von Matthias Schulze
Wenn man über Cyber-Frieden nachdenkt, dann ist der erste Impuls Frieden, ex negativo, als Abwesenheit von Krieg zu definieren. Dieses Vorgehen ist im Bezug auf Cyber-Kriege aber kompliziert, denn das Konzept des Cyberwar erfüllt kaum gängige Kriterien des Krieges. Statt der Krieg-Frieden-Dichotomie sollten wir über Konflikte sprechen.
Ist Cyber-Krieg Krieg?
Kriegsdefinitionen sind umstritten. Keine Definition deckt alle Facetten ab. Ein zentrales Einführungswerk der Friedens- und Konfliktforschung definiert Krieg wie folgt: „Krieg wäre schließlich eine staatlich angeordnete und eigens autorisierte Form der Gewaltausübung, dessen zentrales Element der von Staaten organisierte und von Menschen gemachte Massentod ist. Er ist „organisiertes und kalkuliertes Töten zum Zwecke der Brechung des Willen des Gegners, der unter modernen Bedingungen Züge totaler Gewalt annimmt und damit zu Massenvernichtung und flächendeckender Zerstörung führt“ (Bonacker & Imbusch 2006, 95). Eher quantitative Kriegsbegriffe sind teils differenzierter. Verschiedene Projekte wie Correlates of War, KOSIMO oder UCDP definieren Krieg differenzierter nach Akteuren (staatlich, inner-gesellschaftlich, inter-kommunal), Dauer und Intensität (high-intensity = 1000 Todesfälle pro Jahr, low intensity = 25). Aus einem Alltagsverständnis heraus sind Tod und Zerstörung jene Elemente, die wohl am ehesten charakteristisch für Kriege sind.
In eher funktionalistischen Definitionen wird häufig wird auf Carl von Clausewitz (1832) rekurriert der argumentiert, dass es die Funktion des Krieges ist, mit kriegerischen Mitteln ein politisches Ziel (das Brechen des gegnerischen Willens) zu artikulieren und zu erreichen. Um diesen Widerstand zu brechen, wird das Mittel der militärischen Gewalt als ultima ratio eingesetzt und dem Gegner der Wille gewaltsam aufgezwungen. Der Rekurs auf die eingesetzten Mittel scheint also oberflächlich den Weg zum Cyber-Krieg zu ebnen. Man füge einfach digitale Mittel (Computer als Waffe) hinzu und fertig ist der Cyberkrieg. Leider ist dieser Analogieschluss nicht so einfach.
A) Staaten? Aufgrund des Attributionsproblems im Cyberspace ist es häufig nicht möglich, einen staatlichen Bezug herzustellen. Selbst in den bekannten Fällen wie Estland 2007, Georgien 2008 oder Stuxnet kann der Urheber nur mittels ‘cui bono?’ Deduktionen vermutet werden (Libicki 2009). Anmietbare Botnetze führen außerdem zu einer weiteren Privatisierung des Krieges. Selbst wenn staatliche Streitkräfte im Hintergrund stehen, so ist zu fragen, ob Soldaten vor Computern gleichwertig zu Kombattanten auf Schlachtfeldern sind. Anders als Panzer oder Flugzeuge tragen Computer-Netzwerkangriffe (CNA) keine Hoheitszeichen, die Zugehörigkeit zu einer Nation ausweisen.
B) Politischer Willensartikulation? Nach von Clausewitz hat Krieg die Funktion, einen politischen Willen einem Gegner aufzuzwingen (1832). Dazu muss dieser Wille artikuliert werden.Die meisten CNA finden ohne Bekennerschreiben statt und Akteure haben laut Libicki (2009) strategische Anreize, im Verborgenen zu operieren. CNA werden häufig über Drittländer mit schwachen Rechtsinstitutionen geleitet und ähneln somit false-flag bzw. verdeckten Operationen. Somit ist für den Angegriffenen kaum nachvollziehbar aus welchem Grund ein Angriff stattgefunden hat, bzw. ob es überhaupt ein internationaler Angriff war. Es wird also kein politischer Wille artikuliert. CNA sind zudem oft unzuverlässig und ungenau. Oftmals sind unbeteiligte Akteure und Computer getroffen. Stuxnet verbreitete sich z.B. selbständig auf Ziele außerhalb des Irans. Zudem gibt es immer die Möglichkeit von unvorhersehbaren Kaskadeneffekten die Drittziele treffen (collateral damage). Wenn dies der Fall ist, woher sollen betroffene Akteure wissen, welcher politische Wille ausgedrückt wurde?
C) Ultima Ratio? Die geringen Einstiegskosten (z.B. Anmietung von Botnetzen) führen zu einer Allgegenwart von CNA, was gegen ihre Verwendung als ultima ratio spricht. Es ist davon auszugehen, dass Stuxnet z.B. eingesetzt wurde um direktes physisches Eingreifen unnötig zu machen.
