Die Web-Version dieses Policy Briefs enthält keine Fußnoten. Für die Quellenangaben laden Sie bitte die PDF-Version der Studie hier herunter.
| Länder verteidigen, die sich um deutsche Unterstützung bemühen, und die Kapazitäten für eine solche Hilfe ausbauen. |
| Sich konsequent für eine starke und transparente Cybersicherheit einsetzen, um auch Partner im Ausland zu einem solchen Vorgehen zu bewegen. |
| Klarer auf seine eigenen offensiven Cyberfähigkeiten und seine Bereitschaft verweisen, diese Kapazitäten zu Verteidigungszwecken im Einklang mit dem Völkerrecht einzusetzen. |
| Seine offensiven Cyberfähigkeiten in Krisensituationen auf Ersuchen auch vertrauenswürdigen Partnern zur Verfügung zu stellen. |
Einleitung
Mit dem Einmarsch Russlands in die Ukraine erhält Deutschland die einzigartige Gelegenheit einer Positionierung im globalen Cyberspace. Es reicht nicht mehr aus, bei Cyberoperationen auf die Einhaltung des Völkerrechts zu drängen und den Kapazitätsaufbau weiter voranzutreiben. Derartige allgemeingültige Erklärungen haben für die deutschen Verbündeten vor allem in Krisenzeiten keinerlei Wert. Die deutsche Regierung muss stattdessen eine konkrete Strategie für ihr weiteres Vorgehen entwickeln. Kurzum: Das Land muss sich als (Cyber)-Macht positionieren und von seinem Ruf als unzuverlässiger Partner befreien.
Innerhalb der Allianz der Westmächte hat sich Deutschland stets als vorbildlicher Partner gesehen. Inzwischen vertreten jedoch immer mehr deutsche Politiker*innen die Auffassung, dass das Land aus der Masse hervortreten, eine Führungsrolle übernehmen und angesichts seiner Wirtschaftskraft angemessene Militär- und Sicherheitskapazitäten aufbauen muss. Zu diesem Zweck muss es als zuverlässige Cybermacht auftreten, die ihre schutzbedürftigen europäischen Nachbarn unterstützt. Auf nationaler Ebene muss es zielgerichtete politische Strategien verfolgen, die sich auch auf internationaler Ebene umsetzen lassen. Seine offensiven Cyberfähigkeiten müssen zudem die Fähigkeiten anderer großer Cybermächte ergänzen. Dazu gehören Verteidigungswerkzeuge, die auch in Friedenszeiten schädigende Cyberoperationen unterbinden. Im Mittelpunkt derartiger Strategien steht weniger die Abschreckung (der Iran führt z. B. regelmäßig Cyberangriffe gegen die USA durch, die bekannter- und erwiesenermaßen über offensive Fähigkeiten verfügen), sondern vielmehr ein transparentes demokratisches Vorgehen im Dienste der Bürgerinnen und Bürger. Russland hat seine offensiven Cyberfähigkeiten bisher weder offiziell bestätigt, noch hat es näher erläutert, unter welchen Umständen sie zum Einsatz kommen.
Vor allem aber kann sich Deutschland keine weitere Nabelschau leisten, was den Stellenwert der Zeitenwende und ihre Folgen für die Identitätsbildung nach dem Kalten Krieg betrifft. Das Land benötigt endlich eine Nationale Sicherheitsstrategie mit allen Merkmalen einer „Großstrategie“ und einem eindeutigen Narrativ, um die deutsche Gesellschaft zu informieren und zu mobilisieren. In die Ausarbeitung dieser NSS müssen auch die Cybermaßnahmen der deutschen Verbündeten und gegebenenfalls deren Defizite einfließen. Dafür ist es zunächst einmal sinnvoll, die verschiedenen Positionen im Cyberspace näher zu definieren.
