Mitglieder von Krautreporter können den Beitrag auch anhören, wenn sie eingeloggt sind. Das Audiofile findet ihr, wenn ihr die Sprechblase neben diesem Absatz anklickt.
Der Whistleblower Edward Snowden hat die Menschen vor drei große Aufgaben gestellt. Die erste war: Sie mussten begreifen, dass die Geheimdienste dieser Welt alles sehen, alles hören, alles speichern wollen. Die USA und ihre Partner-Geheimdienste greifen deswegen jeden Tag die Privatsphäre von Menschen an.
Snowden-Dokumente zeigen, dass die Vereinigten Staaten schon 2002 eine NSA-Einheit aufgebaut haben, die auf Attacken gegen die Systeme anderer Länder spezialisiert ist. Deswegen hat Snowden den Menschen eine zweite Aufgabe gegeben. „Wir müssen einen neuen internationalen Verhaltenskodex schaffen.“ Er und die Autoren des Artikels fordern eine D-Waffen-Konvention - in der Tradition der Konventionen gegen atomare, biologische und chemische Waffen (ABC-Waffen).
Snowdens Forderung erhält in diesen Tagen nochmal Nachdruck, weil Wikileaks Dokumente veröffentlicht hat, die zeigen, dass auch die CIA rege digitale Waffen einsetzt.
Die zweite Aufgabe ist die schwierigere von beiden. Denn es gibt viele, wohl zu viele offene Fragen, wenn es um D-Waffen oder Cyber-Waffen geht, die einer internationalen Regelung um Weg stehen; nicht zuletzt, wie wir sie überhaupt nennen sollen. Aber fangen wir mit den scheinbar einfachsten an.
Muss eine „Waffe“ Menschen verletzen können, damit sie zur Waffe wird? Und müssen im „Krieg“ Menschen sterben, damit er zum Krieg wird?
Oder reicht es, wenn ein winziger Computer-Schädling des einen Landes die Steuerung einer Industrieanlage des anderen Landes ausspäht? Und wenn das noch kein Krieg ist: Wenn ein anderer Schädling die Anlage so manipuliert, dass sie unbrauchbar wird? Wenn das bestimmt kein Krieg wäre, worin unterscheidet sich das Ergebnis von einem Bombardement der Anlage?
Müsste bei solcher Software nicht das internationale Kriegsrecht greifen? Aber was schreiben Sie da hinein? Wann ist ein Virus eine Waffe? Wenn Sie wider Erwarten schaffen, das einwandfrei und unzweideutig festzulegen, was machen Sie dann mit den ganzen jugendlichen Hackern, die Schadsoftware programmieren und verkaufen? Müssen dann 16-Jährige genauso behandelt werden wie Waffenhändler, die Kalaschnikows nach Afrika schleusen? Das wäre ja absurd.
Snowden fordert internationale Regelungen, aber D-Waffen entziehen sich den bekannten Kontrollinstrumenten
„Ob Cyber-Waffen wegen ihrer Eigenschaften schlicht unvereinbar mit der Logik eines Waffenkontrollvertrags sind, ist eine Überlegung wert“, schreibt Louise Arimatsu, Forscherin am Royal Institute for International Affairs in Großbritannien in einer Studie, die im Rahmen eines NATO-Programms zu Cyber-Sicherheit veröffentlicht wurde. Das Ziel solcher Verträge sei es traditionell, „Konflikte weniger wahrscheinlich zu machen, indem die Existenz und der Einsatz bestimmter Waffen eingeschränkt werden“. Es sei fraglich, ob das bei Cyber-Waffen überhaupt möglich sei.
Experten wie der Londoner Professor Thomas Rid zweifeln aber an der ganzen Grundthese. So etwas wie einen Cyber-Krieg gebe es nicht. Es fehle die physische Gewalt. „Bei solchen Angriffen sind bisher weder Menschen verletzt noch getötet worden“, sagte er der Süddeutschen Zeitung.
Auch Kenneth Geers, Professor in Kiew und dortiger Botschafter des „NATO Cooperative Cyber Defence Centre of Excellence“ sagt, dass das Thema derzeit zu viel Aufmerksamkeit bekomme. Gleichzeitig gebe es aber eine gesicherte Verbindung zwischen Schadsoftware und den Krisen dieser Welt. D-Waffen werden während „großer geopolitischer Ereignisse“ verstärkt eingesetzt - das zeigen Zahlen von Geers ehemaligem Arbeitgeber, der Firma Fire Eye.
