Zum Hauptinhalt springen

Die Deregulierung des Cyberkrieges

Von Johannes Mayerhofer

Politik

US-Präsident Trump hebt Regeln zum Einsatz von Cyberwaffen auf. Geheimdienste könnten nun aggressiver agieren.


Wien/Washington. Um Kriege zu führen, braucht man nicht zwangsläufig Gewehre, Panzer, Raketen oder Bomben. Es gibt eine Art von Krieg, dessen "Kampfhandlungen" sich unsichtbar und lautlos vollziehen - im digitalen Raum. Im "Cyberwar" zählen vor allem Überlegenheit in Sachen IT, das Wissen über systemische Sicherheitslücken, maximale Intransparenz - und auch freie Handhabe.

Die letzten beiden Punkte will US-Präsident Donald Trump seinen Geheimdiensten nun offensichtlich wieder gewähren. Wie das "Wall Street Journal" berichtete, wurde die sogenannte "Presidential Policy Directive 20" seines demokratischen Vorgängers Barack Obama gekippt. Diese im Oktober 2012 in Kraft getretene Weisung sah eine Reihe von Eingrenzungen und Regeln für den Umgang mit Cyberangriffen und die Reaktionen darauf vor.

Die Trump-Administration begründet ihre jüngsten Schritte mit dem Argument, dieses Regelwerk würde amerikanische Vergeltungsschläge auf Cyberaggressoren unnötig verzögern. Kritiker sehen hingegen Risiken in der Deregulierung.

Die "Directive 20" der US-Regierung unter Barack Obama stellte in erster Linie einen Balanceakt dar. Auf der einen Seite sollten amerikanische Interessen und die Sicherheit der IT-Infrastruktur gewährleistet bleiben. Andererseits sollte dies aber nicht globale IT-Netzwerke gefährden. Dabei ging es nicht um eine Einschränkung des amerikanischen Cyberwaffenarsenals. Vielmehr sollten vor allem US-Cybermanöver, die potenziell "schwerwiegende Folgen" - wie etwa den Verlust von Menschenleben, wirtschaftliche und außenpolitische Konsequenzen - nach sich ziehen könnten, unter Kontrolle gestellt und dabei verschiedene US-Institutionen eingebunden werden. Offensive Gegenangriffe sollten nur dann erwogen werden, wenn die regulären Mittel der Netzwerkverteidigung und Strafverfolgung nicht ausreichen. Sollte es dennoch zu einem derartigen Einsatz kommen, sollte die Angemessenheit der verwendeten Mittel hinsichtlich der bestehenden Bedrohung abgewogen werden.

Die Rücknahme dieser Regeln soll den US-Geheimdiensten wieder mehr Flexibilität und Schnelligkeit bei Cyberoperationen ermöglichen - auch im Kampf gegen Diebstahl geistigen Eigentums und ausländische Einmischungen in Wahlkämpfe.

"USA warenbisher Vorreiter"

"Die Rücknahme dieser Kontrollrichtlinien kann man schon als Kehrtwende bezeichnen", meint Sven Herpig. Er ist Leiter des "Transatlantic Cyber Forum" bei der deutschen "Stiftung neue Verantwortung". Hier beschäftigt er sich unter anderem mit Standards für staatliche Hacker-Operationen und dem Schutz politischer IT-Infrastruktur. Schon die Abschaffung des Amts des Cybersicherheitsbeauftragten im Weißen Haus und des obersten Cyber-Diplomaten im Auswärtigen Amt im Juli 2017 habe auf einen Politikwechsel hingedeutet. Diese Stellen arbeiteten im Kampf gegen Cyberkriminalität bilateral und multilateral mit anderen Ländern zusammen.

"Dabei sind die USA bisher stets Vorreiter gewesen, was Regeln und Rahmenbedingungen für Militärs und Nachrichtendienste anbelangt", sagt Herpig im Gespräch mit der "Wiener Zeitung". Seiner Meinung nach sollten demokratische Staaten bei derartigen Regulierungen gemeinsam vorangehen, um eine "Eskalationsspirale", die überbordende Cyber-Angriffe haben könnten, möglichst einzuengen.

Große Probleme bei Cyberangriffen sind vor allem die mangelhafte Treffsicherheit und die Gefahr von "Spill-over-Effekten" - wenn eine Operation also unkalkulierbare, ausufernde Folgen nach sich zieht. So wurde schon in Obamas "Directive 20" darauf hingewiesen, dass diese Gefahr vor allem bei einem global vernetzten Cyberspace nicht zu unterschätzen ist.

Während in den USA offenbar wieder dereguliert wird, ist in Europa die Diskussion darüber, was staatliche Stellen im Falle digitaler Angriffe unternehmen dürfen und welcher Kontrolle ihre Aktivitäten unterliegen, noch in vollem Gange. Laut Herpig würden etwa in Deutschland zurzeit Richtlinien und Regeln erstellt.

Und auch in Deutschland gab es bereits Vorstöße, selbst in den Werkzeugkasten des Cyberwars zu greifen - etwa im Frühjahr 2017 von der damaligen Bundesregierung. So sollten Hackerangriffe mit entsprechenden Gegenangriffen - sogenannten "Backhacks" - beantwortet werden. Von solch einer Vorgehensweise sei aber abzuraten, warnt Herpig.

"America first" auchim Cyberspace

Hacker würden nämlich bei ihren Angriffen häufig über IT-Systeme (unbeteiligter) Dritter operieren. So könnten etwa gestohlene Dokumente und Dateien in IT-Systemen unbeteiligter Firmen und Organisationen zwischengelagert werden. Ein Gegenangriff vonseiten eines staatlichen Geheimdienstes könnte unnötige Kollateralschäden auf Kosten dieser Akteure verursachen. In einem Gastkommentar für die deutsche Wochenzeitung "Die Zeit" schreibt Sven Herpig: "Die Sicherheit unserer Netze sollte Vorrang vor einem möglichen offensiven Einsatz gegen ein IT-System im Ausland haben."

Doch Trumps Vorstellungen gehen offenbar in eine andere Richtung. Durch die Abschaffung der "Directive 20" setzt der US-Präsident seinen Kurs nach dem Motto "America first" nun auch im Cyberspace fort.