Rüstungskontrolle gegen den Cyberkrieg?

Konzepte zur Eindämmung von Cyberkriegen gibt es - vorausgesetzt, der politische Wille ist vorhanden

Für die IT-Sicherheit wartete das Jahresende 2009 mit Überraschungen auf: Einer der wichtigsten kommerziellen Vertreter der IT-Sicherheitsbranche fordert eine offene Debatte über die Gefahren von Cyberkriegen, während die USA und Russland Gespräche über Cyber-Rüstungskontrolle führen. Sabotageaktionen im Cyberspace sind vielen Akteuren so gefährlich geworden, dass Handeln nötig wird.

McAfee, nach eigenem Bekunden "weltweit größtes IT-Sicherheitsunternehmen", gibt alljährlich den "Virtual Criminology Report" heraus. 2009 beschäftigte sich dieser Bericht erstmals nicht mit allgemeinen IT-Sicherheitsproblemen und deren kriminellen Verursachern, sondern mit staatlichen Stellen und den Bedrohungen durch die "so gut wie eingeläutete" Cyber-Kriegsführung.

Am 13. Dezember 2009 berichtete die New York Times, dass die USA Verhandlungen mit Russland aufgenommen haben, um eine "Verbesserung der Internet Sicherheit und eine Begrenzung der militärischen Nutzung des Internet" zu erreichen. Weitere Gespräche seien 2010 in New York und Garmisch-Partenkirchen terminiert. Allein die Existenz dieser Gespräche stellt eine deutliche Abkehr von einer jahrelangen Abwehr der USA gegen Verhandlungen über dieses Thema dar. Nicht ganz so überraschend war dann, dass im Wesentlichen über Differenzen berichtet wurde, die nur begrenzte Fortschritte erhoffen lassen.

Cyber-Kriegsführung war lange Jahre ein beliebtes Schreckensszenario, das um so überschaubarer wurde, je intensiver man sich damit auseinandersetzte. Mittlerweile gibt es jedoch genügend Beispiele für Cyber-Kriegsaktionen, um auch ein Unternehmen wie McAfee auf die Seite der ernsthaften Mahner treiben und USA und Russland an den Verhandlungstisch.

1. Vom Hype zur ernsten Bedrohung: Die Wirtschaft macht mobil

Wer heute politische Konflikte mit modernen technischen Mitteln beeinflussen will, greift auf Manipulationen an IT-Systemen zurück. Der Klimagipfel in Kopenhagen war dabei 2009 nur ein letztes Beispiel. Im Herbst häuften sich die Angriffe auf die Server der wichtigsten Klimaforschungsinstitute. Am 17. November 2009, gerade rechtzeitig zum Klimagipfel, wurden Emails von Klimaforschern auf "anonymen Internetservern in Russland" der Presse zugespielt1, um die Klimadebatte mit Fälschungsvorwürfen gegen Wissenschaftler nach Kräften zu sabotieren – eine Aktion wie aus dem Lehrbuch für Information Warfare.

Wenige Wochen zuvor, im August 2009, veröffentlichte die private U.S. Cyber Consequences Unit (U.S. CCU) eine detaillierte Untersuchung der Cyber-Kriegführung im Krieg zwischen Georgien und Russland im August 2008. Das wichtigste Ergebnis der detaillierten Untersuchung war, dass eine Analyse von IT-Sicherheitsvorfällen heute in sehr ähnlicher Weise möglich ist wie eine Untersuchung der Auslöser und des Verlaufs eines konventionellen Konflikts durch herkömmliche Militärbeobachter. Die U.S. CCU belegte, dass die Angreifer im Cyberspace Zivilisten ohne direkte Beteiligung russischer Behörden oder Militärs gewesen sind, die allerdings im Voraus über russische Militäraktionen informiert waren.

Wenn professionell und hart ausgetragene Cyber-Kriegsführung mittlerweile zum Normalzustand im Umfeld von wichtigen Konflikten gehört, so stellt sich um so dringender die Frage, was gegen Cyber-Kriegsführung getan wird.