Die IT-Spezialisten zählen, wie oft sich bekannte Schadsoftware, die in einem fremden System eingeschleust wurde, beim Heimat-Server, also dem digitalen Hauptquartier, meldet. Im März 2014 etwa wurden die Schädlinge vor allem in einer Weltregion immer aktiver: Osteuropa. Auf dem Maidan in Kiew kämpften zu dieser Zeit die Ukrainer um die Zukunft des Landes, und Russland besetzte die Halbinsel Krim. Nur ein paar Monate später attackierten auffällig viele kanadische Rechner Ziele im Nahen Osten. Die Vermutung liegt nahe, dass israelische Hacker Anlagen in Nordamerika für sich arbeiten ließen, um die Luft- und Bodenoffensiven im Gaza-Streifen durch Cyber-Operationen zu begleiten. Die israelische Armee (IDF) erklärte schon vor drei Jahren auf ihrer Homepage: „Der Cyberspace wird genutzt, um Angriffe und Geheimdienstoperationen durchzuführen.“
Die entscheidende Frage: Was ist eine D-Waffe?
In einem Expertenpapier, dem „Tallinn Handbuch“, kamen zudem alle Autoren zu dem Schluss, dass bestehendes Völkerrecht zu bewaffneten Konflikten auch auf Operationen im Cyberspace anwendbar ist, es also keine rechtliche Lücke gibt. Die Frage, auf die Autoren mit dieser Einschätzung antworteten, hätte nie jemand gestellt, wenn der Hype um den Cyber-Krieg völlig ohne Substanz wäre. Aber vielleicht findet der Cyber-Krieg nur statt, wenn auch ein richtiger Krieg stattfindet. So, wie niemand den „Seekrieg“ losgelöst von den Weltkriegen betrachten kann.
Das bestehende Völkerrecht kann dabei ganz grundsätzlich auf zwei Arten genutzt werden: Zunächst gib es das Recht zum Krieg (ius ad bellum). Es klärt, wann ein Staat Krieg führen darf. Als zweites kommt das Recht im Krieg zu Geltung (ius in bello). Es ist besser bekannt als humanitäres Völkerrecht. Dem humanitären Völkerrecht geht es allein um den Schutz des Einzelnen, also Soldaten/Zivilisten, und nicht um die Frage, ob ein „Krieg“ rechtmäßig ist oder nicht. Dieses Recht kommt aber erst zu Anwendung, wenn es einen bewaffneten Konflikt gibt. Ohne Waffen kein Konflikt, kein Völkerrecht. Was eine D-Waffe ist, wird so zu einer entscheidenden Frage.
Wenn es gelungen ist zu klären, was D-Waffen sind und was nicht, müsste ein System entwickelt werden, um sie auseinander zu halten und ihr Gefahrenpotenzial einzuschätzen. Derzeit entstehen aber bis zu 325.000 Viren jeden Tag. Die Programme mutieren schneller als die Tinte auf den internationalen Verträgen trocknet, und damit wären auch die Klassifizierungen veraltet. Unabhängig davon ist es schwierig einzuschätzen, wann ein Schadprogramm offensiv wäre und wann defensiv. Denn woher weiß man zum Beispiel, ob dem Spionageprogramm ein Angriff folgt oder nicht?
Dass D-Waffen genauso weiterentwickelt werden wie alle andere Waffen, stellt Strategen vor die gleiche Entscheidung: Sollen wir auch aufrüsten? Können wir uns das leisten? Oder gibt es einen anderen Weg, darauf zu antworten?
Der russische Zar Nikolaus II. stand am Ende des 19. Jahrhunderts vor dieser Entscheidung. Während die Armeen und Flotten der westlichen Großmächte immer stärker wurden, konnte er kaum den sozialen Frieden in seinem Riesenreich wahren. Deswegen sandte er eine diplomatische Depesche in die Hauptstädte der Welt und rief die Länder zusammen, um die „übertriebene“ Aufrüstung zu stoppen: Können wir die Energie, das Geld und die Ressourcen, die wir in mächtigere Schiffskanonen, dickere Panzerungen und schnellere Gewehrkugeln stecken, nicht für die friedliche, zivile Entwicklung nutzen, fragte der Zar darin. Die Vertreter von 26 Nationen trafen sich 1899 im niederländischen Den Haag und ersannen das Modell eines internationalen Schiedshofs, bannten Kampfgase und verabschiedeten verschiedene Kriegsgesetze, die bis heute gültig sind. Aber sein zentrales Ziel erreichte Nikolaus II. trotzdem nicht. Russland blieb selbst auf den einfachsten Gebieten technisch unterlegen. So schafften es die Waffenmeister des Zaren bis Kriegsende nicht, ihre Soldaten mit Stahlhelmen auszurüsten.
