Nato-Experte über Cyber-Attacken: "Angriffe sind alltäglich"

Tatort Internet: Der Nato-Experte Robin Geiß spricht mit der "taz" darüber, ob es tatsächlich Anzeichen für einen Krieg im Internet gibt - und über das Demonstrationsrecht im virtuellen Raum.

"Das humanitäre Völkerrecht gilt auch im Cyberspace." Bild: seraph / photocase.com

taz: Herr Geiß, wir haben uns daran gewöhnt, dass das Internet als "Tatort" bezeichnet wird. Was bewegt Militärs und Juristen nun, gar das Wort von einem "Krieg" im Internet zu verwenden?

Robin Geiß: Das sind eher Slogans aus der Welt der politischen Rhetorik. Um es juristisch zu sagen: Ob wir im Hinblick auf den Cyberspace bereits von Kriegen beziehungsweise von bewaffneten Konflikten im Rechtssinne sprechen können, ist mehr als zweifelhaft. Vieles von dem, was heute umgangssprachlich als Cyber-Angriff bezeichnet wird, löst noch lange keinen bewaffneten Konflikt im Sinne des Völkerrechts aus.

Wenn bloß Computer Rechenoperationen vollführen, würden die wenigsten Menschen von Krieg sprechen.

Ja. Ähnliches gilt sicherlich auch für den Begriff des Verbrechens. Das heißt aber nicht, dass wir nicht trotzdem darüber nachdenken müssen, wie wir neue Konfliktsituationen im Netz rechtlich richtig fassen können. Das müssen wir versuchen - ohne leichtfertig oder voreilig von Krieg oder Ähnlichem zu sprechen. Dabei stellt sich auch die Frage, wo die Grenze zwischen Kriminalität im Netz und der Ausübung von Meinungsfreiheit im Netz verläuft.

Als die Website der Lufthansa bei einer "Online-Demonstration" mit Anfragen bombardiert wurde, bis sie zusammenbrach, sprach das Oberlandesgericht Frankfurt die Organisatoren im Jahr 2006 von allen strafrechtlichen Vorwürfen frei. Begründung: Es verbiete sich, hier von "Gewalt" zu sprechen.

Ich bin mir nicht sicher, ob die Gerichte ein vergleichbares Verhalten im nichtvirtuellen Raum noch hätten durchgehen lassen.

Wieso nicht? Als nichtvirtuelle Parallele könnte man an eine Sitzblockade denken. Hier wie da wird der Betrieb für ein paar Stunden aufgehalten.

Sitzblockaden sind in der Tat das klassische Beispiel für Gewaltfreiheit. Aber mit dem Begriff der Gewalt, der für unsere Bewertung von Auseinandersetzungen im nichtvirtuellen Raum so zentral ist, kommen wir im Cyberspace nicht mehr sehr weit.

Warum?

Stellen Sie sich vor, jemand löscht sämtliche Steuerdaten in Deutschland - mit drei Mausklicks. Sicherlich: Eine solche Tat würde man nicht als Gewalt im klassischen Sinne bezeichnen. Aber ist das deswegen bereits ein legitimes Mittel des Protests? Ich denke, auch wenn Zerstörung im virtuellen Raum nicht unmittelbar Menschen verletzt, ist es trotzdem richtig, dass wir beginnen, sie in vergleichbarer Weise ernst zu nehmen.

Die Unterstützer von Wikileaks, die die Webseiten von Mastercard und Paypal zum Absturz brachten, hielten damit nur kurzfristig das Geschäft auf. War das nicht gewaltfrei?

Doch - aber auf diese Kategorie kommt es nicht an. Natürlich darf man im Internet demonstrieren, auch gegen die Politik von Mastercard und Paypal. Es gibt ja auch unzählige Möglichkeiten dazu. Aber nach Ansicht der meisten Staaten gibt es eben auch eine Grenze. Webseiten einfach zum Absturz zu bringen, die einem nicht gefallen, geht zu weit. Die europäischen Staaten haben diese Grenze vor einigen Jahren mit neuen Strafgesetzen markiert.

Wo hört Cyber-Kriminalität auf und beginnt jene Cyber-Kriegsführung, vor der die Nato neuerdings warnt?

Darüber müssen wir diskutieren. Cyber-Attacken sind für viele Regierungen schon heute alltäglich. Die Informationsstrukturen der Nato werden täglich mehrfach attackiert. Die Frage ist: Ab wann erreichen diese Attacken eine solche Intensität, dass die Nato, wie bei einer militärischen Bedrohung, zum Gegenschlag ausholen darf? Etwa erst dann, wenn es in irgendeinem Kraftwerk kracht und funkt, die Cyber-Attacken sich also physisch auswirken? Oder muss das Völkerrecht nicht sagen: "Auch Attacken, die nur virtuell stattfinden, können heute schon dieselbe schreckliche Intensität erreichen"?

