(Gegenwind 354, März 2018)

Bildauswertung Schema

Krieg & Frieden

Cyberpeace statt „Cyberkrieg”

Bei Cyberkrieg (oder englisch Cyberwar) und dem in diesem Vortrag ebenfalls behandelten Drohnenkrieg denken einige vielleicht an Science Fiction, Star Wars oder einen „sauberen Krieg”. Auch die Bundeswehr intendiert dies mit ihrem Werbe-Slogan „Deutschlands Freiheit wird auch im Cyberraum verteidigt.” Ich möchte hier aufzeigen, dass das genaue Gegenteil der Fall ist. Dazu gehe ich zunächst auf den Begriff Cyberkrieg und zu dessen Verständnis gehörende Begriffe ein, spreche dann über die Cyberkriegsführung (engl. Cyberwarefare) und erläutere schließlich die Cyberpeace-Kampagne des FifF, das hiermit bewusst einen Gegenbegriff zur in weiten Teilen vorherrschenden Kriegsrhetorik geschaffen hat und eine ausschließlich friedliche und völkerverständigende Nutzung des Cyberraums fordert.

Der Begriff Cyberkrieg

Cyberkrieg wird hier in Anlehnung an das sogenannte Tallin-Manual, auf das ich später genauer eingehe, definiert als der miliärische informations- bzw. kommunikationstechnische Angriff (Cracking) eines Staates oder einer anderen Organisation auf die Informationstechnik und/oder Kommunikationsinfrastruktur, Hardware wie Software, kritische Infrastruktur und Netzwerke, öffentlich wie privat, offen wie eingeschränkt, also über das Internet weit hinausgehend, eines anderen Staates bzw. Landes, um in diese Systeme einzudringen, diese - über Sicherheitslücken, Viren, Trojaner etc. - auszuspähen, zu manipulieren, zu schädigen, lahmzulegen oder zu zerstören.

Cyberspace ist jede Informations- und Kommunikationsinfrastruktur, Hardware wie Software, öffentlich wie privat, offen wie eingeschränkt. Offensichtlich geht dies über das Internet hinaus. Es kann Werkzeuge einschließen, die nicht mit einem Netz verbunden sind, wenn beispielsweise (wie bei dem Wurm STUXNET, worauf ich später genauer eingehen werde) ein USB-Stick genutzt wird, um Schadsoftware zu verbreiten.

Cyberwaffe ist jede Software oder Hardware, die durch Ausnutzen von Schwachstellen für die Ausführung eines Cyberschlags angewendet werden kann. Cyberwaffen nutzen üblicherweise Schwachstellen aus, die geheim gehalten werden, und deren destruktiver Charakter aus der Unmöglichkeit erwächst, Effekte seiner Ausnutzung abzuschwächen. Durch die Veröffentlichung der Schwachstelle können Gegenmaßnahmen eingeleitet werden. Auch dazu später mehr.

Cyberangriffe sind Aktionen mit der Absicht, Informationen in einem Computer und/oder einem Computernetz abzustreiten oder zu zerstören, oder den Computer und/oder das Computernetz selbst zu schwächen, zu stören oder zu zerstören.

Zur Frage, wann ein staatlicher Cyberangriff ein kriegerischer Akt ist, gibt es bisher keine Legaldefinition. Es wurde und wird aber die Auffassung vertreten, dass es sich genau dann um einen kriegerischen Akt handelt, wenn die zerstörerischen Auswirkungen einer Cyberattacke vergleichbar sind mit denen konventioneller Waffengewalt, also wenn etwa Züge entgleisen, Flugzeuge abstürzen, Kraftwerke explodieren und Menschen verletzt werden oder sterben. Aufgrund von Fehlinterpretationen kann es dadurch zu einer Eskalationsspirale kommen.

Gemäß Genfer Konvention sind militärische Angriffe auf die Zivilbevölkerung und zivile Infrastrukturen verboten. Problematisch sind die sogenannten möglichen und sogar wahrscheinlichen „Kollateralschäden”, welche die Zivilbevölkerung schwer treffen können. Von „chirurgischer Präzision” kann daher nicht gesprochen werden.

