Samstag, 21. Januar 2017

Rezension: „Cyber“-War – Testfall der Staatenverantwortlichkeit

Schulze, „Cyber“-War – Testfall der Staatenverantwortlichkeit, 1. Auflage, Mohr Siebeck 2015

Von Dr. Matthias C. Kettemann, LL.M. (Harvard), Frankfurt am Main



Von Estland 2007 und Georgien 2008 über Iran im Jahr 2010 bis hin zu den rezenteren Attacken auf die Server des Nationalkomitees der Demokratischen Partei der USA oder der Angriff gegen Yahoo im August 2013, bei dem 1 Milliarde persönliche Daten erbeutet wurden: Cyberattacken sind zu einer ernsthaften Bedrohung für die (inter)nationale Sicherheit und zur Herausforderung für das Vertrauen der Internetnutzerinnen und -nutzer geworden. Sie können in den zunehmend vernetzen Gesellschaften enorme Schäden anrichten. Durch Nutzung ziviler Infrastruktur sind sie häufig nicht zu entdecken, bis es zu spät ist. Immer mehr Staaten und nichtstaatliche Akteure bekennen sich zu (pro)aktiver Cyber-Sicherheit als Gegenwicht zu wachsenden Cyber-Bedrohungsszenarien.

Vor diesem Hintergrund legt Sven-Hendrik Schulze eine kluge Studie zu „[der] Angriffsform der heutigen Zeit“ (224) vor. Etwas irritiert sein Titel. Über Cyberwar wird und wurde viel geschrieben. Locus classicus sind die konkurrierenden Werke von T. Rid und J. Stone im Journal of Strategic Studies. Rid war sich sicher: “Cyber War will not take place” (Journal of Strategic Studies (2011) 35: 1, S. 5-32); Stone konterte “Cyber War will take place” (Journal of Strategic Studies (2012) 36: 1, S. 101-108). Auch der Talinn Manual Process hat ausführlich die Normen der Cyberkriegsführung untersucht (und die Anwendung wesentlicher Teile des humanitären Völkerrechts auf den Cyberkrieg bejaht).

Wer allerdings eine Studie über Cyberkrieg im engeren Sinne erwartet, wird enttäuscht (und daher positiv überrascht). Für den Autor ist Cyber-„War“ „untechnisch zu verstehen, d.h. als plakatives, gewisse, nicht notwendig einen bewaffneten Konflikt voraussetzenden Aktivitäten im virtuellen Raum (Cyberspace) umschreibendes Schlagwort“ (1, FN 6). Es geht also gar nicht um Cyberkrieg(sführung), sondern um Cyber-Attacken. Das Buch hätte durchaus gänzliche ohne den problematischen Cyberkriegsbegriff auskommen können, da auch die Beschreibung des „Phänomen[s] Cyber-‚War‘“ (7) nicht nur oder auch primär auf bewaffnete Konflikte im völkerrechtlichen Sinne, sondern auf Attacken im weiteren Sinne fokussiert. Der Autor präsentiert in Folge eine übersichtliche Topologie der Vektoren und Formen von Cyberattacken, darunter die bekannten DDoS-Attacken, das Defacement, das Einspeisen falscher Informationen in automatisierte Informationssysteme und das Hacking.

Zentrales Thema des Autors ist die Rückverfolgung bzw. Rückverfolgbarkeit von Angriffen. Kenntnisreich analysiert er, warum es so schwierig ist, die Angreifer ausfindig zu machen. Die zwei folgenden Kapitel widmen sich den beiden möglichen Konstellationen einer erfolgreichen und missglückten Rückverfolgung. Wenn der Angreifer identifiziert wird, stellt sich die Frage, inwieweit ein Verstoß gegen Völkerrecht nachweisbar ist, der die Staatenverantwortlichkeit relevant machen würde. In der strittigen Fragen, inwieweit Cyberattacken als Form von „bewaffneter Gewalt“ im Sinne von Art 2 Abs. 4 (und Art 41) UNC gesehen werden können, argumentiert der Autor zutreffend (97), dass dies zu bejahen sei, wenn die Auswirkungen denen realer Waffen gleichkämen und der Verlust an Menschenleben bzw. die Beschädigungen substanziell seien. Hinsichtlich des Interventionsverbots betont der Autor, dass der Cyberspace in Form der der Hoheitsgewalt liegenden Infrastrukturen interventionsfähig seien. Defacement, das Fälschen von Wahlergebnissen (und – aus aktuellem Anlass – wohl auch der Eingriff in den demokratischen Meinungsbildungsprozess eines Landes) seine verbotene Interventionen (115).