Die Delegierten der ersten Haager Landkriegskonferenz traten auf Einladung des russischen Zaren zusammen. Russland bemüht sich auch aktiv um eine Regelung zu D-Waffen. Quelle: Imperial War Museums
Eine D-Waffen-Konferenz bräuchte einen mächtigen Patron
Dennoch: Damit eine D-Waffen-Konvention und mit ihr eine Beantwortung der ganzen offenen Fragen eine Chance hätte, bräuchte es heute auch einen Zar Nikolaus II., einen, der diesen Vertrag zu seinem Anliegen macht und in der Welt dafür wirbt. Dieser neue Zar war lange Zeit Wladimir Putin. Denn als Russland im Jahr 2000 eine Cyber-Doktrin verabschiedete, gründete sie in der Schwäche des Landes. Man habe keine heimischen Hardware-Hersteller, hieß es da, die Koordination sei schlecht und das Budget klein. In der Folge drängte Russland immer wieder auf internationale Regeln für offensive Cyber-Waffen. Die USA sperrten sich lange dagegen, das bisherige Kriminalrecht genüge, hieß es in den Staaten. Nachdem US-Präsident Barack Obama 2009 neue Abrüstungsgespräche mit Russland verkündet hatte, änderten die USA ihre Haltung, kamen mit Russland ins Gespräch und richteten 2013 einen Kommunikationskanal ein, über den Moskau und Washington schnell, diskret und direkt über ihre Cyber-Unterfangen reden konnten. Im Herbst vergangenen Jahres einigten sich dann auch Russland und China auf ein Abkommen, allerdings mit anderen Schwerpunkten.
Cyber-Waffen müssten so tabuisiert sein, dass nicht einmal Hitler sie benutzt hätte
Diese Verträge und Gespräche zeigen, dass Edward Snowden kein einsamer Rufer in der Wüste ist. Es wächst ein internationales Bewusstsein und ein Netzwerk von Politikern und Experten, die sich mit dem Thema beschäftigen. Das könnten die Anfänge einer internationalen Norm sein, die die Voraussetzung für jede weitreichende Regelung wäre. Das zeigt wiederum ein Blick in die Geschichte. Wie stark etwa das Chemiewaffen-Tabu ist, illustriert ein Satz, der nach dem Zweiten Weltkrieg die Runde machte: „Chemiewaffen müssen wirklich böse sein, wenn nicht einmal Hitler sie benutzt hat.“ Wenn Sie die Mächtigen der Welt an einen Tisch bekommen wollen, um sich selbst zu entwaffnen, ist so ein Satz sehr hilfreich.
So einen Satz gibt es bei D-Waffen nicht. Die Ethik bei ihnen ist nicht so klar wie bei Sarin-Gasen, die auf Dutzende Kilometer Entfernung freigesetzt werden können und jeden töten, der das Pech hat, ihnen ausgesetzt zu sein. Denn mit D-Waffen könnten auch Tote verhindert werden. Sie bieten eine Möglichkeit, taktische Ziele zu erreichen, ohne Geschwader und Bataillone loszuschicken. Ein Computer-Angriff auf iranische Zentrifugen hatte das Atomprogramm des Landes um mehrere Jahre zurückgeworfen, schätzen Experten. Allerdings dürften die positiven Seiten solcher Waffen nur betont werden, bis sie eine Katastrophe auslösen. Experte Kenneth Geers: „Wir haben bisher noch keine Fälle erlebt, bei denen große Städte Opfer eines Cyber-Angriffes werden. Aber, wenn das passiert, werden die Politiker einen Gipfel einberufen und den Einsatz von Cyber-Waffen beschränken.“
Sehr viele Juristen und Techniker glauben, dass so eine Einigung einen Minimalkompromiss umfassen könnte, der nicht auf die Waffen zielt, sondern auf die Angriffe. So könnten sich die Staaten einigen, bestimmte Ziele nicht anzugreifen (wie Krankenhäuser und Schulen) oder Dritte zu schützen oder nur bestimmte Arten von D-Waffen nicht einzusetzen. Ein generelles Verbot, wie es etwa die Chemiewaffenkonvention vorsieht, ist wenig wahrscheinlich.