Staaten haben ein Recht auf angemessene Selbstverteidigung und Gefahrenabwehr gemäß UN-Charta (Artikel 51). Dies gilt für den Cyberspace wie auch die reale Welt. Dafür gilt der Verhältnismäßigkeitsgrundsatz. Die-se ist fraglich, da die Streuwirkung immens sein kann. Die NATO hält geheim, ab wann und wie auf einen Cyberangriff konkret reagiert werden soll, um „unberechenbar” zu bleiben (Abschreckungseffekt).

Zwei Probleme sind in diesem Zusammenhang von Bedeutung.

Zum Einen das Attributions- oder Zuordnungsproblem: Im Cyberraum gibt es keine Soldaten in Uniform, die sich einer Seite zuordnen lassen. Dadurch besteht das Risiko einer Fehlzuordnung von Angriffen durch Manipulation von Programmcode (False-Flag-Attacks werden leichter). Ist der Angriff zivil-kriminell, wirtschaftlich, geheimdienstlich oder militärisch motiviert? Der Internationale Gerichtshof (IGH) verlangt eine klare Beweislage.

Zum Anderen das Dual-Use-Problem: Dies ist die Ausbreitung rein militärischer Angriffe auf zivile Infrastrukturen. Der Cyberraum kennt keine wirksamen Grenzen: weder nationale, geografische, physische oder technische.

Cyberwaffen sind Malware (Viren, Würmer, Trojaner, (Social) Bots, (D)DOS-Attacken), aber auch Social Engineering.

Cyberwarfare

Die technische Grundlage des Internets, also die Vernetzung von Computersystemen weltweit, wurde in militärischem Auftrag (1969 durch die zum US-Verteidigungsministerium gehörende Defense Advanced Research Projects Agency, kurz DARPA) angelegt.

Die (militärische) Kernbotschaft eines Positionspapiers des US-Generalstabs aus dem Jahr 1996, der „Joint Vision 2010”, war die sogenannte „network centered warfare”. Gefordert wird seitdem eine umfassende Nutzung moderner Kommunikations- und Informationstechnologie in Waffen, Waffensystemen und den zu ihrem Einsatz notwendigen Infrastrukturen.

Der Cyberspace, der weltweite virtuelle Verkehrsraum für digitale Daten aus Kabeln, Mobilfunk und vernetzten Computersystemen, ist für die Ausspähung und Manipulation fast aller Lebensbereiche prädestiniert. Dass dies tatsächlich geschieht, haben die Snowden-Dokumente gezeigt, wobei die militärische Dimension und die daraus resultierenden persönlichen und gesellschaftlichen Risiken kaum thematisiert wurden und werden. Zur Erkennung der Absichten von Freund und Feind ist die digitale Ausspähung das Kernelement.

Es gibt eine gefährliche Rechtsauslegung im Tallin-Manual „Cyber Warfare - ein Handbuch zur Anwendung des Völkerrechts auf die Cyberkriegsführung”. Zu der Frage „Wie lässt sich das Völkerrecht auf den Cyberraum anwenden?” traf sich 2013 in Tallin eine „Expertengruppe”, bestehend aus 20 Militär- und militärnahen Juristen der NATO-Staaten, mit dem Internationalem Roten Kreuz und dem Cyber-Kommando der USA und erarbeitete 95 Regeln, die zwar keine rechtliche Bindung haben, aber doch richtungsweisend sind.

Völkerrechtlich sind Militärschläge lediglich bei „realen Schäden” erlaubt, also wenn Cyberangriffe Tötungen, Verletzungen oder Zerstörungen zur Folge haben. Laut Tallin-Manual aber auch bei bloß wirtschaftlich-finanziellen Schäden, die katastrophale Ausmaße bewirken, z.B. ein Börsencrash. Dann wären auch konventionelle Gegenschläge rechtens, so der Leitfaden, was aber zu einer unkrollierbaren Eskalation führen könnte.

Regel 15 des Handbuchs besagt, dass ein Staat sein Recht auf Selbstverteidigung auch präventiv ausüben darf, also bevor ein Angriff stattgefunden hat oder dieser bevorsteht. Auch hier besteht hohe Missbrauchs- und Eskalationsgefahr.

Ferner gelten laut Handbuch zivile Hacker als aktive Kriegsteilnehmer, wenn sie Cyber-Aktionen im Verlauf kriegerischer Konflikte ausführen und können daher angegriffen und getötet werden. Sogar das Suchen und Offenlegen von Schwachstellen in Computersystemen des Gegners gilt als kriegerische Handlung. Die Kampfzone wird damit auf Privatpersonen und deren Laptops und Smartphones ausgedehnt.

