Die Armeen dieser Welt haben das Internet entdeckt: Allein in der Schweiz sind für die Cyberarmee Hunderte Millionen Franken vorgesehen, und mit dem neuen Nachrichtendienstgesetz werden Cyber(gegen)angriffe möglich. Doch was sind die Konsequenzen dieser verbalen und tatsächlichen Aufrüstung auf breiter Front? Nicolas Zahn hat sich Gedanken gemacht.
Dieser Gastbeitrag stammt von Nicolas Zahn. Der Text wurde von ihm ursprünglich in englischer Sprache verfasst und gewann den zweiten Platz des 2016 Nextgen Essay Contest. Nicolas hat Politikwissenschaft und Internationale Beziehungen mit den Schwerpunkten Global Governance und globale Regulierung studiert. Er ist Teil des Präsidiums der Operation Libero sowie Mitglied bei den Think Tanks foraus und reatch.
Das Internet, im Englischen oft als Cyberspace bezeichnet, hat eine spannende Entwicklung durchgemacht. Wurde ihm vor noch nicht allzu langer Zeit eine Unabhängigkeitserklärung gewidmet, welche für Staaten keine Rolle vorsah, so wird das globale Netz nun als fünfter Raum der Kriegsführung von ebendiesen Staaten gesehen. Der Begriff des Cyberkrieges macht die Runde und Streitkräfte in der ganzen Welt sehen plötzlich Handlungsbedarf. Wer wird sich in diesem neuen Raum durchsetzen? Um Cyberwar zu diskutieren, sollten wir uns zuerst mit einigen Kerneigenschaften der Kriegsführung in diesem Raum beschäftigen.
Neue Regeln in der modernen Kriegsführung
Prinzipiell eröffnen neue Technologien der Menschheit neue Optionen. Neue Technologien können dafür eingesetzt werden, die bisherige Kriegsführung zu «verbessern», z. B. mittels effizienterer Motoren für Panzer. Sie eröffnen aber auch gänzlich neue Möglichkeiten der Kriegsführung sowie neue Gefahren für die (inter)nationale Sicherheit.
Die Technologien, welche dem Cyberspace zugrunde liegen, führen dabei zu einigen speziellen Eigenschaften:
Erstens, die Anzahl der beteiligten Akteure und deren Diversität erhöht sich. Nicht-staatliche Akteure und selbst Individuen spielen im fünften Raum ebenso eine Rolle wie Staaten, teilweise sogar eine grössere.
Zweitens unterscheiden sich die neuen Konfliktwerkzeuge, z. B. das «Hacken» von kritischer Infrastruktur, in verschiedenen Aspekten von anderen Waffenkategorien. Sie sind relativ leicht verfüg- und anwendbar – das nötige Wissen vorausgesetzt. Wie andere Güter der digitalen Wirtschaft ist Schadsoftware, einmal programmiert, ohne weitere Kosten verbreitbar und kann somit schneller und breiter gestreut und aktualisiert werden, als dies mit klassischen Waffensystemen der Fall wäre. Waffen für den Cyberspace sind wissensintensiv, benötigen aber nicht zwingend viel Kapital. Die Vernetztheit, obwohl ein grosser Vorteil für die Benutzer, bedeutet gleichzeitig auch, dass Attacken grössere Wirkung erzielen können.
Drittens führen die neuen Möglichkeiten zu einer Ausweitung des Kriegsbegriffs. Ging es früher darum, bestimmte geografisch klar umrissene Gebiete gegen klar definierte feindliche Elemente zu sichern, so tun wir uns im Cyberspace schwer mit den Begrifflichkeiten und Konzepten der bisherigen Kriegsführung. Ist es bereits ein Angriff, wenn ein Nachrichtensender angegriffen oder falsche Informationen verbreitet werden? Welche Schwierigkeiten sich uns hier stellen, haben wir bereits gesehen, so z. B. im Fall der Cyber-Angriffe auf die estnische Regierung oder diversen DDoS-Attacken auf Firmen und Infrastrukturen.
Mit dem weiteren Wachsen des Netzes in zusätzliche Lebensbereiche und der zunehmenden Vernetzung – man denke nur bspw. an die Idee des Internet of Things – wird der mögliche Kriegsraum Cyberspace immer grösser. Zusammengefasst kann man sagen, dass Cyberkrieg sehr unübersichtlich und chaotisch ist: Mehr Akteure haben Zugriff auf mehr Waffen, welche sich einfacher herstellen und verbreiten lassen als klassische Waffen. Ausserdem sind die Regeln und Gesetze alles andere als klar, denn sowohl Völkerrecht als auch die Politik hinken den rasanten Entwicklungen stets hinterher.
Stärken der Verteidigung
Wie können wir damit umgehen? In einem ersten Schritt sollte sich die Gesellschaft ihren Schwachstellen und Verwundbarkeiten bewusst werden. In einem zweiten Schritt sollte dann der Fokus auf die Erhöhung der Widerstandsfähigkeit gelegt werden. Attacken im Cyberspace mit realen Konsequenzen werden stattfinden. Deshalb sollte präventiv versucht werden, negative Folgen möglicher Angriffe zu minimieren, anstatt diese Ressourcen selbst in den Angriff zu investieren. Offensive Cyberwaffen zur Abschreckung und als Gegenschlagsmöglichkeit sind keine gute Idee, da eine eindeutige Identifikation eines Angreifers im Cyberspace nicht möglich ist. Was nützt entsprechend Abschreckung oder ein Gegenangriff, wenn nicht klar ist, gegen wen man sich richtet? Was passiert, wenn man den Falschen trifft?
Deshalb ist Verteidigung die beste Verteidigung: Man sorgt für einen wirkungsvollen Abschreckungseffekt, indem man zeigt, dass man Angriffen widerstehen kann und eine Attacke somit wenig Effekt haben wird. Mit der zunehmenden Vernetzung und unserer Abhängigkeit vom Funktionieren der damit verbundenen Dienste tut man ohnehin gut daran, die Widerstandsfähigkeit dieser Systeme zu erhöhen.
Aus staatlicher Perspektive hat ein defensiver Fokus den zusätzlichen Vorteil, dass wichtige Kooperationen mit dem Privatsektor und der Forschungs- sowie der Netzcommunity wahrscheinlicher sind. Dies sollte gerade angesichts der Komplexität und der Notwendigkeit von Fachwissen nicht unterschätzt werden. Erklären Regierungen, sich für einen resilienten Cyberspace einzusetzen, dürften sie die Unterstützung verschiedenster Akteure erhalten, z. B. aus der Privatwirtschaft, welche direkt von einer sicheren Umgebung profitiert aber auch aus der Netzcommunity, die ein sicheres und friedliches Internet als Ideal hochhält. Public-private Partnerships könnten entsprechend ein interessantes Modell zur Erschaffung eines widerstandsfähigen Cyberspaces sein, denken wir bspw. an staatliche getragene Aufklärungs- und Ausbildungsprogramme aber auch an privat kreierte Cyberversicherungspolicen.
Je schneller sich alle beteiligten Akteure klar werden, wo ihre Schwachstellen liegen und je früher sie zu kooperieren beginnen, einen resilienten Cyberspace zu erschaffen – nicht nur national, sondern international – desto besser für den Cyberspace.