In meinem Vortrag am Winterkongress der Digitalen Gesellschaft 2021 versuchte ich aufzuzeigen, weshalb sich die Sicherheitspolitik mit dem Thema «Cyber» schwer tut. Es geht dabei nicht um eine normative Aussage zu einer «guten» Cyber-Sicherheitspolitik, sondern darum aufzuzeigen, welche Denkmuster vielen Vorschlägen zugrunde liegen, die bei der netzpolitischen Community zu Recht auf Ablehnung stossen.
Dieser Gastbeitrag stammt von Nicolas Zahn. Er ist Tech-begeisterter Politikwissenschaftler und Hobby-Tüftler, bloggt u.a. zu Netzpolitik und arbeitet bei einem IT-Unternehmen.
Was ist mit «Sicherheitspolitik» gemeint?
Unter «Sicherheitspolitik» werden alle Überlegungen und Massnahmen verstanden, welche die Schaffung und Wahrung des kollektiven Gutes Sicherheit (hauptsächlich eines Staates) zum Ziel haben. Die Perspektive ist hier oft nicht Individuum gegen Staat, sondern Staat gegen andere Staaten oder Individuen. Es handelt sich dabei wohl um eines der ältesten Politfelder überhaupt, denn die Schaffung von öffentlicher Sicherheit ist einer der Hauptgründe, Staaten überhaupt zu erschaffen. Um dieses Ziel zu erreichen sind ganze Forschungsfelder entstanden, wurden diverse Doktrinen und daraus abgeleitete Gesetze entworfen.
Staaten haben sich die benötigten Fähigkeiten erarbeitet und diverse Organisationen wie Nachrichtendienste, Strafverfolgungsbehörden und das Militär aufgebaut. Obwohl diese Organisationen alle «im Dienste der Sicherheit» arbeiten, haben sie unterschiedliche Aufträge, unterschiedliche Rahmenbedingungen und unterschiedliche Mindsets. Deshalb gibt es auch nicht die eine Sicherheitspolitik, sondern ein Feld aus vielen Akteuren mit unterschiedlichen Interessen, die sich auch gegenseitig beeinflussen oder sogar widersprechen können.
Obwohl es sich bei Sicherheitspolitik also um ein Politfeld handelt, das schon lange vor dem Internet relevant war, gab es schon immer eine enge Beziehung zu und ein hohes Interesse an technologischen Entwicklungen. Denn neue Technologien haben einen direkten Einfluss sowohl auf die eigenen Möglichkeiten und Fähigkeiten als auch auf jene anderer Staaten. Damit Technologien in die Sicherheitspolitik einfliessen können, sollten drei Fragen geklärt werden:
- Verständnis: Was ist die Technologie und was kann sie?
- Entwicklung/Beschaffung: Wie kommen wir oder andere an diese Technologie?
- Nutzung: Wie können/wollen wir oder andere eine Technologie nutzen?
Leider werden diese drei Fragen nicht immer in dieser Reihenfolge diskutiert oder überhaupt alle beachtet. Wird eine Technologie von vielen Staaten als sicherheitspolitisch relevant betrachtet, so wird der Schritt Verständnis oft übersprungen, um schnell zur Beschaffung überzugehen. Diese Art von Rüstungsspirale ist heute bspw. beim Thema «Künstliche Intelligenz» sichtbar. Obwohl kaum jemand so richtig weiss, was das ist und was man damit tun kann, sind sich viele Staaten einig, dass sie sie unbedingt haben müssen.
Gerade weil der Schritt des Verständnisses oft übersprungen wird und weil dieser für sicherheitspolitische Akteure schwierig zu erfüllen ist – schliesslich muss man sich schnell in neue Technologien einarbeiten –, bietet sich hier für die netzpolitische Community ein idealer Ansatzpunkt für den intensiveren Austausch mit der sicherheitspolitischen Community.
Cyber Pearl Harbor?
Neben dem technischen Verständnis kämpft die Sicherheitspolitik aber auch mit generellen Problemen. Die sicherheitspolitische Denkweise ist nämlich oft geprägt vom letzten grossen «Neuland». So wurden die Generäle im 1. Weltkrieg total überrascht, da man das Konzept des Grabenkampfes nicht vorhergesehen hatte, sondern «traditionelle» Schlachten geplant hatte. Ähnlich im 2. Weltkrieg, als die Franzosen basierend auf den Erfahrungen des 1. Weltkrieges Festungen gegen den Grabenkampf erbauten, welche sich aber gegen das neue Konzept der Panzerkriegsführung als nutzlos erwiesen.
Im Nachhinein sind solche Fehleinschätzungen natürlich einfach feststellbar. Doch findet man sich in einer Zeit, in welche eine Innovation wie z. B. das Internet fällt, so steht man vor der kniffligen Frage: Ist das jetzt wirklich etwas Neues oder «more of the same»? Um neue Realitäten und Technologien verständlich zu machen, muss man oft auf bereits existierende Konzepte zurückgreifen. Diese werden neuen Realitäten übergestülpt, können aber zu einem falschen Schluss führen. Nämlich dann, wenn ein bekanntes Konzept in einem neuen Kontext keinen Sinn mehr ergibt. In der Sicherheitspolitik herrscht folglich die Gefahr, sich auf den jeweils letzten Konflikt vorzubereiten.
Dies sieht man auch bei «Cyber» sehr schön: Begriffe wie «Cyber Pearl Harbor» oder «Cyber 9/11» wurden in der sicherheitspolitischen Community herumgereicht, meist um Politiker:innen zu ganz bestimmten Handlungen zu bewegen. Langsam setzt aber mit einem besseren Verständnis der Materie auch ein Umdenken ein, wenn beispielsweise sicherheitspolitisch Forschende Journalist:innen darauf aufmerksam machen, dass man nicht leichtfertig von «Cyberwar» sprechen sollte.