Gleich zu Beginn des "Virtual Criminology Report 2009" stellt Dave DeWalt, CEO von McAfee klar, dass es nicht darum gehe, einen neuen Hype oder weitere Ängste zu schüren. Es gehe stattdessen darum, die weitgehend hinter verschlossenen Türen stattfindende Diskussion über Cyber-Kriegsführung, die gravierende Folgen für die Allgemeinheit haben werde, auch in der Öffentlichkeit zu diskutieren.

Das ist diplomatisch formuliert. Die eigentliche Botschaft des Reports ist unmissverständlich: McAfee hat sich als IT-Sicherheitsunternehmen zum eigenen wirtschaftlichen Nutzen bisher recht erfolgreich mit dem technisch interessierten Hacker-Nachwuchs und den organisierten Cyberkriminellen auseinander gesetzt. Diese auskömmliche Geschäftsgrundlage wird durch Cyber-Kriegsführung fundamental verändert.

Denn in der Liga der Cyberkrieger spielen staatliche Akteure, die für Manipulationen an Computern und Netzen bei Bedarf wichtige Einsatzmittel wie Zeit, Geld, IT-Ressourcen und kriminelle Energie fast ohne Begrenzung einsetzen können. Ihre einzige echte Grenze ist die Verfügbarkeit von gut qualifiziertem Personal und dessen Einfallsreichtum.

McAfee hat offensichtlich begriffen, dass gegen diese Klasse von Akteuren kein Unternehmen dieser Welt mithalten kann, IT-Sicherheit für seine Kunden zu liefern. Deshalb fordert McAfee nun eine offene Debatte über den Status quo und die weiteren Ziele. Offenheit ist ein guter Anfang, sie ist aber keine Lösung. Die Debatte um Cyber-Kriegsführung wird sich ohne konkrete Ideen zur Lösung der Probleme bald erschöpfen.

Wenn man das Problem ernst nimmt, kommt man zur Lösung gegen Cyber-Kriegsführung auf den einzigen verfügbaren Lösungsansatz: die Cyber-Rüstungskontrolle. Und das gebietet nicht allein die abstrakte Logik, wie die Verhandlungen von Russland und den USA zeigen.

2.Cyber-Rüstungskontrolle: ein vernachlässigtes Gebiet

Die Idee einer Cyber-Rüstungskontrolle kommt vielen auf den ersten Blick absurd vor. Sie ist es bei näherer Betrachtung aber keineswegs. Es gibt sogar Jahrzehnte an Erfahrungen mit sehr speziellen Formen von Cyber-Rüstungskontrolle, aus der wichtige Schlussfolgerungen gezogen werden könnten, wenn man dies politisch ernsthaft verfolgen wollte.

Über Cyber-Rüstungskontrolle im umfassenden Sinn wurde bisher wenig gearbeitet. 1995 ließ der Unterausschuss "Abrüstung und Rüstungskontrolle" des Deutschen Bundestages eine erste Studie zur konventionellen und präventiven Rüstungskontrolle von IT allgemein und von Cyber-Kriegsführung im Besonderen durch das Büro für Technikfolgenabschätzung beim Deutschen Bundestag (TAB) beauftragen und erarbeiten.2 Speziell zu Cyber-Kriegsführung machten seither akademische Betrachtungen zu diversen Fragen internationalen Rechts der U.S. National Defense University und zusätzlich dazu zur Rüstungskontrolle der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (Information Warfare: Die neue Herausforderung für die Rüstungskontrolle) von sich reden. Die für das TAB entwickelten ersten Ansätze zu "Informatik für Abrüstung und Rüstungskontrolle" wurden wieder aufgegriffen im Rahmen der "Master of Peace Studies" an der FernUni Hagen3.

Politisch ist das Thema in Deutschland heute immerhin repräsentiert als eine der Aufgaben des Auswärtigen Amtes, wo im Referat 241 neben der konventionellen Rüstungskontrolle auch die "präventive Rüstungskontrolle zu neuen Bedrohungen (u.a. Informationskriegsführung)" bearbeitet wird.

