffen zivile Schäden absichtlich angerichtet werden. Neue digitale Angriffsformen (Militärdeutsch: „Wirkmittel“) verbietet das Völkerrecht grundsätzlich nicht, ein Verbot bestimmter Waffen bedarf nämlich jeweils einer völkerrechtlichen Vereinbarung.
„Erlaubte Kriegslisten“ in Netzwerken sind dem Gutachten nach folgende (Hervorhebungen im Original):
- Aufbau eines „dummy“-Computernetzwerks, das nicht-existierende Streitkräfte simuliert und die gegnerische Aufklärung entsprechend irreführt,
- Vorgetäuschte Cyber-Attacken,
- Gebrauch von Signalen oder Passwörtern des Gegners,
- Übermittlung falscher Nachrichten, die den Anschein erwecken, als stammten [sie] aus dem gegnerischen Hauptquartier. Allerdings dürfen diese Informationen den Gegner nicht dazu verleiten, zivile Ziele in der Annahme anzugreifen, es handele sich um militärische Ziele,
- Führen eines Cyber-Angriffs über verschiedene Router, Server und Netzwerke in unterschiedlichen Staaten, um die Herkunft des Angriffs zu verschleiern,
- Manipulation von Aufklärungs-Sensoren.
Die Zivilgesellschaft sollte das Treiben der militärischen „Cyberwar“-Einheiten angesichts der strukturellen Probleme in der IT-Sicherheit und der Dynamik der Computertechnik gut im Auge behalten. Denn die aktuelle Verteidigungsministerin wartet ja bereits mit neuen Plänen für offensive Operationen der Bundeswehr auf.
Ich hab mal den IT-Sprech aus der Liste durch klassischen Militärjargon ersetzt:
– Aufbau einer Infrastuktur, die nicht-existierende Streitkräfte simuliert und die gegnerische Aufklärung entsprechend irreführt,
– Vorgetäuschte Attacken,
– Gebrauch von Signalen des Gegners,
– Übermittlung falscher Nachrichten, die den Anschein erwecken, als stammten [sie] aus dem gegnerischen Hauptquartier.[…]
– Führen eines Angriffs über verschiedene Aufmarschwege, um die Herkunft des Angriffs zu verschleiern,
– Manipulation von Aufklärungsgerät des Gegners
Das hätte so sinngemäß auch von Moltke oder Clausewitz stammen können.
Wo ist jetzt bitte das Bewusstsein für Probleme, die sich bei speziell oder nur bei den „Wirkmitteln“ des Cyber-Age ergeben?
Geduld, das muss sich doch erst entwickeln.
Wenn die mal genug Geld und Stellen haben, findet sich mit etwas Glück auch Personal das etwas weiter denkt als es der Taktik-Lehrer vorgab. Bis dahin müssen die alten Papas herhalten.
Wer ein paar aktive Generäle und Generalstabsoffiziere persönlich (nicht nur dienstlich) kennt, weiß wie weit wir in der Führungsriege vom Ideal des Staatsbürgers in Uniform entfernt sind.
Lies halt mal der PDF, das ist garnicht so schlecht.
Bedarf es einer Erklärung gemäß des Haager Abkommens, um eine technologieorientierte digitale Kriegsführung gegen Einrichtungen eines fremden Staates oder deren zivile Strukturen zu führen?
Wie ist es um die Haftungsfrage bestellt? Wie können Manöverschäden geltend gemacht werden, die bei Übungen entstanden sind?
Von der Bundeswehr (§ 76 des Bundesleistungsgesetzes) oder den NATO-Streitkräften (Gesetz zum NATO-Truppenstatut und zu den Zusatzvereinbarungen Art. 14 [Ersatzleistung wegen Manöverschaden]) allein oder gemeinsam mit der Bundeswehr verursachte Schäden (gemeinsame Manöver) werden von der Bundesanstalt für Immobilienaufgaben – Schadensregulierungsstelle des Bundes abgewickelt.
Die Behörde hält Antragsformulare bereit (Antrag auf Ersatz von Manöverschäden). Unter 2. „Sonstige Schäden“ ankreuzen. Beweissicherung muss mit dem Antrag eingereicht werden. Anträge können aber auch formlos gestellt werden, auf jeden Fall aber innerhalb von drei Monaten.
Anders als bei Flurschäden ist es nicht ratsam, Anträge bei der lokalen Gemeinde einzureichen oder dort nach Beratung zu fragen. Dadurch vermeidet der Antragsteller die Aufnahme in „besondere Listen“ vor Ort.
Geschickter Ansatz. :)
Aber um welche Listen handelt es sich vor Ort – eine Art „Wutbürger“-Liste?
Schönen Dank fürs Befreien des Gutachtens des Wissenschaftlichen Dienstes, was ja nun nach neuer Rechtssprechung möglich ist. Wir gaben das Gutachten damals in Auftrag, nachdem wir das CNO in einer Kleinen Anfrage und in einer mündlichen Frage thematisiert hatten und fragwürdige Antworten zum „Tarnen und Täuschen“ bekamen. Wie in deinem Text auszugsweise zitiert, basiert das Wirken der CNO auf dem „Tallinn Manual“, zu dem wir ebenfalls eine Anfrage gemacht hatten. Die Bundesregierung sieht dieses Handbuch für den Cyberkrieg aber als nicht bindend an. Hier ist etwas mehr Hintergrund auch zu gemeinsamen Cyberübungen, in den dortigen Fussnoten finden sich weitere Kleine Anfragen zum Thema.
Hallo Andre
Danke für eure unermüdliche Arbeit an dem Thema und die vielen wichtigen Anfragen an die Bundesregierung dazu. Aus direkter Quelle weiß ich, dass es akteull einen Tallinn-2-Prozeß gibt, bei dem der Fokus auf die Regeln zu Friedenszeiten stärker im Focus stehen sollen.
Da ich mich als Wissenschaftler seit langem mit dem Thema befasse und nun auch als Campaigner der Cyberpeace-Kampagne des FIfF e.V. aktiv bin, möchte ich gern auf http://cyper-peace.org verweisen. Dort versuche ich das internationale politische Geschehen in diesem Bereich zu kommentieren und zu sammeln. Als Friedensforscher hat man dabei naturgemäß immer mal wieder eine Brille auf, die stärker an der Position der Regierungen orientiert ist. Dies zu verstehen und zu durchschauen hilft aber meistens die Absichten und Motivationen besser zu durchleuchten.
Arg, es sollte natürlich cyber-peace.org heißen und natürlich auch Andrej (sorry), tzz, es war spät gestern
Und im September gibt die SPD mit der Vorratsdatenspeicherung sämtliche Informationen über deutsche Bürger und Unternehmen vorsätzlich an den Gegner.
Manche würde sowas ja Landesverrat nennen (morgen übrigens im Rechtsausschuss).
„Vom deutschem Boden darf nie wieder Krieg ausgehen.“ – Irgendein Irrer.
Deswegen benutzen wir chinesische Proxies. Muhahahaha!