Bei der Frage der Zurechenbarkeit der Aktivitäten eines Cyber-Angreifers zu dessen Staat, weist der Autor den „overall control“-Ansatz zurück und folgt dem IGH mit dessen „complete dependencen and control“. Er fordert also „de facto“-Organstellung (141), um Staatenverantwortlichkeit aufleben zu lassen, lässt aber auch „effective control“ hinsichtlich einzelner Handlungen zu. Dies kann man auch anders sehen, „unabdingbar“ (141) ist ein so hoher Zurechenbarkeitsstandard nicht. Die Untersuchungen von CIA und FBI (hinsichtlich des Hacks gegen die Demokraten) haben gezeigt, dass man sich vielfach mit Phrasen wie „hohe Wahrscheinlichkeit“ zufrieden lassen geben muss. Der Autor gibt sodann Vorschläge, wie dennoch eine Verantwortung des Staates qua eigenes Fehlverhalten konzipiert werden kann: de lege lata (Verstoß gegen due diligence oder Gefährdungshaftung) ließe sich nichts gewinnen (148), de lege ferenda identifiziert der Autor aber vielversprechenden Ansätze wie etwa die Umkehr der Beweislast sowie die Übertragung der safe harbour-Doktrin.

Im Falle einer misslungenen Rückverfolgung, was der Autor dann konsequent als den Regelfall betrachtet, stehen die Regeln der Staatenverantwortlichkeit vor einem substanziellen Problem: keine Zurechnung – keine Verantwortlichkeit.

Der Autor fordert zutreffend (im Einklang mit der deutschen Politik), dass über Selbstbindung und politische Commitments (soft law) Cyber-Sicherheit angestrebt und Cyber-„War“ verhindert werden soll. Diese soft law-Prinzipen könnten in Zukunft zu Völkergewohnheitsrecht erstarken.
Darüber hinaus analysiert er zutreffend, dass auch im Bereich der technischen Kooperation einige Bemühungen gemacht wurden (die sich seit Drucklegung 2015 noch verstärkt haben), die Cybersicherheit global anstreben: Neben stärkerer internationaler Kooperation gehört dazu auch der intensivierte Selbstschutz kritischer Systeme und die Einrichtung von Brandmauern um kritische Bereiche („Entnetzung“).

In rechtlicher Hinsicht schlägt der Autor sinnvoll war, dass statt über mangelnde Zurechenbarkeit zu lamentieren, die normative Dynamik des Völkerrechts eher in Richtung einer Aktualisierung des aus dem Gentechnik- und internationalen Umweltrechts leidlich bekannten Vorsorgeprinzips für das Internet zu lenken sei. Einem umfassendes Verbot von Cyberwaffen erteilt er eine Absage: dieser Zug sei abgefahren (218). Indes könnten Pflichten zur Gewährleistung bzw. Verbesserung der Cybersicherheit angesichts der Interdependenz der „interconnected networks“ gut begründet und konturiert werden.


Das Buch stellt einen wichtigen und gut durchdachten Beitrag zum vielschichtigen Phänomen „Cyberattacken“ (und nicht Cyber-„War“) dar, der zur Pflichtlektüre vieler im Internetrecht noch eher unsicheren Außen- und Sicherheitspolitiker werden sollte.