Aber weder die konzeptionelle Ebene, noch die der politischen Ziele und deren Priorität noch operationelle Fragen der Verifikation sind bisher in einem zufriedenstellenden Umfang untersucht. Deswegen spielen auch die Begrifflichkeiten vorerst keine wesentliche Rolle: Cyber-Rüstungskontrolle und Vereinbarungen zu Cyber-Kriegsführung werden eine Mixtur sein müssen aus verschiedenen Zutaten, die sowohl die Sicherheit von IT-Systemen und des Internets stärken, die Nutzung bestimmter Systeme sowie die Entwicklung und Verbreitung von bestimmten Werkzeugen regulieren. Was hier im Folgenden unter dem Begriff "Cyber-Rüstungskontrolle" zusammengefasst ist, beschreibt daher einen Kunstbegriff für sehr heterogene Aspekte der IT-Sicherheit. Die Realität erfordert heute neue Denkansätze ebenso wie den Rückgriff auf brauchbare bekannte Herangehensweisen.

3.Um was geht es: IT-Waffen und IT-Rüstung kontrollieren, nicht Informationstechnik allgemein

Der Kernpunkt der meisten Arbeiten bisher war die Frage: Was ist Cyber-Kriegsführung und wie lässt sie sich rechtlich eingrenzen? Allenfalls in Ansätzen wurde darüber diskutiert, welche Möglichkeiten zur Eingrenzung gegenwärtig oder in absehbarer Zeit verfügbar sind und wie internationale Regelungen konkret aussehen könnten. Dabei reicht das Spektrum der Möglichkeiten von der Übereinkunft - etwa in Anlehnung an die Genfer Konvention - zur Regelung militärischer Aktionen und den Schutz der Zivilbevölkerung vor den Folgen von Cyber-Kriegsführung über die Überwachung von Rüstungsanstrengungen bis hin zu den - auch für konventionelle Waffen ungelösten - Fragen der präventiven Rüstungskontrolle.

Eine realistische Herangehensweise müsste darauf abgestimmt werden, welche Vorbilder aus dem bereits bestehenden Rechtsrahmen ableitbar oder übertragbar sind und welche Maßnahmen verifiziert werden können. Das Ergebnis einer Übereinkunft zur Begrenzung der Cyber-Kriegsführung dürfte aus einer spezifischen Mischung dieser verschiedenen Ebenen bestehen, um auf verifizierbare Weise zu einer Eingrenzung von Cyber-Kriegsführung beizutragen.

Die erste Frage ist also, an welchen vertraglichen Vorbildern die politischen Ziele einer Vereinbarung orientiert werden sollten, um militärische Handlungen einer Cyber-Kriegsführung zu regeln.

Den kleinsten gemeinsamen Nenner bildet hier die Genfer Konvention von 1949. Dort ist die Tötung von Zivilisten und Angriffe auf "Zivilspitäler" verboten. Das Zusatzprotokoll von 1977 weitete den Schutz stark aus und regelt nun auch Methoden der Kriegsführung, die Angriffe auf die Zivilbevölkerung, sowie Angriffe auf zivile Objekte, gefährliche Anlagen und "für die Zivilbevölkerung lebensnotwendige Objekte" verbieten. Wer danach durch militärische Cyber-Kriegsaktionen ein Wasserwerk funktionsunfähig macht oder eine Chemieanlage zur Havarie bringt, dürfte bereits gegen die Genfer Konvention verstoßen. Eine solche vertraglich schon vereinbarte Basis ließe sich bereits als Ausgangspunkt für eine Konkretion von Cyber-Kriegshandlungen und weitere politische Initiativen nutzen.

Die zweite Frage ist die nach relevanten Technologien. Bei bisherigen Rüstungskontroll-Übereinkünften wurde vor allem versucht, die Produktion von Massenvernichtungswaffen, die Verbreitung dafür relevanter Technologien und die von schnellen Trägersystemen – vor allem Raketen - zu verhindern. Bei Nuklearwaffen unterliegen spezifische Technologien und spaltbares Material einem internationalen Kontrollregime. Auch Nuklearwaffentests sind mittlerweile untersagt und unterliegen einem internationalen Verifikationsregime. Bei der Kontrolle von Bio- und Chemiewaffen gelang es, neben den toxischen Agenzien selbst zusätzlich auch Vorprodukte, Betriebsstätten und Anlagen für die Produktion ähnlicher Substanzen abzugrenzen und in einem Rüstungskontrollregime abgestuft zu berücksichtigen.

