Akteure sowie Gruppen organisierter Kriminalität offensive Fähigkeiten zu Cyber-Operationen entwickeln, wird deren Einsatz während Konflikten wahrscheinlicher. Der Cyber-Raum wird daher zunehmend (u. a. von der NATO) als fünfte Dimension der militärischen Operationsführung bezeichnet, neben den klassischen Dimensionen Land, See, Luft und mittlerweile auch Weltraum.
Das Spektrum von Cyber-Angriffen reicht – abhängig von Urheber, Intensität und Zweck – von gewöhnlicher Kriminalität am unteren Ende über subversive Aktionen, Spionage und Sabotage bis hin zur Verwendung als Mittel der Kriegführung am oberen Ende. Schwerwiegende Cyber-Angriffe mit sicherheitspolitischer Relevanz bestanden bis zur Entdeckung des Computerwurms Stuxnet im Jahr 2010 oftmals aus sog. Distributed Denial of Service-Angriffen (DDoS-Angriff), bei denen eine sehr hohe Anzahl infizierter Computer für das Überlasten eines Zielsystems mit Anfragen missbraucht werden, sodass dieses legitime Zugriffe nicht mehr verarbeiten kann. Stuxnet hingegen war mit hohem Aufwand dafür programmiert, unter gezielter Ausnutzung mehrerer, bis dahin unentdeckter Schwachstellen (sog. Zero Days) im Steuerungssystem der iranischen Urananreichungsanlage Natanz den Grad der Urananreicherung des sogenannten »yellow cake« derart niedrig zu halten, dass dieser nicht waffenfähig wäre. Bis heute nimmt die Zahl schwerwiegender Angriffe vermutlich staatlicher oder staatlich beauftragter Akteure stetig zu. Aktuelles Beispiel ist der Hackerangriff auf den US-amerikanischen IT-Dienstleister Solarwinds 2020/2021, bei dem über den regulären Abruf von Software-Aktualisierungen vermutlich mehrere zehntausend Netzwerke von Unternehmen und Regierungsbehörden mit Schadsoftware infiziert wurden. Dadurch konnte sich der verantwortliche vermutlich staatliche Angreifer ungestört über Monate in den Systemen umschauen und geheime Daten mitlesen und abschöpfen. Diese Art komplexer, zielgerichteter und häufig schwer oder erst mit erheblichem Zeitverzug zu erkennender Angriffe, sog. Advanced Persistent Threat (APT), wird derzeit das größte Schadenspotenzial zugesprochen. Eine wirkungsvolle Kombination von Cyber-Spionage und Desinformation waren z. B. die Angriffe auf Wahlkampfbüros der Demokratischen Partei unter der US-Präsidentschaftskandidatin Hillary Clinton im Jahr 2016. Dabei wurden vom E-Mail-Konto ihres Wahlkampfleiters John Podesta mehr als 50.000 E-Mails abgezogen und, teils absichtlich inhaltlich verfälscht und aus dem Zusammenhang gerissen, veröffentlicht und für eine schwerwiegende Einflussoperation missbraucht (sog. »hack and leak«).
Im Vergleich zu anderen militärischen Fähigkeiten verfügen Cyber-Fähigkeiten über eine Besonderheit: Die Hürde und die Kosten für die Nutzung des Cyber-Raums und das Erlangen der Fähigkeit, schädigende Maßnahmen durchzuführen, sind sowohl aufgrund der Dual-Use-Fähigkeit als auch aufgrund der wachsenden kommerziellen Verfügbarkeit von Cyber-Mitteln und Hackingdienstleistern (»Hacking as a service«) im Allgemeinen so niedrig, dass auch kleinere Staaten und selbst nichtstaatliche Akteure eine maßgebliche sicherheitspolitische Rolle spielen können. Sicherheitspolitisch sind hierdurch im Vergleich zu konventionellen militärischen Fähigkeiten neue Machtverteilungen und Asymmetrien denkbar (Asymmetrischer Konflikt).
Gleichzeitig nutzen Angreifer eine große Bandbreite an Maßnahmen, um den Ursprung des Angriffs zu verschleiern und so eine Zuordnung (sog. Attribuierung) zum Akteur oder Verantwortlichen unmöglich zu machen oder zu verzögern. Die DDoS-Angriffe auf Estland 2007, die hinsichtlich der Bedrohung zu einem signifikanten Umdenken in der NATO geführt haben, gingen beispielsweise gleichzeitig von infizierten Computern in 178 Staaten aus. In verwendeter Schadsoftware werden oftmals falsche Hinweise in Form von anderweitig zuordenbaren Programmfragmenten oder Sprachen verwendet (sog. false flag attacks). Das hieraus resultierende Attribuierungsproblem gilt derzeit als die wesentliche technische und politische Herausforderung der Cyber-Sicherheit, da es eine Strafverfolgung, aktive Cyber-Abwehr, diplomatische Gegenmaßnahmen oder im Extremfall Selbstverteidigung gegen Cyber-Angriffe erschweren, verzögern oder gar unmöglich machen kann. Dadurch sind Cyber-Angriffe, auch unterhalb der Schwelle eines bewaffneten Angriffs, ein geeignetes Mittel hybrider Bedrohungen und werden als solches bereits eingesetzt.