D) Dauerhaftigkeit? Ein weiteres Problem ist, dass ein einzelner, unattribuierbarer Angriff noch keinen Krieg ausmacht. Selbst wenn dabei ein Elektrizitätsnetz in die Knie geht, entspräche das zunächst der Definition des Cyber-Terrorismus (bzw. Vandalismus, da Terroristen sich in der Regel zu Anschlägen bekennen), zumindest solange der staatliche Ursprung nicht bewiesen werden kann (Schreier 2012). Krieg ist immer eine bi-direktionale Sozialbeziehung zweier Kollektive über eine gewisse Dauer. Er entsteht erst durch das systematische, kontinuierliche Wechselspiel von Angriff und Verteidigung. Das Problem mit CNA ist nur, dass der Angegriffene in der Regel den Verursacher nicht kennt. Gegen wen solle sich also der Gegenschlag wenden? Was, wenn der Angriff eine false-flag Operation war? Ferner, woher soll das Ziel des Gegenschlags wissen, dass es sich um eine Vergeltungsmaßnahme handelt (retaliation)? Ein kinetischer Gegenschlag auf einen Cyberangriff wäre demnach höchst problematisch!
E) Gewaltsame Mittel? Völkerrechtler sind sich zudem uneins darüber, ob CNA wie distributed denial of service (DDoS) Attacken oder innovativere Angriffsvektoren wie spezialisierte Malware überhaupt wie Waffen im konventionellen Sinne funktionieren und verstanden werden können (Melzner 2011). Ob ein Angriff die intendierten Effekte im Zielsystem bewirkt, lässt sich im Vorfeld oft nicht bestimmen. Es gibt keinen klaren Ursache-Wirkungs-Zusammenhang wie bei physischen Waffen. Komplexere CNA basieren auf Sicherheitslücken in Software der Zielsysteme. Diese können bereits geschlossen sein, so dass der Angriffsvektor wirkungslos ist. Angriffe können zudem nicht umfassend getestet werden, da sonst ihr Angriffsvektor bekannt würde, was ihre Wirksamkeit reduziert. Daher können Sie in der Regel nur wenige Male eingesetzt werden. Angriffe wie Stuxnet oder Flame sind ‘dual-use’ und erfüllen eine Spionage Funktion (wie der aktuelle Regin Fall zeigt) und optional, z.B. in Form von Add-ons, eine Sabotage-Funktion. Sie sind also nicht per se destruktiv und gewaltsam. Selbst wenn kritische Infrastruktur lahmgelegt wird, ist dieser Schaden häufig nur punktuell, temporär und oft nicht physisch. Selbst im Falle Stuxnets war der Effekt vernachlässigbar, wie neuere Studien zeigen (Barzashka 2013). Zudem entfalten Cyberangriffe, z.B. das Ausschalten des gegnerischen Radars, erst im Verbund mit physischer Gewalt, d.h. als Addendum zu konventionellen Kriegen, ihre volle Wirkung, wie die Fälle Serbien (1998), Georgien (2008) dokumentieren. Gartzke (2013) weist deshalb darauf hin, dass ein ‘stand-alone’ Cyberwar unwahrscheinlich ist.
F) Todesopfer? Bisher ist noch kein Mensch durch eine CNA ums leben gekommen,geschweige denn 1000 Menschen pro Jahr. Gartzke (2013) argumentiert, dass Menschen resilient sind. In den USA bricht z.B. regelmäßig das Stromnetz im Winter zusammen, teils für mehrere Tage und Menschen geraten dennoch nicht in Panik. Selbst wenn Hurricanes und anderen Naturkatastrophen die kritische Infrastruktur zerstören, bleibt der Massentod als Folge davon aus.
Rid (2012) kommt zu dem Schluss, dass bisher keiner der dokumentierten Fälle von CNA die qualitativen und quantitativen Kriterien des Krieges erfüllt. Zwar gäbe es einen Anstieg von CNA, insbesondere die technisch einfacheren Varianten wie DDoS Attacken, diese entsprechen aber eher Vandalismus oder allgemeineren Formen von Gewalt.Wir sollten daher über Cyberkonflikte, bzw. Gewalt im digitalen Raum, nicht aber über Cyberwar sprechen. Verschiedene Konfliktbegriffe könnten die geschilderten Definitionsschwierigkeiten kompensieren. Cyberkonflikte sind in dieser Lesart lediglich eine Weiterentwicklung bestehender gesellschaftlicher Konfliktformen mit einem neuen Austragungsmodus im digitalen Raum aber kein komplett genuines Phänomen.
Matthias Schulze M.A. ist Doktorand und wissenschaftlicher Mitarbeiter am Lehrstuhl für Internationale Beziehungen der Friedrich-Schiller Universität in Jena. Seine Doktorarbeit trägt den Titel „From Cyber-Utopia to Cyber-War. Advocacy Coalitions and Normative Change in Cyberspace“.https://percepticon.wordpress.com