Um diese und ähnliche etablierte Verfahren und Übereinkünfte zu adaptieren, wären Cyberwar-Aktionen und -Technologien für internationale Übereinkünfte und für Rüstungskontrollzwecke zu definieren und von zivilen Technologien abzugrenzen. Außerdem wären Verifikationsmaßnahmen zu entwickeln, die spezifisch genug sind, um für klar fokussierte Zwecke wirksam zu sein.

Derartiges ist bisher nicht entwickelt worden. Dies ist um so bemerkenswerter, als es inzwischen eine bunte Mischung militärischer Definitionen der Zwecke von Cyberwar gibt. Ergebnis dieses begrifflichen Mangels ist, dass als erster Einwand gegen jede Art von Cyber-Rüstungskontrolle vorgebracht wird, IT sei ganz allgemein einfach nicht kontrollierbar. Der technische Fortschritt sei zu schnell, die Entwicklungsmöglichkeiten und der Vertrieb per Internet unbegrenzt und die Kontrolle daher absolut undurchführbar. Auf IT und Softwareentwicklung im vollem Umfang und ganz allgemein bezogen, ist das vielleicht richtig. Doch um die Technologie in ihrer vollen Breite geht es dabei überhaupt nicht.

Worum es gehen kann, zeigt ein Rückgriff auf ein sehr altes Beispiel. Zur Zeit des Kalten Krieges versuchten die westlichen Wirtschaftsnationen, den Ländern des COMECON hinter dem Eisernen Vorhang den Zugang zu spezifischen Hochtechnologieprodukten so stark wie möglich zu erschweren. Anfang 1950 nahm dafür das "Koordinierungskomitee für mehrseitige Ausfuhrkontrollen" - kurz COCOM - in Paris seine Arbeit auf. Die Staaten der NATO und weitere Verbündete stimmten dort ihre Gesetze zum Technologieexport in bestimmte Staaten ab. Vorreiter waren die USA, die 1979 erstmals auch Computersoftware auf eine fortlaufend aktualisierte Liste von Produkten setzten, deren Export nach dem nationalen "U.S. Export Administration Act" unzulässig war.

Das U.S. Export Administration Act und COCOM blieben lange Zeit hoch kontrovers, vor allem auch, nachdem 1979 zusätzlich der Export von Verschlüsselungssoftware - und die Weitergaben von Wissen darüber - in den USA verboten wurden. Als Folge wurde 1983 zeitweise sogar der Export von UNIX-Betriebssystemen aus den USA in die Bundesrepublik unterbunden, weil das Betriebssystem Verschlüsselungsalgorithmen enthielt.4

Mit COCOM wurden nicht nur militärische Ziele verfolgt, sondern einseitig immer wieder auch wirtschaftliche Interessen. Der Export von Informationstechnik wurde auf diese Weise zwar nie ganz unterbunden. Diverse große IT-Firmen, darunter etwa auch IBM5, wurden im Laufe der Jahre zu hohen Bußgeldern wegen des Bruchs der Embargovorschriften verurteilt. Die Illegalität des Embargohandels trieb aber die Kosten stark nach oben und ließ das verfügbare Angebot deutlich zusammenschrumpfen.

Viele der überzogenen Regelungen endeten mit dem Kalten Krieg. Aber auch nach dem Ende von COCOM 1994 wurde der Gedanke an die Kontrolle von Rüstungsexporten weitergeführt. Nach dem Wassenaar-Abkommen über Rüstungsgüter und Güter mit ziviler und militärischer Verwendbarkeit (dual-use-Güter), dem sich auch Russland angeschlossen hat, wird weiterhin koordiniert, welche militärisch relevanten Güter an bestimmte Länder nicht geliefert werden dürfen. Heute geht es zwar vorrangig um Waffen- und Nukleartechnologie, aber zum Beispiel immer noch um das Verbot der Lieferung von Supercomputern und von Software für die Simulation von Vorgängen, die für die Konstruktion von Massenvernichtungswaffen entscheidend sind.

