Podiumsdiskussion: „Cyberwar – ein Angriff auf Freiheit und Demokratie?“ am 6.9.2018 in Köln
25 bis 30 Millisekunden: In dieser Zeit lässt sich heutzutage ein Datenpaket von einem Kontinent zum anderen schicken. Mit dieser Zahl verdeutlichte Podiumsgast Thomas Tschersich, Leiter des Bereichs Internal Security & Cyber Defense der Telekom Security, dem Publikum, mit welchen Dimensionen wir – die Staaten und ihre Organe, die Unternehmen und letztlich jeder Einzelne von uns – im Cyberspace konfrontiert sind.
Gemeinsam mit dem Katholischen Militärdekanat Köln hatte das zebis zu der Veranstaltung geladen. Neben Thomas Tschersich saßen auf dem Podium: Prof. Dr. Robin Geiß, Experte für Völkerrecht von der Universität Glasgow, Generalleutnant Ludwig Leinhos, Inspekteur des Cyber- und Informationsraums, sowie Prof. Dr. Götz Neuneck, stellvertretender wissenschaftlicher Direktor des Instituts für Friedensforschung und Sicherheitspolitik an der Universität Hamburg. Nach der Begrüßung durch den Katholischen Leitenden Militärdekan Monsignore Rainer Schnettker führte die Direktorin des zebis, Dr. Veronika Bock, in das Thema ein. Anhand einer kurzen Filmsequenz mit der Weltkarte von NORSE, eines Anbieters von IT-Sicherheitslösungen, veranschaulichte sie die hohe Frequenz sowie Hauptausgangs- und Zielpunkte von Cyberattacken im globalen Rahmen.
Wie müssen, wie sollten sich Staaten und Gesellschaften völkerrechtlich, politisch und ethisch zu diesem Geschehen im Cyberspace positionieren? Und handelt es sich dabei tatsächlich um einen „Krieg“?
„Nein, wir stehen nicht in Cyberwarszenarien“, lautete die Antwort von Prof. Robin Geiß. Die Schwelle zu echten Kriegshandlungen sei nicht überschritten. Die weniger beruhigende Erkenntnis lautet jedoch, dass unterhalb dieser Schwelle unheimlich viel ausprobiert werde – von kriminellen Handlungen bis hin zur Spionage. Der Cyberspace biete, so der Völkerrechtler, eine hervorragende Projektionsfläche für Zersetzungsmacht. Die zentrale Frage sei deshalb auch nicht die nach dem Eintritt des Verteidigungsfalls, sondern die, ab welcher Schwelle welche Gegenreaktionen erlaubt sind. Wolle Deutschland in diesem hybriden Geschehen relevanter Akteur sein, komme es um bestimmte Offensivkapazitäten nicht herum, denn eventuelle Gegenmaßnahmen müssten durch vorheriges Eindringen in fremde Systeme bereits vorbereitet sein. Offensive Maßnahmen müssten jedoch in einen defensiven Rahmen eingebettet bleiben, dann sei beispielsweise die Zerstörung gestohlener Daten auf einem fremden Server – nicht aber deren Zerstörung selbst – durch das Grundgesetz (Art. 26) gedeckt. Auch das Parlamentsbeteiligungsgesetz stehe sicher nicht zur Diskussion, es müsste aber an aktuelle Erfordernisse (etwa die Reaktion auf einen Angriff in Echtzeit) angepasst werden.
Eine ähnliche Position vertrat Generalleutnant Ludwig Leinhos. Er konnte zwar mit der beruhigenden Erkenntnis aufwarten, dass im Organisationsbereich Cyber- und Informationsraum nicht nur Nerds arbeiteten; als eine der Hauptaufgaben nannte er jedoch „Aufklären und Wirken“. Schon zu Ersterem sei eine offensive Komponente notwendig, so Leinhos, beispielsweise wenn man aus dem eigenen Netz in ein passwortgeschütztes fremdes Netz eindringe. Wichtig sei aber, ob dies zu Informationszwecken oder mit dem Ziel der Manipulation geschehe. Die Geschwindigkeit und Frequenz von Angriffen zwinge in jedem Fall dazu, so Leinhos, rund um die Uhr reaktionsfähig zu bleiben und notfalls auch zu reagieren. Der unregulierte und anonyme Cyberraum stelle gerade für demokratische Rechtsstaaten, die von klaren Verfahren und Zuständigkeiten leben, eine große Herausforderung dar. Leinhos befürwortete deshalb die geplante Aufstellung eines „Cyberabwehrzentrums plus“, um alle Beteiligten zusammenzubringen und Zuständigkeiten zu klären. Gesetzesänderungen könnten durchaus erforderlich sein; den Parlamentsvorbehalt sah er aber grundsätzlich nicht infrage gestellt.