Mit konventioneller Waffengewalt auf einen Cyberangriff antworten darf ein Staat gemäß Regel 22 nur, wenn die Attacken Menschenleben gekostet oder massive Schäden angerichtet haben. Dies alles ist geeignet, eine schwere Datenattacke blitzartig in einen echten Krieg mit Raketen, Bomben und Granaten eskalieren zu lassen.

Die internationale Sicherheit und die Zivilbevölkerung werden durch all das erheblich gefährdet. Es werden die Grenzen verwischt zwischen Krieg und Frieden, Angriff und Verteidigung, innerer und äußerer Sicherheit, zwischen staatlichen und nichtstaatlichen, militärischen und zivilen, kriminellen und politisch motivierten Angriffen und Zielen, Gegenmaßnahmen und Akteuren. Es öffnet dem Missbrauch Tür und Tor und ist demokratisch kaum zu kontrollieren. Zudem behalten sich USA und NATO einen konventionellen Militärschlag als Antwort auf einen Cyberangriff ausdrücklich vor.

Geheimdienste handeln mit Schwachstellen/Sicherheitslücken in Hard- und Software, unter anderem im Darknet. Dort tummeln sich ansonsten auch Kriminelle wie Menschen, Drogen- und Waffenhändler. Der BND hat dafür im Jahre 2017 etwa 20 Mio. Euro veranschlagt. Dies erscheint geradezu lächerlich, betrachtet man die NSA mit ihrem mutmaßlichen Jahresbudget zwischen 10 und 50 Mrd. Dollar und ihrer Abteilung TAO (Tailored Access Operations), in der eine „Spezialtruppe” sich auch um nicht kooperationswillige Hersteller „bemüht”.

Der Präsident des Bundesamtes für Sicherheit im Internet (BSI) Schönbohm erläuterte im kürzlich veröffentlichten Lagebericht, dass derzeit ca. 600 Millionen Schadprogramme bekannt sind und täglich etwa 280.000 hinzukommen.

Zum Virus oder Wurm „Stuxnet”: Er bewirkte die Zerstörung iranischer Zentrifugen zur Urananreicherung. Seine Einschleusung geschah wahrscheinlich via USB-Stick, für die Entwicklung wurde vermutlich eine 2-stelliger Millionenbetrag benötigt, weshalb sich auf eine vermutlich staatliche Initiative schließen lässt. Weitere mutmaßlich staatliche und mittlerweile entdeckte Schadprogramme sind: DuQu, Regin, Flame, Gauss und Remsec.

Kriminelle können Sicherheitslücken zur Erpressung nutzen (Beispiel: Locky). Wannacry ist eine Lücke im Microsoft-Betriebssystem Windows, die fünf Jahre lang nur der NSA bekannt war. Folge war in verschiedenen Teilen der Welt die Lahmlegung ziviler Infrastrukturen („Kollateralschäden”) im Gesundheitswesen, der Energieversorgung und von Verkehrssystemen.

Zum Drohnenkrieg: Seit der Bush-Regierung gibt es dabei jährlich Tausende extralegale Tötungen im Jemen, Somalia, Pakistan, Afganistan und Irak (Syrien?) durch die USA. Begangen werden dabei sogenannte Signature Strikes, also Drohnen-Angriffe z.B. anhand von Handy-Standortdaten. Man stelle sich einmal ein Schulkind vor, das in einem dieser Länder friedlich leben und die Schule besuchen möchte, auf seinem Weg aber Drohnen und von ihren Angriffen (inklusive „Kollateralschäden”) sieht und hört. Was bewirkt das?