COCOM und die darauf bis heute aufbauende Exportkontrolle haben phasenweise zu erheblichen Problemen geführt – vor allem dann, wenn die Exportregelungen für allgemeine politische Zwecke und nicht primär sicherheitspolitische Ziele ausgeweitet wurden. Entscheidend ist aber, dass mit COCOM und heute mit dem Wassenaar-Abkommen gezeigt wurde, dass es auch für IT und Software sehr wohl möglich ist, eine international konsensfähige Definition von konkreter Hochtechnologie zu finden, die für konkrete Gefahren genügend hohe Bedeutung hat und zudem die Verbreitung einer so definierte Technologie auch genügend stark zu kontrollieren.

Die Rüstungskontrolle im Hochtechnologiesektor ist für die Erfordernisse einer Cyber-Rüstungskontrolle eindeutig nicht angemessen und differenziert genug entwickelt. Es existiert damit aber eine konzeptionell gut verstandene und lang erprobte Basis, von der aus ein in die Praxis umsetzbares neues Vorgehen entwickelt werden könnte. Notwendig wären dafür aber weitere Ansatzpunkte.

4.Wie Rüstungskontrolle zu unterstützen wäre: Definitionen finden und Verbreitungswege nachzeichnen

Die Kontrolle der Ausbreitung von Technologie ist dann besonders schwer, wenn es sich um immaterielle Güter handelt. Sicherheitspolitisch für Cyber-Kriegsführung relevante IT-Sicherheitstechnologie ist aber prinzipiell definitorisch fassbar und technologisch auch von zivilen Nutzenerwägungen abgrenzbar. Für eine Cyber-Rüstungskontrolle relevant sind drei Typen von Werkzeugen, die sich recht gut eingrenzen lassen:

1. Für einige Formen der Software für Cyber-Kriegsführung gilt, dass sie als Spezialsoftware für IT-Sicherheit von gewerblichen Anbietern auf eine kontrollierbare Weise regulär vertrieben wird. Derartige Software unterliegt also denselben kontrollierbaren Vertriebsbedingungen wie Güter, die seit Jahren in den Exportkontrollregimen geregelt sind.
2. Das Gegenteil des herkömmlichen kommerziellen Vertriebs und dessen Kontrolle stellen zahlreiche "Hackerwerkzeuge" dar. Vieles davon ist im Internet frei verfügbar und damit grundsätzlich unkontrollierbar – und dies aus guten Gründen, da mit ihnen IT-Sicherheitslücken von allgemeiner Bedeutung aufgespürt werden können. Die Eindämmung solcher Werkzeuge ist nicht wünschenswert, wenn ihre Nutzung zur Veröffentlichung von Sicherheitslücken und zur Entwicklung von Sicherheitspatches führt und damit hoffentlich letztlich die Verbesserung der Qualität von Software fördert. Bei allen Problemen ist das Endergebnis dieses Wettlaufes zwischen "Hackern" und Softwareentwicklern eine höhere IT-Sicherheit auf allgemein, frei und offen verfügbarem Niveau. Diese Offenheit ist entscheidend, weil ein einseitiger sicherheitspolitisch wirksamer Vorteil für Cyber-Kriegsführung aus diesem Wettlauf so lange nicht zu ziehen ist, wie die technische Entwicklung und die Kommunikation über IT-Sicherheitslücken frei und für jeden nachvollziehbar bleibt.
3. Übrig bleiben Technologien, Wissen und Fähigkeiten zu IT-Sicherheitsdefiziten, die nur einer Seite Vorteile bringen oder über die nicht offen diskutiert wird. Im Bereich der Organisationen von Botnetz-Betreibern, Spammern und Anbietern anderer Verwendungen von Schadsoftware ist dies sichtbar in den Angeboten, die Softwarepakete nach unterschiedlichen Geschäftsmodellen als Dienst anzubieten oder zu vermieten und zu verbreiten. Die Geschäftsgrundlage für diese Akteure ist ihre Kontrolle über die Verbreitung von Schadsoftware und deren Wirkung. Gleiches gilt prinzipiell, wenn Cyber-Kriegsführung zum Einsatz kommen soll: Einen planbaren Effekt erzielen vor allem Angriffe über unbekannte IT-Sicherheitslücken und Aktionen jenseits der allgemein diskutierten IT-Sicherheitslage.