Großbritannien: die verantwortungsvolle Cybermacht
In einem umfassenden Bericht zu Fragen der Sicherheit, Verteidigung, Entwicklung und Außenpolitik (Integrated Review of Security, Defence, Development and Foreign Policy) aus dem Jahre 2021 bezeichnet sich Großbritannien selbst nicht nur als führende, sondern auch als verantwortungsvolle Cybermacht. Folglich stehen britische Cyberoperationen im Einklang mit dem Völkerrecht und mit nationalem Recht. Darunter fällt auch das Gesetz über die Nachrichtendienste (Intelligence Services Act) von 1994, gemäß dem nationale Nachrichtendienste einer parlamentarischen Kontrolle unterliegen. Darüber hinaus bezeichnet der Bericht die britischen Cyberfähigkeiten als angemessen und zielgerichtet. Die damit verbundenen Beschränkungen sind Teil des unbeugsamen britischen Einsatzes gegen „verantwortungslose“ Cyberaktivitäten. Der Bericht nennt Russland als Beispiel für ein solches Verhalten, weil es keinen Wert auf die Rechtmäßigkeit seiner Cyberoperationen mit weitreichenden, wenn nicht sogar globalen Kollateralschäden legt. Als verantwortungsvolle Cybermacht bekennt sich Großbritannien offen zu seinen Offensivfähigkeiten. „Wir werden auch weiterhin (…) auf unsere nuklearen und offensiven Cyberfähigkeiten zur Verteidigung gemäß unseren Bündnisverpflichtungen aus Artikel 5 [des Nordatlantikvertrags] verweisen.“
Frankreich: die stabilisierende Cybermacht?
Frankreich bezeichnet sich in seiner neuen Cyberstrategie von 2021 als stabilisierende Kraft des Friedens und der Sicherheit. Im Dokument heißt es außerdem, dass Frankreich einen wirksamen Multilateralismus befürwortet, der Menschenrechte, Grundfreiheiten und demokratische Grundsätze achtet. Das Land engagiert sich gegen destabilisierende Kräfte wie Russland, das mit nuklearen Marschflugkörpern und interkontinentalen nuklearen Torpedos über „ungewöhnliche“ Waffen verfügt. Darüber hinaus will Frankreich sogar in Regionen mit dringendem politischen Reformbedarf eine Vorreiterrolle im Bereich internationaler Stabilisierungsbemühungen übernehmen. Aus französischer Sicht erfordert die Sicherung der Stabilität auch eine Reaktion auf Cyberangriffe. In dieser Hinsicht nimmt das Land eine ähnliche Haltung wie Großbritannien ein: Beide befürworten Normen für ein verantwortungsbewusstes Staatenverhalten. Außerdem will Frankreich vertrauensbildende Maßnahmen zur Stabilitätssicherung durchführen, um eine Eskalationsdynamik bei Cyberangriffen zu verhindern.
USA: die demokratische Cybermacht
Die USA positionieren sich als werteorientierter Verfechter demokratischer Normen. In dieser Rolle legen sie das Völkerrecht – in Abhängigkeit von ihren jeweiligen geopolitischen Zielsetzungen – bei Bedarf etwas großzügiger aus. Mit Blick auf das Souveränitätsprinzip stellen die USA fest, dass „Cyberoperationen auf Computern oder anderen Netzwerkgeräten, die sich auf dem Hoheitsgebiet eines anderen Staates befinden, nicht per se eine Verletzung“ der Souveränität darstellen. Frankreich hat hier beispielsweise eine strengere Rechtsauffassung, denn es betrachtet „jedes unzulässige Eindringen eines anderen Staates in ein französisches System oder jedwedes Einwirken auf französischem Staatsgebiet mit digitalen Mitteln“ als Verletzung der eigenen Souveränität“.
