von Sarcasticus
Im März vergangenen Jahres wurde im Bundessicherheitsrat, dem die Kanzlerin vorsteht und in dem üblicherweise den deutschen Rüstungsexporten der Segen erteilt wird, die Frage erörtert, nämlich wie die Bundesrepublik sich im Cyberzeitalter verteidigen könne – etwa bei digitalen Angriffen auf konstituierende Bereiche der gesellschaftlichen Daseinsvorsorge wie Strom- und Wasserversorgung, Eisenbahnverkehr oder Zivilluftfahrt. Laut einem Bericht der Süddeutschen Zeitung vom 5. September 2018 sei die Runde sich einig gewesen, dass Deutschland, „jedenfalls als Ultima Ratio, auch die Fähigkeit zum Gegenschlag“ brauche. Seither sei zwar noch nichts entschieden, es gehe aber um nichts weniger denn um „einen echten Paradigmenwechsel. Die Bundesregierung will gegnerische Computerserver zerstören lassen, um Angreifer zu stoppen.“ Diese „heikle Aufgabe für den ‚Hack back‘“ könnte womöglich der BND übernehmen, „der bereits seit Jahren eigene Hacker beschäftigt. […] Im Extremfall […] dürfte der BND dann auch so weit gehen, dass beim Gegner die Lichter ausgehen oder ein Server anfängt zu qualmen“.
Was auf den ersten Blick ebenso logisch, wie erfreulich defensiv und völkerrechtskonform klingt, sich nämlich im Falle, man wird angegriffen, zu verteidigen, ist im Cyberbereich allerdings noch janusköpfiger als etwa bei konventionellen Waffen und Streitkräften: Wer über digitale Mittel verfügt, andere Staaten substanziell zu schädigen, der könnte diese Mittel prinzipiell auch als Angreifer einsetzen. Und dass man dergleichen Mittel in die Verfügungsgewalt von per se intransparenten Geheimdiensten geben sollte, erscheint doch höchst fragwürdig.
Viel gravierender aber ist, dass bei den Debatten über Cyberwarfare, -verteidigung und -gegenschlag (Hack back), soweit sie in hiesigen Medien oder anderen zugänglichen Quellen dokumentiert sind, üblicherweise, so auch im erwähnten SZ-Bericht, der Sachverhalt vollständig ausgeklammert wird, dass der zur Rechtfertigung eines Gegenschlages erforderliche forensische Schuldnachweis bei Cyberattacken prinzipiell nicht zu erbringen ist, wenn der Angreifer nur hinreichend professionell agiert. Das ist umso fataler, weil jeder „Gegenschlag“ eine Eskalationsspirale in Gang setzen und einen bestehenden, bisher friedlichen Konflikt in einen handfesten Krieg mit allen herkömmlichen Waffen verwandeln könnte. Ganz abgesehen davon, dass ein „Gegenschlag“ ohne definitiven Schuldnachweis rechtsstaatlichen Ansprüchen und Grundsätzen eklatant widerspräche.
Ausführlich befasst mit der Problematik des Schuldnachweises im Cyberbereich hat sich Thomas Rid, Politologe von der John-Hopkins-Universität in Washington. Sein Buch „Cyber War Will Not Take Place“ („Der Cyberkrieg wird nicht stattfinden“) ist bereits 2013 erschienen. Der Titel gibt Rids grundsätzliche Auffassung zu dem bis zum Überdruss gehypten Begriff Cyberwar, der auch im Blättchen bereits frühzeitig kritisch beleuchtet wurde – siehe Ausgabe 21/2015 –, ziemlich treffend wider. Das Buch wurde 2017 in zweiter, unveränderter Auflage nochmals herausgebracht und 2018 durch die Edition Körber dankenswerter Weise auch dem deutschsprachigen Publikum zugänglich gemacht.