Diese dritte Form von Software lässt sich nur schwer in ihrer Verbreitung kontrollieren, sondern nur in ihren Effekten identifizieren: infizierte Computer, Auffälligkeiten in Firewall-Reports, Datenverbindungen mit unbekanntem Ziel. Solche Analysen sind die klassische Aufgabe der IT-Sicherheitsspezialisten in Unternehmen und einigen speziellen Behörden - typischerweise den Computer Emergency Response Teams (CERTs) in privater und öffentlicher Hand, die viele ihrer Erkenntnisse austauschen und teilweise gemeinsam agieren.

Diese Kompetenzen sind auch unverzichtbar bei einer Cyber-Rüstungskontrolle. Der informelle Austausch ist zumindest eine wesentliche Grundlage für die koordinierte Reaktion ziviler Akteure auf Bedrohungen der IT-Sicherheit. Ihr Beitrag müsste die Identifikation der Angriffswege und -verfahren sein, um auch Cyber-Krieger zu stellen. Wenn auch die Kooperation beispielsweise im "Deutschen CERT-Verbund" verbessert werden kann, könnte die Verifikation einer Cyber-Rüstungskontrolle genau dort weitermachen, wo diese Sicherheitsspezialisten bereits gemeinsam versuchen, verteilt operierende Angreifer zu erkennen, ihre Aktionen zu analysieren und ihre Herkunft zu lokalisieren. Gerade die Zusammenarbeit von zivilen und staatlichen Stellen könnte helfen, eine offene Diskussion über Bedrohungsanalysen zu erhalten.

Für eine Übertragung dieser Arbeiten in sicherheitspolitische Verifikationsregimes ist die Zuverlässigkeit der Bewertung von hoher Bedeutung. Gerade die schon zitierte Untersuchung der Cyber-Aktivitäten im Konflikt zwischen Georgien und Russland im August 2008 durch die private U.S. Cyber Consequences Unit (U.S. CCU) 2009 zeigte, dass über herkömmliche, administrative internationale Kontrollregimes hinaus auch privaten Organisationen ein wirksames Instrumentarium für die Verfolgung von Cyber-Angriffen zur Verfügung steht, das eine Analyse und Bewertung von Aktionen sowie die Zuordnung zu mutmaßlichen Angreifern leistet, die mit polizeilichen Mitteln verfolgt werden könnten. Eine verbesserte internationale Kooperation von CERTs und anderen sachkompetenten IT-Sicherheitseinrichtungen im privaten und öffentlichen Sektor würde einen wesentlichen Fortschritt bei der Überwachung der Einhaltung von internationalen Übereinkünften darstellen. Eine solche Kooperation wäre derselbe politische Ansatz wie die Einrichtung von Verifikationszentren in verschiedenen internationalen Übereinkünften.

5.Cyber-Rüstungskontrolle konkret: Maßstäbe für den politischen Willen

Mit der Weiterentwicklung erprobter Mittel eines internationalen Kontrollregimes und dem Ausbau von Analyseeinrichtungen zur IT-Sicherheit wie den CERTs und ihrer Kooperation wären wesentliche Grundlagen für internationale Übereinkünfte zur IT-Sicherheit schnell zu schaffen.

Weitere nötige, aber zweifellos mögliche Verbesserungen sind auch ohne weiteres zu benennen: Mehr Experten, bessere und spezifischere Werkzeuge wie beispielsweise forensische Analysewerkzeuge und kommunizierende Netzwerkmonitore zur Anomaliedetektion ohne Eingriffe in die Privatsphäre sowie klare Kooperationsbeziehungen zwischen einzelnen Einrichtungen könnten in kurzer Zeit wesentliche Fortschritte für die IT-Sicherheit allgemein und ebenso für eine Cyber-Rüstungskontrolle bringen.