Und - was denken Sie?

Ich denke, unsere Antwort muss davon abhängen, inwieweit wir die virtuellen Güter einer Gesellschaft - ihr Gedächtnis sozusagen - für lebenswichtig erachten.

Sie skizzieren eine Auseinandersetzung, die gewaltfrei ist - und dennoch ein Krieg.

Ja, ich halte das für vorstellbar. Denken Sie an das Chaos, das man etwa durch das Löschen aller Sozialversicherungsnummern in einem modernen Staat auslösen könnte. Das Völkerrecht muss neue Sichtweisen wagen, um Auseinandersetzungen, die im Cyberspace ausgetragen werden, klar benennen - und dann hoffentlich humanisieren - zu können.

Nach den "Cablegate"-Enthüllungen von Wikileaks forderten rechte US-Politiker, Julian Assange als feindlichen Kämpfer gezielt zu töten.

Wikileaks hat in den USA zwar eine Menge Chaos geschaffen. Aber sicherlich nichts, das im Entferntesten vergleichbar wäre mit einem militärischen Angriff! Da sind wir eher im Bereich der Grenzen der Meinungs- und Pressefreiheit.

Gibt es überhaupt schon reale Beispiele für Cyber-Kriegsführung?

Nein. Als Estland im Sommer 2007 eine heftige Welle von Cyber-Attacken auf die Regierung erlebte, sprachen manche vom ersten Cyber-Krieg. Aber Estland war bei Weitem nicht so schwer getroffen, dass die Situation einem militärischen Angriff ähnelte. Wenn militärisch relevante Daten oder Einrichtungen zerstört werden, wie bei der jüngsten Attacke auf iranische Atomanlagen mit dem Stuxnet-Virus, dann ist man der Schwelle zum bewaffneten Angriff vielleicht schon ein wenig näher. Aber selbst dort ist kein Staat von einem bewaffneten Konflikt ausgegangen.

Als israelische Kampfflugzeuge im Jahr 1981 den irakischen Reaktor Osirak zerstörten, kamen dabei elf Menschen ums Leben. Die jüngsten Virus-Attacken auf iranische Atomanlagen führten angeblich zu einem ähnlichen Erfolg - aber diesmal ohne jedes Blutvergießen. Das müsste doch eigentlich eine begrüßenswerte Entwicklung sein, oder?

Aus humanitärer Sicht begrüßt man natürlich nie einen Angriff! Aber ich kann mir in der Tat militärische Szenarien vorstellen, wo Cyber-Attacken schonendere Angriffe ermöglichen als konventionelle Waffen. Cyber-Attacken können ja grundsätzlich auch reversibel gestaltet sein. Das heißt: Ich schalte ein Kraftwerk des Gegners aus - aber nur für drei Tage. Danach gehen die Lichter wieder an.

Die Bundeswehr entwickelt bereits eigene Kapazitäten für Cyber-Attacken. Welche Regeln des humanitären Völkerrechts wird die Armee im Cyberspace beachten müssen?

Das humanitäre Völkerrecht gilt in jedem bewaffneten Konflikt, auch im Cyberspace. Allerdings ergeben sich dort verschiedene praktische Anwendungsprobleme. Das humanitäre Völkerrecht steht und fällt mit einer glasklaren Trennung zwischen Zivilisten und Soldaten. Genau diese Trennung lässt sich aber im Cyberspace oft nicht durchhalten. Erstens, weil zivile und militärische Strukturen hier technisch eng miteinander verwoben sind. Und zweitens, weil sich Akteure von Cyber-Attacken typischerweise nicht zu erkennen geben.

Das heißt: Ich weiß nie, wer von einem Computer aus angegriffen hat - Zivilisten oder Soldaten.

Genau, und dementsprechend weiß ich nicht, in welcher Schärfe ich zurückschlagen darf.

Auf welche Art und Weise dürfte ein Staat theoretisch überhaupt zurückschlagen?

Das ist vielleicht das größte Problem. Ich weiß nach einer Cyber-Attacke unter Umständen noch nicht einmal, aus welcher Richtung der Angriff kam. Cyber-Attacken kommen üblicherweise über verzwickte Umwege zum Ziel. Und selbst wenn ich weiß, aus welchem Staat eine Attacke gegen mich wirklich kam, weiß ich noch lange nicht, wer an der Tastatur saß! Das schafft die Gefahr, dass Armeen im Zweifel schlicht auf Verdacht zurückschlagen werden - wohin auch immer.