Es kann noch einige Zeit dauern, bis internationale Normen vereinbart sind, um künftige Cyberkriege zu vermeiden.
Die Niederlande richteten im April die Global Conference on Cyberspace 2015 aus – mit fast 2000 Regierungsmitgliedern, Wissenschaftlern und Wirtschaftsvertreter aus aller Welt. Ich leitete dabei eine Kommission zu Frieden und Sicherheit im Cyberbereich. Diese Konferenz reihte sich ein in all die jetzigen Bemühungen, Regeln zur Vermeidung von Cyberkonflikten festzulegen.
Dass man das Internet nutzen kann, um anderen Schaden zuzufügen, ist inzwischen belegt. Viele Beobachter glauben, dass die USA und Israel hinter einem Angriff steckten, bei dem Zentrifugen in einer iranischen Atomanlage zerstört wurden. Es gibt Behauptungen, dass durch einen iranischen Angriff tausende Computer der Ölfördergesellschaft Saudi Aramco zerstört wurden.
Russland wird für Cyber-Angriffe auf Estland und Georgien verantwortlich gemacht. Erst Ende 2014 machte US-Präsident Barack Obama das nordkoreanische Regime für eine Cyber-Attacke auf Sony Pictures verantwortlich.
Bis vor Kurzem war Cybersicherheit eine überwiegend einer kleinen Gemeinschaft von Computerexperten vorbehaltene Sphäre. Als 1970 das Internet geschaffen wurde, bildeten dessen Mitglieder ein virtuelles Dorf; alle kannten einander, und gemeinsam entwarfen sie ein offenes System, ohne dabei groß auf die Sicherheit zu achten.
Das Internet als Keimboden
Anfang der 1990er-Jahre entstand daraus das World Wide Web, und aus dessen damals wenigen Millionen Nutzern sind heute drei Milliarden geworden. In kaum mehr als einer Generation hat sich das Internet zum Keimboden der Weltwirtschaft und weltweiter Regierungsführung entwickelt.
Im kommenden Jahrzehnt werden nicht nur weitere Milliarden menschlicher Nutzer dazukommen, sondern auch Dutzende Milliarden Geräte – von Thermostaten bis hin zu industriellen Steuerungssystemen. All diese sich abzeichnenden Interdependenzen implizieren Schwächen, die von Regierungen und nichtstaatlichen Akteuren ausgenützt werden können. Zugleich fangen wir gerade erst an, die Auswirkungen, die das für die nationale Sicherheit hat, richtig zu verstehen.
Strategische Studien des Cyberbereichs ähneln jenen zur Nuklearstrategie in den 1950er-Jahren: Die Analytiker sind sich noch immer nicht im Klaren über die Bedeutung von Angriff, Verteidigung, Abschreckung, Eskalation, Normen und Rüstungskontrolle.
Der Begriff Cyberkrieg wird sehr locker auf eine breite Palette von Verhaltensweisen angewandt, die von einfachen Sondierungsmaßnahmen, der Verunstaltung von Websites und „Dienstblockade“-Angriffen bis zu Spionage und Zerstörung reichen. Insofern spiegelt er Wörterbuchdefinitionen des Begriffes Krieg wider, die jedes organisierte Bemühen umfassen, „etwas zu stoppen oder zu besiegen, das als gefährlich oder schlecht betrachtet wird“ (z.B. „Krieg gegen Drogen“).
Eine nützlichere Definition von Cyberkrieg ist: Jede feindliche Maßnahme im Cyberspace, die physische Gewalt größeren Umfangs verstärkt oder ihr von ihrer Wirkung her gleichkommt. Zu bestimmen, ob eine Aktivität dieses Kriterium erfüllt, ist eine Entscheidung, die nur die politische Führung eines Landes treffen kann.
Vier Bedrohungskategorien
Es gibt vier wesentliche Kategorien von Cyberbedrohungen für die nationale Sicherheit – jede mit anderem Zeithorizont und (prinzipiell) anderen Lösungen: Cyberkrieg und Wirtschaftsspionage stehen überwiegend mit Staaten in Verbindung, Cyberverbrechen und Cyberterrorismus werden überwiegend mit nichtstaatlichen Akteuren in Verbindung gebracht.