Das Selbstverständnis der USA als Cybermacht zeichnet sich auch durch die Bereitschaft aus, entschlossen gegen seine Gegner vorzugehen. Diese Strategie ist Teil der „Persistent-Engagement-Theorie“, die das aktuelle Vorgehen der USA im Cyberspace bestimmt:
„Mit einer möglichst zielgerichteten offensiven Verteidigung gegen gegnerische Aktivitäten verfügen wir über einen größeren Spielraum, um die Schwächen unserer Gegner zu erkennen, ihre Absichten und Fähigkeiten zu ermitteln und zielgerichtet auf Angriffe zu reagieren. Durch unser kontinuierliches Engagement können wir unsere Gegner taktisch und strategisch schwächen und dazu zwingen, ihre Ressourcen auf die Verteidigung und Verhinderung von Angriffen umzuleiten.“
Das Außergewöhnliche an der Nationalen Sicherheitsstrategie 2021 von US-Präsident Joe Biden ist auch ihre klare Werteorientierung. Nach Maßgabe dieser Strategie sind alle Formen von Cyberbedrohungen, und auch andere Bedrohungen, letztendlich gegen eine Gemeinschaft von Demokratien gerichtet.
Drei Problemfelder
Aus den Positionierungen dieser drei Mächte ergeben sich drei Probleme. Erstens sind sie weniger koordiniert, als es zunächst erscheinen mag. Denn auch wenn sich die Formulierungen in den Strategiedokumenten häufig gleichen, werden sie in den einzelnen Ländern unterschiedlich ausgelegt. Beispielsweise sind sich alle drei zwar einig über die allgemeine Anwendbarkeit des Völkerrechts auf Cyberoperationen, doch sie haben sehr unterschiedliche Auffassungen davon, wie dieses Recht zur Anwendung kommt. Dies zeigt auch das im Vorangehenden aufgeführte Beispiel zur Definition des Souveränitätsbegriffs.
Zweitens überschätzen die drei Mächte häufig die Faktoren, die ihrer Einheit zugrunde liegen, sei es mit Blick auf internationale Normen oder als Wertegemeinschaft. Sie können sich also miteinander verbunden fühlen, obwohl sich ein Land aus Sicht der anderen „verantwortungslos“ oder „destabilisierend“ verhält. Beispielsweise haben die USA Malware in die kritische Infrastruktur und die Raketensysteme eines gegnerischen Staates eingeschleust, um seine Offensiv- und Defensivkapazitäten zu schwächen. Dies wiederum könnte den Gegner zu Gegenmaßnahmen bewegen. Disruptive Angriffe auf das Staatsgebiet von Bündnispartnern könnten ebenfalls als Rechtsverletzung gewertet werden.
Drittens definieren die einzelnen Mächte ihre eigene Rolle häufig aus einem negativen Blickwinkel auf das, was sie nicht sind. Frankreich verhält sich nicht wie eine terroristische Vereinigung, weil solche Gruppen zerstörerisch und destabilisierend vorgehen. Die USA sind nicht wie China, weil beide Länder über vollkommen unterschiedliche Wertesysteme verfügen. Großbritannien verhält sich nicht wie das verantwortungslose Russland. Selbst positive Glaubenssätze werden häufig nicht eindeutig formuliert. Großbritannien spricht von „verantwortungsvollen offensiven Cyberoperationen“, wenn es darum geht, schädliche Akteure im Cyberspace für ihre Taten zur Rechenschaft zu ziehen. Allerdings hat der Verfasser dieses DGAP Policy Briefs bereits in einem anderen Artikel darauf verwiesen, dass sich „verantwortungsvolle“ offensive Cyberoperationen nur schwer definieren und durchführen lassen.
Deutschland als zuverlässige Cybermacht
Die vorangehende Analyse macht deutlich, dass sich die Strategien der deutschen Verbündeten im Cyberspace in ihren wesentlichen Zielsetzungen gleichen. Doch es gibt auch Unterschiede, was die Anwendbarkeit des Völkerrechts und die Durchführung von Cyberoperationen betrifft. Die USA führen mit Abstand die disruptiven Angriffe durch unter den westlichen Staaten – als Beispiele waren Stuxnet und die Sabotage des nordkoreanischen Raketenprogramms zu nennen. Das Vorgehen Frankreichs und Großbritanniens ist dagegen weitaus gemäßigter oder zumindest weniger offensichtlich. Dieser wahrgenommene Unterschied muss sich auch in den nationalen Strategien niederschlagen. Deutschland muss in seiner Nationalen Sicherheitsstrategie die vielen Gemeinsamkeiten mit seinen Verbündeten, aber auch die eigene besondere Position als zuverlässige Cybermacht unterstreichen. Wie könnte Deutschland dies erreichen?
