NATO, Cyberwar und das Recht
Arbeitsgruppe V:
„NATO, Cyberwar und das Recht“
Moderation: Hans-Jörg Kreowski (Universität Bremen) und Robin Borrmann (Rechtsreferendar) Rapporteur: Robin Borrmann (Rechtsreferendar)
Einführungsvorträge mit Nachfragen und anschl. Diskussion:
- Hans-Jörg Kreowski (Universität Bremen)
- Oberstleutnant Robert Diwisch (Führungsakademie der Bundeswehr, Hamburg): „Von der Betriebsspionage bis zur Lahmlegung des gesamten Wirtschafts- und Versorgungssystems – Zu den Gegenstrategien der NATO“ – angefragt –
- Dr. Sandro Gaycken (Sicherheitsexperte, FU Berlin): „Formen des Cyberwar und Möglichkeiten der Gegenwehr“
- Prof. Dr. Michael Bothe (Uni Frankfurt/Main): „Zu den rechtlichen Rahmenbedingungen von Cyberwar – Völkerrechtlicher Regelungsbedarf?“ –
Thesen ©
Michael Bothe
„Cyber warfare“ ist eine neue Form von zwischenstaatlicher Schadensstiftung, die eine neue Form von Schaden verursacht. Die Schädigung wird durch eine elektronische Kommunikation vermittelt, die schadensstiftende Informationsgehalte (Viren, Würmer, Trojaner) übermittelt. Der dadurch unmittelbar verursachte Schaden ist die Beeinträchtigung der Funktionsfähigkeit von Computer-Systemen. Diese Computer-Systeme sind aber wesentliche Elemente des Funktionierens lebenswichtiger Dienstleistungen (Energie, Transport, Finanzdienstleistungen)und militärischer Fähigkeiten (Aufklärung, Übermittlung von Informationen an Entscheidungsträger). Deshalb stellt sich die Frage, ob die traditionellen Regeln, die grenzüberschreitende Schädigungshandlungen verbieten, auf diese neue Form von Schädigung und Schaden anwendbar sind. Im Focus steht hier insbesondere eine besondere Form von Schädigung, nämlich die Ausübung militärischer Gewalt. Sind die Regeln über die Ausübung militärischer Gewalt auf solche Schädigungen anzuwenden?
Regeln über die Ausübung militärischer Gewalt gibt es auf zwei Ebenen. Auf der ersten Ebene ist geregelt ob überhaupt militärische Gewalt ausgeübt werden darf, in traditioneller Terminologie das ius ad bellum, besser ius contra bellum, da es bei diesen Regeln gerade um das Verbot militärischer Gewalt geht. Auf der zweiten Ebene wird geregelt, wie denn Gewalt ausgeübt werden darf, wenn sie trotz des Verbots (rechtmäßig oder rechtswidrig) ausgeübt wird (ius in bello). Wegen der Schwäche der Durchsetzung der Regeln der ersten Ebene ist diese zweite Ebene notwendig, um Schlimmeres zu verhindern.
Grundregel des ius contra bellum ist das Verbot zwischenstaatlicher Gewaltausübung. Die wesentliche Ausnahme vom Gewaltverbot ist das Recht der Selbstverteidigung gegen einen bewaffneten Angriff. Es stellt sich also die Frage, ob und unter welchen Umständen die umrissene elektronische Schadensstiftung „Gewalt“ im Sinne des Gewaltverbots darstellt. Das Kriterium, das diese Frage beantworten soll, ist die Gleichwertigkeit der Wirkung der Schadensstiftung („scale and effects comparable to non-cyber operations rising to the level of a use of force“). Eine Maßnahme des Cyber warfare ist Ausübung von militärischer Gewalt, wenn ihre unmittelbare oder auch mittelbare Wirkung der Schadensstiftung durch militärische Maßnahmen gleichkommt. Das ist jedenfalls bei erheblicher physischer Zerstörung der Fall(Stuxnet, Öffnen der Schleusen eines Staudamms).
Der „bewaffnete Angriff“ ist eine intensive Form der Gewaltausübung. Da er ein Selbstverteidigungsrecht auslöst, ist die Definition des bewaffneten Angriffs entscheidend für die Definition von Selbstverteidigung. Dies ist gegenwärtig ein wesentlicher rechtspolitischer Streitpunkt bezüglich des Cyber warfare, aber der Streit ist im Grunde so alt wie dasGewaltverbot selbst. Es geht um die Überzeugungskraft von Rechtfertigungsstrategien für den Einsatz militärischer Gewalt. Da die gebräuchlichste Rechtfertigung für den Einsatz militärischer Gewalt die Selbstverteidigung ist, werden Staaten, die aktive Optionen des Einsatzes militärischer Gewalt verfolgen und diese Optionen rechtlich rechtfertigen wollen, eine weite Definition des bewaffneten Angriffs vertreten, da dies eine weiter reichende Rechtfertigung von angestrebten militärischen Optionen zur Folge hat. In dieser Frage ist hinsichtlich der Bewertung von Maßnahmen des Cyber warfare rechtspolitische Wachsamkeit geboten.