Es ist auch nicht schwer, vorrangige politische Ziele für die Definition eines unzulässigen militärischen Handelns gemäß einer möglichen Cyber-Rüstungsübereinkunft zu definieren: Eine Übertragung des einschlägigen Kriegsrechts in den digitalen Raum und damit den Schutz kritischer ziviler Infrastrukturen und privater IT. Dies ist auch das einhellige Ergebnis so gut wie aller, die sich bisher wissenschaftlich mit dieser Frage beschäftigt haben.

Und sollte es wider alle Sachlogik konzeptionelle Probleme bereiten, beispielsweise den Schutz von Krankenhäusern vor Militäraktionen in die digitale Welt zu übertragen, so ließe sich als einfachste technische Antwort auf dieses Problem schnell realisieren, Computernetzwerke von Krankenhäusern durch eindeutige Signaturen ihrer Firewalls als solche – analog zur Flagge des Roten Kreuzes in der realen Welt - gemäß der Genfer Konvention kenntlich zu machen und vor Angriffen zu schützen.

Und um sofort auch das nächste Missverständnis auszuräumen: Die Genfer Konvention verhindert nicht den Bruch ihrer Regeln – wie etwa den Angriff auf ein Krankenhaus - sondern soll davor abschrecken, weil ein Angriff als rechtswidrige Aktion auch im Krieg vor einem entsprechenden Gerichtshof geahndet werden kann. Gerade weil dieses konkrete Beispiel so einfach ist, wird an einem solchen Maßstab überdeutlich, dass viele Lösungen für eine vertragliche Fassung von Cyber-Rüstungskontrolle durchaus mit heutiger Technik und rechtlicher Regelung schon realisierbar wären. Für viele der noch offenen Fragen ließe sich darüber hinaus eine konkrete Forschungsagenda definieren und Ziele für internationale Verträge benennen.

Es gibt also sehr konkrete Lösungswege, wenn es dafür eine politische Initiative und das Interesse gäbe, die – auch dank aktueller Beiträge wie der von McAfee - langsam ins Bewusstsein sickendern Probleme zu lösen.

6.Werden USA und Russland aktiv, wird es Cyber-Rüstungskontrolle geben – oder gibt es andere Wege?

Dass sich die USA und Russland derzeit über ein Abkommen zur Eingrenzung von Cyber-Kriegführung unterhalten, ist eine markante neue Entwicklung, wenn auch mit gedämpften Erfolgsaussichten. Die Aussichten auf eine Übereinkunft über Cyber-Rüstungskontrolle sollten allerdings gemessen werden an der Messlatte, die für bisher abgeschlossene internationale Verträge aufgelegt wurde. So ist die nukleare Abrüstung für das Überleben der Menschheit weit wichtiger als eine funktionierende IT. Als ein Schritt zur Abrüstung wurde seit den 1950er Jahren ein Atomteststopp politisch heiß umkämpft. Obwohl sich die damalige Sowjetunion und die USA schon 1963 auf das Ende oberirdischer Tests vertraglich einigten, dauerte der Abschluss eines vollständigen Atomteststopp-Abkommens, des Comprehensive Nuclear-Test-Ban Treaty (CTBT), bis 1996. Die USA haben den Vertrag bis heute nicht ratifiziert.

Als entscheidend für die Unterzeichnung des Vertrages galt die Verifikation von Atombombentests. Um die wissenschaftliche Machbarkeit eines Monitoring von Atomtests wurde lange und erbittert gestritten6, nicht zuletzt in der Absicht, ein Abkommen nach Möglichkeit zu hintertreiben7. Es wurde politisch in Frage gestellt, ob Wissenschaftler in der Lage seien, durch seismische Messungen Atomwaffentests zu detektieren. Behauptet wurde, dass zur endgültigen Klärung Vor-Ort-Prüfungen nötig seien, obwohl bereits 1970 Aussagen des US-Verteidigungsministeriums in Anhörungen vor dem Kongress ergeben hatten, dass diese keine Daten liefern, die nicht bereits durch andere Verfahren erhoben worden sind. Nicht die Technik, sondern der politische Wille war das Problem, so Jack Everden im Bulletin of the Atomic Scientist8:

Es gibt kein technisches Hindernis für die Verhandlung eines verifizierbaren Atomteststopp-Vertrages. Aber die Implementierung einer rationalen Lösung zu einem politischen Problem ist weit schwieriger, als es ist, diese Lösung selbst zu finden.

