Cyberwar & Cyberpeace
Internationaler Pugwash-Workshop, 23.-24. Oktober 2015, Berlin
von Dietrich Meyer-Ebrecht, Ingo Ruhmann und Thomas Reinhold
Militärische Aktivitäten können heute wohl nirgendwo mehr auf der Welt unbeobachtet ablaufen – außer im Cyberspace. Das klingt paradox, dient doch der Cyberspace als übermächtiges Instrument für eine Ausspähung bis in den letzten Winkel der Erde. Dennoch, mit den nötigen Kenntnissen und Mitteln ausgestattet können zumindest Inseln im Informationsraum weitgehend vor Beobachtung geschützt werden. Hier können Waffen entwickelt, produziert und »stationiert« werden, ohne physikalischen Raum zu benötigen; hier können Waffen getestet und zum Einsatz vorbereitet werden, ohne physikalische Spuren zu hinterlassen, und ihre digitalen Spuren können verschleiert oder sogar ausgelöscht werden.
Mit seinem überlegenen Potential zur Geheimhaltung ist der Cyberspace bereits seit langem als fünfter Operationsraum – neben Land, Luft, See und Weltraum – in die militärischen Strategien fest eingebunden. In der Zivilgesellschaft sind Kenntnisse über militärische Aktivitäten im Cyberspace jedoch eher vage, trotz der snowdenschen Enthüllungen. Das ist nicht nur der Geheimhaltung zuzurechnen. Die abstrakte Natur der Materie bringt es mit sich, dass das öffentliche Interesse wenig ausgeprägt ist. Entsprechend schwierig ist es auch, die Auswirkungen militärischer Cyberoperationen abzuschätzen. Unklar ist zudem die völkerrechtliche Einschätzung. Über reale Risiken hinaus ist es die Summe dieser Unsicherheiten, die bedrohlich wirkt.
In dieser Situation ist es umso wichtiger, dass das Thema »Cyberwar« zunehmend in wissenschaftlichen Veranstaltungen aufgegriffen wird, so auch beim diesjährigen Treffen der Deutschen Pugwash-Gruppe in Berlin. Die deutsche Pugwash-Gruppe wurde im Zusammenhang mit der Gründung der Vereinigung Deutscher Wissenschaftler (VDW) bereits im Jahre 1959 ins Leben gerufen, zwei Jahre nach der ersten Pugwash Conference on Science and World Affairs. Mit dem diesjährigen Workshop »Cyberwar & Cyberpeace: Sind neue Regeln im Cyberspace möglich?« setzte die Gruppe eine Veranstaltungsreihe zu Cyberthemen fort, die von den europäischen Pugwash-Gruppen im Sommer 2013 in den Niederlanden initiiert wurde. Ziel des Workshops war es, die mit der Thematik befassten nationalen und internationalen Gemeinschaften von Wissenschaft, Politik und Zivilgesellschaft miteinander ins Gespräch zu bringen und einen Beitrag dazu zu leisten, dass sowohl in Fachkreisen als auch in der Öffentlichkeit ein Bewusstsein für die Komplexität der Sachzusammenhänge entsteht.
Das Programm spiegelte die Vielfalt der Thematik wider. Eröffnet wurde es mit Vorträgen über die technischen Aspekte gegenwärtiger Cyberangriffe, über Konsequenzen für die globale digitale Infrastruktur und über Möglichkeiten für Gegenmaßnahmen und Verteidigung. Hier wurde auch speziell nach den Aufgaben der Regierungen und der Rolle der Europäischen Union gefragt. Dass der Cyberspace als neuer politischer Raum verstanden werden muss, dessen Gestaltung neue juristische und friedenspolitische Fragen aufwirft, machten Vorträge zur juristischen Situation deutlich, die sich mit der Anwendbarkeit internationalen Rechts im Cyberspace, mit der Bedeutung des Tallinn-Manuals und mit den Herausforderungen der NSA-Affäre für das nationale und internationale Recht befassten. In zwei Vorträgen wurde analysiert, wie effektiv internationale Bemühungen zur Gewährleistung der Sicherheit in den globalen digitalen Netzen sein können. Eine Panelsitzung befasste sich mit Forderungen an Verwaltung, Politik und Wirtschaft, speziell bezüglich der Sicherheitsbelange, auch im Hinblick auf humanitäre Fragen.
