Cyber-Attacke auch für Deutschland ein möglicher Angriff nach dem Völkerrecht

Veröffentlicht am von

Die Bundesregierung sieht Cyber-Attacken als möglichen Angriff im Sinne des Völkerrechts, der eine auch militärische Reaktion erlaubt. Damit behält sich Deutschland wie die USA vor, auf eine solche Attacke im Rahmen des Rechts zur Selbstverteidigung mit Waffengewalt zu reagieren. Das geht aus dem Bericht zum Themenkomplex Cyber-Verteidigung hervor, der vom federführenden Bundesinnenministerium gemeinsam mit Auswärtigem Amt, Kanzleramt und Verteidigungsministerium erarbeitet wurde.

Die entscheidende Passage aus dem 35-seitigen Bericht, der im September den zuständigen Bundestagsausschüssen übersandt wurde und Augen geradeaus! vorliegt:

Die Bestimmungen der Charta der Vereinten Nationen sind grundsätzlich auch auf Cyber-Angriffe anwendbar. Reaktionen betroffener Staaten bzw. der internationalen Gemeinschaft haben mit Einklang mit den Vorgaben des Völkerrechts zu erfolgen. Sie können – abhängig von den gegebenen Voraussetzungen – von diplomatischen Mitteln, völkerrechtlichen Gegenmaßnahmen über Maßnahmen der Vereinten Nationen bis hin zur individuellen und kollektiven Selbstverteidigung reichen.
Bestimmte Erscheinungsformen eines Cyber-Angriffs können abhängig von den konkreten Umständen des Einzelfalls auch eine unzulässige Androhung oder Anwendung von Gewalt im Sinne des Art. 2 Nr.4 der Vereinten Nationen darstellen (Verstoß gegen das Gewaltverbot).
Voraussetzung ist inbesondere zum einen, dass die völkerrechtlich zu definierende Schwelle der Gewaltanwendung bzw. Gewaltdrohung erreicht wird, und zum anderen, dass ein Angriff nach völkerrechtlichen Maßstäben zurechenbar ist.
Überschreitet eine Cyber-Aktivität überdies die insoweit höhere Schwelle des bewaffneten Angriffs im Sinne des Art. 51 der Charta der Vereinten Nationen, so sind die Staaten berechtigt, ihr naturgegebenes Recht auf individuelle oder kollektive Selbstverteidigung auszuüben. Je nach Eigenart kann ein Cyber-Angriff im Einzelfall als ein bewaffneter Angriff auf einen Staat zu werten sein, insbesondere dann, wenn er nach völkerrechtlichen Maßstäben zurechenbar ist, seine Wirkung die Souveränität eines anderen Staates beeinträchtigt und sich die Zielsetzung oder Wirkung mit der Wirkung herkömmlicher Waffen vergleiche lässt. Eine Beurteilung, ob diese Schwelle überschritten wird, setzt eine Bewertung sämtlicher Umstände im Einzelfall voraus.

Der Knackpunkt ist natürlich die Zurechenbarkeit, die Attribution eines solchen Angriffs. Dazu hat US-Verteidigungsminister Leon Panetta gestern in New York hinreichend vage, aber deutliche Hinweise gegeben: Die USA seien mehr als bislang bekannt in der Lage, einen Angreifer zu identifizieren. Dass das für Deutschland auch zutrifft, darf man derzeit allerdings noch bezweifeln.

Dass ein solcher Angriff derzeit eine reale Gefahr ist, vermuten die deutschen Ministerien allerdings nicht:

Die Bundesregierung berurteilt jedoch die Wahrscheinlichkeit, dass ein Cyber-Angriff auf Deutschland erfolgt der für sich genommen die Schwelle zum bewaffneten Angriff überschreitet, gegenwärtig als eher gering.

Insofern sind die oben zitierten Grundsätze bislang eher grundsätzlich rechtlicher Natur und sagen etwas über die völkerrechtliche und politische Bewertung der Bundesregierung und noch nichts über die tatsächlichen Fähigkeiten deutscher Behörden aus (in erster Linie das Bundesamt für Sicherheit in der Informationstechnik, BSI, das die nationale deutsche Cyber-Sicherheitsbehörde ist und auch international, z.B. im NATO-Rahmen, als National Cyber Defence Authority der der Ansprechpartner). Was die Bundeswehr angeht, gelten für sie beim Operieren im Cyber-Raum die gleichen Regeln wie beim Einsatz ihrer Waffen, über die Sicherstellung der Einsatzbereitschaft und der Funktionsfähigkeit der Streitkräfte hinaus:

Im übrigen können die Streitkräfte im Cyber-Raum unter denselben verfassungsrechtlichen Voraussetzungen – d.h. vor allem Art. 87a GG bzw. Art. 24 Abs.2 GG – eingesetzt werden, die auch ansonsten den Streitkräfteeinsatz ermöglichen. Liegen diese Voraussetzungen vor, dann ist grundsätzlich die Durchführung schädigender (Gegen)-Maßnahmen gegenüber IT-Informationen und IT-Einrichtungen des Gegners statthaft.
(…)
Darüber hinaus kann die Bundeswehr mit eigenen Fähigkeiten zur gesamtstaatlichen Abwehr von IT-Angriffen auf der Grundlage der verfassungsrechtlichen Bestimmungen über die Amtshilfe nach Art. 35 Abs.1 GG bzw. der Bestimmungen über den Einsatz der Bundeswehr zur Abwehr und zur Bewältigung eines besonders schweren Unglücksfalls nach Art. 35 Abs. 2 oder Abs. 3 GG beitragen.

Der letzte Absatz ist vor allem vor dem Hintergrund der Entscheidung des Bundesverfassungsgerichts vom August dieses Jahres interessant. Damit wird dann unter den vom Karlsruher Gericht umrissenen Bedingungen ein Einsatz der Computer Network Operations(CNO)-Spezialisten der Bundeswehr auch im Inland möglich. Und es ist kein Geheimnis, dass die Gruppe CNO beim Kommando Strategische Aufklärung im Dezember vergangenen Jahres eine Anfangsbefähigung erreicht hat: Darunter ist ein Grad der personellen und materiellen Einsatzbereitschaft zu verstehen, der es ermöglicht, in begrenztem Umfang, Wirkungen durch den Cyber-Raum zu erzielen.

Allerdings, so heißt es in dem aktuellen Bericht: Bisher ist kein Einsatz dieser Fähigkeit erfolgt.

(Der Bericht liegt auch der Nachrichtenagentur Reuters vor, deren Meldung ist allerding bislang nur von wenigen Medien aufgegriffen worden. Nachtrag: jetzt auch bei SpOn)