Unmittelbar verknüpft mit dem Attribuierungsproblem ist die Frage, inwieweit klassische Mechanismen der Abschreckung auch im Cyber-Raum wirken. Es besteht international weitgehender Konsens, dass schwerwiegende Cyber-Angriffe mit Auswirkungen, die einem (kinetischen) bewaffneten Angriff vergleichbar wären, konstituierend für die Ausübung des Rechts auf individuelle und kollektive Selbstverteidigung nach Art. 51 der Charta der Vereinten Nationen (Selbstverteidigungsrecht) sein können und damit aus Sicht der NATO-Staaten auch Auslöser kollektiver Verteidigung nach Art. 5 des Nordatlantikvertrages. Dies schließt den Einsatz konventioneller militärischer Mittel als Reaktion auf einen Angriff aus dem Cyber-Raum ein, da Verteidigungsmaßnahmen zwar verhältnismäßig sein müssen, in ihrer Art aber nicht den Angriffsmitteln entsprechen müssen (keine »reaction in kind«). Da Selbstverteidigung militärisch sinnvoll und rechtlich zulässig nur gegen den Angreifer gerichtet werden kann, bedarf es jedoch zunächst einer tragfähigen Attribuierung des bewaffneten Angriffs. Dazu tragen nicht nur technische Fähigkeiten (u. a. sog. Cyber-Forensik zur Analyse der Schadsoftware), sondern auch weitere Kriterien wie u. a. nachrichtendienstliche Erkenntnisse, politische Einordnung in eine krisenhafte Entwicklung sowie Kooperationswillen und Transparenz des mutmaßlichen Angreifers bei. Die Fähigkeit und der vorab klar durch einen Staat kommunizierte Wille, im Falle eines schwerwiegenden Cyber-Angriffs das Recht auf Selbstverteidigung basierend auf politisch tragfähiger Attribuierung auch auszuüben und damit die potenziellen Kosten für den Angreifer deutlich zu erhöhen, trägt wesentlich zur Abschreckung bei (deterrence by punishment) und kann die Symmetrie zwischen Verteidiger und Angreifer weitgehend wiederherstellen. Gleichermaßen bedarf es der Fähigkeit, durch effektive Cyber-Abwehr und eine konsequente Resilienzbildung einem Angreifer die beabsichtigte Wirkung seiner Angriffe zu verwehren (Deterrence by Denial). Die jeweilige Wirksamkeit und richtige Balance beider Konzepte hinsichtlich der Bedrohung im Cyber-Raum ist bereits seit Längerem Gegenstand des politischen und wissenschaftlichen Diskurses.
Internationale Entwicklungen
Da die beschriebenen Risiken im Wesentlichen auch aus der globalen Vernetzung von IKT resultieren, existieren in nahezu allen internationalen Organisationen im Bereich Sicherheit, Staaten, einschlägigen Nichtregierungsorganisationen sowie großen Wirtschaftsunternehmen Initiativen und Prozesse, die sich mit lokalen, regionalen oder globalen Möglichkeiten zur Verbesserung der ~ beschäftigen.
Die Generalversammlung der VN hat am 22. Dezember 2018 die mittlerweile sechste Gruppe von 25 Regierungsexperten (UN Group of Governmental Experts – GGE) aus repräsentativer globaler Verteilung der Staaten mandatiert, die von 2019–2021 tagen wird. Deutschland ist, neben den automatisch gesetzten ständigen Sicherheitsratsmitgliedern, der einzige Staat, der an allen bisherigen GGEs teilgenommen hat. Eines der wesentlichen bisherigen Ergebnisse wurde in der 3. GGE 2013 mit der Anerkennung der Anwendbarkeit existierenden internationalen Rechts, inklusive des Rechts auf Selbstverteidigung nach Art. 51 der Charta der VN, erzielt. Das Mandat der aktuellen GGE umfasst die Untersuchung existierender und möglicher Bedrohungen für die Informationssicherheit, die Anwendbarkeit internationalen Rechts auch im Cyber-Raum, Normen verantwortlichen Staatenhandelns, Fragen der Attribuierung von Cyber-Angriffen sowie Vertrauens- und Sicherheitsbildende Maßnahmen (VSBM).
Die Mitgliedstaaten der OSZE haben 2012 eine informelle Arbeitsgruppe mandatiert, um zwischenstaatliche Kooperation, Transparenz, gegenseitige Berechenbarkeit und Stabilität zu fördern sowie das Risiko für Fehleinschätzungen, Eskalation und Konflikte zu reduzieren, die aus der Nutzung von IKT resultieren können. Nachdem im Dezember 2013 eine wegweisende Einigung über einen ersten Satz von Vertrauensbildenden Maßnahmen (VBM) erzielt werden konnte, wurde im März des Folgejahres unter deutschem OSZE-Vorsitz ein deutlich erweitertes Paket verabschiedet. Insgesamt wurde damit u. a. vereinbart, gegenseitig Kontaktstellen auszutauschen, Doktrinen, nationale Auffassungen und relevante Definitionen offenzulegen sowie beim Schutz kritischer Infrastrukturen zusammenzuarbeiten. Die VBM sind nicht bindend. Darüber hinausgehende Vereinbarungen der Abrüstung und Rüstungskontrolle erscheinen derzeit jedoch u. a. aufgrund praktischer Probleme