Seit dem 1. April 2017 hat die Bundeswehr eine neue Streitkraft „Cyber- und Informationsraum” mit fast 14.000 Dienstposten - ohne gesetzliche Grundlagen, demokratische Kontrolle oder Parlamentsbeteiligung. Der Cyberraum wird zum möglichen Kriegsgebiet erklärt und die Bundesrepublik Deutschland beteiligt sich damit am globalen Wettrüsten im Cyberspace. Dafür gab es den Big Brother Award 2017 in der Kategorie Politik für die Bundeswehr und Ursula von der Leyen als Ministerin. In seiner Laudatio erläuterte Dr. Rolf Gössner von der Internationalen Liga für Menschenrechte die Kritik der Jury: „Mit dieser digitalen Aufrüstung wird - neben Land, Luft, Wasser und Weltraum - ein fünftes Schlachtfeld, das sogenannte ‚Schlachtfeld der Zukunft’ eröffnet und der Cyberraum - man kann auch sagen: das Internet - zum potentiellen Kriegsgebiet erklärt.”

Cyberpeace

Die Cyberpeace-Kampagne des FifF e.V. wurde 2015 gestartet. Vornehmlich geht es uns um Frieden und internationale Verständigung und wir wollen keine militärischen Operationen im Internet!

Das FifF will der Öffentlichkeit die gefährliche Durchdringung des virtuellen Raumes mit militärischen Aktivitäten bewusst machen. Ziel der Kampagne ist es, die Zivilgesellschaft zum politischen Handeln zu mobilisieren: gegen Ausspähung der Privatsphäre, zum informationellen Selbstschutz, zur Einforderung sicherer und unkompromittierbarer IT-Produkte und -Infrastrukturen. Sie soll ihr Schutzbedürfnis durch die Politik artikulieren und die Achtung der Menschenrechte im virtuellen Raum einfordern.

Die Kampagne Cyberpeace fordert:

Wir sehen die Kampagne Cyberpeace als einen ersten Schritt auf dem Weg, über die Durchsetzung von Gesetzesinitiativen und administrativen Maßnahmen den politischen Willen zu schärfen, in internationaler Zusammenarbeit einen umfassenden Bann offensiver Cyberwaffen anzustreben. Dieses Ziel haben wir in einem Forderungskatalog von 14 politischen Maßnahmen spezifiziert.

Forderungen des FifF zum Cyberpeace sind folgende politische Maßnahmen. Unsere Kampagne beginnt mit der Beschreibung des Problems. Was sind die Risiken, Gefahren und Probleme, die Cyberwarfare erzeugt?

Drohnenangriffe fordern zahlreiche Opfer unter Unbeteiligten. Angriffe, die auf unsicheren Eigenschaften der Ziele basieren („Signature Strikes”) richten sich gegen Opfer, gegen die nicht einmal ein hinreichender Verdacht besteht.

Computergestützte militärische Operationen erzeugen die Illusion eines „sauberen” Krieges und senken damit die Schwelle des Einsatzes.

Daraus ergeben sich für uns Ziele, die wir mit unserer Kampagne erreichen wollen. Vision und Leitbild ist die Entmilitarisierung und ausschließlich friedliche Nutzung des Internet: Wir wollen Ächtung von Cyberwaffen, auf IT-Produkte ausgedehnte Rüstungskontrolle, Entflechtung und Kontrolle von Militär und Geheimdiensten. Dies sind Ziele, für die sich das FifF auf fachlicher Ebene bereits einsetzt. In seinem Forderungskatalog hat das FifF diese Ziele präzisiert und begründet. Vorrangig sind

Aus diesen grundsätzlichen Forderungen haben wir 14 konkrete Forderungen abgeleitet, die im Folgenden teilweise ausführlich dargestellt werden.

  1. Keine Erstschläge und offensiven Schläge im Cyberspace
  2. Eine ausschließlich defensive Sicherheitsstrategie
  3. Abrüstung
  4. Keine konventionelle Antwort auf Cyberangriffe
  5. Genfer Konvention im Cyberspace:

Kritische Infrastrukturen sind attraktive Ziele für Angriffe in Kriegen, da ihre Fehlfunktion den Gegner fundamental schwächt. Die Fehlfunktion dieser Infrastruktur führt auch zu einer ernsthaften Schwächung der Zivilgesellschaft, wenn wichtige Einrichtungen zur Sicherung der Lebensgrundlagen, beispielsweise die Wasserversorgung, die Energieversorgung oder Einrichtungen zur Gesundheitsvorsorge angegriffen werden.