Im Inland …
Die deutsche Nationale Sicherheitsstrategie und Innenpolitik müssen zuverlässig und konsequent auf Transparenz und eine Stärkung der Cybersicherheit ausgerichtet werden, um auch andere Länder zu Maßnahmen mit ähnlichen Schwerpunkten zu bewegen. Zurzeit hat Deutschland mit der Offenlegung von Sicherheitslücken und der Verschlüsselung einen anderen Weg gewählt. Das Bundesinnenministerium (BMI) setzt in seiner aktuellen Cybersicherheitsagenda auf die innerstaatliche Rolle der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) bei der Entwicklung offensiver Cybertools, um die Abhängigkeit von vergleichbaren Instrumenten aus dem Ausland zu reduzieren. Allerdings geht Deutschland im Unterschied zu den USA und Großbritannien weder transparent noch offen mit dem Einsatz derartiger Tools um. Ohne einen solchen Rahmen, gemeinhin als „Schwachstellenmanagement-Prozess“ bekannt, kann es sich und andere nicht schützen, wenn es selbst auf Intransparenz setzt.
Auch die deutsche Verschlüsselungspolitik wird den Ansprüchen an eine verlässliche und um mehr Sicherheit bemühte Cybermacht nicht gerecht. Die aktuelle Strategie „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ zeigt die ganze Widersprüchlichkeit des deutschen Vorgehens. Die fortgesetzte Ende-zu-Ende-Verschlüsselung wird durch den Einbau von Hintertüren für Behörden untergraben. Mit einer solchen Strategie macht sich Deutschland anfällig für Cyberbedrohungen und legitimiert darüber hinaus das Handeln autoritärer Staaten, die Verschlüsselungsstandards zum Zweck der Inlandsüberwachung systematisch abgebaut haben.
… und im Ausland
Deutschland muss seine Vision für den Cyberraum mit seinem Selbstverständnis als Cybermacht oder, anders gesagt, mit seinen übergeordneten strategischen Zielen abgleichen. Aktuell sind seine strategischen Prioritäten darauf ausgerichtet, eine größere Rolle in der europäischen Verteidigung zu übernehmen und in diesem Bereich für schwächere Nachbarstaaten als verlässlicher Partner aufzutreten. Tatsächlich hat sich Deutschland in jüngster Zeit aktiver um die Kontrolle des ost- und südosteuropäischen Luftraums bemüht und patrouilliert vor allem über den Staatsgebieten von Polen und Rumänien, die unmittelbar von Russland bedroht sind.
Deutschland muss sich ähnlich aktiv in der Verteidigung der ost- und südosteuropäischen Flanken des Cyberraums zeigen und dieses Engagement mit anderen EU-Mitgliedstaaten koordinieren. Zu diesem Zweck muss das Land seine internationalen Kapazitäten ausbauen und Best Practices mit seinen Partnern austauschen. Jüngste Cyberangriffe auf Albanien (die nach Angaben des Landes vermutlich vom Iran ausgingen) verdeutlichen die Notwendigkeit einer Unterstützung der regionalen Cyberabwehr, die im Anschluss an die Cyberangriffe vor allem aus den USA kam. Montenegro, ebenfalls Zielscheibe schädigender Cyberaktivitäten, hat Unterstützung vom US Cyber Command bei der zusätzlichen Sicherung seiner Netze gegen Cyberangriffe erhalten. Doch auch deutsche Expertise ist gefragt. Kurz vor dem russischen Einmarsch in die Ukraine war ein Besuch von Mitarbeitenden des Bundesamts für Sicherheit in der Informationstechnik geplant, um das Land bei Maßnahmen zur Cybersicherheit zu unterstützen. Auch wenn die Reise aus Sicherheitsgründen abgesagt wurde, ist eine solche Unterstützung unter sicheren Bedingungen zu befürworten.
