Wörterbuch zur Sicherheitspolitik. Ernst-Christoph Meier
Читать онлайн книгу.
beispielsweise gleichzeitig von infizierten Computern in 178 Staaten aus. In verwendeter Schadsoftware werden oftmals falsche Hinweise in Form von anderweitig zuordenbaren Programmfragmenten oder Sprachen verwendet (sog. false flag attacks). Das hieraus resultierende Attribuierungsproblem gilt derzeit als die wesentliche technische und politische Herausforderung der Cyber-Sicherheit, da es eine Strafverfolgung, aktive Cyber-Abwehr, diplomatische Gegenmaßnahmen oder im Extremfall Selbstverteidigung gegen Cyber-Angriffe erschweren, verzögern oder gar unmöglich machen kann. Dadurch sind Cyber-Angriffe, auch unterhalb der Schwelle eines bewaffneten Angriffs, ein geeignetes Mittel hybrider Bedrohungen und werden als solches bereits eingesetzt.
Unmittelbar verknüpft mit dem Attribuierungsproblem ist die Frage, inwieweit klassische Mechanismen der Abschreckung auch im Cyber-Raum wirken. Es besteht international weitgehender Konsens, dass schwerwiegende Cyber-Angriffe mit Auswirkungen, die einem (kinetischen) bewaffneten Angriff vergleichbar wären, konstituierend für die Ausübung des Rechts auf individuelle und kollektive Selbstverteidigung nach Art. 51 der Charta der Vereinten Nationen (Selbstverteidigungsrecht) sein können und damit aus Sicht der NATO-Staaten auch Auslöser kollektiver Verteidigung nach Art. 5 des Nordatlantikvertrages. Dies schließt den Einsatz konventioneller militärischer Mittel als Reaktion auf einen Angriff aus dem Cyber-Raum ein, da Verteidigungsmaßnahmen zwar verhältnismäßig sein müssen, in ihrer Art aber nicht den Angriffsmitteln entsprechen müssen (keine »reaction in kind«). Da Selbstverteidigung militärisch sinnvoll und rechtlich zulässig nur gegen den Angreifer gerichtet werden kann, bedarf es jedoch zunächst einer tragfähigen Attribuierung des bewaffneten Angriffs. Dazu tragen nicht nur technische Fähigkeiten (u. a. sog. Cyber-Forensik zur Analyse der Schadsoftware), sondern auch weitere Kriterien wie u. a. nachrichtendienstliche Erkenntnisse, politische Einordnung in eine krisenhafte Entwicklung sowie Kooperationswillen und Transparenz des mutmaßlichen Angreifers bei. Die Fähigkeit und der vorab klar durch einen Staat kommunizierte Wille, im Falle eines schwerwiegenden Cyber-Angriffs das Recht auf Selbstverteidigung basierend auf politisch tragfähiger Attribuierung auch auszuüben und damit die potenziellen Kosten für den Angreifer deutlich zu erhöhen, trägt wesentlich zur Abschreckung bei (deterrence by punishment) und kann die Symmetrie zwischen Verteidiger und Angreifer weitgehend wiederherstellen. Gleichermaßen bedarf es der Fähigkeit, durch effektive Cyber-Abwehr und eine konsequente Resilienzbildung einem Angreifer die beabsichtigte Wirkung seiner Angriffe zu verwehren (Deterrence by Denial). Die jeweilige Wirksamkeit und richtige Balance beider Konzepte hinsichtlich der Bedrohung im Cyber-Raum ist bereits seit Längerem Gegenstand des politischen und wissenschaftlichen Diskurses.
Internationale Entwicklungen
Da die beschriebenen Risiken im Wesentlichen auch aus der globalen Vernetzung von IKT resultieren, existieren in nahezu allen internationalen Organisationen im Bereich Sicherheit, Staaten, einschlägigen Nichtregierungsorganisationen sowie großen Wirtschaftsunternehmen Initiativen und Prozesse, die sich mit lokalen, regionalen oder globalen Möglichkeiten zur Verbesserung der ~ beschäftigen.
Die Generalversammlung der VN hat am 22. Dezember 2018 die mittlerweile sechste Gruppe von 25 Regierungsexperten (UN Group of Governmental Experts – GGE) aus repräsentativer globaler Verteilung der Staaten mandatiert, die von 2019–2021 tagen wird. Deutschland ist, neben den automatisch gesetzten ständigen Sicherheitsratsmitgliedern, der einzige Staat, der an allen bisherigen GGEs teilgenommen hat. Eines der wesentlichen bisherigen Ergebnisse wurde in der 3. GGE 2013 mit der Anerkennung der Anwendbarkeit existierenden internationalen Rechts, inklusive des Rechts auf Selbstverteidigung nach Art. 51 der Charta der VN, erzielt. Das Mandat der aktuellen GGE umfasst die Untersuchung existierender und möglicher Bedrohungen für die Informationssicherheit, die Anwendbarkeit internationalen Rechts auch im Cyber-Raum, Normen verantwortlichen Staatenhandelns, Fragen der Attribuierung von Cyber-Angriffen sowie Vertrauens- und Sicherheitsbildende Maßnahmen (VSBM).