Im Einzelnen fordern wir:

  1. Cyberpeace-Initiative auf Regierungsebene
  2. Demokratische Kontrolle des Internet und von Cybersicherheits-Strategien:

Heute werden Strategien zur Cybersicherheit nicht offen diskutiert und Cyberkriegsstrategien im Geheimen entwickelt und umgesetzt. Als Berater fungieren häufig Geheimdienste (BND) und Firmen aus dem US militärischen und industrieellen Komplex wie CSC. Nur Transparenz für alle Arten der Cyberstrategien kann Vertrauen schaffen und einem Rüstungswettlauf im Cyberspace entgegen wirken.

Im Einzelnen fordern wir:

  1. Online-Protest ist kein Verbrechen
  2. Klar definierte und demilitarisierte politische Sprache:

Politik und Medien nutzen häufig unklare Sprache in irreführender Weise, mit dem Potenzial, zu einer Eskalation von Konflikten beizutragen. Beispielsweise suggeriert der Begriff „Cyberkrieg”, dass nur militärische Lösungen in Frage kommen.

Im Einzelnen fordern wir:

  1. Schwachstellen müssen veröffentlicht werden:

Heute scheinen Geheimdienste Schwachstellen auszunutzen, zu verursachen und sie gegebenenfalls für die zukünftige Nutzung geheimzuhalten. Diese Schwachstellen können auch für kriminelle Zwecke missbraucht werden. Werden sie dagegen veröffentlicht, ist es wahrscheinlich, dass sie schnell geschlossen werden - ein ausreichender Zeitraum muss aber gewährt werden, bevor sie öffentlich bekannt gemacht werden. Dadurch wird das öffentliche Bewusstsein und Vertrauen in defensive Sicherheitsstrategien erhöht.

Im Einzelnen fordern wir:

  1. Schutz kritischer Infrastrukturen:

Heute sind kritische Infrastrukturen häufig leicht vom Internet aus zu erreichen. Da Schwachstellen prinzipiell unvermeidbar sind, können sie angegriffen werden. Die Sicherheit kritischer Infrastrukturen muss durch kompetente und transparente Audits und Tests sichergestellt werden.

Im Einzelnen fordern wir:

  1. Cybersicherheits-Zentren aufbauen und betreiben:

Wir brauchen Einrichtungen, die sicherstellen, dass Bedrohungen aus dem Cyberspace effektiv entgegengewirkt wird, und die angemessene Instrumente dafür sind, Cybersicherheit zu erreichen und zu verbessern. Cybersicherheits-Zentren müssen so organisiert werden, dass sie fundamentale Bürger- und Menschenrechte schützen.

Im Einzelnen fordern wir:

  1. Förderung (junger) IT-Experten:

Heute mangelt es an IT-Experten und Know-How für effektiven Schutz gegen Cyberangriffe in Europa. Dieser Mangel wird durch IT-Experten verstärkt, die an Werkzeugen zur Kompromittierung der Infrastruktur arbeiten, anstatt ihre Sicherheit zu verbessern. Aktuell verschwindet Lehre aus den Curricula, die die Auswirkungen der Technologie auf die Gesellschaft behandelt. Diese Entwicklung muss rückgängig gemacht werden.

Im Einzelnen fordern wir:

  1. Förderung freier und offener Software:

Im Gegensatz zu proprietärer Software macht freie und offene Software unabhängige Inspektionen und Reviews prinzipiell möglich - auch wenn dies Sicherheit nicht garantieren kann. Dennoch wird die Wahrscheinlichkeit von versteckten Hintertüren (Back-Doors) erheblich reduziert. Die gesamte Community kann solche Reviews durchführen, wenn sie effektiv sein sollen, müssen sie aber durch kompetente und unabhängige Auditoren und Prüfer erfolgen.

Im Einzelnen fordern wir:

Stephan Schlereth
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FifF) e.V.

Zum Weiterlesen

https://cyberpeace.fiff.de/Kampagne

https://www.bundeswehrabschaffen.de/eloka.htm

Dr. Rolf Gössner, Cyberkrieg und Völkerrecht, FifF-Kommunikation, Zeitschrift für Informatik und Gesellschaft 2/2017 - Juni 2017

W&F: Wissenschaft und Frieden - Dossier 79, Kriegführung im Cyberspace, Beilage zu Wissenschaft und Frieden 3/2015 und zur FIfF-Kommunikation 3/2015 - September 2015

Zur Startseite Hinweise zu Haftung, Urheberrecht und Datenschutz Kontakt/Impressum