Die deutsche Stellungnahme zu den eigenen offensiven Fähigkeiten findet sich versteckt im Glossar auf Seite 133 der Cybersicherheitsstrategie von 2021. In der neuen Nationalen Sicherheitsstrategie muss die Regierung noch deutlicher darauf verweisen, dass Deutschland über offensive Cyberfähigkeiten verfügt und diese im Einklang mit dem Völkerrecht auch einsetzen wird. Offensive Cyberoperationen sollte das Land nur als Reaktion auf schädigende Aktivitäten und zur Verhinderung disruptiver Angriffe durchführen. Es sollte auf das Einschleusen logischer Bomben in die kritische Infrastruktur seiner Gegner verzichten, sofern keine unmittelbaren feindlichen Handlungen vorliegen oder drohen. Das Eindringen in gegnerische Netze zum Zweck des Erkenntnisgewinns und der Aufklärung wäre weiterhin möglich. Trotz gelegentlicher Zweifel an Deutschlands offensiven Cyberfähigkeiten ist es der Bundeswehr 2016 gelungen, in die afghanische Mobilfunkinfrastruktur einzudringen und Informationen im Zusammenhang mit einer Geiselnahme zu erlangen.
Als verlässliche Cybermacht muss Deutschland seine offensiven Cyberfähigkeiten auch vertrauenswürdigen EU-Mitgliedstaaten, Nato-Verbündeten oder Partnern im Ausland zur Verfügung stellen, um im Krisenfall auf Ersuchen Unterstützung zu gewähren. Mit bilateralen und multilateralen Vereinbarungen ließe sich sicherstellen, dass die Kapazitäten ausschließlich mit Ländern geteilt werden, die Cyberoperationen im Einklang mit dem Völkerrecht durchführen. In derartigen Vereinbarungen könnten auch die bereitzustellenden Fähigkeiten und die Umstände für eine solche Bereitstellung näher definiert werden.
Ein beschränkter Einsatz der offensiven Cyberfähigkeiten Deutschlands stünde im klaren Gegensatz zu den Cyberaktivitäten der USA, die sogar täglich auf feindliche Infrastrukturen abzielen, um die Angriffsfähigkeiten ihrer Gegner zu schwächen. Das aktuelle Vorgehen der USA geht auf den Krieg gegen den Terror zu Beginn des 21. Jahrhunderts zurück, als die Eliminierung von Terroristen gängige Praxis war. Doch diese taktischen Angriffe haben die Welt vermutlich nicht sicherer gemacht. Und die Schädigung der feindlichen Infrastrukturen für Cyberangriffe könnte sich als ebenso wirkungslos erweisen. Die Blockade der Website eines russischen Propagandasenders während der Midterms in den USA wäre für die Behörden vermutlich mit einem Einsatz von Mitteln verbunden, die sie besser und nachhaltiger in den Ausbau der Cyberresilienz oder in strategische Cyberoperationen investieren könnten. Und die langfristige Wirkung aller täglichen taktischen Aktivitäten, auf die die USA ihr anhaltendes Engagement stützen, ist womöglich eher begrenzt – was auch auf die Mehrzahl der russischen Cyberoperationen zutrifft.
Deutschland muss seine Position als globaler Akteur im Cyberkapazitätsaufbau weiter ausbauen, um seine Rolle als zuverlässige Cybermacht zu festigen. Obwohl sich die Regierung schon heute an zahlreichen Initiativen zum Cyberkapazitätsaufbau beteiligt, muss sie ihr diesbezügliches Engagement erweitern und noch stärker in ihre strategische Vision einfließen lassen.
