Am 15. März diesen Jahres wurde in London das Tallinn Manual vorgestellt, ein Handbuch über Cyberwar, erstellt vom Cooperative Cyber Defence Centre of Excellence der NATO. Es enthält 95 Regeln an denen sich NATO-Staaten im Fall eines Cyberkriegs orientieren können. Laut Manual können Hacktivisten, die ‚Online-Attacken‘ während eines konventionellen Krieges durchführen, ‚legitime Ziele‘ sein, auch wenn sie Zivilisten sind. Aus der Antwort auf eine kleinen Anfrage der Fraktion Die Linke geht nun hervor, dass kein Vertreter der Bundesregierung an der Erarbeitung des Tallinn Manual beteiligt war. Zur Frage nach der Position der Bundesregierung zum Manual heißt es:
Das Tallinn-Handbuch stellt eine rechtlich nicht bindende Darstellung von völkerrechtlichen Regeln dar, die nach Ansicht der internationalen Gruppe der Sachverständigen, die für ihre Zusammenstellung verantwortlich ist, auf Cyberoperationen oberhalb der Schwelle des bewaffneten Konflikts Anwendung finden.
Eine „breite gesellschaftliche Debatte über die Regeln des Tallinn-Handbuchs“ obliege nicht der Bundesregierung. Der Diskurs stehe „allen an Fragen des Völkerrechts von Cyberoperationen interessierten Kreisen frei“.
Denn sie wissen nicht, was sie tun …
… oder doch? Aber dann weiß ich nicht was mir mehr Angst macht.
Was ist an dieser – weit gefassten – Aussage falsch? Natürlich hängt es von der Art der Attacke ab; aber wenn Aktivisten, die mit einem System sympathisieren, sicherheitsrelevante Einrichtungen oder kritische Infrastrukturen attackieren, sind sie selbstverständlich genauso legitime Ziele, wie Hackergruppen, die exakt die gleichen Attacken in staatlichem Auftrag ausführen. Auch die Antwort der Bundesregierung halte ich für unproblematisch. Sie muss nicht zu allem eine Position vertreten, erst recht nicht, wenn sie nicht unmittelbar betroffen ist.
Könnte man denken, aber wie identifiziert man einen „Hacker“ zweifelsfrei. Man kann sich noch nichteinmal sicher sein, ob jemand bei Facebook den Post selber geschrieben hat, oder ob er oder sie einfach noch eingeloggt ist und jemand anders sich den Spass erlaubt. Wie stellt man dann sicher, dass ein Rechner nicht als Proxy benutzt wird, dann kannst auch du zu einem Hacker werden, der ein System angreift und absofort als legitimes Ziel gilt.
Die Antwort mit einem Erstschlag ist eine vollkommen falsche Politik. Wenn ein System angreifbar ist, dann ist das nicht die Schuld des Hackers, sondern des Betreibers. Jeder wünscht sich eine sichere Infrastruktur, aber man macht eine Infrastruktur um kein Stück sicher, wenn man Angreifer tötet, die Schwachstellen bleiben bestehen und das ist das eigentliche Problem. Es zeigt nur wie hilflos die Leute im NATO Führungskreis sind, sie wissen ganz genau, dass die Sicherheit in ihren Systemen ein Witz ist und als Ausweg wollen sie sich eben das Töten von Menschen moralisch legitimieren.
Du bist auf einer ganz anderen Ebene. Das Problem der Identifizierung ändert nichts an der Frage, ob solche Hacker grundsätzlich legitime Ziele sind. Und nein – die Möglichkeit eines Angriffs in Erwägung zu ziehen zeigt nicht die Hilflosigkeit desjenigen, der kritische Infrastruktur schützen will. Möglichweise verschafft so etwas Zeit. Jedenfalls wird die Zahl der Angreifer dezimiert. Im Krieg mit regulären Waffen kommt auch niemand auf die Idee, dass die Tötung angreifender Personen – egal ob feindliche Truppen oder autonom operierende Gruppen – etwas am grundsätzlichen Problem der Verwundbarkeit eigener Soldaten ändert.
Man stelle sich vor, eine „Cyber-Spezial-Einheit“ eines kriegswilligen Landes infiltriert sich aus der Ferne oder vor Ort in ein Netzwerk eines Landes, welches man später beschuldigen möchte, die Cyberattacke ausgeführt zu haben. Mit dem Talinn Annual können sie sich auch auf den Verteidigungsfall berufen und gezielt „Hacker“ eliminieren und vllt sogar das Land selbst beschuldigen die Hacker eingesetzt zu haben.
Und warum fallen mir so spontan China und Russland ein und die ganzen Berichte über die angeblichen Hackerangriffe auf US-Einrichtungen und nun kommt „urplötzlich“ eine „Lösung“ des Problems. Wer hier keine Schmierenkomödie erkennt ist selbst Schuld.