Alle D-Waffen liegen im gleichen Arsenal: dem Internet. Für Kontrollen müsste es unverschlüsselt und komplett zugänglich sein
Denn die Beschränkung, Kontrolle und Vernichtung von Chemiewaffen ist ein vergleichsweise leichtes Unterfangen. „Auf der Erde gibt es gut 5.000 Einrichtungen, die chemische Waffen herstellen können“, sagt Geers. „Aber wir schwimmen schon jetzt in Programmier-Code.“ Digitale Waffen sind billig, für fast jedermann herstellbar, sehr leicht zu kopieren und sehr klein. Die IT-Sicherheits-Firma Kaspersky hat in ihrer Datenbank Milliarden bekannte Schadprogramme. Wer sollte die alle kontrollieren? Und vor allem: Wie sollten wir die kontrollieren?
Bei konventionellen Waffenverträgen achten die Vertragsparteien selbst oder eine internationale Organisation darauf, dass niemand gegen sie verstößt. Dazu kontrollieren sie Fabriken, Lager, Militärbasen. Im Falle von D-Waffen würde eine „Inspektion“ bedeuten, das komplette Internet nach Schadprogrammen zu durchsuchen. Dafür müssten private Firmen und staatliche Stellen ihre Netze für Dritte öffnen. Die Geräte und Server von Privatpersonen müssten zugänglich sein - und das alles unverschlüsselt. Ein Datenschutz-Super-Gau, der bestimmt nicht im Sinne von Edward Snowden wäre.
2010 unterzeichneten US-Präsident Barack Obama und der damalige russische Präsident Dmitri Medwedew einen neuen Abrüstungsvertrag über Atomwaffen. Danach einigten sie sich auch auf einige elementare Regeln für D-Waffen. Foto: Kremlin.ru/CC BY 3.0
Der ganzen Diskussion wohnt ein Paradox inne: Je mehr über Cyber-Sicherheit geredet wird, desto weniger gibt es anscheinend. Die Diskussion veranschaulicht eine wahrgenommene Gefahr. Auf die die Militärs und Spione wiederum mit neuer Technik antworten, wodurch die Sicherheit noch kleiner wird. Myriam Dunn-Cavelty von der Eidgenössischen Technischen Hochschule (ETH) Zürich bringt es auf den Punkt: „Die Erfahrungen der letzten zehn Jahre zeigen, dass wir nicht beides haben können: ein strategisch ausnutzbaren Cyberspace voller Schwachstellen - und einen sicheren und widerstandsfähigen Cyberspace, den die ganzen Cyber-Sicherheits-Politiken anstreben.“ Dunn-Cavelty glaubt, dass nicht allein staatliche und ökonomische Interessen diese Diskussionen bestimmen dürfen, denn sonst werde „Cyber-Sicherheit“ zu einer Ausrede für noch stärkere Überwachung, Abschottung und Manipulation.
Wenn wir die strategisch-militärische Brille absetzen und auf das Thema als normale Bürger schauen, wird klar, was das Ziel aller Anstrengungen sein muss: sichere Daten, sichere Infrastruktur, ungestörter Betrieb unserer alltäglichen Einrichtungen. „Die Verringerung unverschlüsselter Datenmengen wird zu weniger Cyber-Verbrechen und weniger Cyber-Spionage führen, was gut ist für die Sicherheit der Menschen und der Staaten.“ Dunn-Cavelty glaubt nicht an internationale Regelungen, sie glaubt an die Kraft der Einzelnen. Damit ist sie nicht allein.
Whistleblower Edward Snowden sagte schon kurz nach seinen Enthüllungen, dass richtig genutzte Verschlüsselung gegen die NSA helfe. Die Menschen müssten nicht nur begreifen, was die Geheimdienste alles sehen, hören, speichern wollen, sondern auch anfangen, sich zu wehren.
Das ist also die dritte Aufgabe, die Snowden den Menschen gestellt hat. Es ist nicht die schwerste, aber weil eine D-Waffen-Konvention derzeit sehr unwahrscheinlich ist, ist es die wichtigste.
Diesen Artikel haben zwei Völkerrechts-Experten aus der KR-Gemeinschaft vor Veröffentlichung gegengelesen und mir wertvolle Hinweise gegeben. Vielen Dank an Karsten Pötschke und Sebastian tho Pesch. Alle Fehler gehen trotzdem auf meine Kappe. In der Sprechblase findet ihr einen Link zum Google Doc, in dem der Text entstand.
Bildredaktion: Martin Gommel; Produktion: Vera Fröhlich.