Neuland «Cyber»
Doch was sind diese Konzepte und Denkmuster, die in Bereichen der sicherheitspolitischen Community verbreitet sind, und welche dem «Neuland Cyber» übergestülpt werden? Basis für viele sicherheitspolitische Überlegungen ist das Konzept des Konflikts, den man modellieren kann. So kann man einigermassen konkret diskutieren, wo die Sicherheit wie bedroht sein könnte. Dabei stellt man sich diverse Fragen:
- Wer sind die Akteure (verbündet/feindlich/neutral)?
- Welche Ziele verfolgen die Akteure?
- Welche Fähigkeiten haben die Akteure?
- In welchen Räumen findet ein Konflikt statt (an Land, in der Luft, kombiniert etc.)?
- Welche Regeln gelten für die Akteure?
Der letzte Punkt mag erstaunen, ist aber gerade für Cyber wichtig. Denn gerade weil es sich bei der Sicherheitspolitik um ein seit Langem etabliertes Politfeld handelt, existieren mittlerweile auch Dutzende von mehr oder weniger verbindlichen Regelwerken für Konflikte, angefangen vom humanitären Völkerrecht bis zu den «Rules of Engagement» einzelner Streitkräfte.
A major Headache
Wenn wir uns diese Fragen für Cyber stellen, so sehen wir, warum das Thema sicherheitspolitisch «a major headache» ist: Im Internet gibt es eine Vielzahl staatlicher und nicht-staatlicher Akteure und es ist schwer, diese überhaupt zu eruieren (Stichwort: Attribution). Das gleiche gilt für deren Ziele, welche politisch, aber auch rein kommerziell motiviert sein können. Fähigkeiten sind schwer zu quantifizieren und überhaupt zu erkennen. Schadsoftware oder Computernetzwerke passen überhaupt nicht in die etablierten Schemas von Rüstungskontrolle: Raketen, Panzer und Sturmgewehre sowie Soldaten kann man zählen, aber wie misst man die Cyber-Fähigkeiten eines Akteurs?
Ausserdem kommen noch weitere Fragen hinzu, beispielsweise die Problematik von Dual-Use und der ringen Proliferation. Cyber spielt nicht nur in jedem bisher bekannten Raum eine Rolle, sondern wurde sogar als zusätzlicher Raum für Konflikte anerkannt. Somit wird auch die Abgrenzung von Konflikten schwierig, denn dadurch, dass digitale Technologien nahezu jeden Lebensbereich beeinflussen, sind auch fast alle Lebensbereiche potentiell Teil der Cyber-Sicherheitspolitik. So hat beispielsweise erst kürzlich das CyberPeace Institute die häufigere Anzahl von Cyber-Angriffen auf das Gesundheitswesen heftig kritisiert. Schliesslich gilt bezüglich Regeln, unter anderem auch weil die entsprechenden Technologien im relativen Vergleich immer noch neu sind: Wilder Westen. Bei den Regeln handelt es sich also im Vergleich zu anderen Technologien noch sehr stark um «Work in progress».
Es gibt viel zu erklären!
Doch welche Denkmuster fliessen in diese Arbeit ein und stecken zum Teil hinter den anfangs erwähnten sicherheitspolitischen Vorschlägen? Wie oben beschrieben orientiert man sich oft an den Konzepten, welche im letzten Konflikt prägend waren. Und das ist immer noch der Kalte Krieg, mit Konzepten wie Abschreckung (Stichwort: Mutually assured destruction), Eskalationsleitern (Beispiel: Kubakrise), Technologiewettkampf (Beispiel: Sputnik) und Spionage.
Gewisse dieser Konzepte passen auch weiterhin zu Cyber, beispielsweise die Rolle des Technologiewettkampfes oder die Bedeutung von Spionage. Cyber-Operationen finden insbesondere zu nachrichtendienstlichen Zwecken statt, und auf der strategischen Ebene verschärft sich die Rhetorik in letzter Zeit in Richtung eines Technologiewettkampfes (KI, 5G, Mikrochips, «digitale Souveränität» et cetera). Andere Konzepte, wie Abschreckung und Eskalationsleitern, sind für gewisse Politiker:innen und Mitglieder der sicherheitspolitischen Community auch für Cyber verlockend. So folgt beispielsweise die Idee des «Hack-backs» – damit ist das aktive
«zurückhacken» gegen identifizierte Angreifer gemeint, welches jedoch sehr umstritten ist – klar einer Abschreckungslogik. Allerdings zeigt sich immer mehr, dass diese Logik – genau wie jene der Eskalationsleitern im «Neuland Cyber» – nicht respektive anders als gedacht funktioniert.
Man sieht die ersten Anzeichen eines Umdenkens. Der Fall «Solar Winds» stellt Ansätze, wie das amerikanische «Persistent Engagement beziehungsweise Defend Forward», erneut in Frage. Und es dämmert auch Verfechter:innen von offensiven Cyber-Fähigkeiten ganz langsam, dass die «Offense-Defense-Balance» bei Cyber anders aussehen könnte, als bisher gedacht.
Hier kann die netzpolitische Community, wie die Digitale Gesellschaft, einen Beitrag leisten, indem sie Sicherheitspolitiker:innen, Behörden und der Öffentlichkeit aufzuzeigen hilft, welche sicherheitspolitischen Konzepte weiterhin tauglich sind, und welche nicht mehr zur neuen Realität passen oder technisch schlicht nicht sinnvoll sind. Es gibt noch viel zu erklären!