Ein für Cyberangriffe spezifischer Aspekt sind die Folgen der Schwierigkeiten einer Attribution. Dass die Herkunft von Angriffen und die Identifikation eines Angreifers ein Problem ist, hat auf politischer und strategischer Ebene die Folge, dass es ohne klare Attribution auch keinen eindeutigen Gegner gibt und damit auch keine politische Möglichkeit der Abschreckung oder Begrenzung. Aus Sicht der Diplomatie gibt es damit keine Möglichkeit zwischenstaatlicher Abkommen, sondern allein die Option einer weiteren Aufrüstung.
In der Plenarsession »Military Options and Arms Control for the Cybersphere« wurden systematisch die für bisherige Rüstungskontroll-Vereinbarungen entwickelten Denkweisen, Ziele und Umsetzungsmaßnahmen betrachtet, und es wurde versucht, diese auf den Cyberspace zu übertragen. Diese Sichtweise erlaubt neue Schlussfolgerungen für die Arbeit zur Begrenzung der Rüstung im Cyberspace. So ist die bei Atomwaffen mögliche Option auf Nicht-Verteidigungsfähigkeit in der Informatik keine Option, da IT-Sicherheit (die vielfach ohnehin lückenhaft ist) gegen vielerlei Gefährdungen erreicht werden muss. Dagegen kann eine Strategie der gegenseitigen Zerstörung (mutually assured destruction, MAD, bei Atomwaffen von Bedeutung) bei Cyberangriffen durchaus eine Option sein, wenn demonstriert werden kann, dass ein Gegenschlag auch bei und nach einem Angriff erfolgen kann – allerdings liegt auch hierin eher eine Tendenz zur Aufrüstung. Ein beachtenswerter historischer Sonderfall war im Kontext des Zerfalls der Sowjetunion die unilaterale, aber reziproke Ankündigung sowohl der USA als auch der Sowjetunion, einen Teil ihrer Atomwaffen auch ohne Vereinbarung zurückzuziehen, um das Ende des Kalten Krieges zu signalisieren. Als universeller Weg zur Rüstungskontrolle hingegen wurde der Aufbau vertrauensbildender Maßnahmen beschrieben, die in der IT-Welt etwa die verstärkte Kooperation von Computer Emergency Response Teams (CERTs) bedeuten würde. Etablierte Strategien für Abrüstung sind in jedem Fall wichtige und viel zu wenig untersuchte Ansatzpunkte auch für die Abrüstung im Cyberspace.
In dieser Session ging es auch darum, für die Rüstungskontrolle aus den Erkenntnissen zu lernen, die aus den Snowden-Dokumenten zu ziehen sind. Dies fängt damit an, dass Cyberwaffen bisher gar nicht als solche erkannt werden. Die XKeyscore-Software der NSA ist eine klassische Angriffswaffe, über die lediglich als Spionagewerkzeug berichtet wird. Auch die Infrastrukturen der Cyberkrieger sind heute noch nicht ausreichend erhoben und systematisiert. Wie das »Transgression«-Programm der NSA zeigt, haben die Cyber-Einheiten genügend Kenntnisse voneinander, um sich gegenseitig – sogar auf dritter und vierter Ebene – durch Cyberattacken die Ergebnisse der jeweils gegnerischen Arbeit zu stehlen. Diese Erkenntnisse ließen sich für die Rüstungskontrolle nutzen. Mindestens ebenso wichtig sind die personellen und finanziellen Ressourcen der Cyber-Einheiten, die – der Darstellung verfügbarer Daten zufolge – das sechs- bis zehnfache der Ressourcen zur Verfügung haben wie ihre Gegenüber in der zivilen Strafverfolgung und der zivilen staatlich organisierten IT-Sicherheit. Auch diese Kräfteverhältnisse sollten für die Rüstungskontrolle bewertet und genutzt werden. Als Fazit wurde gezeigt, dass die zahlreichen neuen, aber auch die bereits bekannten Daten und Fakten zu Cyberwar-Akteuren bei weitem nicht angemessen für Rüstungskontrollansätze genutzt werden und damit zahlreiche Lösungsansätze ungenutzt bleiben.