Die Mitgliedstaaten der OSZE haben 2012 eine informelle Arbeitsgruppe mandatiert, um zwischenstaatliche Kooperation, Transparenz, gegenseitige Berechenbarkeit und Stabilität zu fördern sowie das Risiko für Fehleinschätzungen, Eskalation und Konflikte zu reduzieren, die aus der Nutzung von IKT resultieren können. Nachdem im Dezember 2013 eine wegweisende Einigung über einen ersten Satz von Vertrauensbildenden Maßnahmen (VBM) erzielt werden konnte, wurde im März des Folgejahres unter deutschem OSZE-Vorsitz ein deutlich erweitertes Paket verabschiedet. Insgesamt wurde damit u. a. vereinbart, gegenseitig Kontaktstellen auszutauschen, Doktrinen, nationale Auffassungen und relevante Definitionen offenzulegen sowie beim Schutz kritischer Infrastrukturen zusammenzuarbeiten. Die VBM sind nicht bindend. Darüber hinausgehende Vereinbarungen der Abrüstung und Rüstungskontrolle erscheinen derzeit jedoch u. a. aufgrund praktischer Probleme hinsichtlich einer Definition von »Cyber-Waffen« und den damit verbundenen Implementierungs- und Verifikationsproblemen, aber auch einer längst überwunden geglaubten »Blockbildung« nicht realistisch.
Die NATO Verteidigungsminister haben in ihrer Gipfelerklärung in Wales 2014 bekräftigt, dass auch mit der gleichzeitig beschlossenen, aktuellen Enhanced NATO Cyber Defence Policy, wie bei ihrem Vorläufer von 2008, die vorrangige Aufgabe der NATO im Bereich Cyber-Sicherheit sowie Schutz der eigenen Netze liegt. Zudem wurden auch detaillierte Maßnahmen zur Umsetzung in den einzelnen Vertragsstaaten vereinbart, da es eine Vielzahl von Schnittstellen zwischen nationalen und NATO-Netzen gibt und die nationale Cyber-Sicherheit Auswirkungen auf das gesamte Bündnis haben kann. Bei der Erreichung dieser Planungsziele können sich die Alliierten gegenseitig unterstützen. Ebenso gibt es Unterstützungsmöglichkeiten im Falle von Cyber-Krisen. In ihrer Policy bekräftigt die NATO ausdrücklich die Anwendbarkeit des Völkerrechts auf den Cyber-Raum und stellt klar, dass Cyber-Angriffe auch den Bündnisfall nach Art. 5 des NATO Nordatlantikvertrags begründen können. Die Umsetzung des aus der Policy abgeleiteten Arbeitsplanes wird in regelmäßigen Sitzungen des Cyber Defence Committee (CDC) aus politischer Sicht sowie des Consultation, Command and Control Board (NATO C3B) aus fachlicher Sicht eng begleitet. Vorkehrungen zu Cyber-Defence sind Bestandteil der Einsatzplanungen der NATO. Offensive Cyber-Maßnahmen sind nicht Teil der Policy, wenngleich einige Vertragsstaaten über diese Fähigkeit verfügen und 2018 zugesagt haben, diese auf freiwilliger Basis (als sog. Voluntary National Contribution – VNC) für NATO Operationen und Missionen zur Verfügung zu stellen. Der Schutz der Hauptquartiere und Dienststellen wird zentral durch das NATO Computer Incident Response Capability (NCIRC) sichergestellt. Das NCIRC steht dabei in engem Austausch mit den nationalen Computer Emergency Response Teams (CERT). Im Falle einer Cyber-Krise werden die notwendigen Maßnahmen durch das Cyber Defence Management Board (CDMB) gesteuert und eng mit den nationalen Cyber-Sicherheitsbehörden abgestimmt. Mit dem sog. Cyber Defence Pledge der NATO Verteidigungsminister vom 8. Juli 2016 in Warschau wurden die bisherigen Ziele nochmals bestätigt und gegenseitig versichert, alle notwendigen Anstrengungen zu unternehmen, die nationale Cyber-Sicherheit deutlich zu verbessern und u. a. Kritische Infrastrukturen besser zu schützen.
Außerhalb der NATO Kommandostruktur dient das durch die NATO akkreditierte Cooperative Cyber Defence Centre of Excellence (CCD COE) in Tallinn, Estland, u. a. der Analyse von Bedrohungen und Anwendung relevanten internationalen Rechts im Cyber-Raum, Durchführung von Übungen und internationalen Konferenzen sowie Ausbildung im Bereich Schutz eigener IT-Netzwerke. Es wird getragen von der estnischen Regierung sowie einer steigenden Anzahl (derzeit 29) von Unterstützerstaaten, überwiegend NATO-, aber auch Nicht-NATO-Staaten.
Mit der Herausgabe ihrer ersten Cyber-Sicherheitsstrategie hat die Europäische Union im Jahr 2013 ein umfassendes Verständnis dieses Themenkomplexes gewählt, das von Sicherheit und Widerstandsfähigkeit (Resilienz) der Netze über Cyber-Verteidigung, internationale Zusammenarbeit und Förderung von Technologieentwicklung reicht. Sicherheitspolitisch relevant waren in der Folge aus der Strategie abgeleitete Ratschlussfolgerungen (Dezember 2013) und der EU-Politikrahmen (November 2014), u. a. hinsichtlich des Schutzes der bei GSVP-Operationen und -Missionen genutzten Kommunikationsinfrastruktur, Fähigkeitsentwicklung, Ausbildung und Übungen sowie Zusammenarbeit mit Partnern und hier insbesondere der NATO. Die »Cyber Diplomacy Toolbox« (2017) soll gemeinsame politische Reaktionen u. a. auf Basis einer Abstimmung nationaler,