Cyber-Angriffe auf kritische Infrastrukturen, Desinformationskampagnen und Cyber-Kriminalität sind zentrale Herausforderungen für Staaten geworden. Der aktuelle Hackerangriff auf eine US-Pipeline macht das Problem deutlich: Nach Angaben des FBI verschlüsselten vermutlich russische Kriminelle die PCs des Betreibers und verlangten mehrere Millionen US-Dollar Lösegeld – das störte die Ölversorgung in den USA erheblich. Der Vorfall zeigt die Relevanz des Themas für die internationale Staatengemeinschaft. Ein vor Kurzem veröffentlichter Bericht von einer UN-Expertengruppe versucht unter anderem, diese Probleme mit diplomatischen Mitteln zu lösen.
Kurze Geschichte der Verregelung des Cyberspace
Der Cyberspace wurde lange als unregulierte Anarchie beschrieben. Die internationalen Bemühungen der Verregelung des Internets begannen 2004 mit der United Nations Group of Governmental Experts für Cyber Fragen (UN GGE). Seitdem erarbeitet die Gruppe wichtige Meilensteine: Man einigte sich, dass das Völkerrecht und die UN-Charta auch im Cyberspace gelte und entwickelte 13 unverbindliche Cyber-Normen für angemessenes Staatenverhalten. Dazu gehört etwa, dass Staaten keine kritischen Infrastrukturen angreifen sollen. 2017 scheiterte die vierte Runde des UN-GGE-Prozesses an der Frage, ob das Recht auf Selbstverteidigung nach einem Cyber-Angriff greife oder nicht. Westliche Staaten argumentierten dafür – Russland, China und andere dagegen. Letztere setzten sich in der Folge für die Schaffung einer parallelen Arbeitsgruppe ein, der Open Ended Working Group (OEWG). Fortan stand die Befürchtung im Raum, die OEWG könne die UN GGE inhaltlich torpedieren.
Konkretisierung von Cyber-Normen
Doch kürzlich legte die UN GGE einen neuen Konsensbericht vor – was zunächst als Erfolg zu verbuchen ist: die Kluft zwischen westlichen und anderen Staaten scheint zunächst überwunden. Der UN-GGE-Bericht konsolidiert die in der Vergangenheit bereits ausgehandelten Cyber-Normen und versucht, sie besser für die Praxis zu operationalisieren, etwa bei der Norm der Sorgfaltsverantwortung: Staaten sollen nicht wissentlich zulassen, dass von ihrem Territorium bösartige Cyber-Angriffe ausgehen. Gleichzeitig impliziert der Ursprung krimineller Aktivitäten von einem Territorium laut GGE keine automatische Mitverantwortung des entsprechenden Landes. Staaten müssen auch nicht sämtliche Internetdatenströme nach krimineller Aktivität überwachen, sondern sollen im Rahmen ihrer Möglichkeiten agieren. Wenn Dritte sie informieren, dass ihr Territorium missbraucht wird, sollten sie allerdings aktiv werden. Verfügen sie aber nicht über ausreichende Detektionsmöglichleiten, dürfen sie externe Hilfe von anderen Staaten anfragen. Des Weiteren soll es zwischenstaatliche Anlaufstellen für effektive Krisenkommunikation und einheitliche Vorlagen für Hilfeersuche geben. Ob Staaten dies aber in der Praxis in Anspruch nehmen, ist zweifelhaft, da einige von ihnen Cyber-Kriminalität als Deckmantel für eigene Angriffe nutzen und davon profitieren.
Der Report spezifiziert ferner die Norm, dass Staaten nicht absichtlich die Integrität von IT-Versorgungsketten untergraben sollen, beispielsweise durch Hintertüren oder versteckte Überwachungsfunktionen. Das ist ein sinnvoller Vorschlag, da solche Cyber-Angriffe das Vertrauen in das wirkungsvollste Mittel der IT-Sicherheit unterlaufen: Software-Updates, um Sicherheitslücken zu schließen. Auch an Deutschland ist das ein Signal: Das kürzlich beschlossene Bundespolizeigesetz sieht vor, Betreiber von IT-Versorgungsketten zu verpflichten, Überwachungstrojaner etwa per Software-Update auf Geräte von Bürgerinnen und Bürgern zu installieren. Zudem sollen Staaten verantwortungsvolle Meldeprozesse für IT-Sicherheitslücken etablieren (»Responsible Disclosure«) und eine sinnvolle Governance für Schwachstellen entwickeln. Auch hier ist Deutschland nach wie vor einen entsprechenden Prozess schuldig. Dies ist Teil eines größeren Problems: Die bisher ausgehandelten, nicht bindenden Cyber-Normen kollidieren auch in westlichen Demokratien zunehmend mit der Realität: Angriffe auf kritische Infrastrukturen, Hintertüren in Software, Spionage und Überwachung sind mittlerweile de-facto-Normen geworden. Damit ist die Weiterentwicklung von Cyber-Normen zwar begrüßenswert. Solange diese aber nicht rechtlich bindend sind, bleiben sie ein stumpfes Schwert; hier sollte wenigstens ein Monitoring-Instrument entwickelt werden, das deren Einhaltung auf nationaler Ebene überprüft.
Weiterentwicklung des Völkerrechts
Bei der Weiterentwicklung des bindenden Völkerrechts macht der UN GGE Report nur kleinere Schritte. Erneuert wird das Bekenntnis, dass das Völkerrecht in Gänze im Cyberspace gilt. Darüber hinaus wurde versucht, das Kriegsvölkerrecht bei Cyber-Operationen innerhalb bewaffneter Konflikte genauer zu fassen. Cyber-Angriffe müssen danach den Prinzipien der Menschlichkeit, Notwendigkeit, Proportionalität und Unterscheidbarkeit bei Zielen genügen. Detailfragen bleiben aber bestehen, etwa ob, wann und welche zivilen IT-Infrastrukturen oder gar Daten legitime militärische Ziele sein dürfen.
Ungeklärt bleibt auch die Frage, ob Cyber-Operationen in fremden Netzen in Friedenszeiten eine Souveränitätsverletzung darstellen. Dies ist insbesondere relevant, da die USA mit ihrer »Persistent Engagement«-Cyber-Strategie auf solche Mittel setzen. UN-Mitgliedstaaten sollen laut GGE-Bericht dazu ihre Rechtsauffassungen veröffentlichen. Das wäre eine wichtige Vorbedingung, um in kommenden Verhandlungsrunden die offenen rechtlichen Fragen zu adressieren. Im nächsten Schritt sollte die UN GGE erneuert werden. Dass UN-Mitgliedstaaten, darunter auch Deutschland, hierzu zunehmend ihre Interpretation des Rechts vorlegen, ist begrüßenswert.