Ein wichtiges Element der Pugwash-Workshops ist die Diskussion spezieller Themen in Arbeitsgruppensitzungen, die der persönlichen, thematischen und wissenschaftlichen Vernetzung dienen. In parallelen Sitzungen waren drei Arbeitsgruppen angesetzt. Es ging darin um die Kontrolle des Internet (Internet Governance) und den Datenschutz, um die Verwundbarkeit der zivilen kritischen Infrastrukturen, wie der Energieversorgung oder des Finanzsystems, (Humanitarian Issues) und um die Frage, ob der Cyberspace zur Arena einer neuen Kriegsführung werden könnte oder dies bereits ist (Cyberspace and Warfare).
Diese letztgenannte Arbeitsgruppe fokussierte sich in ihrer Diskussion auf das friedenspolitisch zentrale Problem der Rüstungskontrolle: Lassen sich Methoden der Rüstungskontrolle, die in den vergangenen Jahrzehnten für andere Waffentechnologien entwickelt wurden, auf den Cyberspace übertragen? Eine entscheidende Voraussetzung dafür wurde in einer präziseren Fassung des Begriffs »Cyberwaffe« gesehen, insbesondere um eine Abgrenzung zu legitimen zivilen sowie defensiven militärischen Anwendungen, wie Penetrationstests, zu gewährleisten. Eine Klassifikation über das Schadenspotential erscheint notwendig, aber schwierig. Es fehlen verlässliche Klassifikationsmethoden. Vor allem lassen sich Kettenreaktionen beim Angriff auf IT-Systeme nicht abschätzen. Weitere wissenschaftliche Arbeit ist dringend geboten, insbesondere um eine Grundlage für internationale Vereinbarungen zu legen.
An dieser Arbeitsgruppe nahm ein einziger Informatiker teil. Überhaupt waren InformatikerInnen deutlich unterrepräsentiert, nimmt man den Ruf nach wirkungsvollerer technisch-wissenschaftlicher Unterstützung friedenssichernder Ansätze angesichts des Potentials militärischer Operationen im Cyberspace ernst. In Gesprächen am Rande wurde eine zögerliche Haltung der Informatik – hier speziell im Fachgebiet Cybersecurity – deutlich, sich mit diesem »heißen« Themenkomplex zu befassen. Dabei ist eine aktive Teilhabe der Disziplin auch deshalb so wichtig, weil der Cyberspace im Gegensatz zu den vier anderen militärischen Operationsräumen von Menschen gemacht ist und seine Funktionsweise von Fachleuten definiert und kontrolliert wird. Beeindruckend war andererseits, welche Vielfalt an wissenschaftlichen Disziplinen an diesem Workshop beteiligt war. Die Komplexität des Themas fordert dies. Allerdings, und das ist eine andere Beobachtung, müssen die Verständigungsbrücken zwischen den Wissenschaften noch erheblich ausgebaut werden.
Die einzelnen Vorträge sowie Berichte aus den Arbeitsgruppen sind im Internet abrufbar: neu.vdw-ev.de/veranstaltungen/international-pugwash-workshop/.
Dietrich Meyer-Ebrecht, Ingo Ruhmann, Thomas Reinhold