Spielregeln für den Cyberwar

Die internationale Gemeinschaft müsse sich dringend Spielregeln für Angriffe auf ihre nationalen Netzinfrastrukturen und die internationalen Verbindungen geben. "Regierungen müssen sich darauf verständigen, welche Verpflichtungen sie in Bezug auf Cyber-Angriffe von ihrem Staatsgebiet aus haben", sagte Joanna Kulesza, Rechtswissenschaftlerin von der Universität Lodz. Auf dem Global Internet Governance Academic Network (Giganet) das sich regelmäßig einen Tag vor dem Start des UN-Internetforums (Internet Governance Forum IGF trifft, regte Kulesza an, dass zentrale Infrastrukturen des Netzes wie etwa Rootserver oder Unterseekabel ebenfalls internationalen Schutz genießen sollten, auch wenn sie von privaten Unternehmen betrieben werden. Ab Dienstag werden auf der IGF-Tagiung in Vilnius die Themen Cybercrime und Menschenrechte, das Recht auf Netzzugang und Jugendschutzfilter, neue Sicherheitsarchitekturen fürs Internet und die künftige Rolle von Internet-Providern von rund 1200 Regierungsvertretern, Bürgerrechtsaktivisten und Unternehmensvertretern in Vilnius diskutiert.

Militärische Antworten auf Cyber-Attacken schließe das internationale Recht aus, betonte Kulesza auf der Giganet-Tagung vor dem IGF. Das halte einzelne russische oder US-Militärs nicht davon ab, selbst Nuklearschläge noch als gerechtfertigte Antworten auf Cyber-Attacken einzustufen. Eine Analyse des Völkerrechts ergebe aber klar, dass Cyber-Attacken keine kriegerischen Akte sind, die eine bewaffnete Antwort durch den angegriffenen Staat erlaubten. Es gebe aber diverse offene Fragen, meinte die Juristin. So sei beispielsweise nicht geklärt, ob Cyber-Angriffe mit den gleichen, technischen Mitteln beantwortet werden können oder etwas weniger aggressiv mit ökonomischen Sanktionen. Ob Regierungen Anspruch auf Entschädigung nach Cyber-Angriffen haben sei ebenfalls offen.

Weil Regierungen in aller Regel die Verantwortung für Angriffe zurückwiesen und mit dem Finger auf obskure Hackergruppen zeigten – oder wie im Fall Chinas zur Abwechslung mal auf Universitäten oder deren Studierende –, müsse aber vor allem geregelt werden, welche Verpflichtungen eine Regierung zur Verhinderung solcher Angriff vom eigenen Staatsgebiet aus habe. Es sei festzulegen, ob es ausreiche, wenn ein Staat Angriffe auf Computersysteme oder Netze unter Strafe stelle, oder ob er sich auch dazu verpflichten müsse, solche Fälle auf jeden Fall aufzuklären und zu bestrafen, betonte Kulesza. Die Cybercrime Konvention des Europarates erlaube den Staaten, die sie unterzeichnet haben, von einer Verfolgung abzusehen, wenn sie das für richtig halten. "Das ist zu vage", fand Kulesza.

Sowohl im Europarat als auch in der UN hat man das Thema Cyberwar aufgegriffen. Der Europarat stellt im Rahmen der Sitzung des IGF in Vilnius Elemente für eine mögliches Rechtsinstrument vor. Bei der UN wird im Rahmen einer Debatte um eine UN-Konvention zu Cybercrime über das Thema diskutiert, die Internationale Fernmeldeunion (ITU) arbeitet ebenfalls an Vorschlägen. Es sei gut, dass an mehreren Stellen zu dem Thema gearbeitet werde, sagte Rolf Weber vorm Center for Information and Communication Law an der Universität Zürich, der Mitglied der zuständigen Arbeitsgruppe des Europarates ist. Allerdings hatte es in der Vergangenheit durchaus Reibereien gegeben, insbesondere zwischen ITU und Europarat.

Die weitere Debatte um die Spielregeln für einen möglichen Cyberwar hat allerdings auch einige weitere heikle Aspekte. Wolfgang Kleinwächter von der Universität Aarhus, der die Europarat-Arbeitsgruppe leitet, verwies gegenüber heise online auf den Fall der Veröffentlichung der Iran-Dokumente auf Wikileaks. US-Präsident Obama habe dazu geäußert, dass diese US-Soldaten gefährde. Das mache die Veröffentlichung zu einer "Attacke" auf die nationale Sicherheit. "Wie geht man damit nun um?", fragte Kleinwächter mit Blick auf die geforderten Cyberwar-Regeln. (jk)