Rid verwendet im Hinblick auf feindliche Cyberaktivitäten den neutralen Begriff der Attribution, also der Zuschreibung des feindlichen Aktes an einen Akteur, und zwar im Wege der Rückverfolgung. Was schon semantisch nicht identisch ist mit einer forensischen Nachweisführung. Und das aus gutem Grund: „Aus der Zwickmühle der Zurückverfolgung“, die Rid anhand praktischer, selbst für den Digitallaien verständlicher Fälle erläutert, „gibt es schlechterdings keinen rein technischen Ausweg, und daran wird sich höchstwahrscheinlich auch nichts ändern.“ Das resultiert unter anderem daraus, dass eine bösartige digitale Aktivität zunächst bis zu einer konkreten IP-Adresse, also bis zu einem konkreten Rechner zurückverfolgt werden muss, um sie mit einem bestimmten menschlichen Akteur in Verbindung bringen zu können. Schon dabei tut sich ein grundsätzliches Problem auf: „Wenn jemand ein offenes WiFi-Netzwerk nutzt, einen Computer mitsamt seiner Internetverbindung stiehlt oder einfach keine Spuren hinterlässt, die seine persönliche und geografische Identifikation erlauben, dann ist eine Zuschreibung […], wenn überhaupt, nur sehr schwer möglich.“ Daher trifft man bei offiziellen Verlautbarungen zu entsprechenden Ereignissen nahezu immer auf Geheimdienst-Sprech wie „wahrscheinlich“ oder „fast sicher“, wie er bei Beweismitteln im engeren Sinne eher nicht verwendet wird. Und bei Spuren, die eine geografische Identifikation zu erlauben scheinen, ist zusätzlich Vorsicht geboten: Bei einer Reihe von Digitalattacken auf globale Energie- und Petrochemiekonzerne, die im Februar 2011 entdeckt wurden, besagten aufgespürte IT-Protokolle, „dass die Angriffe während der regulären Bürozeiten zwischen 9 und 17 Uhr Pekinger Ortszeit werktags erfolgten – ein Indiz dafür, dass es sich bei den Tätern um Angestellte, nicht um Privatleute handelte“. Tatsächlich? Oder war das eine Spur, die ganz andere Täter vorsätzlich gelegt hatten? Wer wollte das und auf welcher Grundlage entscheiden?
Rid gelangte 2013 zu folgendem Fazit: „Wenn […] Cyberangriffe professionell ausgeführt werden und keine Beweismittel vorliegen, dann ist es schwer bis unmöglich, sie einem Urheber zuzuschreiben. Selbst wenn man einen Angriff zu einem bestimmten Staat zurückverfolgen kann und dieser Staat ein klares Motiv zu haben scheint, lässt die gleichermaßen technische, soziale und politische Natur des Attributionsproblems dem beschuldigten Staat immer noch genügend Raum, um seine Urheberschaft zu bestreiten.“
2017, im Nachwort zur Neu-Auflage seines Buches, konstatiert Rid, dass in den seit der Erstpublikation seines Buches vergangenen Jahren „die Debatte (Hervorhebung – S.) um die Attribution“, also nicht die Attribution selbst, das Gebiet sei, auf dem „die größten Fortschritte“ erzielt worden wären. Zugleich stellt der Autor erneut klar: „Allerdings muss man bedenken, dass bei einer solchen Attribution nicht von 0 oder 1 bzw. Schwarz oder Weiß die Rede sein kann, sondern […] von Fragen der statistischen (Hervorhebung – S.) Sicherheit.“ Die „raffiniertesten und diszipliniertesten Gegner“ würden daher auch künftig „in der Lage sein, der Zurückverfolgung zu entgehen“.
Dies alles in Rechnung gestellt sowie an das Churchill wohl fälschlicherweise zugeschriebene Diktum – „Ich traue keiner Statistik, die ich nicht selbst gefälscht habe.“ – gedacht, kann der Cybergegenschlag natürlich trotzdem durchaus den Cyberangreifer treffen. Aber eben gegebenenfalls auch einen konkurrierenden oder gegnerischen Akteur, der mit dem Angriff nichts zu tun hat.
Wenn der Krieg, etwa mit Russland oder China, jedoch erst einmal ausgebrochen sein sollte, dann dürfte das sehr rasch eine nur noch sehr akademische Frage sein …
Thomas Rid: Mythos Cyberwar. Über digitale Spionage, Sabotage und andere Gefahren, Edition Körber, Hamburg 2018, 247 Seiten, 18,00 Euro.
Schlagwörter: Cyberwar, Hack back, Sarcasticus, Thomas Rid