Die höchsten Kosten verursachen derzeit Spionage und Verbrechen, doch könnten sich die beiden anderen im Verlauf des nächsten Jahrzehnts zu größeren Bedrohungen auswachsen als sie es heute sind. Zudem könnten sich einzelne Kategorien mit der Fortentwicklung von Bündnissen und Taktiken zunehmend überschneiden.
Während des Kalten Krieges begrenzte der ideologische Konkurrenzkampf die amerikanisch-sowjetische Zusammenarbeit. Das Wissen über die nukleare Zerstörungskraft auf beiden Seiten führte jedoch zur Entwicklung eines primitiven Verhaltenskodex zur Vermeidung einer militärischen Konfrontation. Zu diesen grundlegenden Vorsichtsregeln gehörte es, von direkten Kämpfen und vom nuklearen Ersteinsatz abzusehen; zudem gehörte dazu die Kommunikation in Krisensituationen – etwa im Rahmen der Vereinbarungen über den „heißen Draht“ zwischen Moskau und Washington –, Maßnahmen bei Atomunfällen und bei Vorfällen auf hoher See.
Schadensbegrenzung
Heute streben Russland und China einen Vertrag über eine breit gefasste Aufsicht der Vereinten Nationen über das Internet an. Obwohl ihre Vision der Informationssicherheit die Zensur durch autoritäre Regierungen legitimieren könnte und daher für demokratische Regierungen inakzeptabel ist, lassen sich möglicherweise Verhaltensweisen ermitteln, die überall als ungesetzlich gelten.
Eine Beschränkung sämtlicher Eingriffe wäre unmöglich. Doch könnte man bei Cyberverbrechen und beim Cyberterrorismus ansetzen. Die wichtigen Länder haben ein Interesse an Schadensbegrenzung durch Vereinbarung einer Zusammenarbeit in Fragen der Forensik und der Kontrolle.
Natürlich hinken historische Analogien immer. Die Cybertechnologie unterscheidet sich offensichtlich sehr stark von der Nukleartechnologie – insbesondere, weil nichtstaatliche Akteure sie sehr viel leichter ausnützen können. Trotzdem gibt es bereits einige offizielle wie inoffizielle Institutionen, die die grundlegende Funktionsweise des Internets regeln.
Die USA planen, die nichtstaatliche Internet Corporation for Assigned Names and Numbers (ICANN) zu stärken, indem sie ihr die Aufsicht über das „Adressbuch“ des Internets übertragen. Daneben gibt es das Übereinkommen über Computerkriminalität des Europarates von 2001, gemäß dem Interpol und Europol die Kooperation zwischen den nationalen Polizeikräften erleichtern. Und eine UN-Gruppe aus Regierungsexperten analysiert bereits seit Längerem, wie das Völkerrecht mit der Cybersicherheit in Verbindung steht.
Fortschritte sind möglich
Es dürfte länger dauern, Übereinkommen zu strittigen Fragen wie Cyberangriffen für Spionagezwecke und Gefechtsfeldvorbereitung abzuschließen. Trotzdem muss die Tatsache, dass es derzeit unmöglich ist, ein umfassendes Abkommen zur Cybersicherheit zu vereinbaren, Fortschritte in einigen Fragen nicht verhindern.
Internationale Normen entwickeln sich in der Regel langsam. Im Falle der Nukleartechnologie dauerte es zwei Jahrzehnte. Die wichtigste Botschaft der jüngsten Konferenz in den Niederlanden war, dass die enorme Anfälligkeit im Cyberbereich diesen Punkt nun näherkommen lässt.
Aus dem Englischen von Jan Doolan
Copyright: Project Syndicate, 2015.
DER AUTOR
E-Mails an:debatte@diepresse.com
Joseph S. Nye (geboren 1937 in South Orange, New Jersey) ist Professor für Politikwissenschaft an der Harvard University. Er war Vorsitzender des National Intelligence Council (1993–94) und stellvertretender US-Verteidigungsminister (1994–95). Nye ist Vorsitzender des Global Agenda Council on the Future of Government des Weltwirtschaftsforums. Soeben ist sein neues Buch erschienen: „Is the American Century Over?“ [ Project Syndicate ]
("Die Presse", Print-Ausgabe, 26.05.2015)