Auch Prof. Götz Neuneck wollte angesichts der Vorgänge im Cyberspace nicht von einem „Krieg“ sprechen und riet generell zu großer Vorsicht bei der Begriffswahl. Unzweifelhaft sei aber, dass sich die Welt unabhängig vom Cyberspace in einem verschärften Wettbewerb um Macht und einem „digitalen Wettrüsten“ befinde. Die zur Verfügung stehenden Mittel inklusive des Cyberraums würden – auch unter Missachtung des Völkerrechts – genutzt; die Gefahr steige, dass Staaten disruptive Software für ihre Interessen einsetzen und eine Eskalation heraufbeschwören. „Die Frage ist: Wird es ein digitales Hiroshima geben?“, so Neuneck. Auf außenpolitischer Ebene plädierte er für das Diskutieren und Festlegen von Regeln, etwa das Aussparen bestimmter sensibler Ziele, und vertrauensbildende Maßnahmen. Ausgehend von möglichen Bedrohungsszenarien müsse innenpolitisch geklärt werden, wer in welchem Falle wie reagieren dürfe. Neben einer guten Frühwarnung und einer besseren Forensik brauche es aber vor allem eine gute Defensive und ein Bewusstsein (awareness) jedes Einzelnen für die Risiken im Umgang mit dem Internet. Das zu erreichen, sei eine zentrale Aufgabe des Staates und der Wirtschaft. Da der Cyberspace eine komplett vom Menschen geschaffene Umgebung sei, könnten wir auch darüber entscheiden, was wir durch Vernetzung eigentlich verwundbar machen dürfen.
Für Thomas Tschersich, der im Gegensatz zu den anderen Diskutanten durchaus von einem „Krieg“ sprechen wollte, waren dies ebenfalls zentrale Punkte. In deutlichen Worten bezeichnete er die Gegenwart als „Zeitalter der digitalen Ignoranz“. 95 Prozent der Cyberattacken – darunter auch die erpresserischen „Wannacry“-Angriffe aus dem Jahr 2017 – seien aufgrund von Versäumnissen erfolgreich. Hinzu komme: Anstatt über sichere Optionen nachzudenken, würden zentrale Strukturen wie die Wasserversorgung „auf Teufel komm raus“ vernetzt. Angreifer, so Tschersich, müssten oft gar nicht durch die Hintertür gehen; „die Vordertür steht weit offen“. Was dagegen tatsächlich besser vernetzt werden müsse, seien die privaten und staatlichen Akteure im Bereich Cybersicherheit. Angesichts hochgradig arbeitsteilig organisierter Attacken, die derzeit vermutlich überwiegend der organisierten Kriminalität zuzurechnen seien, sollten die hierzulande stark fragmentierten „Verteidiger“ ihre Kräfte bündeln.
Bei der Diskussion und der Auseinandersetzung mit den Fragen aus dem Publikum wurde immer wieder deutlich, wie der Cyberspace Grenzen verschwimmen lässt und welche Gefahren dies birgt. So wies Prof. Geiß etwa auf den grundsätzlichen „Dual use“-Charakter von IT-Infrastruktur und das damit verbundene Risiko hin; bei militärischer Nutzung könnte sie nach geltendem Völkerrecht auch zum legitimen Ziel eines militärischen Angriffs werden. Zudem zeigte sich, dass Politik und Gesellschaft die vielen offenen rechtlichen Fragen – wer darf wie und wie lange im Cyberraum agieren? – mit Bedacht regeln muss, wenn durch den „Cyberwar“ Freiheit und Demokratie nicht von innen ausgehöhlt werden sollen.
Kein leichtes Unterfangen, wenn man sich klarmacht, dass man allein im Laufe der rund zweistündigen Veranstaltung rund 300.000 Datenpakete in Folge über den Atlantik schicken konnte.