Großbritannien, die Niederlande und Australien: Mehrere westliche Regierungen machen Russland für die vielen Cyberattacken der vergangenen Jahre verantwortlich. Russland wird vorgeworfen, die Anti-Doping-Agenturen in den USA und Kanada gehackt zu haben und bei der Chemiewaffenkontroll-Organisation OPCW einen Cyberangriff versucht zu haben. Auch die deutsche Regierung hat sich diesen Vorwürfen angeschlossen. Die Anschuldigungen beruhen auf vermeintlich hoch vertraulichen Informationen, die belegen sollen, dass Hacker des russischen Militärgeheimdienstes GRU hinter den Angriffen stecken. Die russische Staatsführung weist die Anschuldigungen zurück. Wie bereits in der Vergangenheit macht sie zivile patriotische Hacker-Gruppen für die Cyberattacken verantwortlich. Gruppen, die ohne das Wissen, ohne die Billigung und ohne staatliche Einflussnahme handeln.
Die gegenwärtige Situation verdeutlicht, wie dringend notwendig international verbindliche Regeln für den Cyberspace sind – auch für Regierungen. Ein großes Risiko und Eskalationspotenzial geht vor allem von invasiver Schadsoftware, dem Umgang mit unter Verschluss gehaltenen Sicherheitslücken in Systemen und von der Manipulation zentraler IT-Infrastrukturen aus. Ein Risiko, das sich erheblich von den Risiken bisheriger militärischer Angriffstechnologien unterscheidet.
Das Narrativ maßgeschneiderter Cyber-Eingriffe mit “chirurgisch exakten” Wirkungen, die ausschließlich auf die Zielobjekte begrenzt bleiben, ist aus technischer Sicht nicht haltbar. Stattdessen besteht eine hohe Eskalationsgefahr, da die gezielte Schwächung von IT-Systemen oder das Ausnutzen von existierenden Schwächen in Software und Hardware in aller Regel auch andere IT-Systeme gefährdet oder für Cyberattacken gegen diese eingesetzt werden kann. Zunehmend automatisierte Angriffsverfahren wie die selbständige Ausbreitung von Schadsoftware in infizierten Systemen können dabei auch unkontrollierbare weltweite “Infektionswellen” in Gang setzen, ohne dass diesen Gefahren menschliche Eingriffs- oder Steuerungsmöglichkeiten gegenüberstehen. Die Erfahrungen mit früheren waffenfähigen Technologien wie Nuklear-, Bio- und Chemiewaffen haben deutlich gezeigt: Es liegt in der Verantwortung aller Staaten, unbeabsichtigte Katastrophen zu verhindern, die Gefahren zu vermeiden und das Risiko einzudämmen, dass durch Missverständnisse Konflikte eskalieren.
Der Cyberspace ist von globaler Bedeutung. Nicht nur die Wirtschaft ist vom Netz und seinen Infrastrukturen abhängig, auch viele andere Bereiche. Angefangen vom Militär bis hin zu den Energieversorgern eines Landes. Deshalb darf dieser sensible Bereich nicht durch militärisches oder nachrichtendienstliches Handeln geschwächt werden. Stattdessen ist der Cyberspace eine globale Domäne, deren Erhalt, Sicherung und friedliche Weiterentwicklung im Interesse aller Staaten liegt und als Staatengemeinschaft bewältigt werden sollte. Daher ist es dringend geboten, bestehende völkerrechtliche Regelungen auf die neuen technischen Gegebenheiten auszuweiten und Grenzen staatlichen Handels zu definieren. Wichtige erste Schritte wie im Rahmen des Aufbaus vertrauensbildender Maßnahmen der OSCE, den Bemühungen um internationale staatliche Regeln durch die Group of Governmental Experts on Information Security (GGE) der UN, oder Vorstöße zur Definition eines zu schützenden Kernbereiches im Cyberspace durch die Global Commission on the Stability of Cyberspace (GCSC) müssen aufgegriffen und weitergeführt werden.
In gleicher Weise müssen die militärischen Entwicklungen in dieser Domäne durch geeignete Konzepte, Prozeduren und Verfahren der Rüstungskontrolle begleitet werden, um Aufrüstungsspiralen einzugrenzen und die weitere Ausbreitung und Normalisierung des Cyberspace als “Schlachtfeld der Zukunft” einzudämmen. Die naturwissenschaftliche und politikwissenschaftliche Friedens- und Sicherheitsforschung kann hierbei entscheidende Beiträge anbieten, vor allem wenn es darum geht zu erforschen, wie diese Technologien sicherer gemacht werden können.