Bewaffneter Angriff in diesem Sinne ist nur solche Gewalt, die von einem Staat gegenüber einem anderen Staat ausgeübt wird. Um den Tatbestand der Verletzung des Gewaltverbots oder des bewaffneten Angriffs zu erfüllen, muss eine Maßnahme einem Staat zurechenbar sein (was allerdings umstritten ist). Die Feststellung der Zurechenbarkeit ist bei Maßnahmen des Cyber warfare in aller Regel schwierig. Die Rückverfolgung einer solchen Maßnahme zu ihrem eigentlichen Urheber ist häufig gar nicht möglich. Die Tatsache, dass eine Schädigung von einem bestimmten Server aus erfolgte, reicht nicht aus, um diese Schädigung dem Staat zuzurechnen, auf dessen Territorium der Server steht. Häufig wird also nicht festzustellen sein, ob eine zweifellos vorhandene massive Schädigung als bewaffneter Angriff von einem bestimmten Staat ausgeht. Aber nur wenn eine solche Zurechenbarkeit mit hinreichender Sicherheit feststeht, ist Selbstverteidigung gegen diesen Staat zulässig. Selbstverteidigung auf Verdacht ist es nicht, wie der IGH in einem anderen Fall von Schädigungshandlungen unklaren Ursprungs entschieden hat. Selbstverteidigung wird also in vielen Fällen von Cyber warfare rechtlich nicht zulässig und übrigens auch militärisch oder politisch nicht sinnvoll sein. Deswegen ist die passive Komponente der cyber security so wichtig.
Die Grundregel des ius in bello ist das Prinzip der Unterscheidung. Im bewaffneten Konflikt zulässig sind Schädigungshandlungen („Angriffe“) durch Angehörige des Militärs (Kombattanten) gegen die militärischen Anstrengungen des Gegners, d.h. gegen seine Streitkräfte und gegen sog. militärische Ziele, das sind Objekte, die wirksam zur militärischen Anstrengung des Gegners beitragen und deren Zerstörung bzw. Eroberung oder Neutralisierung darum einen militärischen Vorteil mit sich bringt. Zivilisten und zivile Objekte dürfen nicht angegriffen werden. Im Rahmen des Cyber warfare stellt sich darum die Frage, welche Art von Schädigungshandlungen, die die Funktionsfähigkeit von Computer-Systemen beeinträchtigen, in diesem Sinne überhaupt angriffe darstellen. Auch für diese Frage ist ihre Wirkung ausschlaggebend. Angriffe in diesem Sinne sind Handlungen, von denen vernünftiger Weise angenommen werden kann, dass sie Verletzung oder Tod von Personen oder Schaden an Sachgütern verursachen werden.
Computer-Systeme, die allein militärischen Zwecken dienen, sind militärische Ziele. Denkbar sind aber auch Angriffen auf Objekte, die zivilen Zwecken dienen, z.B. Steuerungssysteme der Energieversorgung, Einrichtungen der Telekommunikation. Wenn solche Einrichtungen zugleich auch militärischen Zwecken dienen (sog. „dual use“-Objekte), sind sie militärische Ziele. Vor einem Angriff müssen „praktisch mögliche“ Maßnahmen ergriffen werden, um festzustellen, ob das der Fall ist. Wie im Falle von Computer-Systemen die bei dieser Prüfung anzuwendende Sorgfalt zu bestimmen ist, ist eine schwierige Frage.
Die vorstehenden Ausführungen haben die Möglichkeiten und Probleme der Anwendung der bestehenden Regeln über den Einsatz militärischer Gewalt auf Cyber warfare zu zeigen versucht. Diese Anwendung ist grundsätzlich möglich und sinnvoll. Das Phänomen des Cyber warfare ist kein Anlass, die bestehenden Regeln über Bord zu werfen. Bei diesem grundsätzlich richtigen Ansatz gilt es aber, viele Detailfragen zu klären. Dieses hat die NATO mit dem sog. Talinn Manual on International Law Applicable to Cyber Warfare unternommen, die Arbeit einer Expertengruppe des NATO Cooperative Cyber Defence Centre of Excellence in Talinn. Anders als bei anderen „Manuals”, die vergleichbar Expertenarbeit darstellen, wurde hier offenbar kein Wert auf eine weltweite Beteiligung gelegt. Diese Arbeit kann selbstverständlich keine rechtliche Verbindlichkeit beanspruchen. Da sie aber auf einem hohen Niveau von Expertise beruht, wird sie einen Einfluss auf die Rechtsanwender nicht verfehlen. Eine vergleichbare Arbeit aus anderer Quelle gibt es nicht. Die Arbeit ist ein gezielter Versuch der NATO, durch eine auf hohem professionellen Niveau stehende Klärung wichtiger Einzelfragen einen Einfluss auf die Rechtspraxis in den NATO-Mitgliedstaaten und darüber hinaus zu gewinnen. Deswegen verdient das Manual eine kritische Aufmerksamkeit.
Quelle: Online-Zeitung Schattenblick, www.schattenblick.de