Jack Everden

Erst die Initiative zahlreicher unabhängiger Wissenschaftler und ihr Beweis der Machbarkeit durch ihre selbst organisierte Vernetzung von seismischen Messstellen legte die wissenschaftliche Basis für den CTBT und den Aufbau der CTBT-Organisation in Wien (CTBTO) zur Überwachung des Atomteststopps. Die noch immer im Aufbau befindliche CTBTO verfügt über ein Netz von Messstationen, mit denen Atomtests weltweit zuverlässig aufgespürt und lokalisiert werden können. Das Netzwerk der CTBTO zeigt den Erfolg einer zivilen wissenschaftlichen Initiative, aber zugleich auch die Grenzen der Auswertung verfügbarer Daten- und Nachrichtenquellen: Ohne ein Minimum an Ressourcen und damit beispielsweise einer Vorbereitung für eine Krisenprävention lassen sich keine sicherheitspolitisch brauchbaren Ergebnisse erzielen.

Für Verträge zur Begrenzung der Nutzung von Cyber-Waffen lässt sich aus den bisherigen Vertragswerken eine wesentliche Lehre ziehen: Alle bisher abgeschlossenen Übereinkünfte zur Rüstungskontrolle dokumentieren den grundsätzlichen Unwillen der Beteiligten, ihr politisches und militärisches Handeln einem internationalen Kontrollregime zu unterwerfen. Relativ einfach war es noch, einseitige Kontrollmaßnahmen wie COCOM und andere Exportkontrollmaßnahmen zu etablieren. Wenn die Konsequenzen internationaler Abkommen aber das eigene Handeln berühren, waren Verhandlungserfolge allenfalls nach langer Zeit und zähem Verlauf zu erzielen. Die Frage nach einer Rüstungskontrolle der Cyber-Kriegsführung ist daher eine an die Adresse der Regierungen, die sich auf Cyber-Angriffe Dritter ebenso vorbereiten wie auf die eigene Nutzung neuartiger "Cyber-Waffen". Dies sind mittlerweile neben den USA auch Russland, China und eine Reihe von Einzelakteuren.

Die Erfahrung der letzten 60 Jahre zeigt, dass das Interesse der potentiellen Nutzer vergleichbarer Angriffswaffen an Rüstungskontroll-Abkommen gering ist. Die aktuellen Gespräche zwischen den USA und Russland über eine verstärkte Cyber-Sicherheit dokumentieren allein eine neue und realistischere Bewertung von Bedrohungsszenarien durch die USA, die durch Cyber-Angriffe gegen Hochtechnologie-Nationen akut zu werden drohen und die erhebliche Schadenswirkung erzielen können.

Die IT und das Internet bieten aber neue Wege, Lösungsansätze auch gegen zurückhaltende politische Akteure: Das Beispiel des vollständigen Atomteststopp-Abkommens zeigte, dass die Kooperation und Vernetzung von Ergebnissen verantwortungsvoller Wissenschaftler die Politik in Zugzwang brachte. Gegen politische Interessen haben sie die Argumente gegen einen Vertrag zerpflückt und - mit politischer Unterstützung Einzelner - bewiesen, dass eine Verifikation möglich ist. Wichtige Formen einer Cyber-Rüstungskontrolle wären auch durch die Kooperation vieler – privater und staatlicher – Einrichtungen durchführbar. Der Weg dahin wäre sogar viel stärker als bei bisherigen Technologien ohne widerstrebende staatliche Akteure möglich, sofern das Interesse auf ziviler Seite an verlässlicher IT-Sicherheit ohne militärische Hintergedanken groß genug ist.

Der "Virtual Criminology Report 2009" benennt staatliche Cyber-Krieger als sehr reale Risiken für die IT-Sicherheit der Zivilgesellschaft. Konsequent weiter gedacht, sollte dies ein erster Schritt auf dem Weg sein, auch eine Cyber-Rüstungskontrolle nach Maßstäben der Zivilgesellschaft zu erreichen.